1. (1) Die Mitgliedstaaten stellen sicher, dass die Aufsichts- oder Durchsetzungsmaßnahmen, die den wesentlichen Einrichtungen in Bezug auf die in dieser Richtlinie festgelegten Verpflichtungen auferlegt werden, wirksam, verhältnismäßig und abschreckend sind, wobei die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind.
2. Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden bei der Wahrnehmung ihrer Aufsichtsaufgaben in Bezug auf wesentliche Unternehmen befugt sind, diese Unternehmen zumindest einer Prüfung zu unterziehen:
(a) Inspektionen vor Ort und Überwachung außerhalb des Betriebsgeländes, einschließlich stichprobenartiger Kontrollen durch geschultes Fachpersonal;
(b) regelmäßige und gezielte Sicherheitsaudits, die von einer unabhängigen Stelle oder einer zuständigen Behörde durchgeführt werden;
(c) Ad-hoc-Prüfungen, einschließlich solcher, die aufgrund eines erheblichen VorfallVorfall Bezeichnet ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der von Netz- und Informationssystemen angebotenen oder über sie zugänglichen Dienste beeinträchtigt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) oder einen Verstoß gegen diese Richtlinie durch das wesentliche UnternehmenEntität bezeichnet eine natürliche oder juristische Person, die nach dem innerstaatlichen Recht des Ortes ihrer Niederlassung gegründet und als solche anerkannt wurde und die in eigenem Namen handelnd Rechte und Pflichten ausüben kann. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie);
(d) Sicherheitsüberprüfungen auf der Grundlage objektiver, nichtdiskriminierender, fairer und transparenter RisikoRisiko Bezeichnet das Potenzial für Verluste oder Störungen, die durch ein Ereignis verursacht werden, und wird als Kombination aus dem Ausmaß eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Ereignisses ausgedrückt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Bewertungskriterien, gegebenenfalls in Zusammenarbeit mit der betreffenden Einrichtung;
(e) Ersuchen um Informationen, die zur Bewertung der CybersicherheitCybersecurity "Cybersicherheit" ist die Cybersicherheit im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) 2019/881; - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) "Cybersicherheit" bezeichnet die Tätigkeiten, die erforderlich sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen; - Definition gemäß Artikel 2 Nummer 1 der Verordnung (EU) 2019/881; die von der betreffenden Stelle getroffenen Risikomanagementmaßnahmen, einschließlich dokumentierter Cybersicherheitsstrategien, sowie die Einhaltung der Verpflichtung zur Übermittlung von Informationen an die zuständigen Behörden gemäß Artikel 27;
(f) Ersuchen um Zugang zu Daten, Dokumenten und Informationen, die sie zur Erfüllung ihrer Aufsichtsaufgaben benötigen;
(g) Ersuchen um Nachweise für die Umsetzung von Cybersicherheitsstrategien, wie etwa die Ergebnisse von Sicherheitsaudits, die von einem qualifizierten Prüfer durchgeführt wurden, und die entsprechenden Nachweise.
Die in Unterabsatz 1 Buchstabe b genannten gezielten Sicherheitsaudits stützen sich auf Risikobewertungen, die von der zuständigen Behörde oder der geprüften Stelle durchgeführt werden, oder auf andere risikobezogene verfügbare Informationen.
Die Ergebnisse eines gezielten Sicherheitsaudits sind der zuständigen Behörde zur Verfügung zu stellen. Die Kosten eines solchen von einer unabhängigen Stelle durchgeführten gezielten Sicherheitsaudits sind von der geprüften Stelle zu tragen, es sei denn, die zuständige Behörde entscheidet in hinreichend begründeten Fällen anders.
3. Bei der Ausübung ihrer Befugnisse nach Absatz 2 Buchstaben e, f oder g geben die zuständigen Behörden den Zweck des Ersuchens an und spezifizieren die gewünschten Informationen.
4. Die Mitgliedstaaten stellen sicher, dass ihre zuständigen Behörden bei der Ausübung ihrer Durchsetzungsbefugnisse in Bezug auf wesentliche Einrichtungen zumindest die Befugnis haben:
(a) Warnungen vor Verstößen gegen diese Richtlinie durch die betreffenden Einrichtungen auszusprechen;
(b) verbindliche Anweisungen erlassen, auch in Bezug auf Maßnahmen, die zur Verhinderung oder Behebung eines Vorfalls erforderlich sind, sowie Fristen für die Durchführung dieser Maßnahmen und für die Berichterstattung über ihre Durchführung, oder eine Anordnung erlassen, mit der die betreffenden Stellen verpflichtet werden, die festgestellten Mängel oder Verstöße gegen diese Richtlinie zu beheben;
(c) die betreffenden Stellen anzuweisen, das gegen diese Richtlinie verstoßende Verhalten einzustellen und von einer Wiederholung dieses Verhaltens abzusehen;
(d) sie ordnet an, dass die betreffenden Stellen sicherstellen, dass ihre Maßnahmen zum Management des Cybersicherheitsrisikos mit Artikel 21 im Einklang stehen, oder dass sie die Meldepflichten nach Artikel 23 in einer bestimmten Weise und innerhalb einer bestimmten Frist erfüllen;
(e) die betroffenen Einrichtungen anzuweisen, die natürlichen oder juristischen Personen zu informieren, für die sie Dienstleistungen erbringen oder Tätigkeiten ausüben, die potenziell von einer solchen Maßnahme betroffen sind erhebliche Cyber-BedrohungErhebliche Cyber-Bedrohung Bezeichnet eine Cyber-Bedrohung, bei der aufgrund ihrer technischen Merkmale davon ausgegangen werden kann, dass sie das Potenzial hat, schwerwiegende Auswirkungen auf das Netz und die Informationssysteme einer Einrichtung oder die Nutzer der Dienste der Einrichtung zu haben, indem sie erhebliche materielle oder immaterielle Schäden verursacht. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) über die Art der Bedrohung sowie über mögliche Schutz- oder Abhilfemaßnahmen, die von diesen natürlichen oder juristischen Personen als Reaktion auf die Bedrohung getroffen werden können;
(f) sie ordnet an, dass die betreffenden Stellen die Empfehlungen, die als Ergebnis eines Sicherheitsaudits abgegeben wurden, innerhalb einer angemessenen Frist umsetzen;
(g) Benennung eines Überwachungsbeauftragten mit genau definierten Aufgaben für einen bestimmten Zeitraum, der die Einhaltung der Artikel 21 und 23 durch die betreffenden Einrichtungen überwacht;
(h) die betreffenden Stellen anzuweisen, Aspekte von Verstößen gegen diese Richtlinie in einer bestimmten Weise zu veröffentlichen;
(i) zusätzlich zu den unter den Buchstaben a) bis h) genannten Maßnahmen eine Geldbuße nach Artikel 34 zu verhängen oder die Verhängung einer solchen Geldbuße durch die zuständigen Stellen oder Gerichte im Einklang mit dem nationalen Recht zu beantragen.
5. (5) Sind die gemäß Absatz 4 Buchstaben a bis d und f getroffenen Durchsetzungsmaßnahmen unwirksam, so stellen die Mitgliedstaaten sicher, dass ihre zuständigen Behörden befugt sind, eine Frist zu setzen, innerhalb derer die wesentliche Einrichtung aufgefordert wird, die erforderlichen Maßnahmen zu ergreifen, um die Mängel zu beseitigen oder den Anforderungen dieser Behörden nachzukommen. Werden die verlangten Maßnahmen nicht innerhalb der gesetzten Frist ergriffen, so stellen die Mitgliedstaaten sicher, dass ihre zuständigen Behörden befugt sind, diese Maßnahmen zu ergreifen:
(a) eine Zertifizierung oder Genehmigung für einen Teil oder die Gesamtheit der von der wesentlichen Einrichtung erbrachten Dienste oder ausgeübten Tätigkeiten vorübergehend auszusetzen oder eine Zertifizierungs- oder Genehmigungsstelle oder ein Gericht im Einklang mit dem nationalen Recht zu ersuchen, diese vorübergehend auszusetzen;
(b) zu beantragen, dass die zuständigen Stellen, Gerichte oder sonstigen Stellen im Einklang mit dem nationalen Recht einer natürlichen Person, die mit der Wahrnehmung von Führungsaufgaben als Hauptgeschäftsführer oder Rechtsberater betraut ist, vorübergehend untersagen repräsentativAbgeordneter Bezeichnet eine in der Union ansässige natürliche oder juristische Person, die ausdrücklich dazu bestimmt ist, im Namen eines DNS-Diensteanbieters, eines TLD-Namenregisters, einer Einrichtung, die Domänennamenregistrierungsdienste anbietet, eines Cloud-Computing-Diensteanbieters, eines Rechenzentrumsdiensteanbieters, eines Content-Delivery-Network-Anbieters, eines Managed-Service-Anbieters, eines Managed-Security-Service-Anbieters oder eines Anbieters eines Online-Marktplatzes, einer Online-Suchmaschine oder einer Plattform für soziale Netzwerkdienste, der nicht in der Union ansässig ist, zu handeln, und an die sich eine zuständige Behörde oder ein CSIRT anstelle der Einrichtung selbst in Bezug auf die Verpflichtungen dieser Einrichtung nach dieser Richtlinie wenden kann. - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Ebene in der wesentlichen Einheit von der Ausübung von Führungsaufgaben in dieser Einheit ausgeschlossen ist.
Nach diesem Absatz verhängte vorübergehende Aussetzungen oder Verbote werden nur so lange angewandt, bis der betreffende Rechtsträger die erforderlichen Maßnahmen ergreift, um die Mängel zu beheben oder die Anforderungen der zuständigen Behörde zu erfüllen, wegen derer diese Durchsetzungsmaßnahmen ergriffen wurden. Die Verhängung solcher vorübergehenden Aussetzungen oder Verbote unterliegt angemessenen Verfahrensgarantien im Einklang mit den allgemeinen Grundsätzen des Unionsrechts und der Charta, einschließlich des Rechts auf einen wirksamen Rechtsbehelf und auf ein faires Verfahren, der Unschuldsvermutung und der Verteidigungsrechte.
Die in diesem Absatz vorgesehenen Durchsetzungsmaßnahmen gelten nicht für Einrichtungen der öffentlichen Verwaltung, die dieser Richtlinie unterliegen.
6. (6) Die Mitgliedstaaten stellen sicher, dass jede natürliche Person, die für eine wesentliche Einrichtung verantwortlich ist oder als ihr gesetzlicher Vertreter handelt, weil sie befugt ist, sie zu vertreten, Entscheidungen in ihrem Namen zu treffen oder die Kontrolle über sie auszuüben, die Befugnis hat, die Einhaltung dieser Richtlinie zu gewährleisten. Die Mitgliedstaaten stellen sicher, dass diese natürlichen Personen für Verstöße gegen ihre Pflichten, die Einhaltung dieser Richtlinie sicherzustellen, haftbar gemacht werden können.
In Bezug auf Einrichtungen der öffentlichen Verwaltung berührt dieser Absatz nicht die einzelstaatlichen Rechtsvorschriften über die Haftung von Beamten und gewählten oder berufenen Vertretern des öffentlichen Dienstes.
7. (6) Wenn die zuständigen Behörden eine der in Absatz 4 oder 5 genannten Durchsetzungsmaßnahmen ergreifen, wahren sie die Verteidigungsrechte und berücksichtigen die Umstände jedes Einzelfalls, wobei sie zumindest Folgendes gebührend zu berücksichtigen haben
(a) die Schwere des Verstoßes und die Bedeutung der verletzten Bestimmungen, wobei unter anderem die folgenden Punkte in jedem Fall einen schweren Verstoß darstellen:
(i) wiederholte Verstöße;
(ii) ein Versäumnis, bedeutende Vorfälle zu melden oder zu beheben;
(iii) das Versäumnis, Mängel nach verbindlichen Anweisungen der zuständigen Behörden zu beheben;
(iv) die Behinderung von Audits oder Überwachungstätigkeiten, die von der zuständigen Behörde nach der Feststellung eines Verstoßes angeordnet wurden;
(v) Erteilung falscher oder grob ungenauer Auskünfte in Bezug auf Maßnahmen des Cybersicherheitsrisikomanagements oder Meldepflichten nach den Artikeln 21 und 23;
(b) die Dauer des Verstoßes;
(c) alle einschlägigen früheren Verstöße der betreffenden Stelle;
(d) alle verursachten materiellen oder immateriellen Schäden, einschließlich finanzieller oder wirtschaftlicher Verluste, Auswirkungen auf andere Dienste und die Zahl der betroffenen Nutzer;
(e) Vorsatz oder Fahrlässigkeit des Täters bei der Zuwiderhandlung;
(f) alle von der Organisation ergriffenen Maßnahmen zur Vermeidung oder Minderung des materiellen oder immateriellen Schadens;
(g) die Einhaltung genehmigter Verhaltenskodizes oder genehmigter Zertifizierungsmechanismen;
(h) den Grad der Zusammenarbeit der verantwortlichen natürlichen oder juristischen Personen mit den zuständigen Behörden.
8. Die zuständigen Behörden begründen ihre Durchsetzungsmaßnahmen ausführlich. Bevor sie solche Maßnahmen ergreifen, unterrichten die zuständigen Behörden die betroffenen Stellen über ihre vorläufigen Feststellungen. Sie räumen diesen Stellen ferner eine angemessene Frist zur Stellungnahme ein, außer in ordnungsgemäß begründeten Fällen, in denen sofortige Maßnahmen zur Verhinderung von oder Reaktion auf Vorfälle andernfalls behindert würden.
9. Die Mitgliedstaaten stellen sicher, dass ihre gemäß dieser Richtlinie zuständigen Behörden die gemäß der Richtlinie (EU) 2022/2557 zuständigen Behörden desselben Mitgliedstaats unterrichten, wenn sie ihre Aufsichts- und Durchsetzungsbefugnisse ausüben, um die Einhaltung dieser Richtlinie durch ein gemäß der Richtlinie (EU) 2022/2557 als kritisch eingestuftes Unternehmen sicherzustellen. Gegebenenfalls können die zuständigen Behörden gemäß der Richtlinie (EU) 2022/2557 die zuständigen Behörden gemäß der vorliegenden Richtlinie ersuchen, ihre Aufsichts- und Durchsetzungsbefugnisse in Bezug auf ein Unternehmen auszuüben, das gemäß der Richtlinie (EU) 2022/2557 als kritisches Unternehmen eingestuft ist.
10. Die Mitgliedstaaten stellen sicher, dass ihre gemäß dieser Richtlinie zuständigen Behörden mit den gemäß der Verordnung (EU) 2022/2554 jeweils zuständigen Behörden des betreffenden Mitgliedstaats zusammenarbeiten. Insbesondere stellen die Mitgliedstaaten sicher, dass ihre gemäß dieser Richtlinie zuständigen Behörden das gemäß Artikel 32 Absatz 1 der Verordnung (EU) 2022/2554 eingerichtete Aufsichtsforum informieren, wenn sie ihre Aufsichts- und Durchsetzungsbefugnisse ausüben, um die Einhaltung dieser Richtlinie durch eine wesentliche Einrichtung sicherzustellen, die gemäß Artikel 31 der Verordnung (EU) 2022/2554 als kritischer IKT-Drittdienstleister benannt wurde.