Präambel

in Erwägung nachstehender Gründe:

(1) Die Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates (4) zielt darauf ab, die CybersicherheitCybersecurity "Cybersicherheit" ist die Cybersicherheit im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) 2019/881; - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) "Cybersicherheit" bezeichnet die Tätigkeiten, die erforderlich sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen; - Definition gemäß Artikel 2 Nummer 1 der Verordnung (EU) 2019/881; Fähigkeiten in der gesamten Union zu verbessern, Bedrohungen für Netz- und Informationssysteme, die für die Erbringung wesentlicher Dienste in Schlüsselsektoren eingesetzt werden, abzuschwächen und die Kontinuität dieser Dienste bei Zwischenfällen zu gewährleisten und so zur Sicherheit der Union und zum reibungslosen Funktionieren ihrer Wirtschaft und Gesellschaft beizutragen.

(2) Seit dem Inkrafttreten der Richtlinie (EU) 2016/1148 wurden erhebliche Fortschritte bei der Erhöhung der Cyberresilienz in der Union erzielt. Die Überprüfung dieser Richtlinie hat gezeigt, dass sie als Katalysator für den institutionellen und regulatorischen Ansatz zur Cybersicherheit in der Union diente und den Weg für einen erheblichen Mentalitätswandel ebnete.

Diese Richtlinie hat für die Vervollständigung der nationalen Rahmenregelungen für die Sicherheit der Netz- und InformationssystemeSicherheit von Netz- und Informationssystemen bezeichnet die Fähigkeit von Netz- und Informationssystemen, mit einem bestimmten Vertrauensniveau jedem Ereignis zu widerstehen, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der von diesen Netz- und Informationssystemen angebotenen oder über sie zugänglichen Dienste beeinträchtigen könnte; - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) durch die Ausarbeitung nationaler Strategien für die Sicherheit von Netz- und Informationssystemen und die Schaffung nationaler Kapazitäten sowie durch die Umsetzung von Regulierungsmaßnahmen für die von den einzelnen Mitgliedstaaten festgelegten wesentlichen Infrastrukturen und Einrichtungen.

Die Richtlinie (EU) 2016/1148 hat auch zur Zusammenarbeit auf Unionsebene durch die Einrichtung der Kooperationsgruppe und des Netzes der nationalen Computersicherheitsstellen beigetragen. VorfallVorfall Bezeichnet ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der von Netz- und Informationssystemen angebotenen oder über sie zugänglichen Dienste beeinträchtigt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Reaktionsteams. Ungeachtet dieser Errungenschaften hat die Überprüfung der Richtlinie (EU) 2016/1148 inhärente Mängel aufgedeckt, die verhindern, dass sie aktuelle und neue Herausforderungen der Cybersicherheit wirksam angeht.

(3) Netz- und Informationssysteme haben sich mit dem rasanten digitalen Wandel und der Vernetzung der Gesellschaft, auch im grenzüberschreitenden Austausch, zu einem zentralen Merkmal des täglichen Lebens entwickelt. Diese Entwicklung hat zu einer Ausweitung der Cyber-BedrohungCyber-Bedrohung bezeichnet alle potenziellen Umstände, Ereignisse oder Handlungen, die Netz- und Informationssysteme, die Nutzer solcher Systeme und andere Personen beschädigen, stören oder anderweitig beeinträchtigen könnten - Definition gemäß Artikel 2 Nummer 8 der Verordnung (EU) 2019/881 Landschaft und bringen neue Herausforderungen mit sich, die angepasste, koordinierte und innovative Antworten in allen Mitgliedstaaten erfordern.

Anzahl, Ausmaß, Raffinesse, Häufigkeit und Auswirkungen von Sicherheitsvorfällen nehmen zu und stellen eine große Bedrohung für das Funktionieren von Netz- und Informationssystemen dar. Infolgedessen können Vorfälle die Ausübung von Wirtschaftstätigkeiten im Binnenmarkt behindern, finanzielle Verluste verursachen, das Vertrauen der Nutzer untergraben und der Wirtschaft und Gesellschaft der Union großen Schaden zufügen.

Bereitschaft und Wirksamkeit der Cybersicherheit sind daher für das ordnungsgemäße Funktionieren des Binnenmarktes heute wichtiger denn je. Darüber hinaus ist die Cybersicherheit eine wichtige Voraussetzung dafür, dass viele kritische Sektoren den digitalen Wandel erfolgreich bewältigen und die wirtschaftlichen, sozialen und nachhaltigen Vorteile der Digitalisierung voll ausschöpfen können.

(4) Rechtsgrundlage der Richtlinie (EU) 2016/1148 war Artikel 114 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV), dessen Ziel die Errichtung und das Funktionieren des Binnenmarkts durch verstärkte Maßnahmen zur Angleichung der nationalen Vorschriften ist. Die Anforderungen an die Cybersicherheit, die Unternehmen auferlegt werden, die wirtschaftlich bedeutende Dienstleistungen erbringen oder Tätigkeiten ausüben, unterscheiden sich von Mitgliedstaat zu Mitgliedstaat erheblich in Bezug auf die Art der Anforderungen, ihren Detaillierungsgrad und die Art der Überwachung. Diese Unterschiede verursachen zusätzliche Kosten und erschweren den Unternehmen, die grenzüberschreitend Waren oder Dienstleistungen anbieten.

Anforderungen eines Mitgliedstaats, die sich von denen eines anderen Mitgliedstaats unterscheiden oder sogar im Widerspruch zu ihnen stehen, können solche grenzüberschreitenden Tätigkeiten erheblich beeinträchtigen. Darüber hinaus dürfte sich die Möglichkeit einer unzureichenden Gestaltung oder Umsetzung von Cybersicherheitsanforderungen in einem Mitgliedstaat auf das Cybersicherheitsniveau anderer Mitgliedstaaten auswirken, insbesondere angesichts der Intensität des grenzüberschreitenden Austauschs.

Die Überprüfung der Richtlinie (EU) 2016/1148 hat gezeigt, dass sie von den Mitgliedstaaten sehr unterschiedlich umgesetzt wird, auch in Bezug auf ihren Anwendungsbereich, dessen Abgrenzung weitgehend dem Ermessen der Mitgliedstaaten überlassen wurde. Die Richtlinie (EU) 2016/1148 räumte den Mitgliedstaaten auch einen sehr weiten Ermessensspielraum bei der Umsetzung der darin festgelegten Pflichten zur Gefahrenabwehr und Meldung von Zwischenfällen ein. Diese Verpflichtungen wurden daher auf nationaler Ebene auf sehr unterschiedliche Weise umgesetzt. Ähnliche Unterschiede gibt es auch bei der Umsetzung der Bestimmungen der Richtlinie (EU) 2016/1148 zur Aufsicht und Durchsetzung.

(5) All diese Unterschiede führen zu einer Zersplitterung des Binnenmarktes und können sich nachteilig auf sein Funktionieren auswirken, indem sie insbesondere die grenzüberschreitende Erbringung von Dienstleistungen und das Niveau der Cyber-Resilienz aufgrund der Anwendung einer Vielzahl von Maßnahmen beeinträchtigen. Letztlich könnten diese Unterschiede dazu führen, dass die SchwachstelleSchwachstelle Bezeichnet eine Schwäche, Anfälligkeit oder einen Fehler von IKT-Produkten oder IKT-Diensten, die durch eine Cyber-Bedrohung ausgenutzt werden können. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) einiger Mitgliedstaaten gegenüber Cyber-Bedrohungen, mit möglichen Spillover-Effekten in der gesamten Union.

Die vorliegende Richtlinie zielt darauf ab, diese großen Unterschiede zwischen den Mitgliedstaaten zu beseitigen, insbesondere durch die Festlegung von Mindestvorschriften für das Funktionieren eines koordinierten Rechtsrahmens, durch die Festlegung von Mechanismen für eine wirksame Zusammenarbeit zwischen den zuständigen Behörden in den einzelnen Mitgliedstaaten, durch die Aktualisierung der Liste der Sektoren und Tätigkeiten, die Cybersicherheitsverpflichtungen unterliegen, und durch die Bereitstellung wirksamer Rechtsbehelfe und Durchsetzungsmaßnahmen, die für die wirksame Durchsetzung dieser Verpflichtungen entscheidend sind. Daher sollte die Richtlinie (EU) 2016/1148 aufgehoben und durch die vorliegende Richtlinie ersetzt werden.

(6) Mit der Aufhebung der Richtlinie (EU) 2016/1148 sollte der Anwendungsbereich nach Sektoren auf einen größeren Teil der Wirtschaft ausgeweitet werden, um eine umfassende Abdeckung von Sektoren und Dienstleistungen zu gewährleisten, die für wichtige gesellschaftliche und wirtschaftliche Tätigkeiten im Binnenmarkt von entscheidender Bedeutung sind. Mit dieser Richtlinie sollen insbesondere die Unzulänglichkeiten der Unterscheidung zwischen Betreibern wesentlicher Dienste und digitaler DienstDigitaler Dienst jede Dienstleistung der Informationsgesellschaft, d. h. jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung. Im Sinne dieser Definition bedeutet i) "im Fernabsatz", dass die Dienstleistung ohne gleichzeitige Anwesenheit der Beteiligten erbracht wird; ii) "auf elektronischem Wege", dass die Dienstleistung mittels Geräten für die elektronische Verarbeitung (einschließlich digitaler Kompression) und Speicherung von Daten am Ausgangspunkt gesendet und am Zielort empfangen wird und vollständig über Draht, über Funk, auf optischem oder anderem elektromagnetischem Wege übertragen, weitergeleitet und empfangen wird; iii) "auf individuellen Abruf eines Empfängers von Diensten", dass die Dienstleistung durch Übermittlung von Daten auf individuelle Anforderung erbracht wird. - Definition gemäß Artikel 1 Absatz 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates Dies hat sich als veraltet erwiesen, da es nicht die Bedeutung der Sektoren oder Dienstleistungen für die gesellschaftlichen und wirtschaftlichen Aktivitäten im Binnenmarkt widerspiegelt.

(7) Gemäß der Richtlinie (EU) 2016/1148 waren die Mitgliedstaaten dafür zuständig, die Einrichtungen zu bestimmen, die die Kriterien für die Einstufung als Betreiber wesentlicher Dienste erfüllen. Um die großen Unterschiede zwischen den Mitgliedstaaten in dieser Hinsicht zu beseitigen und Rechtssicherheit in Bezug auf die Cybersicherheit zu gewährleisten RisikoRisiko Bezeichnet das Potenzial für Verluste oder Störungen, die durch ein Ereignis verursacht werden, und wird als Kombination aus dem Ausmaß eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Ereignisses ausgedrückt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie)-Managementmaßnahmen und Berichterstattungspflichten für alle relevanten Stellen sollte ein einheitliches Kriterium festgelegt werden, das bestimmt, welche Stellen in den Anwendungsbereich dieser Richtlinie fallen.

Dieses Kriterium sollte in der Anwendung einer "size-cap"-Regel bestehen, wonach alle Einheiten, die gemäß Artikel 2 des Anhangs der Empfehlung 2003/361/EG der Kommission als mittlere Unternehmen gelten oder die in Absatz 1 des genannten Artikels vorgesehenen Höchstgrenzen für mittlere Unternehmen überschreiten und die in den Sektoren tätig sind und die Arten von Dienstleistungen erbringen oder Tätigkeiten ausüben, die unter diese Richtlinie fallen, in deren Anwendungsbereich fallen. Die Mitgliedstaaten sollten ferner vorsehen, dass bestimmte Klein- und Kleinstunternehmen im Sinne von Artikel 2 Absätze 2 und 3 des genannten Anhangs, die spezifische Kriterien erfüllen, die auf eine Schlüsselrolle für die Gesellschaft, die Wirtschaft oder für bestimmte Sektoren oder Dienstleistungsarten hinweisen, in den Anwendungsbereich dieser Richtlinie fallen.

(8) Der Ausschluss von Einrichtungen der öffentlichen Verwaltung aus dem Anwendungsbereich dieser Richtlinie sollte für Einrichtungen gelten, deren Tätigkeiten überwiegend in den Bereichen der nationalen und öffentlichen Sicherheit, der Verteidigung oder der Strafverfolgung, einschließlich der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten, ausgeübt werden. Einrichtungen der öffentlichen Verwaltung, deren Tätigkeiten nur am Rande mit diesen Bereichen zusammenhängen, sollten jedoch nicht vom Anwendungsbereich dieser Richtlinie ausgeschlossen werden.

Für die Zwecke dieser Richtlinie wird nicht davon ausgegangen, dass Einrichtungen mit Regelungsbefugnissen Tätigkeiten im Bereich der Strafverfolgung ausüben, und sie sind daher nicht aus diesem Grund vom Anwendungsbereich dieser Richtlinie ausgeschlossen. Einrichtungen der öffentlichen Verwaltung, die gemäß einem internationalen Abkommen gemeinsam mit einem Drittland errichtet wurden, sind vom Anwendungsbereich dieser Richtlinie ausgeschlossen. Diese Richtlinie gilt nicht für die diplomatischen und konsularischen Vertretungen der Mitgliedstaaten in Drittländern oder für deren Netz- und Informationssysteme, sofern sich diese Systeme in den Räumlichkeiten der Vertretung befinden oder für Nutzer in einem Drittland betrieben werden.

(9) Die Mitgliedstaaten sollten in der Lage sein, die erforderlichen Maßnahmen zu ergreifen, um den Schutz der wesentlichen Interessen der nationalen Sicherheit zu gewährleisten, die öffentliche Ordnung und die öffentliche Sicherheit zu schützen und die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten zu ermöglichen.

Zu diesem Zweck sollten die Mitgliedstaaten die Möglichkeit haben, bestimmte Stellen, die Tätigkeiten in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten, ausüben, von bestimmten in dieser Richtlinie festgelegten Verpflichtungen in Bezug auf diese Tätigkeiten auszunehmen.

Wo ein UnternehmenEntität bezeichnet eine natürliche oder juristische Person, die nach dem innerstaatlichen Recht des Ortes ihrer Niederlassung gegründet und als solche anerkannt wurde und die in eigenem Namen handelnd Rechte und Pflichten ausüben kann. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) erbringt Dienstleistungen ausschließlich für ein öffentliche VerwaltungseinheitEinheit der öffentlichen Verwaltung Eine Einrichtung, die in einem Mitgliedstaat nach nationalem Recht als solche anerkannt ist, mit Ausnahme der Justiz, der Parlamente und der Zentralbanken, und die folgende Kriterien erfüllt: (a) Sie ist zur Deckung eines Bedarfs von allgemeinem Interesse gegründet worden und hat keinen industriellen oder kommerziellen Charakter; b) sie besitzt Rechtspersönlichkeit oder ist gesetzlich befugt, im Namen einer anderen Einrichtung mit Rechtspersönlichkeit zu handeln; (c) sie wird überwiegend vom Staat, von Gebietskörperschaften oder von anderen Einrichtungen des öffentlichen Rechts finanziert, unterliegt hinsichtlich ihrer Leitung der Aufsicht durch diese Körperschaften oder Einrichtungen oder verfügt über ein Verwaltungs-, Leitungs- oder Aufsichtsorgan, dessen Mitglieder mehrheitlich vom Staat, von Gebietskörperschaften oder von anderen Einrichtungen des öffentlichen Rechts ernannt werden; d) sie ist befugt, an natürliche oder juristische Personen Verwaltungs- oder Regulierungsentscheidungen zu richten, die deren Rechte im grenzüberschreitenden Personen-, Waren-, Dienstleistungs- oder Kapitalverkehr berühren. - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) die vom Anwendungsbereich dieser Richtlinie ausgenommen ist, sollten die Mitgliedstaaten die Möglichkeit haben, diese Stelle von bestimmten in dieser Richtlinie festgelegten Verpflichtungen in Bezug auf diese Dienste zu befreien. Darüber hinaus sollte kein Mitgliedstaat verpflichtet sein, Informationen zu übermitteln, deren Offenlegung den wesentlichen Interessen seiner nationalen Sicherheit, öffentlichen Sicherheit oder Verteidigung zuwiderlaufen würde.

Unionsrechtliche oder nationale Vorschriften zum Schutz von Verschlusssachen, Vertraulichkeitsvereinbarungen und informelle Geheimhaltungsvereinbarungen wie das Ampelprotokoll sollten in diesem Zusammenhang berücksichtigt werden. Das Ampelprotokoll ist als ein Mittel zu verstehen, das über etwaige Beschränkungen bei der Weitergabe von Informationen informiert. Es wird in fast allen Computer Security Incident Response Teams (CSIRTs) und in einigen Zentren für Informationsanalyse und -austausch verwendet.

(10) Obwohl diese Richtlinie für Einrichtungen gilt, die Tätigkeiten im Bereich der Erzeugung von Elektrizität aus Kernkraftwerken durchführen, können einige dieser Tätigkeiten mit der nationalen Sicherheit verbunden sein. Wenn dies der Fall ist, sollte ein Mitgliedstaat in der Lage sein, seine Verantwortung für den Schutz der nationalen Sicherheit in Bezug auf diese Tätigkeiten, einschließlich der Tätigkeiten innerhalb der nuklearen Wertschöpfungskette, im Einklang mit den Verträgen wahrzunehmen.

(11) Einige Einrichtungen üben Tätigkeiten in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung aus, einschließlich der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten, und erbringen gleichzeitig Vertrauensdienste. VertrauensdienstVertrauensdienst Bezeichnet einen elektronischen Dienst, der in der Regel gegen Entgelt erbracht wird und Folgendes umfasst: a) die Erstellung, Überprüfung und Validierung elektronischer Signaturen, elektronischer Siegel oder elektronischer Zeitstempel, elektronischer Einschreibedienste und damit zusammenhängender Zertifikate oder b) die Erstellung, Überprüfung und Validierung von Zertifikaten für die Website-Authentifizierung oder c) die Aufbewahrung von elektronischen Signaturen, Siegeln oder Zertifikaten im Zusammenhang mit diesen Diensten - Definition gemäß Artikel 3 Nummer 16 der Verordnung (EU) Nr. 910/2014 Anbieter, die in den Anwendungsbereich der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates (6) fallen, sollten in den Anwendungsbereich dieser Richtlinie fallen, um das gleiche Maß an Sicherheitsanforderungen und Aufsicht zu gewährleisten, das zuvor in der genannten Verordnung für Vertrauensdiensteanbieter festgelegt war. Im Einklang mit dem Ausschluss bestimmter spezifischer Dienste aus der Verordnung (EU) Nr. 910/2014 sollte diese Richtlinie nicht für die Erbringung von Vertrauensdiensten gelten, die ausschließlich innerhalb geschlossener Systeme genutzt werden, die sich aus nationalen Rechtsvorschriften oder aus Vereinbarungen zwischen einer bestimmten Gruppe von Teilnehmern ergeben.

(12) Anbieter von Postdiensten im Sinne der Richtlinie 97/67/EG des Europäischen Parlaments und des Rates, einschließlich Anbieter von Kurierdiensten, sollten dieser Richtlinie unterliegen, wenn sie mindestens einen der Schritte in der Postzustellungskette, insbesondere die Abholung, das Sortieren, die Beförderung oder die Verteilung von Postsendungen, einschließlich Abholdienste, erbringen, wobei der Grad ihrer Abhängigkeit von Netz- und Informationssystemen zu berücksichtigen ist. Transportdienste, die nicht in Verbindung mit einem dieser Schritte erbracht werden, sollten vom Anwendungsbereich der Postdienste ausgeschlossen werden.

(13) In Anbetracht der Verschärfung und zunehmenden Raffinesse von Cyber-Bedrohungen sollten sich die Mitgliedstaaten bemühen, sicherzustellen, dass Einrichtungen, die vom Anwendungsbereich dieser Richtlinie ausgenommen sind, ein hohes Maß an Cybersicherheit erreichen, und die Umsetzung gleichwertiger Maßnahmen des Cybersicherheits-Risikomanagements unterstützen, die dem sensiblen Charakter dieser Einrichtungen Rechnung tragen.

(14) Das Datenschutzrecht der Union und das Unionsrecht zum Schutz der Privatsphäre gelten für jede Verarbeitung personenbezogener Daten im Rahmen dieser Richtlinie. Insbesondere lässt diese Richtlinie die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates und die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates unberührt. Diese Richtlinie sollte daher unter anderem nicht die Aufgaben und Befugnisse der Behörden berühren, die für die Überwachung der Einhaltung des geltenden Datenschutzrechts der Union und des Unionsrechts zum Schutz der Privatsphäre zuständig sind.

(15) Einrichtungen, die im Hinblick auf die Einhaltung von Maßnahmen des Cybersicherheitsrisikomanagements und von Meldepflichten in den Anwendungsbereich dieser Richtlinie fallen, sollten in zwei Kategorien eingeteilt werden, nämlich in wesentliche Einrichtungen und in wichtige Einrichtungen, wobei das Ausmaß, in dem sie in Bezug auf ihren Sektor oder die Art der von ihnen erbrachten Dienstleistung kritisch sind, sowie ihre Größe berücksichtigt werden sollten. In dieser Hinsicht sollten gegebenenfalls einschlägige sektorale Risikobewertungen oder Leitlinien der zuständigen Behörden gebührend berücksichtigt werden. Die Aufsichts- und Durchsetzungsregelungen für diese beiden Kategorien von Unternehmen sollten differenziert werden, um ein angemessenes Gleichgewicht zwischen risikobasierten Anforderungen und Verpflichtungen einerseits und dem mit der Überwachung der Einhaltung der Vorschriften verbundenen Verwaltungsaufwand andererseits zu gewährleisten.

(16) Um zu vermeiden, dass Unternehmen, die Partnerunternehmen oder verbundene Unternehmen haben, als wesentliche oder wichtige Unternehmen angesehen werden, wenn dies unverhältnismäßig wäre, können die Mitgliedstaaten bei der Anwendung von Artikel 6 Absatz 2 des Anhangs der Empfehlung 2003/361/EG den Grad der Unabhängigkeit berücksichtigen, den ein Unternehmen gegenüber seinen Partnerunternehmen oder verbundenen Unternehmen genießt. Insbesondere können die Mitgliedstaaten die Tatsache berücksichtigen, dass ein Unternehmen in Bezug auf das Netz und die Informationssysteme, die dieses Unternehmen bei der Erbringung seiner Dienstleistungen nutzt, und in Bezug auf die von ihm erbrachten Dienstleistungen von seinen Partnerunternehmen oder verbundenen Unternehmen unabhängig ist.

Auf dieser Grundlage können die Mitgliedstaaten gegebenenfalls davon ausgehen, dass ein solches Unternehmen nicht als mittleres Unternehmen im Sinne von Artikel 2 des Anhangs der Empfehlung 2003/361/EG einzustufen ist oder die in Absatz 1 des genannten Artikels vorgesehenen Obergrenzen für mittlere Unternehmen nicht überschreitet, wenn das Unternehmen unter Berücksichtigung des Grades seiner Unabhängigkeit nicht als mittleres Unternehmen eingestuft worden wäre oder diese Obergrenzen nicht überschritten hätte, wenn nur seine eigenen Daten berücksichtigt worden wären. Dies lässt die in dieser Richtlinie festgelegten Verpflichtungen von Partnerunternehmen und verbundenen Unternehmen, die in den Anwendungsbereich dieser Richtlinie fallen, unberührt.

(17) Die Mitgliedstaaten sollten beschließen können, dass Einrichtungen, die vor dem Inkrafttreten der vorliegenden Richtlinie als Betreiber wesentlicher Dienste gemäß der Richtlinie (EU) 2016/1148 ermittelt wurden, als wesentliche Einrichtungen zu betrachten sind.

(18) Um einen klaren Überblick über die in den Anwendungsbereich dieser Richtlinie fallenden Einrichtungen zu gewährleisten, sollten die Mitgliedstaaten eine Liste der wesentlichen und wichtigen Einrichtungen sowie der Einrichtungen, die Domänennamenregistrierungsdienste anbieten, erstellen. Zu diesem Zweck sollten die Mitgliedstaaten von den Einrichtungen verlangen, dass sie den zuständigen Behörden zumindest die folgenden Informationen übermitteln, nämlich Name, Anschrift und aktuelle Kontaktdaten, einschließlich der E-Mail-Adressen, IP-Bereiche und Telefonnummern der Einrichtung, und gegebenenfalls den jeweiligen Sektor und Teilsektor gemäß den Anhängen sowie gegebenenfalls eine Liste der Mitgliedstaaten, in denen sie Dienstleistungen erbringen, die in den Geltungsbereich dieser Richtlinie fallen.

Zu diesem Zweck sollte die Kommission mit Unterstützung der Agentur der Europäischen Union für Cybersicherheit (ENISA) unverzüglich Leitlinien und Vorlagen für die Verpflichtung zur Übermittlung von Informationen bereitstellen. Zur Erleichterung der Erstellung und Aktualisierung des Verzeichnisses der wesentlichen und bedeutenden Einrichtungen sowie der Einrichtungen, die Dienste zur Registrierung von Domänennamen anbieten, sollten die Mitgliedstaaten die Möglichkeit haben, nationale Mechanismen einzurichten, damit sich die Einrichtungen selbst registrieren können. Wenn es auf nationaler Ebene Register gibt, können die Mitgliedstaaten über geeignete Verfahren entscheiden, die die Identifizierung von Einrichtungen, die in den Anwendungsbereich dieser Richtlinie fallen, ermöglichen.

(19) Die Mitgliedstaaten sollten dafür verantwortlich sein, der Kommission zumindest die Zahl der wesentlichen und bedeutenden Einrichtungen für jeden Sektor und Teilsektor gemäß den Anhängen sowie einschlägige Informationen über die Zahl der ermittelten Einrichtungen und die in dieser Richtlinie festgelegten Bestimmungen, auf deren Grundlage sie ermittelt wurden, sowie über die Art der von ihnen erbrachten Dienstleistung zu übermitteln. Die Mitgliedstaaten werden aufgefordert, mit der Kommission Informationen über wesentliche und wichtige Einrichtungen auszutauschen und im Falle einer groß angelegter CybersicherheitsvorfallGroßer Vorfall im Bereich der Cybersicherheit Ein Ereignis, das ein Ausmaß an Störungen verursacht, das die Reaktionsfähigkeit eines Mitgliedstaats übersteigt, oder das erhebliche Auswirkungen auf mindestens zwei Mitgliedstaaten hat. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie)Die Kommission wird gebeten, relevante Informationen wie den Namen der betreffenden Einrichtung anzugeben.

(20) Die Kommission sollte in Zusammenarbeit mit der Kooperationsgruppe und nach Anhörung der einschlägigen Interessengruppen Leitlinien für die Anwendung der Kriterien erstellen, die für Kleinst- und Kleinunternehmen gelten, um zu beurteilen, ob sie in den Anwendungsbereich dieser Richtlinie fallen. Die Kommission sollte auch sicherstellen, dass Kleinst- und Kleinunternehmen, die in den Anwendungsbereich dieser Richtlinie fallen, angemessene Leitlinien erhalten. Die Kommission sollte mit Unterstützung der Mitgliedstaaten den Kleinst- und Kleinunternehmen diesbezügliche Informationen zur Verfügung stellen.

(21) Die Kommission könnte die Mitgliedstaaten bei der Umsetzung der Bestimmungen dieser Richtlinie über den Anwendungsbereich und die Bewertung der Verhältnismäßigkeit der gemäß dieser Richtlinie zu treffenden Maßnahmen unterstützen, insbesondere im Hinblick auf Unternehmen mit komplexen Geschäftsmodellen oder Betriebsumgebungen, bei denen ein Unternehmen gleichzeitig die Kriterien für wesentliche und wichtige Unternehmen erfüllen oder gleichzeitig Tätigkeiten ausüben kann, von denen einige in den Anwendungsbereich dieser Richtlinie fallen und andere nicht.

(22) Diese Richtlinie bildet die Grundlage für Maßnahmen des Cybersicherheitsrisikomanagements und für Meldepflichten in den Sektoren, die in ihren Anwendungsbereich fallen. Um eine Fragmentierung der Cybersicherheitsbestimmungen in den Rechtsakten der Union zu vermeiden, sollte die Kommission in den Fällen, in denen weitere sektorspezifische Rechtsakte der Union über Maßnahmen des Cybersicherheitsrisikomanagements und Meldepflichten für notwendig erachtet werden, um ein hohes Cybersicherheitsniveau in der gesamten Union zu gewährleisten, prüfen, ob solche weiteren Bestimmungen in einem Durchführungsrechtsakt im Rahmen dieser Richtlinie festgelegt werden könnten.

Sollte ein solcher Durchführungsrechtsakt für diesen Zweck nicht geeignet sein, könnten sektorspezifische Rechtsakte der Union dazu beitragen, ein hohes Maß an Cybersicherheit in der gesamten Union zu gewährleisten, wobei den Besonderheiten und der Komplexität der betreffenden Sektoren in vollem Umfang Rechnung zu tragen ist. Zu diesem Zweck schließt diese Richtlinie den Erlass weiterer sektorspezifischer Rechtsakte der Union nicht aus, die sich mit Maßnahmen des Risikomanagements im Bereich der Cybersicherheit und mit Meldepflichten befassen und die der Notwendigkeit eines umfassenden und kohärenten Cybersicherheitsrahmens gebührend Rechnung tragen. Diese Richtlinie berührt nicht die bestehenden Durchführungsbefugnisse, die der Kommission in einer Reihe von Sektoren, einschließlich Verkehr und Energie, übertragen wurden.

(23) Enthält ein sektorspezifischer Rechtsakt der Union Bestimmungen, nach denen wesentliche oder bedeutende Einrichtungen verpflichtet sind, Maßnahmen für das Risikomanagement im Bereich der Cybersicherheit zu ergreifen oder bedeutende Vorfälle zu melden, und sind diese Anforderungen in ihrer Wirkung den in dieser Richtlinie festgelegten Verpflichtungen zumindest gleichwertig, so sollten diese Bestimmungen, einschließlich der Bestimmungen über die Aufsicht und die Durchsetzung, für diese Einrichtungen gelten. Gilt ein sektorspezifischer Rechtsakt der Union nicht für alle Einrichtungen eines bestimmten Sektors, der in den Anwendungsbereich dieser Richtlinie fällt, so sollten die einschlägigen Bestimmungen dieser Richtlinie weiterhin für die Einrichtungen gelten, die nicht unter diesen Rechtsakt fallen.

(24) Sehen Bestimmungen eines sektorspezifischen Rechtsakts der Union vor, dass wesentliche oder bedeutende Einrichtungen Meldepflichten einhalten müssen, die in ihrer Wirkung den Meldepflichten nach dieser Richtlinie zumindest gleichwertig sind, sollten die Kohärenz und die Wirksamkeit der Bearbeitung von Meldungen über Vorfälle sichergestellt werden. Zu diesem Zweck sollten die Bestimmungen des sektorspezifischen Rechtsakts der Union über die Meldung von Vorfällen den CSIRTs, den zuständigen Behörden oder den einheitlichen Ansprechpartnern für Cybersicherheit ("einheitliche Ansprechpartner") gemäß dieser Richtlinie einen unmittelbaren Zugang zu den gemäß dem sektorspezifischen Rechtsakt der Union übermittelten Meldungen von Vorfällen ermöglichen.

Ein solcher unmittelbarer Zugang kann insbesondere dann gewährleistet werden, wenn die Meldungen von Zwischenfällen ohne unnötige Verzögerung an das CSIRT, die zuständige Behörde oder den einheitlichen Ansprechpartner gemäß dieser Richtlinie weitergeleitet werden. Gegebenenfalls sollten die Mitgliedstaaten ein automatisches und direktes Meldeverfahren einrichten, das einen systematischen und sofortigen Informationsaustausch mit den CSIRT, den zuständigen Behörden oder den einheitlichen Ansprechpartnern über die Bearbeitung solcher Zwischenfallmeldungen gewährleistet. Zur Vereinfachung der Meldung und zur Umsetzung des automatischen und direkten Meldemechanismus könnten die Mitgliedstaaten im Einklang mit dem sektorspezifischen Rechtsakt der Union eine einzige Anlaufstelle verwenden.

(25) Sektorspezifische Rechtsakte der Union, die Maßnahmen für das Risikomanagement im Bereich der Cybersicherheit oder Meldepflichten vorsehen, die in ihrer Wirkung den in dieser Richtlinie festgelegten zumindest gleichwertig sind, könnten vorsehen, dass die nach diesen Rechtsakten zuständigen Behörden ihre Aufsichts- und Durchsetzungsbefugnisse in Bezug auf diese Maßnahmen oder Pflichten mit Unterstützung der nach dieser Richtlinie zuständigen Behörden ausüben.

Die betroffenen zuständigen Behörden könnten zu diesem Zweck Kooperationsvereinbarungen treffen. In solchen Kooperationsvereinbarungen könnten unter anderem die Verfahren für die Koordinierung der Aufsichtstätigkeiten, einschließlich der Verfahren für Ermittlungen und Prüfungen vor Ort im Einklang mit dem nationalen Recht, und ein Mechanismus für den Austausch einschlägiger Informationen über die Beaufsichtigung und Durchsetzung zwischen den zuständigen Behörden, einschließlich des Zugangs zu cyberbezogenen Informationen, die von den zuständigen Behörden gemäß dieser Richtlinie angefordert werden, festgelegt werden.

(26) In den Fällen, in denen sektorspezifische Rechtsakte der Union die Meldung erheblicher Cyber-Bedrohungen vorschreiben oder Anreize dafür bieten, sollten die Mitgliedstaaten auch die Weitergabe erheblicher Cyber-Bedrohungen an die CSIRTs, die zuständigen Behörden oder die einheitlichen Ansprechpartner im Rahmen dieser Richtlinie fördern, um sicherzustellen, dass diese Stellen besser über die Cyber-Bedrohungslage informiert sind und in der Lage sind, wirksam und rechtzeitig zu reagieren, wenn die erheblichen Cyber-Bedrohungen eintreten.

(27) Künftige sektorspezifische Rechtsakte der Union sollten den Definitionen und dem in dieser Richtlinie festgelegten Aufsichts- und Durchsetzungsrahmen gebührend Rechnung tragen.

(28) Die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates (10) sollte als sektorspezifischer Rechtsakt der Union in Bezug auf diese Richtlinie in Bezug auf Finanzunternehmen betrachtet werden. Die Bestimmungen der Verordnung (EU) Nr. 2022/2554 über das Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT), das Management von IKT-bezogenen Vorfällen und insbesondere die Meldung größerer IKT-bezogener Vorfälle sowie über die Prüfung der digitalen operationellen Belastbarkeit, Vereinbarungen über den Informationsaustausch und das IKT-Drittrisiko sollten anstelle der in dieser Richtlinie vorgesehenen Bestimmungen gelten. Die Mitgliedstaaten sollten daher die Bestimmungen dieser Richtlinie über Risikomanagement und Meldepflichten im Bereich der Cybersicherheit sowie über Aufsicht und Durchsetzung nicht auf Finanzunternehmen anwenden, die unter die Verordnung (EU) 2022/2554 fallen. Gleichzeitig ist es wichtig, eine enge Beziehung und den Informationsaustausch mit dem Finanzsektor im Rahmen dieser Richtlinie aufrechtzuerhalten.

Zu diesem Zweck gestattet die Verordnung (EU) 2022/2554 den Europäischen Finanzaufsichtsbehörden (ESA) und den zuständigen Behörden im Rahmen dieser Verordnung, sich an den Tätigkeiten der Kooperationsgruppe zu beteiligen und Informationen auszutauschen und mit den einheitlichen Ansprechpartnern sowie mit den CSIRT und den zuständigen Behörden im Rahmen dieser Richtlinie zusammenzuarbeiten. Die zuständigen Behörden im Sinne der Verordnung (EU) 2022/2554 sollten den CSIRTs, den zuständigen Behörden oder den einheitlichen Ansprechpartnern im Sinne dieser Richtlinie auch Einzelheiten zu größeren IKT-bezogenen Vorfällen und gegebenenfalls zu erheblichen Cyber-Bedrohungen übermitteln. Dies lässt sich dadurch erreichen, dass sie sofortigen Zugang zu den Meldungen über Vorfälle gewähren und diese entweder direkt oder über eine zentrale Anlaufstelle weiterleiten. Darüber hinaus sollten die Mitgliedstaaten den Finanzsektor weiterhin in ihre Cybersicherheitsstrategien einbeziehen, und die CSIRTs können den Finanzsektor in ihre Tätigkeiten einbeziehen.

(29) Um Lücken oder Überschneidungen bei den Cybersicherheitsverpflichtungen, die den Stellen im Luftfahrtsektor auferlegt werden, zu vermeiden, sollten die nationalen Behörden im Rahmen der Verordnungen (EG) Nr. 300/2008 und (EU) 2018/1139 des Europäischen Parlaments und des Rates und die zuständigen Behörden im Rahmen dieser Richtlinie in Bezug auf die Durchführung von Maßnahmen des Cybersicherheitsrisikomanagements und die Überwachung der Einhaltung dieser Maßnahmen auf nationaler Ebene zusammenarbeiten. Die Einhaltung der in den Verordnungen (EG) Nr. 300/2008 und (EU) 2018/1139 sowie in den gemäß diesen Verordnungen erlassenen einschlägigen delegierten Rechtsakten und Durchführungsrechtsakten festgelegten Sicherheitsanforderungen durch eine Einrichtung könnte von den gemäß dieser Richtlinie zuständigen Behörden als Einhaltung der entsprechenden Anforderungen dieser Richtlinie betrachtet werden.

(30) Angesichts der Verflechtungen zwischen der Cybersicherheit und der physischen Sicherheit von Einrichtungen sollte ein kohärenter Ansatz zwischen der Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates und der vorliegenden Richtlinie sichergestellt werden. Um dies zu erreichen, sollten Einrichtungen, die gemäß der Richtlinie (EU) 2022/2557 als kritische Einrichtungen eingestuft sind, als wesentliche Einrichtungen im Sinne der vorliegenden Richtlinie betrachtet werden.

Außerdem sollte jeder Mitgliedstaat sicherstellen, dass seine nationale Strategie für CybersicherheitNationale Cybersicherheitsstrategie Bezeichnet einen kohärenten Rahmen eines Mitgliedstaats, der strategische Ziele und Prioritäten im Bereich der Cybersicherheit sowie die Governance zu deren Erreichung in diesem Mitgliedstaat vorsieht. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) sieht einen politischen Rahmen für eine verstärkte Koordinierung innerhalb dieses Mitgliedstaats zwischen den zuständigen Behörden gemäß dieser Richtlinie und den Behörden gemäß der Richtlinie (EU) 2022/2557 im Zusammenhang mit dem Informationsaustausch über Risiken, Cyber-Bedrohungen und -Vorfälle sowie über Nicht-Cyber-Risiken, -Bedrohungen und -Vorfälle und die Wahrnehmung von Aufsichtsaufgaben vor. Die gemäß dieser Richtlinie und die gemäß der Richtlinie (EU) 2022/2557 zuständigen Behörden sollten zusammenarbeiten und unverzüglich Informationen austauschen, insbesondere in Bezug auf die Ermittlung kritischer Stellen, Risiken, Cyber-Bedrohungen und -Vorfälle sowie in Bezug auf Nicht-Cyber-Risiken, -Bedrohungen und -Vorfälle, die kritische Stellen betreffen, einschließlich der von kritischen Stellen ergriffenen Cybersicherheits- und physischen Maßnahmen sowie der Ergebnisse der in Bezug auf diese Stellen durchgeführten Aufsichtstätigkeiten.

Um die Aufsichtstätigkeiten der zuständigen Behörden im Rahmen der vorliegenden Richtlinie und der zuständigen Behörden im Rahmen der Richtlinie (EU) 2022/2557 zu straffen und den Verwaltungsaufwand für die betroffenen Unternehmen so gering wie möglich zu halten, sollten sich die zuständigen Behörden außerdem bemühen, die Vorlagen für die Meldung von Vorfällen und die Aufsichtsverfahren zu harmonisieren. Gegebenenfalls sollten die gemäß der Richtlinie (EU) 2022/2557 zuständigen Behörden die gemäß der vorliegenden Richtlinie zuständigen Behörden ersuchen können, ihre Aufsichts- und Durchsetzungsbefugnisse in Bezug auf eine Einrichtung auszuüben, die gemäß der Richtlinie (EU) 2022/2557 als kritische Einrichtung eingestuft ist. Die gemäß der vorliegenden Richtlinie zuständigen Behörden und die gemäß der Richtlinie (EU) 2022/2557 zuständigen Behörden sollten zu diesem Zweck zusammenarbeiten und Informationen austauschen, und zwar möglichst in Echtzeit.

(31) Einrichtungen, die dem Sektor der digitalen Infrastruktur angehören, stützen sich im Wesentlichen auf Netz- und Informationssysteme, und daher sollten die diesen Einrichtungen gemäß dieser Richtlinie auferlegten Verpflichtungen die physische Sicherheit solcher Systeme als Teil ihrer Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit und ihrer Berichterstattungspflichten umfassend behandeln. Da diese Fragen von der vorliegenden Richtlinie abgedeckt werden, gelten die in den Kapiteln III, IV und VI der Richtlinie (EU) 2022/2557 festgelegten Verpflichtungen nicht für diese Einrichtungen.

(32) Die Aufrechterhaltung und der Erhalt eines zuverlässigen, widerstandsfähigen und sicheren Domänennamensystems (DNS) sind Schlüsselfaktoren für die Aufrechterhaltung der Integrität des Internets und von wesentlicher Bedeutung für seinen kontinuierlichen und stabilen Betrieb, von dem die digitale Wirtschaft und Gesellschaft abhängen. Daher sollte diese Richtlinie für TLD-Register und DNS-Diensteanbieter gelten, die als Einrichtungen zu verstehen sind, die öffentlich zugängliche rekursive Domänennamensauflösungsdienste für Internet-Endnutzer oder maßgebliche Domänennamensauflösungsdienste für die Nutzung durch Dritte anbieten. Diese Richtlinie sollte nicht für Root-Name-Server gelten.

(33) Cloud-Computing-Dienste sollten digitale Dienste umfassen, die eine bedarfsgerechte Verwaltung und einen umfassenden Fernzugriff auf einen skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglichen, auch wenn diese Ressourcen über mehrere Standorte verteilt sind. Zu den Rechenressourcen gehören Ressourcen wie Netze, Server oder andere Infrastrukturen, Betriebssysteme, Software, Speicher, Anwendungen und Dienste. Zu den Dienstmodellen des Cloud Computing gehören u. a. Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS) und Network as a Service (NaaS).

Die Einsatzmodelle des Cloud Computing sollten private, gemeinschaftliche, öffentliche und hybride Clouds umfassen. Die Cloud-Computing-DienstCloud Computing-Dienst Bezeichnet einen digitalen Dienst, der eine bedarfsgerechte Verwaltung und einen umfassenden Fernzugriff auf einen skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen über mehrere Standorte verteilt sind. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) und Bereitstellungsmodelle haben die gleiche Bedeutung wie die in ISO/IEC 17788:2014 definierten Begriffe für Dienste und Bereitstellungsmodelle StandardStandard Eine technische Spezifikation, die von einem anerkannten Normungsgremium zur wiederholten oder ständigen Anwendung angenommen wurde, deren Einhaltung nicht zwingend vorgeschrieben ist und bei der es sich um eine der folgenden Normen handelt: (a) "internationale Norm" eine Norm, die von einem internationalen Normungsgremium angenommen wurde; b) "europäische Norm" eine Norm, die von einer europäischen Normungsorganisation angenommen wurde; c) "harmonisierte Norm" eine europäische Norm, die auf der Grundlage eines Antrags der Kommission auf Anwendung der Harmonisierungsrechtsvorschriften der Union angenommen wurde; d) "nationale Norm" eine Norm, die von einem nationalen Normungsgremium angenommen wurde - Definition gemäß Artikel 2 Nummer 1 der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates.. Die Fähigkeit des Cloud-Computing-Nutzers, Rechenkapazitäten wie Serverzeit oder Netzwerkspeicher einseitig selbst bereitzustellen, ohne dass der Anbieter des Cloud-Computing-Dienstes eingreifen muss, könnte als On-Demand-Verwaltung bezeichnet werden.

Der Begriff "breiter Fernzugriff" wird verwendet, um zu beschreiben, dass die Cloud-Funktionen über das Netz bereitgestellt werden und der Zugriff über Mechanismen erfolgt, die die Nutzung heterogener Thin- oder Thick-Client-Plattformen, einschließlich Mobiltelefonen, Tablets, Laptops und Workstations, fördern. Der Begriff "skalierbar" bezieht sich auf Rechenressourcen, die vom Cloud-Dienstanbieter unabhängig vom geografischen Standort der Ressourcen flexibel zugewiesen werden, um Nachfrageschwankungen zu bewältigen.

Der Begriff "elastischer Pool" wird verwendet, um Rechenressourcen zu beschreiben, die je nach Bedarf bereitgestellt und freigegeben werden, um die verfügbaren Ressourcen je nach Arbeitsbelastung schnell zu erhöhen oder zu verringern. Der Begriff "gemeinsam nutzbar" wird verwendet, um Rechenressourcen zu beschreiben, die mehreren Nutzern zur Verfügung gestellt werden, die einen gemeinsamen Zugang zu dem Dienst haben, wobei die Verarbeitung jedoch für jeden Nutzer getrennt erfolgt, obwohl der Dienst von denselben elektronischen Geräten aus erbracht wird. Der Begriff "verteilt" wird verwendet, um Rechenressourcen zu beschreiben, die sich auf verschiedenen vernetzten Computern oder Geräten befinden und die untereinander durch Nachrichtenübermittlung kommunizieren und koordinieren.

(34) Angesichts des Aufkommens innovativer Technologien und neuer Geschäftsmodelle ist damit zu rechnen, dass auf dem Binnenmarkt neue Cloud-Computing-Dienste und -Bereitstellungsmodelle entstehen, die den sich wandelnden Kundenbedürfnissen Rechnung tragen. In diesem Zusammenhang können Cloud-Computing-Dienste in hochgradig verteilter Form erbracht werden, und zwar noch näher an dem Ort, an dem die Daten erzeugt oder gesammelt werden, so dass das traditionelle Modell durch ein hochgradig verteiltes Modell ersetzt wird (Edge Computing).

(35) Dienstleistungen, die von RechenzentrumsdienstDienst des Datenzentrums bezeichnet einen Dienst, der Strukturen oder Gruppen von Strukturen umfasst, die der zentralen Unterbringung, der Zusammenschaltung und dem Betrieb von IT- und Netzwerkausrüstungen dienen, die Datenspeicherungs-, -verarbeitungs- und -transportdienste erbringen, sowie alle Einrichtungen und Infrastrukturen für die Stromverteilung und Umgebungskontrolle. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Anbieter nicht immer in Form eines Cloud-Computing-Dienstes bereitgestellt werden. Dementsprechend stellen Rechenzentren nicht immer einen Teil der Cloud-Computing-Infrastruktur dar. Um alle Risiken für die Sicherheit von Netz- und Informationssystemen zu beherrschen, sollte diese Richtlinie daher auch für Anbieter von Rechenzentrumsdiensten gelten, die keine Cloud-Computing-Dienste sind.

Für die Zwecke dieser Richtlinie sollte der Begriff "Rechenzentrumsdienst" die Erbringung eines Dienstes umfassen, der Strukturen oder Gruppen von Strukturen umfasst, die für die zentrale Unterbringung, die Zusammenschaltung und den Betrieb von Informationstechnologie (IT) und Netzausrüstungen, die Datenspeicherungs-, -verarbeitungs- und -transportdienste erbringen, sowie alle Einrichtungen und Infrastrukturen für die Stromverteilung und die Umgebungskontrolle bestimmt sind. Der Begriff "Rechenzentrumsdienst" sollte nicht für unternehmensinterne Rechenzentren gelten, die sich im Besitz der betreffenden Einrichtung befinden und von dieser für ihre eigenen Zwecke betrieben werden.

(36) Forschungstätigkeiten spielen eine Schlüsselrolle bei der Entwicklung neuer Produkte und Verfahren. Viele dieser Tätigkeiten werden von Einrichtungen durchgeführt, die ihre Forschungsergebnisse weitergeben, verbreiten oder zu kommerziellen Zwecken nutzen. Diese Einrichtungen können daher wichtige Akteure in Wertschöpfungsketten sein, so dass die Sicherheit ihrer Netz- und Informationssysteme ein wesentlicher Bestandteil der allgemeinen Cybersicherheit des Binnenmarktes ist.

Unter Forschungseinrichtungen sind Einrichtungen zu verstehen, die den wesentlichen Teil ihrer Tätigkeiten auf die Durchführung von angewandter Forschung oder experimenteller Entwicklung im Sinne des Frascati-Handbuchs 2015 der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung konzentrieren: Guidelines for Collecting and Reporting Data on Research and Experimental Development" der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) konzentrieren, um ihre Ergebnisse für kommerzielle Zwecke zu nutzen, z. B. für die Herstellung oder Entwicklung eines Produkts oder Verfahrens, die Erbringung einer Dienstleistung oder deren Vermarktung.

(37) Die zunehmenden Interdependenzen sind das Ergebnis eines zunehmend grenzüberschreitenden und voneinander abhängigen Netzes der Erbringung von Dienstleistungen unter Nutzung von Schlüsselinfrastrukturen in der gesamten Union in Bereichen wie Energie, Verkehr, digitale Infrastruktur, Trinkwasser und Abwasser, Gesundheit, bestimmte Aspekte der öffentlichen Verwaltung sowie Raumfahrt, soweit es um die Erbringung bestimmter Dienstleistungen geht, die von bodengestützten Infrastrukturen abhängen, die entweder Eigentum der Mitgliedstaaten oder privater Parteien sind und von diesen verwaltet und betrieben werden, so dass Infrastrukturen, die Eigentum der Union sind und von dieser oder in ihrem Namen im Rahmen ihres Raumfahrtprogramms verwaltet oder betrieben werden, nicht erfasst werden.

Diese wechselseitigen Abhängigkeiten bedeuten, dass jede Störung, selbst wenn sie zunächst auf eine Einrichtung oder einen Sektor beschränkt ist, kaskadenartige Auswirkungen auf breiterer Ebene haben kann, was zu weitreichenden und lang anhaltenden negativen Folgen für die Erbringung von Dienstleistungen im gesamten Binnenmarkt führen kann. Die verstärkten Cyberangriffe während der COVID-19-Pandemie haben gezeigt, wie verwundbar die zunehmend voneinander abhängigen Gesellschaften angesichts der geringen Wahrscheinlichkeit von Risiken sind.

(38) In Anbetracht der unterschiedlichen nationalen Governance-Strukturen und um bereits bestehende sektorale Regelungen oder Aufsichts- und Regulierungsstellen der Union zu schützen, sollten die Mitgliedstaaten eine oder mehrere für die Cybersicherheit und für die Aufsichtsaufgaben im Rahmen dieser Richtlinie zuständige Behörden benennen oder einrichten können.

(39) Um die grenzüberschreitende Zusammenarbeit und Kommunikation zwischen den Behörden zu erleichtern und eine wirksame Umsetzung dieser Richtlinie zu ermöglichen, muss jeder Mitgliedstaat eine einzige Kontaktstelle benennen, die für die Koordinierung von Fragen der Sicherheit von Netz- und Informationssystemen und der grenzüberschreitenden Zusammenarbeit auf Unionsebene zuständig ist.

(40) Die einheitlichen Ansprechpartner sollten eine wirksame grenzüberschreitende Zusammenarbeit mit den zuständigen Behörden anderer Mitgliedstaaten und gegebenenfalls mit der Kommission und der ENISA gewährleisten. Die einheitlichen Ansprechpartner sollten daher die Aufgabe haben, Meldungen über erhebliche Vorfälle mit grenzüberschreitenden Auswirkungen auf Ersuchen des CSIRT oder der zuständigen Behörde an die einheitlichen Ansprechpartner anderer betroffener Mitgliedstaaten weiterzuleiten. Auf nationaler Ebene sollten die einheitlichen Ansprechpartner eine reibungslose sektorübergreifende Zusammenarbeit mit anderen zuständigen Behörden ermöglichen. Die einheitlichen Ansprechpartner könnten auch die Adressaten relevanter Informationen über Vorfälle sein, die Finanzunternehmen betreffen, die von den zuständigen Behörden gemäß der Verordnung (EU) 2022/2554 übermittelt werden und die sie gegebenenfalls an die CSIRTs oder die zuständigen Behörden gemäß dieser Richtlinie weiterleiten können.

(41) Die Mitgliedstaaten sollten sowohl in technischer als auch in organisatorischer Hinsicht angemessen ausgestattet sein, um Vorfälle und Risiken zu verhindern, aufzudecken, darauf zu reagieren und sie zu mindern. Die Mitgliedstaaten sollten daher im Rahmen dieser Richtlinie ein oder mehrere CSIRTs einrichten oder benennen und sicherstellen, dass diese über angemessene Ressourcen und technische Fähigkeiten verfügen. Die CSIRTs sollten die in dieser Richtlinie festgelegten Anforderungen erfüllen, um wirksame und kompatible Fähigkeiten zur Bewältigung von Vorfällen und Risiken zu gewährleisten und eine effiziente Zusammenarbeit auf Unionsebene sicherzustellen.

Die Mitgliedstaaten sollten die Möglichkeit haben, bestehende Computer-Notfallteams (CERTs) als CSIRTs zu benennen. Um das Vertrauensverhältnis zwischen den Stellen und den CSIRTs zu stärken, sollten die Mitgliedstaaten in den Fällen, in denen ein CSIRT Teil einer zuständigen Behörde ist, eine funktionale Trennung zwischen den operativen Aufgaben der CSIRTs, insbesondere in Bezug auf den Informationsaustausch und die Unterstützung der Stellen, und den Aufsichtstätigkeiten der zuständigen Behörden in Betracht ziehen können.

(42) Die CSIRTs haben folgende Aufgaben EreignisbehandlungBehandlung von Vorfällen Bezeichnet alle Maßnahmen und Verfahren, die darauf abzielen, einen Vorfall zu verhindern, zu entdecken, zu analysieren und einzudämmen oder auf einen Vorfall zu reagieren und sich davon zu erholen. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie). Dazu gehört auch die Verarbeitung großer Mengen von mitunter sensiblen Daten. Die Mitgliedstaaten sollten sicherstellen, dass die CSIRTs über eine Infrastruktur für den Informationsaustausch und die Informationsverarbeitung sowie über gut ausgestattetes Personal verfügen, das die Vertraulichkeit und Vertrauenswürdigkeit ihrer Tätigkeit gewährleistet. Die CSIRTs könnten in dieser Hinsicht auch Verhaltenskodizes verabschieden.

(43) In Bezug auf personenbezogene Daten sollten die CSIRTs in der Lage sein, im Einklang mit der Verordnung (EU) 2016/679 auf Ersuchen einer wesentlichen oder wichtigen Einrichtung eine proaktive Durchsuchung des Netzes und der Informationssysteme, die für die Erbringung der Dienste der Einrichtung verwendet werden, durchzuführen. Gegebenenfalls sollten die Mitgliedstaaten anstreben, für alle sektoralen CSIRTs ein gleiches Niveau an technischen Fähigkeiten zu gewährleisten. Die Mitgliedstaaten sollten die Möglichkeit haben, die ENISA um Unterstützung bei der Entwicklung ihrer CSIRTs zu ersuchen.

(44) Die CSIRTs sollten in der Lage sein, auf Ersuchen einer wesentlichen oder wichtigen Einrichtung die dem Internet zugewandten Anlagen der Einrichtung sowohl innerhalb als auch außerhalb ihrer Räumlichkeiten zu überwachen, um die allgemeinen organisatorischen Risiken der Einrichtung in Bezug auf neu festgestellte Kompromittierungen der Lieferkette oder kritische Schwachstellen zu ermitteln, zu verstehen und zu bewältigen. Die Stelle sollte ermutigt werden, dem CSIRT mitzuteilen, ob sie eine Schnittstelle zur Verwaltung von Privilegien betreibt, da dies die Geschwindigkeit der Durchführung von Abhilfemaßnahmen beeinflussen könnte.

(45) Angesichts der Bedeutung der internationalen Zusammenarbeit im Bereich der Cybersicherheit sollten die CSIRT die Möglichkeit haben, sich zusätzlich zu dem durch diese Richtlinie eingerichteten CSIRT-Netz an internationalen Kooperationsnetzen zu beteiligen. Daher sollten die CSIRTs und die zuständigen Behörden zur Erfüllung ihrer Aufgaben Informationen, einschließlich personenbezogener Daten, mit den nationalen Teams für die Reaktion auf Computersicherheitsvorfälle oder den zuständigen Behörden von Drittländern austauschen können, sofern die Bedingungen des Datenschutzrechts der Union für die Übermittlung personenbezogener Daten an Drittländer, unter anderem die Bedingungen von Artikel 49 der Verordnung (EU) 2016/679, erfüllt sind.

(46) Um die Ziele dieser Richtlinie zu erreichen und die zuständigen Behörden und die CSIRTs in die Lage zu versetzen, die in dieser Richtlinie festgelegten Aufgaben zu erfüllen, müssen angemessene Ressourcen sichergestellt werden. Die Mitgliedstaaten können auf nationaler Ebene einen Finanzierungsmechanismus einführen, um die notwendigen Ausgaben im Zusammenhang mit der Wahrnehmung der Aufgaben der für die Cybersicherheit in dem betreffenden Mitgliedstaat zuständigen öffentlichen Stellen gemäß dieser Richtlinie zu decken. Ein solcher Mechanismus sollte mit dem Unionsrecht im Einklang stehen, verhältnismäßig und nicht diskriminierend sein und unterschiedlichen Ansätzen für die Bereitstellung sicherer Dienste Rechnung tragen.

(47) Das CSIRT-Netz sollte weiterhin zur Stärkung von Vertrauen und Zuversicht beitragen und eine rasche und wirksame operative Zusammenarbeit zwischen den Mitgliedstaaten fördern. Um die operative Zusammenarbeit auf Unionsebene zu verbessern, sollte das CSIRT-Netz in Erwägung ziehen, an der Cybersicherheitspolitik beteiligte Einrichtungen und Agenturen der Union, wie Europol, zur Teilnahme an seiner Arbeit einzuladen.

(48) Um ein hohes Maß an Cybersicherheit zu erreichen und aufrechtzuerhalten, sollten die in dieser Richtlinie geforderten nationalen Cybersicherheitsstrategien aus kohärenten Rahmen bestehen, die strategische Ziele und Prioritäten im Bereich der Cybersicherheit sowie die zu ihrer Verwirklichung erforderliche Governance enthalten. Diese Strategien können sich aus einem oder mehreren legislativen oder nichtlegislativen Instrumenten zusammensetzen.

(49) Cyber-Hygienemaßnahmen bilden die Grundlage für den Schutz Netzwerk und InformationssystemNetzwerk und Informationssystem (a) ein elektronisches Kommunikationsnetz im Sinne von Artikel 2 Nummer 1 der Richtlinie (EU) 2018/1972; b) ein Gerät oder eine Gruppe miteinander verbundener oder zusammenhängender Geräte, von denen eines oder mehrere nach einem Programm eine automatische Verarbeitung digitaler Daten durchführen; oder c) digitale Daten, die von den unter den Buchstaben a und b erfassten Elementen zum Zwecke ihres Betriebs, ihrer Nutzung, ihres Schutzes und ihrer Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden; - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Infrastrukturen, Hardware, Software und Online-Anwendungssicherheit sowie Geschäfts- oder Endnutzerdaten, auf die sich Unternehmen verlassen. Cyber-Hygienestrategien, die ein gemeinsames Grundgerüst von Praktiken umfassen, darunter Software- und Hardware-Updates, Passwortänderungen, die Verwaltung neuer Installationen, die Beschränkung von Zugangskonten auf Administratorebene und die Sicherung von Daten, ermöglichen einen proaktiven Rahmen für die Bereitschaft und die allgemeine Sicherheit im Falle von Zwischenfällen oder Cyber-Bedrohungen. Die ENISA sollte die Cyberhygiene-Strategien der Mitgliedstaaten überwachen und analysieren.

(50) Das Bewusstsein für die Cybersicherheit und die Cyberhygiene sind von entscheidender Bedeutung für die Verbesserung des Niveaus der Cybersicherheit in der Union, insbesondere in Anbetracht der wachsenden Zahl vernetzter Geräte, die zunehmend für Cyberangriffe genutzt werden. Es sollten Anstrengungen unternommen werden, um das allgemeine Bewusstsein für Risiken im Zusammenhang mit solchen Geräten zu schärfen, während Bewertungen auf Unionsebene dazu beitragen könnten, ein gemeinsames Verständnis solcher Risiken im Binnenmarkt zu gewährleisten.

(51) Die Mitgliedstaaten sollten den Einsatz innovativer Technologien, einschließlich künstlicher Intelligenz, fördern, deren Einsatz die Aufdeckung und Verhütung von Cyberangriffen verbessern könnte, so dass die Ressourcen wirksamer gegen Cyberangriffe eingesetzt werden können. Die Mitgliedstaaten sollten daher im Rahmen ihrer nationalen Cybersicherheitsstrategie Forschungs- und Entwicklungsmaßnahmen fördern, die den Einsatz solcher Technologien erleichtern, insbesondere solcher, die sich auf automatisierte oder halbautomatisierte Instrumente der Cybersicherheit beziehen, sowie gegebenenfalls die gemeinsame Nutzung von Daten, die für die Schulung der Nutzer solcher Technologien und für deren Verbesserung erforderlich sind.

Der Einsatz innovativer Technologien, einschließlich künstlicher Intelligenz, sollte im Einklang mit dem Datenschutzrecht der Union stehen, einschließlich der Datenschutzgrundsätze der Datenrichtigkeit, der Datenminimierung, der Verarbeitung nach Treu und Glauben und der Datensicherheit, z. B. durch modernste Verschlüsselung. Die Anforderungen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen gemäß der Verordnung (EU) 2016/679 sollten voll ausgeschöpft werden.

(52) Open-Source-Cybersicherheits-Tools und -Anwendungen können zu einem höheren Grad an Offenheit beitragen und sich positiv auf die Effizienz der industriellen Innovation auswirken. Offene Standards erleichtern die Interoperabilität zwischen Sicherheitswerkzeugen, was der Sicherheit der industriellen Akteure zugute kommt. Open-Source-Cybersicherheits-Tools und -Anwendungen können von einer größeren Entwicklergemeinschaft genutzt werden und ermöglichen eine Diversifizierung der Anbieter. Open Source kann zu einem transparenteren Überprüfungsprozess von Cybersicherheitswerkzeugen und zu einem von der Gemeinschaft gesteuerten Prozess der Entdeckung von Schwachstellen führen.

Die Mitgliedstaaten sollten daher in der Lage sein, die Verwendung von quelloffener Software und offenen Standards zu fördern, indem sie Maßnahmen zur Nutzung offener Daten und quelloffener Software als Teil der Sicherheit durch Transparenz verfolgen. Maßnahmen zur Förderung der Einführung und nachhaltigen Nutzung von quelloffenen Cybersicherheitswerkzeugen sind für kleine und mittlere Unternehmen von besonderer Bedeutung, die mit erheblichen Implementierungskosten konfrontiert sind, die durch die Verringerung des Bedarfs an spezifischen Anwendungen oder Werkzeugen minimiert werden könnten.

(53) Versorgungsunternehmen werden in den Städten zunehmend an digitale Netze angeschlossen, um die städtischen Verkehrsnetze zu verbessern, die Wasserversorgung und die Abfallentsorgung zu modernisieren und die Effizienz der Beleuchtung und Heizung von Gebäuden zu steigern. Diese digitalisierten Versorgungsunternehmen sind anfällig für Cyberangriffe und laufen im Falle eines erfolgreichen Cyberangriffs Gefahr, die Bürger aufgrund ihrer Vernetzung in großem Umfang zu schädigen. Die Mitgliedstaaten sollten eine Politik entwickeln, die die Entwicklung solcher vernetzten oder intelligenten Städte und ihre potenziellen Auswirkungen auf die Gesellschaft als Teil ihrer nationalen Cybersicherheitsstrategie behandelt.

(54) In den letzten Jahren war die Union mit einer exponentiellen Zunahme von Ransomware-Angriffen konfrontiert, bei denen Malware Daten und Systeme verschlüsselt und für die Freigabe ein Lösegeld verlangt. Die zunehmende Häufigkeit und Schwere von Ransomware-Angriffen lässt sich auf verschiedene Faktoren zurückführen, z. B. auf unterschiedliche Angriffsmuster, kriminelle Geschäftsmodelle im Zusammenhang mit "Ransomware als Dienstleistung" und Kryptowährungen, Lösegeldforderungen und die Zunahme von Angriffen über die Lieferkette. Die Mitgliedstaaten sollten im Rahmen ihrer nationalen Cybersicherheitsstrategie eine Politik entwickeln, die sich mit der Zunahme von Ransomware-Angriffen befasst.

(55) Öffentlich-private Partnerschaften (ÖPP) im Bereich der Cybersicherheit können einen geeigneten Rahmen für den Wissensaustausch, die gemeinsame Nutzung bewährter Verfahren und die Schaffung einer gemeinsamen Verständigungsebene zwischen den Beteiligten bieten. Die Mitgliedstaaten sollten politische Maßnahmen fördern, die die Einrichtung von Cybersicherheits-ÖPPs unterstützen.

In diesen Strategien sollten u. a. der Anwendungsbereich und die beteiligten Akteure, das Verwaltungsmodell, die verfügbaren Finanzierungsoptionen und die Interaktion zwischen den beteiligten Akteuren im Hinblick auf ÖPPs geklärt werden. ÖPPs können das Fachwissen privater Stellen nutzen, um die zuständigen Behörden bei der Entwicklung von Diensten und Verfahren auf dem neuesten Stand der Technik zu unterstützen, darunter Informationsaustausch, Frühwarnungen, Übungen zu Cyberbedrohungen und -vorfällen, Krisenmanagement und Resilienzplanung.

(56) Die Mitgliedstaaten sollten in ihren nationalen Cybersicherheitsstrategien auf die besonderen Cybersicherheitsbedürfnisse kleiner und mittlerer Unternehmen eingehen. Kleine und mittlere Unternehmen machen unionsweit einen großen Prozentsatz des Industrie- und Geschäftsmarkts aus und haben oft Schwierigkeiten, sich an neue Geschäftspraktiken in einer stärker vernetzten Welt und an das digitale Umfeld anzupassen, in dem Mitarbeiter von zu Hause aus arbeiten und Geschäfte zunehmend online abgewickelt werden.

Einige kleine und mittlere Unternehmen stehen vor besonderen Herausforderungen im Bereich der Cybersicherheit, wie z. B. geringes Cyber-Bewusstsein, fehlende IT-Sicherheit aus der Ferne, hohe Kosten für Cybersicherheitslösungen und ein erhöhtes Maß an Bedrohungen, wie z. B. Ransomware, für die sie Anleitung und Unterstützung erhalten sollten. Kleine und mittlere Unternehmen werden zunehmend zur Zielscheibe von Angriffen auf die Lieferkette, da sie weniger strenge Maßnahmen für das Risikomanagement im Bereich der Cybersicherheit und das Angriffsmanagement ergreifen und nur über begrenzte Sicherheitsressourcen verfügen.

Solche Angriffe auf die Lieferkette wirken sich nicht nur auf kleine und mittlere Unternehmen und deren Betrieb aus, sondern können auch eine Kaskadenwirkung auf größere Angriffe auf Unternehmen haben, die von ihnen beliefert werden. Die Mitgliedstaaten sollten im Rahmen ihrer nationalen Cybersicherheitsstrategien kleine und mittlere Unternehmen dabei unterstützen, die Herausforderungen in ihren Lieferketten zu bewältigen.

Die Mitgliedstaaten sollten auf nationaler oder regionaler Ebene eine Kontaktstelle für kleine und mittlere Unternehmen einrichten, die entweder kleine und mittlere Unternehmen berät und unterstützt oder sie an die entsprechenden Stellen verweist, die sie in Fragen der Cybersicherheit beraten und unterstützen. Die Mitgliedstaaten werden außerdem ermutigt, Kleinst- und Kleinunternehmen, die nicht über diese Fähigkeiten verfügen, Dienste wie die Konfiguration von Websites und die Protokollierung anzubieten.

(57) Als Teil ihrer nationalen Cybersicherheitsstrategien sollten die Mitgliedstaaten Maßnahmen zur Förderung eines aktiven Cyberschutzes als Teil einer umfassenderen Verteidigungsstrategie ergreifen. Anstatt reaktiv zu reagieren, besteht aktiver Cyberschutz in der Verhütung, Erkennung, Überwachung, Analyse und Abschwächung von Verletzungen der Netzsicherheit auf aktive Weise, kombiniert mit dem Einsatz von Fähigkeiten innerhalb und außerhalb des Opfernetzes.

Dazu könnte gehören, dass die Mitgliedstaaten bestimmten Einrichtungen kostenlose Dienste oder Instrumente anbieten, darunter Selbstbedienungsprüfungen, Erkennungsinstrumente und Dienste zur Beseitigung von Angriffen. Die Fähigkeit, Bedrohungsinformationen und -analysen, Warnmeldungen zu Cyberaktivitäten und Reaktionsmaßnahmen schnell und automatisch auszutauschen und zu verstehen, ist von entscheidender Bedeutung, um Angriffe auf Netz- und Informationssysteme mit vereinten Kräften erfolgreich zu verhindern, zu erkennen, zu bekämpfen und abzuwehren. Aktiver Cyberschutz basiert auf einer defensiven Strategie, die offensive Maßnahmen ausschließt.

(58) Da die Ausnutzung von Schwachstellen in Netz- und Informationssystemen erhebliche Störungen und Schäden verursachen kann, ist die rasche Ermittlung und Behebung solcher Schwachstellen ein wichtiger Faktor für die Risikominderung. Einrichtungen, die Netz- und Informationssysteme entwickeln oder verwalten, sollten daher geeignete Verfahren für den Umgang mit Schwachstellen einrichten, wenn diese entdeckt werden. Da Schwachstellen häufig von Dritten entdeckt und offengelegt werden, sollte der Hersteller oder Anbieter von IKT-Produkten oder IKT-Dienstleistungen auch die erforderlichen Verfahren einrichten, um Informationen über Schwachstellen von Dritten zu erhalten.

In diesem Zusammenhang bieten die internationalen Normen ISO/IEC 30111 und ISO/IEC 29147 Leitlinien für den Umgang mit Sicherheitslücken und die Offenlegung von Sicherheitslücken. Eine stärkere Koordinierung zwischen den meldenden natürlichen und juristischen Personen und den Herstellern oder Anbietern von IKT-Produkten oder IKT-Dienstleistungen ist besonders wichtig, um den freiwilligen Rahmen für die Offenlegung von Sicherheitslücken zu erleichtern.

Die koordinierte Offenlegung von Schwachstellen legt einen strukturierten Prozess fest, durch den Schwachstellen dem Hersteller oder Anbieter der potenziell gefährdeten IKT-Produkte oder IKT-Dienstleistungen in einer Weise gemeldet werden, die es ihm ermöglicht, die Schwachstelle zu diagnostizieren und zu beheben, bevor detaillierte Informationen über die Schwachstelle an Dritte oder an die Öffentlichkeit weitergegeben werden. Die koordinierte Offenlegung von Schwachstellen sollte auch eine Koordinierung zwischen der meldenden natürlichen oder juristischen Person und dem Hersteller oder Anbieter der potenziell gefährdeten IKT-Produkte oder IKT-Dienstleistungen in Bezug auf den Zeitplan für die Behebung und Veröffentlichung von Schwachstellen umfassen.

(59) Die Kommission, die ENISA und die Mitgliedstaaten sollten weiterhin die Angleichung an internationale Normen und bestehende bewährte Praktiken der Branche im Bereich des Cybersicherheitsrisikomanagements fördern, beispielsweise in den Bereichen Sicherheitsbewertung der Lieferkette, Informationsaustausch und Offenlegung von Schwachstellen.

(60) Die Mitgliedstaaten sollten in Zusammenarbeit mit der ENISA Maßnahmen zur Erleichterung der koordinierten Offenlegung von Sicherheitslücken ergreifen, indem sie eine entsprechende nationale Politik festlegen. Als Teil ihrer nationalen Politik sollten die Mitgliedstaaten bestrebt sein, die Herausforderungen, denen sich die Erforscher von Sicherheitslücken gegenübersehen, einschließlich ihrer potenziellen strafrechtlichen Haftung, so weit wie möglich im Einklang mit dem nationalen Recht anzugehen. Da natürliche und juristische Personen, die Schwachstellen erforschen, in einigen Mitgliedstaaten straf- und zivilrechtlich haftbar gemacht werden könnten, werden die Mitgliedstaaten ermutigt, Leitlinien für die Nichtverfolgung von Informationssicherheitsforschern und eine Befreiung von der zivilrechtlichen Haftung für ihre Tätigkeiten zu erlassen.

(61) Die Mitgliedstaaten sollten eines ihrer CSIRTs als Koordinator benennen, der als vertrauenswürdiger Vermittler zwischen den meldenden natürlichen oder juristischen Personen und den Herstellern oder Anbietern von IKT-Produkten oder IKT-Dienstleistungen, die wahrscheinlich von der Schwachstelle betroffen sind, fungiert, sofern dies erforderlich ist.

Zu den Aufgaben des als Koordinator benannten CSIRT sollte es gehören, die betroffenen Stellen zu ermitteln und zu kontaktieren, die natürlichen oder juristischen Personen, die eine Schwachstelle melden, zu unterstützen, Fristen für die Offenlegung auszuhandeln und Schwachstellen zu verwalten, die mehrere Stellen betreffen (koordinierte Offenlegung von Schwachstellen durch mehrere Parteien). Wenn die gemeldete Schwachstelle erhebliche Auswirkungen auf Einrichtungen in mehr als einem Mitgliedstaat haben könnte, sollten die als Koordinatoren benannten CSIRTs gegebenenfalls innerhalb des CSIRT-Netzwerks zusammenarbeiten.

(62) Der Zugang zu korrekten und rechtzeitigen Informationen über Schwachstellen, die IKT-Produkte und -Dienste betreffen, trägt zu einem verbesserten Risikomanagement im Bereich der Cybersicherheit bei. Öffentlich zugängliche Informationsquellen über Schwachstellen sind ein wichtiges Instrument für die Einrichtungen und für die Nutzer ihrer Dienste, aber auch für die zuständigen Behörden und die CSIRTs. Aus diesem Grund sollte die ENISA eine europäische Schwachstellendatenbank einrichten, in der Einrichtungen, unabhängig davon, ob sie in den Anwendungsbereich dieser Richtlinie fallen, und ihre Lieferanten von Netz- und Informationssystemen sowie die zuständigen Behörden und die CSIRTs auf freiwilliger Basis öffentlich bekannte Schwachstellen offenlegen und registrieren können, damit die Nutzer geeignete Abhilfemaßnahmen ergreifen können.

Ziel dieser Datenbank ist es, die besonderen Herausforderungen zu bewältigen, die sich aus den Risiken für Einrichtungen der Union ergeben. Darüber hinaus sollte die ENISA ein geeignetes Verfahren für den Veröffentlichungsprozess einrichten, um den Einrichtungen die Zeit zu geben, Maßnahmen zur Abschwächung ihrer Schwachstellen zu ergreifen und dem Stand der Technik entsprechende Maßnahmen zum Management von Cybersicherheitsrisiken sowie maschinenlesbare Datensätze und entsprechende Schnittstellen einzusetzen. Um eine Kultur der Offenlegung von Schwachstellen zu fördern, sollte die Offenlegung keine nachteiligen Auswirkungen auf die meldende natürliche oder juristische Person haben.

(63) Zwar gibt es ähnliche Schwachstellenregister oder -datenbanken, doch werden sie von Einrichtungen betrieben und gepflegt, die nicht in der Union ansässig sind. Eine europäische Schwachstellendatenbank, die von der ENISA verwaltet wird, würde für mehr Transparenz in Bezug auf den Veröffentlichungsprozess sorgen, bevor die Schwachstelle öffentlich bekannt gemacht wird, und für mehr Ausfallsicherheit im Falle einer Störung oder Unterbrechung bei der Bereitstellung ähnlicher Dienste.

Um soweit wie möglich Doppelarbeit zu vermeiden und Komplementarität anzustreben, sollte die ENISA die Möglichkeit prüfen, strukturierte Kooperationsvereinbarungen mit ähnlichen Registern oder Datenbanken zu schließen, die unter die Rechtsprechung von Drittländern fallen. Insbesondere sollte die ENISA die Möglichkeit einer engen Zusammenarbeit mit den Betreibern des CVE-Systems (Common Vulnerabilities and Exposures) prüfen.

(64) Die Kooperationsgruppe sollte die strategische Zusammenarbeit und den Informationsaustausch unterstützen und erleichtern sowie das Vertrauen zwischen den Mitgliedstaaten stärken. Die Kooperationsgruppe sollte alle zwei Jahre ein Arbeitsprogramm aufstellen. Das Arbeitsprogramm sollte die Maßnahmen enthalten, die von der Kooperationsgruppe zur Umsetzung ihrer Ziele und Aufgaben durchzuführen sind. Der Zeitrahmen für die Erstellung des ersten Arbeitsprogramms nach dieser Richtlinie sollte an den Zeitrahmen des letzten Arbeitsprogramms nach der Richtlinie (EU) 2016/1148 angepasst werden, um mögliche Unterbrechungen der Arbeit der Kooperationsgruppe zu vermeiden.

(65) Bei der Ausarbeitung von Leitfäden sollte die Kooperationsgruppe durchgängig nationale Lösungen und Erfahrungen erfassen, die Auswirkungen der von der Kooperationsgruppe erbrachten Leistungen auf die nationalen Konzepte bewerten, Herausforderungen bei der Umsetzung erörtern und spezifische Empfehlungen formulieren, insbesondere im Hinblick auf die Erleichterung einer Angleichung der Umsetzung dieser Richtlinie in den Mitgliedstaaten, die durch eine bessere Umsetzung der bestehenden Vorschriften erreicht werden soll. Die Kooperationsgruppe könnte auch eine Übersicht über die nationalen Lösungen erstellen, um die Kompatibilität von Cybersicherheitslösungen für jeden spezifischen Sektor in der Union zu fördern. Dies ist besonders für Sektoren mit internationalem oder grenzüberschreitendem Charakter von Bedeutung.

(66) Die Kooperationsgruppe sollte ein flexibles Forum bleiben und in der Lage sein, auf veränderte und neue politische Prioritäten und Herausforderungen zu reagieren, wobei die Verfügbarkeit von Ressourcen zu berücksichtigen ist. Sie könnte regelmäßige gemeinsame Sitzungen mit relevanten privaten Akteuren aus der gesamten Union veranstalten, um die von der Kooperationsgruppe durchgeführten Aktivitäten zu erörtern und Daten und Beiträge zu neuen politischen Herausforderungen zu sammeln. Darüber hinaus sollte die Kooperationsgruppe eine regelmäßige Bewertung des Stands der Dinge in Bezug auf Cyber-Bedrohungen oder -Vorfälle, wie etwa Ransomware, vornehmen.

Um die Zusammenarbeit auf Unionsebene zu verbessern, sollte die Kooperationsgruppe in Erwägung ziehen, einschlägige Organe, Einrichtungen, Ämter und Agenturen der Union, die an der Cybersicherheitspolitik beteiligt sind, wie das Europäische Parlament, Europol, den Europäischen Datenschutzausschuss, die durch die Verordnung (EU) 2018/1139 errichtete Agentur der Europäischen Union für Flugsicherheit und die durch die Verordnung (EU) 2021/696 des Europäischen Parlaments und des Rates (14) errichtete Agentur der Europäischen Union für das Weltraumprogramm, zur Teilnahme an ihrer Arbeit einzuladen.

(67) Die zuständigen Behörden und die CSIRTs sollten in der Lage sein, an Austauschprogrammen für Beamte aus anderen Mitgliedstaaten teilzunehmen, und zwar innerhalb eines bestimmten Rahmens und gegebenenfalls vorbehaltlich der erforderlichen Sicherheitsüberprüfung der an solchen Austauschprogrammen teilnehmenden Beamten, um die Zusammenarbeit zu verbessern und das Vertrauen zwischen den Mitgliedstaaten zu stärken. Die zuständigen Behörden sollten die erforderlichen Maßnahmen ergreifen, um es Beamten aus anderen Mitgliedstaaten zu ermöglichen, eine wirksame Rolle bei den Tätigkeiten der zuständigen Behörde des Gastlandes oder des CSIRT des Gastlandes zu spielen.

(68) Die Mitgliedstaaten sollten über die bestehenden Kooperationsnetze, insbesondere das Netz der europäischen Verbindungsstellen für Cyberkriminalität (EU-CyCLONe), das CSIRT-Netz und die Kooperationsgruppe, zur Schaffung des EU-Rahmens für die Reaktion auf Cyberkriminalität gemäß der Empfehlung (EU) 2017/1584 der Kommission (15) beitragen. Das EU-CyCLONe und das CSIRTs-Netz sollten auf der Grundlage von Verfahrensvereinbarungen zusammenarbeiten, in denen die Einzelheiten dieser Zusammenarbeit festgelegt sind und jegliche Doppelarbeit vermieden wird.

In der Geschäftsordnung des EU-CyCLONe sollten die Modalitäten für das Funktionieren dieses Netzes, einschließlich der Aufgaben des Netzes, der Mittel für die Zusammenarbeit, der Interaktionen mit anderen einschlägigen Akteuren und der Vorlagen für den Informationsaustausch sowie der Kommunikationsmittel, näher festgelegt werden. Für die Krisenbewältigung auf Unionsebene sollten sich die einschlägigen Parteien auf die EU-Regelungen zur integrierten politischen Krisenreaktion gemäß dem Durchführungsbeschluss (EU) 2018/1993 des Rates (16) (IPCR-Regelungen) stützen. Die Kommission sollte zu diesem Zweck den hochrangigen sektorübergreifenden Krisenkoordinierungsprozess ARGUS nutzen. Wenn die Krise eine wichtige außenpolitische oder die Gemeinsame Sicherheits- und Verteidigungspolitik betreffende Dimension aufweist, sollte der Krisenreaktionsmechanismus des Europäischen Auswärtigen Dienstes aktiviert werden.

(69) Gemäß dem Anhang der Empfehlung (EU) 2017/1584 sollte ein groß angelegter Cybersicherheitsvorfall ein Vorfall sein, der ein Ausmaß an Störungen verursacht, das die Fähigkeit eines Mitgliedstaats übersteigt, darauf zu reagieren, oder der erhebliche Auswirkungen auf mindestens zwei Mitgliedstaaten hat. Je nach Ursache und Auswirkung können groß angelegte Cybersicherheitsvorfälle eskalieren und sich zu ausgewachsenen Krisen entwickeln, die das ordnungsgemäße Funktionieren des Binnenmarkts beeinträchtigen oder ernste Risiken für die öffentliche Sicherheit und die Sicherheit von Einrichtungen oder Bürgern in mehreren Mitgliedstaaten oder in der gesamten Union darstellen.

In Anbetracht des weitreichenden Umfangs und in den meisten Fällen des grenzüberschreitenden Charakters solcher Vorfälle sollten die Mitgliedstaaten und die zuständigen Organe, Einrichtungen, Ämter und Agenturen der Union auf technischer, operativer und politischer Ebene zusammenarbeiten, um die Reaktion in der gesamten Union angemessen zu koordinieren.

(70) Groß angelegte Cybersicherheitsvorfälle und -krisen auf Unionsebene erfordern aufgrund der starken Interdependenz zwischen Sektoren und Mitgliedstaaten ein koordiniertes Vorgehen, um eine schnelle und wirksame Reaktion zu gewährleisten. Die Verfügbarkeit cyberresistenter Netz- und Informationssysteme sowie die Verfügbarkeit, Vertraulichkeit und Integrität von Daten sind von entscheidender Bedeutung für die Sicherheit der Union und für den Schutz ihrer Bürger, Unternehmen und Einrichtungen vor Zwischenfällen und Cyberbedrohungen sowie für die Stärkung des Vertrauens von Einzelpersonen und Organisationen in die Fähigkeit der Union, einen globalen, offenen, freien, stabilen und sicheren Cyberraum zu fördern und zu schützen, der auf den Menschenrechten, den Grundfreiheiten, der Demokratie und der Rechtsstaatlichkeit beruht.

(71) Das EU-CyCLONe sollte bei groß angelegten Cybersicherheitsvorfällen und -krisen als Vermittler zwischen der technischen und der politischen Ebene fungieren und die Zusammenarbeit auf operativer Ebene verbessern sowie die Entscheidungsfindung auf politischer Ebene unterstützen. In Zusammenarbeit mit der Kommission und unter Berücksichtigung der Zuständigkeit der Kommission im Bereich des Krisenmanagements sollte das EU-CyCLONe auf den Erkenntnissen des CSIRT-Netzes aufbauen und seine eigenen Fähigkeiten nutzen, um eine Analyse der Auswirkungen von groß angelegten Cybersicherheitsvorfällen und -krisen zu erstellen.

(72) Cyberangriffe sind grenzüberschreitend, und ein erheblicher Vorfall kann kritische Informationsinfrastrukturen, von denen das reibungslose Funktionieren des Binnenmarkts abhängt, stören und beschädigen. Die Empfehlung (EU) 2017/1584 befasst sich mit der Rolle aller einschlägigen Akteure. Darüber hinaus ist die Kommission im Rahmen des mit dem Beschluss Nr. 1313/2013/EU des Europäischen Parlaments und des Rates eingerichteten Katastrophenschutzverfahrens der Union für allgemeine Bereitschaftsmaßnahmen zuständig, einschließlich der Verwaltung des Koordinierungszentrums für Notfallmaßnahmen und des Gemeinsamen Kommunikations- und Informationssystems für Notfälle, der Aufrechterhaltung und Weiterentwicklung des Situationsbewusstseins und der Analysefähigkeit sowie der Einrichtung und Verwaltung der Fähigkeit zur Mobilisierung und Entsendung von Expertenteams im Falle eines Hilfeersuchens eines Mitgliedstaats oder eines Drittlands.

Die Kommission ist auch für die Erstellung von Analyseberichten für die IPCR-Vereinbarungen gemäß dem Durchführungsbeschluss (EU) 2018/1993 zuständig, unter anderem in Bezug auf das Situationsbewusstsein und die Abwehrbereitschaft im Bereich der Cybersicherheit sowie für das Situationsbewusstsein und die Krisenreaktion in den Bereichen Landwirtschaft, ungünstige Wetterbedingungen, Konfliktkartierung und -vorhersage, Frühwarnsysteme für Naturkatastrophen, Gesundheitsnotfälle, Überwachung von Infektionskrankheiten, Pflanzengesundheit, chemische Zwischenfälle, Lebensmittel- und Futtermittelsicherheit, Tiergesundheit, Migration, Zoll, nukleare und radiologische Notfälle und Energie.

(73) Die Union kann gegebenenfalls im Einklang mit Artikel 218 AEUV internationale Übereinkünfte mit Drittländern oder internationalen Organisationen schließen, um deren Beteiligung an bestimmten Tätigkeiten der Kooperationsgruppe, des CSIRT-Netzes und von EU-CyCLONe zu ermöglichen und zu organisieren. Solche Vereinbarungen sollten die Interessen der Union und einen angemessenen Datenschutz gewährleisten. Dies sollte nicht das Recht der Mitgliedstaaten ausschließen, mit Drittländern beim Management von Schwachstellen und beim Management von Cybersicherheitsrisiken zusammenzuarbeiten und die Berichterstattung und den allgemeinen Informationsaustausch im Einklang mit dem Unionsrecht zu erleichtern.

(74) Um die wirksame Umsetzung dieser Richtlinie unter anderem in Bezug auf das Management von Schwachstellen, Maßnahmen des Cybersicherheitsrisikomanagements, Meldepflichten und Vereinbarungen über den Informationsaustausch im Bereich der Cybersicherheit zu erleichtern, können die Mitgliedstaaten mit Drittländern zusammenarbeiten und Maßnahmen ergreifen, die für diesen Zweck als geeignet erachtet werden, einschließlich des Austauschs von Informationen über Cyber-Bedrohungen, -Vorfälle, -Schwachstellen, -Werkzeuge und -Methoden, -Taktiken, -Techniken und -Verfahren, Vorbereitung auf das Cybersicherheits-Krisenmanagement und -Übungen, Schulungen, Vertrauensbildung und strukturierte Vereinbarungen über den Informationsaustausch.

(75) Peer Reviews sollten eingeführt werden, um aus gemeinsamen Erfahrungen zu lernen, das gegenseitige Vertrauen zu stärken und ein hohes gemeinsames Niveau der Cybersicherheit zu erreichen. Peer Reviews können zu wertvollen Erkenntnissen und Empfehlungen führen, die die allgemeinen Cybersicherheitskapazitäten stärken, einen weiteren funktionalen Weg für den Austausch bewährter Verfahren zwischen den Mitgliedstaaten schaffen und dazu beitragen, den Reifegrad der Mitgliedstaaten im Bereich der Cybersicherheit zu erhöhen. Darüber hinaus sollten die Peer-Reviews den Ergebnissen ähnlicher Mechanismen, wie dem Peer-Review-System des CSIRT-Netzes, Rechnung tragen, einen Mehrwert schaffen und Doppelarbeit vermeiden. Die Durchführung von Peer-Reviews sollte die Rechtsvorschriften der Union oder der Mitgliedstaaten über den Schutz vertraulicher oder als Verschlusssache eingestufter Informationen unberührt lassen.

(76) Die Kooperationsgruppe sollte eine Selbstbewertungsmethode für die Mitgliedstaaten festlegen, die darauf abzielt, Faktoren wie den Grad der Umsetzung der Maßnahmen zum Management von Cybersicherheitsrisiken und der Meldepflichten, den Grad der Fähigkeiten und die Wirksamkeit der Wahrnehmung der Aufgaben der zuständigen Behörden, die operativen Fähigkeiten der CSIRTs, den Grad der Umsetzung der Amtshilfe, den Grad der Umsetzung der Vereinbarungen über den Informationsaustausch im Bereich der Cybersicherheit oder spezifische Fragen mit grenz- oder sektorübergreifendem Charakter zu erfassen. Die Mitgliedstaaten sollten ermutigt werden, regelmäßig Selbstbewertungen vorzunehmen und die Ergebnisse ihrer Selbstbewertung in der Kooperationsgruppe vorzustellen und zu erörtern.

(77) Die Verantwortung für die Gewährleistung der Sicherheit von Netz- und Informationssystemen liegt weitgehend bei den wesentlichen und wichtigen Einrichtungen. Es sollte eine Kultur des Risikomanagements gefördert und entwickelt werden, die Risikobewertungen und die Umsetzung von Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit umfasst, die den bestehenden Risiken angemessen sind.

(78) Die Maßnahmen für das Risikomanagement im Bereich der Cybersicherheit sollten dem Grad der Abhängigkeit der wesentlichen oder bedeutenden Einrichtung von Netz- und Informationssystemen Rechnung tragen und Maßnahmen zur Ermittlung des Risikos von Zwischenfällen, zur Vorbeugung, Erkennung, Reaktion und Wiederherstellung nach Zwischenfällen sowie zur Begrenzung ihrer Auswirkungen umfassen. Die Sicherheit von Netz- und Informationssystemen sollte auch die Sicherheit der gespeicherten, übertragenen und verarbeiteten Daten umfassen. Die Maßnahmen für das Risikomanagement im Bereich der Cybersicherheit sollten eine systemische Analyse vorsehen, bei der auch der Faktor Mensch berücksichtigt wird, um ein vollständiges Bild von der Sicherheit des Netzes und der Informationssysteme zu erhalten.

(79) Da Bedrohungen für die Sicherheit von Netz- und Informationssystemen unterschiedliche Ursachen haben können, sollten Maßnahmen des Risikomanagements im Bereich der Cybersicherheit auf einem All-Gefahren-Ansatz beruhen, der darauf abzielt, Netz- und Informationssysteme und die physische Umgebung dieser Systeme vor Ereignissen wie Diebstahl, Brand, Überschwemmung, Telekommunikations- oder Stromausfällen zu schützen, oder den unbefugten physischen Zugang zu und die Beschädigung und Störung von Informations- und Informationsverarbeitungseinrichtungen einer wesentlichen oder wichtigen Einrichtung, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der von Netz- und Informationssystemen angebotenen oder über sie zugänglichen Dienste gefährden könnten.

Die Maßnahmen des Cybersicherheitsrisikomanagements sollten daher auch die physische und umgebungsbedingte Sicherheit von Netz- und Informationssystemen betreffen, indem sie Maßnahmen zum Schutz solcher Systeme vor Systemausfällen, menschlichem Versagen, böswilligen Handlungen oder Naturereignissen im Einklang mit europäischen und internationalen Normen, wie den in der Reihe ISO/IEC 27000 enthaltenen, umfassen. In diesem Zusammenhang sollten wichtige und bedeutende Einrichtungen im Rahmen ihrer Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit auch die Sicherheit der Humanressourcen berücksichtigen und über geeignete Zugangskontrollmaßnahmen verfügen. Diese Maßnahmen sollten mit der Richtlinie (EU) 2022/2557 in Einklang stehen.

(80) Zum Nachweis der Einhaltung von Maßnahmen des Cybersicherheitsrisikomanagements und in Ermangelung geeigneter europäischer Cybersicherheitszertifizierungssysteme, die gemäß der Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates (18) angenommen wurden, sollten die Mitgliedstaaten in Absprache mit der Kooperationsgruppe und der Europäischen Gruppe für Cybersicherheitszertifizierung die Verwendung einschlägiger europäischer und internationaler Normen durch wesentliche und wichtige Einrichtungen fördern oder können Einrichtungen zur Verwendung zertifizierter IKT-Produkte, IKT-Dienste und IKT-Verfahren verpflichten.

---

(81) Um wesentliche und wichtige Einrichtungen nicht unverhältnismäßig finanziell und administrativ zu belasten, sollten die Maßnahmen des Cybersicherheitsrisikomanagements in einem angemessenen Verhältnis zu den Risiken stehen, die für das betreffende Netz und Informationssystem bestehen, wobei der Stand der Technik dieser Maßnahmen und gegebenenfalls einschlägige europäische und internationale Normen sowie die Kosten für ihre Durchführung zu berücksichtigen sind.

(82) Die Maßnahmen des Cybersicherheitsrisikomanagements sollten in einem angemessenen Verhältnis zum Grad der Risikoexposition des wesentlichen oder bedeutenden Unternehmens und zu den gesellschaftlichen und wirtschaftlichen Auswirkungen eines Zwischenfalls stehen. Bei der Festlegung von Maßnahmen für das Cybersicherheitsrisikomanagement, die auf wesentliche und wichtige Einrichtungen zugeschnitten sind, sollte die unterschiedliche Risikoexposition wesentlicher und wichtiger Einrichtungen gebührend berücksichtigt werden, z. B. die Kritikalität der Einrichtung, die Risiken, einschließlich gesellschaftlicher Risiken, denen sie ausgesetzt ist, die Größe der Einrichtung sowie die Wahrscheinlichkeit des Auftretens von Vorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen.

(83) Wesentliche und wichtige Einrichtungen sollten die Sicherheit der Netz- und Informationssysteme gewährleisten, die sie für ihre Tätigkeiten nutzen. Bei diesen Systemen handelt es sich in erster Linie um private Netz- und Informationssysteme, die von den internen IT-Mitarbeitern der wesentlichen und bedeutenden Unternehmen verwaltet werden oder deren Sicherheit ausgelagert wurde. Die in dieser Richtlinie festgelegten Maßnahmen für das Risikomanagement im Bereich der Cybersicherheit und die Meldepflichten sollten für die betreffenden wesentlichen und bedeutenden Einrichtungen gelten, unabhängig davon, ob diese Einrichtungen ihre Netz- und Informationssysteme intern verwalten oder deren Wartung auslagern.

(84) Unter Berücksichtigung ihres grenzüberschreitenden Charakters: Anbieter von DNS-Diensten, TLD-Namensregistrierungsstellen, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Content-Delivery-NetzwerkNetzwerk zur Bereitstellung von Inhalten Bezeichnet ein Netz geografisch verteilter Server, das im Auftrag von Inhalts- und Diensteanbietern eine hohe Verfügbarkeit, Zugänglichkeit oder schnelle Bereitstellung digitaler Inhalte und Dienste für Internetnutzer gewährleisten soll. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Anbieter, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für soziale Netzwerkdienste sowie Anbieter von Vertrauensdiensten sollten auf Unionsebene in hohem Maße harmonisiert werden. Die Durchführung von Maßnahmen des Cybersicherheitsrisikomanagements in Bezug auf diese Einrichtungen sollte daher durch einen Durchführungsrechtsakt erleichtert werden.

(85) Angesichts der Häufigkeit von Vorfällen, bei denen Unternehmen Opfer von Cyberangriffen wurden und böswillige Täter in der Lage waren, die Sicherheit des Netzes und der Informationssysteme eines Unternehmens zu gefährden, indem sie Schwachstellen in Produkten und Dienstleistungen Dritter ausnutzten, ist es besonders wichtig, sich mit den Risiken zu befassen, die sich aus der Lieferkette eines Unternehmens und seinen Beziehungen zu seinen Lieferanten ergeben, wie z. B. Anbietern von Datenspeicherungs- und -verarbeitungsdiensten oder Anbietern von verwalteten Sicherheitsdiensten und Softwareherstellern.

Wesentliche und wichtige Unternehmen sollten daher die Gesamtqualität und Widerstandsfähigkeit von Produkten und Dienstleistungen, die darin enthaltenen Maßnahmen zum Management von Cybersicherheitsrisiken und die Cybersicherheitspraktiken ihrer Lieferanten und Dienstleister, einschließlich ihrer sicheren Entwicklungsverfahren, bewerten und berücksichtigen. Wesentliche und wichtige Einrichtungen sollten insbesondere dazu angehalten werden, Maßnahmen zum Management von Cybersicherheitsrisiken in die vertraglichen Vereinbarungen mit ihren direkten Zulieferern und Dienstleistern aufzunehmen. Diese Unternehmen könnten auch Risiken berücksichtigen, die von anderen Ebenen von Lieferanten und Dienstleistern ausgehen.

(86) Unter den Dienstleistern spielen Anbieter von verwalteten Sicherheitsdiensten in Bereichen wie Reaktion auf Vorfälle, Penetrationstests, Sicherheitsaudits und Beratung eine besonders wichtige Rolle bei der Unterstützung von Einrichtungen bei ihren Bemühungen, Vorfälle zu verhindern, aufzudecken, darauf zu reagieren oder sich davon zu erholen. Anbieter von verwalteten Sicherheitsdiensten sind jedoch auch selbst Ziel von Cyberangriffen gewesen und stellen aufgrund ihrer engen Einbindung in die Abläufe der Einrichtungen ein besonderes Risiko dar. Wesentliche und wichtige Einrichtungen sollten daher bei der Auswahl eines Anbieters mit erhöhter Sorgfalt vorgehen. Anbieter von verwalteten SicherheitsdienstenAnbieter von verwalteten Sicherheitsdiensten Bezeichnet einen Anbieter verwalteter Dienste, der Tätigkeiten im Zusammenhang mit dem Management von Cybersicherheitsrisiken durchführt oder unterstützt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie).

(87) Die zuständigen Behörden können im Rahmen ihrer Aufsichtsaufgaben auch Cybersicherheitsdienste wie Sicherheitsaudits, Penetrationstests oder Reaktionen auf Vorfälle in Anspruch nehmen.

(88) Wesentliche und wichtige Unternehmen sollten sich auch mit den Risiken befassen, die sich aus ihren Interaktionen und Beziehungen mit anderen Akteuren innerhalb eines breiteren Ökosystems ergeben, auch im Hinblick auf die Bekämpfung von Wirtschaftsspionage und den Schutz von Geschäftsgeheimnissen.

Insbesondere sollten diese Einrichtungen geeignete Maßnahmen ergreifen, um sicherzustellen, dass ihre Zusammenarbeit mit Hochschul- und Forschungseinrichtungen im Einklang mit ihren Cybersicherheitsstrategien erfolgt und bewährten Verfahren für den sicheren Zugang und die Verbreitung von Informationen im Allgemeinen und den Schutz des geistigen Eigentums im Besonderen folgt. In Anbetracht der Bedeutung und des Werts von Daten für die Tätigkeiten wesentlicher und wichtiger Einrichtungen sollten diese Einrichtungen, wenn sie sich auf Datenumwandlungs- und Datenanalysedienste Dritter stützen, alle geeigneten Maßnahmen für das Risikomanagement im Bereich der Cybersicherheit ergreifen.

(89) Wesentliche und wichtige Einrichtungen sollten eine breite Palette grundlegender Praktiken der Cyberhygiene anwenden, z. B. Null-Vertrauens-Prinzipien, Software-Updates, Gerätekonfiguration, Netzsegmentierung, Identitäts- und Zugangsmanagement oder Sensibilisierung der Nutzer, Schulungen für ihre Mitarbeiter organisieren und das Bewusstsein für Cyberbedrohungen, Phishing oder Social-Engineering-Techniken schärfen. Darüber hinaus sollten diese Einrichtungen ihre eigenen Cybersicherheitskapazitäten bewerten und gegebenenfalls die Integration von Technologien zur Verbesserung der Cybersicherheit, wie künstliche Intelligenz oder maschinelles Lernen, vorantreiben, um ihre Fähigkeiten und die Sicherheit von Netz- und Informationssystemen zu erhöhen.

(90) Um die Hauptrisiken in der Lieferkette weiter anzugehen und wesentliche und wichtige Einrichtungen, die in den unter diese Richtlinie fallenden Sektoren tätig sind, bei der angemessenen Beherrschung der Risiken in der Lieferkette und bei den Zulieferern zu unterstützen, sollte die Kooperationsgruppe in Zusammenarbeit mit der Kommission und der ENISA und gegebenenfalls nach Konsultation der einschlägigen Interessenträger, einschließlich der Industrie, koordinierte Sicherheitsrisikobewertungen kritischer Lieferketten durchführen, wie sie für 5G-Netze gemäß der Empfehlung (EU) 2019/534 der Kommission durchgeführt wurden, mit dem Ziel, für jeden Sektor die kritischen IKT-Dienste, IKT-Systeme oder IKT-Produkte sowie die einschlägigen Bedrohungen und Schwachstellen zu ermitteln.

In solchen koordinierten Sicherheitsrisikobewertungen sollten Maßnahmen, Pläne zur Risikominderung und bewährte Praktiken ermittelt werden, um kritischen Abhängigkeiten, potenziellen Single Points of Failure, Bedrohungen, Schwachstellen und anderen mit der Lieferkette verbundenen Risiken entgegenzuwirken, und es sollte nach Möglichkeiten gesucht werden, ihre breitere Anwendung durch wesentliche und wichtige Einrichtungen zu fördern. Zu den potenziellen nichttechnischen Risikofaktoren, wie z. B. die unzulässige Einflussnahme eines Drittlandes auf Lieferanten und Dienstleister, insbesondere im Falle alternativer Governance-Modelle, gehören versteckte Schwachstellen oder Hintertüren und potenzielle systemische Versorgungsunterbrechungen, insbesondere im Falle einer technologischen Bindung oder Abhängigkeit von Anbietern.

(91) Bei den koordinierten Sicherheitsrisikobewertungen kritischer Lieferketten sollten unter Berücksichtigung der Merkmale des betreffenden Sektors sowohl technische als auch gegebenenfalls nichttechnische Faktoren berücksichtigt werden, einschließlich der in der Empfehlung (EU) 2019/534, in der koordinierten EU-Risikobewertung der Cybersicherheit von 5G-Netzen und in der von der Kooperationsgruppe vereinbarten EU-Toolbox zur 5G-Cybersicherheit festgelegten Faktoren.

Bei der Ermittlung der Lieferketten, die einer koordinierten Sicherheitsrisikobewertung unterzogen werden sollten, sollten die folgenden Kriterien berücksichtigt werden:

(i) das Ausmaß, in dem wesentliche und wichtige Einrichtungen bestimmte kritische IKT-Dienste, IKT-Systeme oder IKT-Produkte nutzen und auf diese angewiesen sind;

(ii) die Bedeutung bestimmter kritischer IKT-Dienste, IKT-Systeme oder IKT-Produkte für die Erfüllung kritischer oder sensibler Funktionen, einschließlich der Verarbeitung personenbezogener Daten;

(iii) die Verfügbarkeit von alternativen IKT-Dienstleistungen, IKT-Systemen oder IKT-Produkten;

(iv) die Widerstandsfähigkeit der gesamten Lieferkette von IKT-Dienstleistungen, IKT-Systemen oder IKT-Produkten während ihres gesamten Lebenszyklus gegenüber störenden Ereignissen; und

(v) bei neu entstehenden IKT-Diensten, IKT-Systemen oder IKT-Produkten deren potenzielle künftige Bedeutung für die Tätigkeiten der Unternehmen.

Darüber hinaus sollte besonderes Augenmerk auf IKT-Dienstleistungen, IKT-Systeme oder IKT-Produkte gelegt werden, für die spezifische Anforderungen aus Drittländern gelten.

(92) Um die den Betreibern öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste sowie den Vertrauensdiensteanbietern auferlegten Verpflichtungen in Bezug auf die Sicherheit ihrer Netz- und Informationssysteme zu straffen, zu straffen und es diesen Einrichtungen und den zuständigen Behörden gemäß der Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates bzw. der Verordnung (EU) Nr. 910/2014 zu ermöglichen, von dem durch diese Richtlinie geschaffenen Rechtsrahmen zu profitieren, einschließlich der Benennung eines für die Bearbeitung von Vorfällen zuständigen CSIRT, der Beteiligung der betreffenden zuständigen Behörden an den Tätigkeiten der Kooperationsgruppe und des CSIRT-Netzes, sollten diese Einrichtungen in den Anwendungsbereich dieser Richtlinie fallen.

Die entsprechenden Bestimmungen der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 über die Auferlegung von Sicherheits- und Meldepflichten für diese Arten von Einrichtungen sollten daher gestrichen werden. Die in dieser Richtlinie festgelegten Vorschriften über Meldepflichten sollten die Verordnung (EU) 2016/679 und die Richtlinie 2002/58/EG unberührt lassen.

(93) Die in dieser Richtlinie festgelegten Cybersicherheitsverpflichtungen sollten als Ergänzung zu den Anforderungen betrachtet werden, die den Vertrauensdiensteanbietern gemäß der Verordnung (EU) Nr. 910/2014 auferlegt werden. Von Vertrauensdiensteanbietern sollte verlangt werden, dass sie alle geeigneten und verhältnismäßigen Maßnahmen ergreifen, um die mit ihren Diensten verbundenen Risiken, auch in Bezug auf Kunden und vertrauenswürdige Dritte, zu bewältigen, und dass sie Vorfälle gemäß dieser Richtlinie melden. Diese Cybersicherheits- und Meldepflichten sollten auch den physischen Schutz der erbrachten Dienste betreffen. Die Anforderungen für qualifizierter TreuhandserviceQualifizierter Treuhanddienst Bezeichnet einen Vertrauensdienst, der die in dieser Verordnung festgelegten Anforderungen erfüllt - Definition gemäß Artikel 3 Nummer 17 der Verordnung (EU) Nr. 910/2014 Die in Artikel 24 der Verordnung (EU) Nr. 910/2014 festgelegten Anbieter gelten weiterhin.

(94) Die Mitgliedstaaten können die Rolle der für Vertrauensdienste zuständigen Behörden den Aufsichtsstellen gemäß der Verordnung (EU) Nr. 910/2014 übertragen, um die Fortführung der derzeitigen Praktiken zu gewährleisten und auf den bei der Anwendung der genannten Verordnung gewonnenen Kenntnissen und Erfahrungen aufzubauen. In einem solchen Fall sollten die gemäß dieser Richtlinie zuständigen Behörden eng und rechtzeitig mit diesen Aufsichtsstellen zusammenarbeiten, indem sie einschlägige Informationen austauschen, um eine wirksame Beaufsichtigung und die Einhaltung der in dieser Richtlinie und in der Verordnung (EU) Nr. 910/2014 festgelegten Anforderungen durch die Vertrauensdiensteanbieter sicherzustellen.

Gegebenenfalls sollte das CSIRT oder die gemäß dieser Richtlinie zuständige Behörde die Aufsichtsbehörde gemäß der Verordnung (EU) Nr. 910/2014 unverzüglich über alle gemeldeten erhebliche Cyber-BedrohungErhebliche Cyber-Bedrohung Bezeichnet eine Cyber-Bedrohung, bei der aufgrund ihrer technischen Merkmale davon ausgegangen werden kann, dass sie das Potenzial hat, schwerwiegende Auswirkungen auf das Netz und die Informationssysteme einer Einrichtung oder die Nutzer der Dienste der Einrichtung zu haben, indem sie erhebliche materielle oder immaterielle Schäden verursacht. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) oder Vorfälle, die Vertrauensdienste betreffen, sowie über Verstöße eines TreuhanddienstleisterVertrauensdiensteanbieter Bezeichnet eine natürliche oder juristische Person, die einen oder mehrere Vertrauensdienste entweder als qualifizierter oder als nicht qualifizierter Vertrauensdiensteanbieter erbringt - Definition gemäß Artikel 3 Nummer 19 der Verordnung (EU) Nr. 910/2014 der vorliegenden Richtlinie. Für die Zwecke der Meldung können die Mitgliedstaaten gegebenenfalls die zentrale Anlaufstelle nutzen, die eingerichtet wurde, um eine gemeinsame und automatische Meldung von Vorfällen sowohl an die Aufsichtsstelle gemäß der Verordnung (EU) Nr. 910/2014 als auch an das CSIRT oder die zuständige Behörde gemäß dieser Richtlinie zu erreichen.

(95) Gegebenenfalls und um unnötige Unterbrechungen zu vermeiden, sollten bestehende nationale Leitlinien, die zur Umsetzung der in den Artikeln 40 und 41 der Richtlinie (EU) 2018/1972 festgelegten Vorschriften für Sicherheitsmaßnahmen angenommen wurden, bei der Umsetzung dieser Richtlinie berücksichtigt werden, wobei auf den im Rahmen der Richtlinie (EU) 2018/1972 bereits erworbenen Kenntnissen und Fähigkeiten in Bezug auf Sicherheitsmaßnahmen und Meldungen von Zwischenfällen aufgebaut werden sollte.

Die ENISA kann auch Leitlinien zu den Sicherheitsanforderungen und zur Meldepflicht für Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste ausarbeiten, um die Harmonisierung und den Übergang zu erleichtern und Störungen zu minimieren. Die Mitgliedstaaten können den nationalen Regulierungsbehörden gemäß der Richtlinie (EU) 2018/1972 die Rolle der für die elektronische Kommunikation zuständigen Behörden übertragen, um die Fortführung der derzeitigen Praktiken zu gewährleisten und auf den bei der Umsetzung der Richtlinie gewonnenen Kenntnissen und Erfahrungen aufzubauen.

(96) Angesichts der zunehmenden Bedeutung nummernunabhängiger interpersoneller Kommunikationsdienste im Sinne der Richtlinie (EU) 2018/1972 muss sichergestellt werden, dass diese Dienste angesichts ihrer besonderen Art und wirtschaftlichen Bedeutung auch angemessenen Sicherheitsanforderungen unterliegen. Da sich die Angriffsfläche weiter vergrößert, werden nummernunabhängige interpersonelle Kommunikationsdienste, wie z. B. Messaging-Dienste, zu weit verbreiteten Angriffsvektoren.

Böswillige Täter nutzen Plattformen, um zu kommunizieren und ihre Opfer dazu zu bringen, kompromittierte Webseiten zu öffnen, wodurch die Wahrscheinlichkeit von Vorfällen, bei denen personenbezogene Daten missbraucht werden, und damit auch die Sicherheit von Netz- und Informationssystemen steigt. Die Anbieter von nummernunabhängigen interpersonellen Kommunikationsdiensten sollten ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das den Risiken angemessen ist.

Da die Anbieter nummernunabhängiger interpersoneller Kommunikationsdienste in der Regel keine tatsächliche Kontrolle über die Übertragung von Signalen über Netze ausüben, kann das Ausmaß der Risiken für solche Dienste in mancher Hinsicht als geringer angesehen werden als für herkömmliche elektronische Kommunikationsdienste. Das Gleiche gilt für interpersonelle Kommunikationsdienste im Sinne der Richtlinie (EU) 2018/1972, die Nummern nutzen und keine tatsächliche Kontrolle über die Signalübertragung ausüben.

(97) Der Binnenmarkt ist mehr denn je auf das Funktionieren des Internets angewiesen. Die Dienstleistungen fast aller wesentlichen und wichtigen Einrichtungen hängen von Diensten ab, die über das Internet erbracht werden. Um die reibungslose Erbringung von Diensten durch wesentliche und wichtige Einrichtungen zu gewährleisten, ist es wichtig, dass alle Betreiber öffentlicher elektronischer Kommunikationsnetze über geeignete Maßnahmen für das Risikomanagement im Bereich der Cybersicherheit verfügen und wesentliche Vorfälle in diesem Zusammenhang melden.

Die Mitgliedstaaten sollten sicherstellen, dass die Sicherheit der öffentlichen elektronischen Kommunikationsnetze aufrechterhalten wird und dass ihre lebenswichtigen Sicherheitsinteressen vor Sabotage und Spionage geschützt werden. Da die internationale Konnektivität die wettbewerbsfähige Digitalisierung der Union und ihrer Wirtschaft fördert und beschleunigt, sollten Vorfälle, die unterseeische Kommunikationskabel betreffen, dem CSIRT oder gegebenenfalls der zuständigen Behörde gemeldet werden. Die nationale Cybersicherheitsstrategie sollte gegebenenfalls der Cybersicherheit von Unterseekabeln Rechnung tragen und eine Kartierung potenzieller Cybersicherheitsrisiken und Maßnahmen zur Abschwächung dieser Risiken enthalten, um ein Höchstmaß an Schutz zu gewährleisten.

(98) Um die Sicherheit öffentlicher elektronischer Kommunikationsnetze und öffentlich zugänglicher elektronischer Kommunikationsdienste zu gewährleisten, sollte der Einsatz von Verschlüsselungstechniken, insbesondere der Ende-zu-Ende-Verschlüsselung, sowie von datenzentrierten Sicherheitskonzepten wie Kartografie, Segmentierung, Kennzeichnung, Zugangspolitik und Zugangsverwaltung sowie automatische Zugangsentscheidungen gefördert werden. Erforderlichenfalls sollte der Einsatz von Verschlüsselungstechniken, insbesondere der Ende-zu-Ende-Verschlüsselung, für Betreiber öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste im Einklang mit den Grundsätzen der Sicherheit und des Schutzes der Privatsphäre durch Voreinstellungen und durch Technik im Sinne dieser Richtlinie verbindlich sein.

Die Verwendung der Ende-zu-Ende-Verschlüsselung sollte mit den Befugnissen der Mitgliedstaaten zur Gewährleistung des Schutzes ihrer wesentlichen Sicherheitsinteressen und der öffentlichen Sicherheit in Einklang gebracht werden und die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten im Einklang mit dem Unionsrecht ermöglichen. Dies sollte jedoch nicht zu einer Schwächung der Ende-zu-Ende-Verschlüsselung führen, die eine entscheidende Technologie für den wirksamen Schutz von Daten und der Privatsphäre sowie für die Sicherheit der Kommunikation ist.

(99) Um die Sicherheit öffentlicher elektronischer Kommunikationsnetze und öffentlich zugänglicher elektronischer Kommunikationsdienste zu gewährleisten und Missbrauch und Manipulation zu verhindern, sollte die Verwendung sicherer Leitweglenkungsstandards gefördert werden, um die Integrität und Robustheit der Leitweglenkungsfunktionen im gesamten Ökosystem der Anbieter von Internetzugangsdiensten zu gewährleisten.

(100) Um die Funktionalität und Integrität des Internets zu gewährleisten und die Sicherheit und Belastbarkeit des DNS zu fördern, sollten die einschlägigen Akteure, einschließlich der privatwirtschaftlichen Einrichtungen der Union, der Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste, insbesondere der Anbieter von Internetzugangsdiensten, und der Anbieter von Online-Suchmaschinen, ermutigt werden, eine Strategie zur Diversifizierung der DNS-Auflösung zu verfolgen. Außerdem sollten die Mitgliedstaaten die Entwicklung und Nutzung eines öffentlichen und sicheren europäischen DNS-Auflösungsdienstes fördern.

(101) In dieser Richtlinie wird ein mehrstufiger Ansatz für die Meldung bedeutender Vorfälle festgelegt, um das richtige Gleichgewicht zu finden zwischen einerseits einer raschen Meldung, die dazu beiträgt, die potenzielle Ausbreitung bedeutender Vorfälle einzudämmen und wesentlichen und wichtigen Einrichtungen die Möglichkeit zu geben, Hilfe zu suchen, und andererseits einer ausführlichen Meldung, die wertvolle Lehren aus einzelnen Vorfällen zieht und die Cyber-Resilienz einzelner Einrichtungen und ganzer Sektoren mit der Zeit verbessert.

In diesem Zusammenhang sollte diese Richtlinie die Meldung von Vorfällen einschließen, die auf der Grundlage einer ersten Bewertung durch die betreffende Stelle zu einer schwerwiegenden Störung des Betriebs der Dienste oder zu finanziellen Verlusten für diese Stelle führen oder andere natürliche oder juristische Personen beeinträchtigen könnten, indem sie erhebliche materielle oder immaterielle Schäden verursachen.

Bei einer solchen Anfangsbewertung sollten unter anderem das betroffene Netz und die betroffenen Informationssysteme, insbesondere ihre Bedeutung für die Erbringung der Dienste der Einrichtung, die Schwere und die technischen Merkmale einer Cyber-Bedrohung und etwaige zugrunde liegende Schwachstellen, die ausgenutzt werden, sowie die Erfahrungen der Einrichtung mit ähnlichen Vorfällen berücksichtigt werden. Indikatoren wie das Ausmaß, in dem das Funktionieren des Dienstes beeinträchtigt ist, die Dauer eines Vorfalls oder die Anzahl der betroffenen Dienstleistungsempfänger könnten eine wichtige Rolle bei der Feststellung spielen, ob die Betriebsunterbrechung des Dienstes schwerwiegend ist.

(102) Erhalten wesentliche oder wichtige Einrichtungen Kenntnis von einem bedeutenden Zwischenfall, so sollten sie verpflichtet sein, unverzüglich, auf jeden Fall aber innerhalb von 24 Stunden, eine Frühwarnung abzugeben. Auf diese Frühwarnung sollte eine Störfallmeldung folgen. Die betroffenen Einrichtungen sollten unverzüglich, auf jeden Fall aber innerhalb von 72 Stunden nach Bekanntwerden des bedeutsamen Vorfalls, eine Meldung über den Vorfall übermitteln, um insbesondere die im Rahmen der Frühwarnung übermittelten Informationen zu aktualisieren und eine erste Bewertung des bedeutsamen Vorfalls, einschließlich seiner Schwere und seiner Auswirkungen, sowie gegebenenfalls Indikatoren für eine Kompromittierung anzugeben.

Spätestens einen Monat nach der Meldung des Vorfalls sollte ein Abschlussbericht vorgelegt werden. Die Frühwarnung sollte nur die Informationen enthalten, die erforderlich sind, um das CSIRT oder gegebenenfalls die zuständige Behörde auf den bedeutsamen Vorfall aufmerksam zu machen und der betroffenen Stelle die Möglichkeit zu geben, bei Bedarf um Unterstützung zu ersuchen. In der Frühwarnung sollte gegebenenfalls angegeben werden, ob der Verdacht besteht, dass der schwerwiegende Vorfall durch rechtswidrige oder böswillige Handlungen verursacht wurde, und ob er wahrscheinlich grenzüberschreitende Auswirkungen hat.

Die Mitgliedstaaten sollten sicherstellen, dass die Verpflichtung zur Übermittlung dieser Frühwarnung bzw. der anschließenden Meldung des Vorfalls nicht dazu führt, dass die Ressourcen der meldenden Stelle von vorrangig zu bearbeitenden Vorfällen abgezogen werden, um zu verhindern, dass die Verpflichtung zur Meldung von Vorfällen dazu führt, dass Ressourcen von der Bearbeitung wichtiger Vorfälle abgezogen oder die diesbezüglichen Bemühungen der Stelle anderweitig beeinträchtigt werden. Ist ein Vorfall zum Zeitpunkt der Vorlage des Abschlussberichts noch nicht abgeschlossen, sollten die Mitgliedstaaten sicherstellen, dass die betroffenen Stellen zu diesem Zeitpunkt einen Fortschrittsbericht und innerhalb eines Monats nach der Bearbeitung des bedeutenden Vorfalls einen Abschlussbericht vorlegen.

(103) Gegebenenfalls sollten wesentliche und bedeutende Unternehmen ihren Dienstleistungsempfängern unverzüglich alle Maßnahmen oder Abhilfemaßnahmen mitteilen, die sie ergreifen können, um die aus einer erheblichen Cyber-Bedrohung resultierenden Risiken zu mindern. Diese Unternehmen sollten gegebenenfalls und insbesondere dann, wenn die erhebliche Cyber-Bedrohung wahrscheinlich eintreten wird, ihre Dienstleistungsempfänger auch über die Bedrohung selbst informieren.

Die Anforderung, diese Empfänger über erhebliche Cyber-Bedrohungen zu informieren, sollte nach bestem Bemühen erfüllt werden, sollte diese Stellen jedoch nicht von der Verpflichtung entbinden, auf eigene Kosten geeignete und sofortige Maßnahmen zu ergreifen, um solche Bedrohungen zu verhindern oder zu beheben und das normale Sicherheitsniveau des Dienstes wiederherzustellen. Die Bereitstellung solcher Informationen über erhebliche Cyber-Bedrohungen für die Dienstleistungsempfänger sollte kostenlos sein und in leicht verständlicher Sprache erfolgen.

(104) Die Betreiber öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste sollten Sicherheit durch Technik und Voreinstellungen gewährleisten und ihre Dienstleistungsempfänger über erhebliche Cyber-Bedrohungen und über Maßnahmen informieren, die sie zum Schutz ihrer Geräte und ihrer Kommunikation ergreifen können, z. B. durch den Einsatz bestimmter Software oder Verschlüsselungstechniken.

(105) Ein proaktiver Ansatz in Bezug auf Cyber-Bedrohungen ist ein wesentlicher Bestandteil des Risikomanagements im Bereich der Cybersicherheit, der die zuständigen Behörden in die Lage versetzen sollte, wirksam zu verhindern, dass sich Cyber-Bedrohungen zu Vorfällen entwickeln, die erhebliche materielle oder immaterielle Schäden verursachen können. Zu diesem Zweck ist die Meldung von Cyber-Bedrohungen von zentraler Bedeutung. Zu diesem Zweck werden die Einrichtungen aufgefordert, Cyber-Bedrohungen auf freiwilliger Basis zu melden.

(106) Um die Meldung der nach dieser Richtlinie erforderlichen Informationen zu vereinfachen und den Verwaltungsaufwand für die Unternehmen zu verringern, sollten die Mitgliedstaaten technische Mittel wie eine einzige Anlaufstelle, automatisierte Systeme, Online-Formulare, benutzerfreundliche Schnittstellen, Vorlagen und spezielle Plattformen bereitstellen, die die Unternehmen unabhängig davon, ob sie in den Anwendungsbereich dieser Richtlinie fallen, für die Übermittlung der zu meldenden relevanten Informationen nutzen können.

Die Unionsfinanzierung zur Unterstützung der Umsetzung dieser Richtlinie, insbesondere im Rahmen des Programms "Digitales Europa", das durch die Verordnung (EU) 2021/694 des Europäischen Parlaments und des Rates (21) eingerichtet wurde, könnte auch die Unterstützung für zentrale Anlaufstellen umfassen. Darüber hinaus befinden sich Einrichtungen häufig in einer Situation, in der ein bestimmter Vorfall aufgrund seiner Merkmale an verschiedene Behörden gemeldet werden muss, da in verschiedenen Rechtsinstrumenten Meldepflichten vorgesehen sind. Solche Fälle verursachen zusätzlichen Verwaltungsaufwand und könnten auch zu Unsicherheiten hinsichtlich des Formats und der Verfahren für solche Meldungen führen.

Wird eine zentrale Anlaufstelle eingerichtet, werden die Mitgliedstaaten ermutigt, diese zentrale Anlaufstelle auch für Meldungen von Sicherheitsvorfällen zu nutzen, die nach anderem Unionsrecht, wie der Verordnung (EU) 2016/679 und der Richtlinie 2002/58/EG, erforderlich sind. Die Nutzung einer solchen zentralen Anlaufstelle für die Meldung von Sicherheitsvorfällen gemäß der Verordnung (EU) 2016/679 und der Richtlinie 2002/58/EG sollte die Anwendung der Bestimmungen der Verordnung (EU) 2016/679 und der Richtlinie 2002/58/EG, insbesondere der Bestimmungen über die Unabhängigkeit der darin genannten Behörden, nicht beeinträchtigen. Die ENISA sollte in Zusammenarbeit mit der Gruppe "Zusammenarbeit" gemeinsame Meldevorlagen in Form von Leitlinien entwickeln, um die nach dem Unionsrecht zu meldenden Informationen zu vereinfachen und zu straffen und den Verwaltungsaufwand der meldenden Stellen zu verringern.

(107) Besteht der Verdacht, dass ein Vorfall mit schwerwiegenden kriminellen Handlungen nach Unionsrecht oder nationalem Recht zusammenhängt, sollten die Mitgliedstaaten wesentliche und wichtige Einrichtungen ermutigen, Vorfälle, bei denen der Verdacht auf schwerwiegende kriminelle Handlungen besteht, auf der Grundlage der geltenden Strafverfahrensvorschriften im Einklang mit dem Unionsrecht den zuständigen Strafverfolgungsbehörden zu melden. Unbeschadet der für Europol geltenden Vorschriften über den Schutz personenbezogener Daten ist es wünschenswert, dass die Koordinierung zwischen den zuständigen Behörden und den Strafverfolgungsbehörden der verschiedenen Mitgliedstaaten gegebenenfalls durch das Europäische Zentrum zur Bekämpfung der Cyberkriminalität (EC3) und die ENISA erleichtert wird.

(108) Personenbezogene Daten sind in vielen Fällen infolge von Vorfällen gefährdet. In diesem Zusammenhang sollten die zuständigen Behörden mit den in der Verordnung (EU) 2016/679 und der Richtlinie 2002/58/EG genannten Behörden zusammenarbeiten und Informationen über alle relevanten Angelegenheiten austauschen.

(109) Die Pflege genauer und vollständiger Datenbanken mit Domänennamenregistrierungsdaten (WHOIS-Daten) und die Gewährung eines rechtmäßigen Zugangs zu diesen Daten sind von wesentlicher Bedeutung, um die Sicherheit, Stabilität und Belastbarkeit des DNS zu gewährleisten, was wiederum zu einem hohen gemeinsamen Niveau der Cybersicherheit in der Union beiträgt. Zu diesem Zweck sollten TLD-Register und Einrichtungen, die Domänennamenregistrierungsdienste anbieten, verpflichtet werden, bestimmte Daten zu verarbeiten, die zur Erreichung dieses Zwecks erforderlich sind.

Eine solche Verarbeitung sollte eine rechtliche Verpflichtung im Sinne von Artikel 6 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 darstellen. Diese Verpflichtung lässt die Möglichkeit unberührt, Registrierungsdaten von Domänennamen für andere Zwecke zu erheben, zum Beispiel auf der Grundlage vertraglicher Vereinbarungen oder rechtlicher Anforderungen, die in anderen Rechtsvorschriften der Union oder der Mitgliedstaaten festgelegt sind. Diese Verpflichtung zielt darauf ab, einen vollständigen und genauen Satz von Registrierungsdaten zu erhalten, und sollte nicht dazu führen, dass dieselben Daten mehrfach erhoben werden. Die TLD-Register und die Einrichtungen, die Domänennamenregistrierungsdienste anbieten, sollten zusammenarbeiten, um eine doppelte Erfassung dieser Daten zu vermeiden.

(110) Die Verfügbarkeit und rechtzeitige Zugänglichkeit von Domänennamenregistrierungsdaten für rechtmäßige Antragsteller ist für die Verhütung und Bekämpfung von DNS-Missbrauch sowie für die Verhütung und Aufdeckung von und die Reaktion auf Vorfälle von wesentlicher Bedeutung. Unter rechtmäßigen Antragstellern ist jede natürliche oder juristische Person zu verstehen, die einen Antrag gemäß dem Unionsrecht oder dem nationalen Recht stellt.

Dazu können die nach dieser Richtlinie zuständigen Behörden und die nach Unionsrecht oder nationalem Recht für die Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten zuständigen Behörden sowie CERTs oder CSIRTs gehören. TLD-Namensregister und Stellen, die Domänennamenregistrierungsdienste anbieten, sollten verpflichtet sein, berechtigten Antragstellern im Einklang mit dem Unionsrecht und dem nationalen Recht rechtmäßigen Zugang zu bestimmten Domänennamenregistrierungsdaten zu gewähren, die für die Zwecke des Zugangsantrags erforderlich sind. Dem Antrag eines rechtmäßigen Antragstellers sollte eine Begründung beigefügt werden, die eine Beurteilung der Notwendigkeit des Zugangs zu den Daten ermöglicht.

(111) Um die Verfügbarkeit genauer und vollständiger Domänennamenregistrierungsdaten zu gewährleisten, sollten TLD-Namensregister und Einrichtungen, die Domänennamenregistrierungsdienste anbieten, die Integrität und Verfügbarkeit von Domänennamenregistrierungsdaten erfassen und gewährleisten. Insbesondere sollten TLD-Register und Einrichtungen, die Domänennamen-Registrierungsdienste anbieten, im Einklang mit dem Datenschutzrecht der Union Strategien und Verfahren zur Erhebung und Pflege genauer und vollständiger Domänennamen-Registrierungsdaten sowie zur Verhinderung und Korrektur unrichtiger Registrierungsdaten festlegen.

Diese Strategien und Verfahren sollten so weit wie möglich den von den Multi-Stakeholder-Governance-Strukturen auf internationaler Ebene entwickelten Standards Rechnung tragen. Die TLD-Register und die Einrichtungen, die Domänennamenregistrierungsdienste anbieten, sollten angemessene Verfahren zur Überprüfung der Domänennamenregistrierungsdaten einführen und umsetzen.

Diese Verfahren sollten den bewährten Praktiken der Branche und, soweit möglich, den Fortschritten auf dem Gebiet der elektronischen Identifizierung Rechnung tragen. Beispiele für Überprüfungsverfahren können Ex-ante-Kontrollen zum Zeitpunkt der Registrierung und Ex-post-Kontrollen nach der Registrierung umfassen. Die TLD-Register und die Einrichtungen, die Dienste zur Registrierung von Domänennamen anbieten, sollten insbesondere mindestens eine Kontaktmöglichkeit des Registranten überprüfen.

(112) TLD-Namensregister und Stellen, die Domänennamenregistrierungsdienste anbieten, sollten verpflichtet werden, Domänennamenregistrierungsdaten, die nicht in den Anwendungsbereich des Datenschutzrechts der Union fallen, wie Daten, die juristische Personen betreffen, im Einklang mit der Präambel der Verordnung (EU) 2016/679 öffentlich zugänglich zu machen. Für juristische Personen sollten die TLD-Namensregister und die Einrichtungen, die Domänennamenregistrierungsdienste anbieten, zumindest den Namen des Registranten und die Kontakttelefonnummer öffentlich zugänglich machen.

Die Kontakt-E-Mail-Adresse sollte ebenfalls veröffentlicht werden, sofern sie keine personenbezogenen Daten enthält, wie z. B. im Falle von E-Mail-Aliasnamen oder funktionalen Konten. TLD-Namensregister und Stellen, die Domänennamenregistrierungsdienste anbieten, sollten berechtigten Antragstellern im Einklang mit dem Datenschutzrecht der Union auch den rechtmäßigen Zugang zu bestimmten Domänennamenregistrierungsdaten natürlicher Personen ermöglichen. Die Mitgliedstaaten sollten TLD-Register und Stellen, die Domänennamenregistrierungsdienste anbieten, dazu verpflichten, Anträge auf Offenlegung von Domänennamenregistrierungsdaten von rechtmäßigen Antragstellern unverzüglich zu beantworten.

TLD-Namensregister und Einrichtungen, die Dienste für die Registrierung von Domänennamen anbieten, sollten Grundsätze und Verfahren für die Veröffentlichung und Offenlegung von Registrierungsdaten festlegen, einschließlich Dienstgütevereinbarungen für den Umgang mit Zugangsanträgen von legitimen Antragstellern. Diese Strategien und Verfahren sollten so weit wie möglich alle Leitlinien und Standards berücksichtigen, die von den Multi-Stakeholder-Governance-Strukturen auf internationaler Ebene entwickelt wurden. Das Zugangsverfahren könnte die Verwendung einer Schnittstelle, eines Portals oder eines anderen technischen Instruments umfassen, um ein effizientes System für die Beantragung von und den Zugang zu Registrierungsdaten bereitzustellen.

Im Hinblick auf die Förderung harmonisierter Praktiken im gesamten Binnenmarkt kann die Kommission unbeschadet der Zuständigkeiten des Europäischen Datenschutzausschusses Leitlinien für solche Verfahren festlegen, die so weit wie möglich den von den Multi-Stakeholder-Governance-Strukturen auf internationaler Ebene entwickelten Standards Rechnung tragen. Die Mitgliedstaaten sollten sicherstellen, dass alle Arten des Zugriffs auf personenbezogene und nicht personenbezogene Registrierungsdaten von Domänennamen gebührenfrei sind.

(113) Einrichtungen, die in den Anwendungsbereich dieser Richtlinie fallen, sollten als der Gerichtsbarkeit des Mitgliedstaats unterliegend betrachtet werden, in dem sie niedergelassen sind. Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste sollten jedoch als der Gerichtsbarkeit des Mitgliedstaats unterliegend betrachtet werden, in dem sie ihre Dienste erbringen.

Anbieter von DNS-Diensten, TLD-Namensregistrierungsstellen, Anbieter von Domänennamenregistrierungsdiensten, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Anbieter von Content-Delivery-Netzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für soziale Netzwerkdienste sollten als der Gerichtsbarkeit des Mitgliedstaats unterliegend betrachtet werden, in dem sie ihre Hauptniederlassung in der Union haben.

Einrichtungen der öffentlichen Verwaltung sollten der Gerichtsbarkeit des Mitgliedstaats unterliegen, in dem sie errichtet wurden. Erbringt die Einrichtung Dienstleistungen oder ist sie in mehr als einem Mitgliedstaat niedergelassen, so sollte sie der getrennten und gleichzeitigen Zuständigkeit jedes dieser Mitgliedstaaten unterliegen. Die zuständigen Behörden dieser Mitgliedstaaten sollten zusammenarbeiten, sich gegenseitig Amtshilfe leisten und gegebenenfalls gemeinsame Aufsichtsmaßnahmen durchführen. Üben die Mitgliedstaaten ihre Gerichtsbarkeit aus, so sollten sie gemäß dem Grundsatz "ne bis in idem" für ein und dasselbe Verhalten nicht mehr als einmal Durchsetzungsmaßnahmen oder Sanktionen verhängen.

(114) Um dem grenzüberschreitenden Charakter der Dienste und Tätigkeiten von DNS-Diensteanbietern, TLD-Namensregistern, Einrichtungen, die Domänennamenregistrierungsdienste anbieten, Anbietern von Cloud-Computing-Diensten, Anbietern von Rechenzentrumsdiensten, Anbietern von Content-Delivery-Netzen, Anbietern von verwalteten Diensten, Anbietern von verwalteten Sicherheitsdiensten sowie Anbietern von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für soziale Netzwerkdienste Rechnung zu tragen, sollte nur ein Mitgliedstaat für diese Einrichtungen zuständig sein. Die gerichtliche Zuständigkeit sollte dem Mitgliedstaat zugewiesen werden, in dem die betreffende Einrichtung ihre Hauptniederlassung in der Union hat.

Das Kriterium der Niederlassung im Sinne dieser Richtlinie setzt die tatsächliche Ausübung einer Tätigkeit im Rahmen fester Vereinbarungen voraus. Die Rechtsform dieser Vereinbarungen, sei es eine Zweigniederlassung oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit, ist in dieser Hinsicht nicht ausschlaggebend. Ob dieses Kriterium erfüllt ist, sollte nicht davon abhängen, ob sich das Netz und die Informationssysteme physisch an einem bestimmten Ort befinden; das Vorhandensein und die Nutzung solcher Systeme stellen für sich genommen keine Hauptniederlassung dar und sind daher keine entscheidenden Kriterien für die Bestimmung der Hauptniederlassung.

Als Hauptniederlassung sollte der Mitgliedstaat gelten, in dem die Entscheidungen im Zusammenhang mit den Maßnahmen des Cybersicherheitsrisikomanagements in der Union überwiegend getroffen werden. Dies entspricht in der Regel dem Ort der zentralen Verwaltung der Einrichtungen in der Union. Kann ein solcher Mitgliedstaat nicht bestimmt werden oder werden solche Entscheidungen nicht in der Union getroffen, so sollte als Hauptniederlassung der Mitgliedstaat gelten, in dem die Cybersicherheitsmaßnahmen durchgeführt werden.

Kann ein solcher Mitgliedstaat nicht bestimmt werden, so sollte als Hauptniederlassung der Mitgliedstaat gelten, in dem das Unternehmen die Niederlassung mit der höchsten Beschäftigtenzahl in der Union hat. Werden die Dienstleistungen von einer Unternehmensgruppe erbracht, so sollte die Hauptniederlassung des herrschenden Unternehmens als Hauptniederlassung der Unternehmensgruppe gelten.

(115) Wird ein öffentlich zugänglicher rekursiver DNS-Dienst von einem Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste nur als Teil des Internetzugangsdienstes bereitgestellt, so sollte davon ausgegangen werden, dass die Einrichtung der Rechtsprechung aller Mitgliedstaaten unterliegt, in denen ihre Dienste erbracht werden.

(116) Wenn ein DNS-DienstanbieterDNS-Dienstanbieter Bezeichnet eine Einrichtung, die a) öffentlich zugängliche rekursive Domänennamensauflösungsdienste für Internet-Endnutzer oder b) maßgebliche Domänennamensauflösungsdienste für Dritte anbietet, mit Ausnahme von Root-Nameservern. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie)ein TLD-Namen-Register, ein Unternehmen, das Dienstleistungen zur Registrierung von Domänennamen anbietetEinrichtung, die Dienstleistungen zur Registrierung von Domänennamen anbietet Bezeichnet eine Registrierstelle oder einen Bevollmächtigten, der im Namen von Registrierstellen handelt, wie z. B. ein Anbieter von Datenschutz- oder Vollmachtsregistrierungsdiensten oder ein Wiederverkäufer. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie)einen Anbieter von Cloud-Computing-Diensten, einen Anbieter von Rechenzentrumsdiensten, einen Anbieter von Content-Delivery-Netzen, einen Managed Service ProviderAnbieter verwalteter Dienste Bezeichnet eine Einrichtung, die Dienstleistungen im Zusammenhang mit der Installation, dem Management, dem Betrieb oder der Wartung von IKT-Produkten, Netzwerken, Infrastrukturen, Anwendungen oder anderen Netzwerk- und Informationssystemen durch Unterstützung oder aktive Verwaltung entweder in den Räumlichkeiten des Kunden oder aus der Ferne erbringt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie)einen Anbieter von verwalteten Sicherheitsdiensten oder einen Anbieter eines Online-Marktplatzes, eines Online-SuchmaschineOnline-Suchmaschine Ein digitaler Dienst, der es Nutzern ermöglicht, Abfragen einzugeben, um grundsätzlich alle Websites oder alle Websites in einer bestimmten Sprache auf der Grundlage einer Abfrage zu einem beliebigen Thema in Form eines Schlüsselworts, einer Sprachanfrage, eines Satzes oder einer anderen Eingabe zu durchsuchen, und der Ergebnisse in einem beliebigen Format zurückgibt, in dem Informationen zu dem angeforderten Inhalt gefunden werden können - Definition gemäß Artikel 2 Nummer 5 der Verordnung (EU) 2019/1150 des Europäischen Parlaments und des Rates oder einer Plattform für soziale NetzwerkdienstePlattform für soziale Netzwerkdienste Bezeichnet eine Plattform, die es Endnutzern ermöglicht, sich über mehrere Geräte hinweg zu verbinden, auszutauschen, zu entdecken und miteinander zu kommunizieren, insbesondere über Chats, Beiträge, Videos und Empfehlungen. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie)die nicht in der Union niedergelassen ist, Dienstleistungen in der Union anbietet, sollte sie eine repräsentativAbgeordneter Bezeichnet eine in der Union ansässige natürliche oder juristische Person, die ausdrücklich dazu bestimmt ist, im Namen eines DNS-Diensteanbieters, eines TLD-Namenregisters, einer Einrichtung, die Domänennamenregistrierungsdienste anbietet, eines Cloud-Computing-Diensteanbieters, eines Rechenzentrumsdiensteanbieters, eines Content-Delivery-Network-Anbieters, eines Managed-Service-Anbieters, eines Managed-Security-Service-Anbieters oder eines Anbieters eines Online-Marktplatzes, einer Online-Suchmaschine oder einer Plattform für soziale Netzwerkdienste, der nicht in der Union ansässig ist, zu handeln, und an die sich eine zuständige Behörde oder ein CSIRT anstelle der Einrichtung selbst in Bezug auf die Verpflichtungen dieser Einrichtung nach dieser Richtlinie wenden kann. - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) in der Union.

Um festzustellen, ob eine solche Einrichtung Dienstleistungen innerhalb der Union anbietet, sollte geprüft werden, ob die Einrichtung plant, Personen in einem oder mehreren Mitgliedstaaten Dienstleistungen anzubieten. Die bloße Zugänglichkeit der Website der Einrichtung oder eines Vermittlers in der Union oder einer E-Mail-Adresse oder anderer Kontaktangaben oder die Verwendung einer Sprache, die in dem Drittland, in dem die Einrichtung niedergelassen ist, allgemein verwendet wird, sollte als nicht ausreichend angesehen werden, um eine solche Absicht festzustellen.

Faktoren wie die Verwendung einer Sprache oder einer Währung, die in einem oder mehreren Mitgliedstaaten allgemein gebräuchlich ist, mit der Möglichkeit, Dienstleistungen in dieser Sprache zu bestellen, oder die Erwähnung von Kunden oder Nutzern, die sich in der Union befinden, könnten jedoch darauf hindeuten, dass die Einrichtung plant, Dienstleistungen innerhalb der Union anzubieten. Der Vertreter sollte im Namen der Einrichtung handeln, und die zuständigen Behörden oder die CSIRTs sollten sich an den Vertreter wenden können. Der Vertreter sollte durch ein schriftliches Mandat der Stelle ausdrücklich dazu bestimmt werden, in Bezug auf die in dieser Richtlinie festgelegten Verpflichtungen der Stelle, einschließlich der Meldung von Vorfällen, in deren Namen zu handeln.

(117) Um einen klaren Überblick über die Anbieter von DNS-Diensten, TLD-Namensregistern, Einrichtungen, die Domänennamenregistrierungsdienste anbieten, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Anbieter von Content-Delivery-Netzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für soziale Netze, die unionsweit Dienste anbieten, die in den Anwendungsbereich dieser Richtlinie fallen, zu gewährleisten, sollte die ENISA auf der Grundlage der von den Mitgliedstaaten erhaltenen Informationen ein Register dieser Einrichtungen erstellen und führen, gegebenenfalls über nationale Mechanismen, die für die Einrichtungen eingerichtet wurden, um sich selbst zu registrieren.

Die einheitlichen Ansprechpartner sollten die Informationen und etwaige Änderungen daran an die ENISA weiterleiten. Um die Richtigkeit und Vollständigkeit der in dieses Register aufzunehmenden Informationen zu gewährleisten, können die Mitgliedstaaten der ENISA die in den nationalen Registern über diese Stellen verfügbaren Informationen übermitteln. Die ENISA und die Mitgliedstaaten sollten Maßnahmen ergreifen, um die Interoperabilität solcher Register zu erleichtern und gleichzeitig den Schutz vertraulicher oder klassifizierter Informationen zu gewährleisten. Die ENISA sollte geeignete Protokolle zur Klassifizierung und Verwaltung von Informationen erstellen, um die Sicherheit und Vertraulichkeit der offengelegten Informationen zu gewährleisten und den Zugang, die Speicherung und die Übermittlung solcher Informationen auf die vorgesehenen Nutzer zu beschränken.

(118) Werden Informationen, die nach dem Unionsrecht oder dem nationalen Recht als Verschlusssache eingestuft sind, im Rahmen dieser Richtlinie ausgetauscht, gemeldet oder auf andere Weise weitergegeben, sollten die entsprechenden Vorschriften für die Behandlung von Verschlusssachen angewandt werden. Darüber hinaus sollte die ENISA über die Infrastruktur, die Verfahren und die Vorschriften für den Umgang mit sensiblen und als Verschlusssache eingestuften Informationen im Einklang mit den geltenden Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen verfügen.

(119) Da Cyber-Bedrohungen immer komplexer und ausgefeilter werden, hängen eine gute Erkennung solcher Bedrohungen und Maßnahmen zu ihrer Verhinderung weitgehend vom regelmäßigen Austausch von Bedrohungs- und Schwachstelleninformationen zwischen den Einrichtungen ab. Der Informationsaustausch trägt zu einer stärkeren Sensibilisierung für Cyber-Bedrohungen bei, was wiederum die Fähigkeit der Einrichtungen verbessert, solche Bedrohungen zu verhindern, damit sie sich nicht zu Vorfällen auswachsen, und die Einrichtungen in die Lage versetzt, die Auswirkungen von Vorfällen besser einzudämmen und sich effizienter zu erholen. Da es keine Leitlinien auf Unionsebene gibt, scheinen verschiedene Faktoren einen solchen Informationsaustausch zu behindern, insbesondere die Unsicherheit über die Vereinbarkeit mit den Wettbewerbs- und Haftungsvorschriften.

(120) Die Mitgliedstaaten sollten die Einrichtungen ermutigen und sie dabei unterstützen, ihr individuelles Wissen und ihre praktischen Erfahrungen auf strategischer, taktischer und operativer Ebene gemeinsam zu nutzen, um ihre Fähigkeiten zur angemessenen Verhütung, Aufdeckung, Reaktion und Bewältigung von Vorfällen oder zur Minderung ihrer Auswirkungen zu verbessern. Es ist daher notwendig, auf Unionsebene freiwillige Vereinbarungen über den Informationsaustausch im Bereich der Cybersicherheit zu ermöglichen.

Zu diesem Zweck sollten die Mitgliedstaaten Einrichtungen, z. B. solche, die Cybersicherheitsdienste und -forschung anbieten, sowie einschlägige Einrichtungen, die nicht in den Anwendungsbereich dieser Richtlinie fallen, aktiv unterstützen und ermutigen, sich an solchen Vereinbarungen über den Austausch von Cybersicherheitsinformationen zu beteiligen. Diese Vereinbarungen sollten im Einklang mit den Wettbewerbsregeln der Union und dem Datenschutzrecht der Union getroffen werden.

---

(121) Die Verarbeitung personenbezogener Daten, soweit sie für die Gewährleistung der Sicherheit von Netz- und Informationssystemen durch wesentliche und wichtige Einrichtungen erforderlich und verhältnismäßig ist, könnte als rechtmäßig angesehen werden, da diese Verarbeitung einer rechtlichen Verpflichtung entspricht, der der für die Verarbeitung Verantwortliche unterliegt, gemäß den Anforderungen von Artikel 6 Absatz 1 Buchstabe c und Artikel 6 Absatz 3 der Verordnung (EU) 2016/679.

Die Verarbeitung personenbezogener Daten könnte auch für die berechtigten Interessen von wesentlichen und wichtigen Einrichtungen sowie von Anbietern von Sicherheitstechnologien und -diensten, die im Auftrag dieser Einrichtungen handeln, gemäß Artikel 6 Absatz 1 Buchstabe f der Verordnung (EU) 2016/679 erforderlich sein, einschließlich der Fälle, in denen eine solche Verarbeitung für Vereinbarungen über den Austausch von Cybersicherheitsinformationen oder die freiwillige Meldung einschlägiger Informationen im Einklang mit dieser Richtlinie erforderlich ist.

Maßnahmen im Zusammenhang mit der Verhütung, Aufdeckung, Identifizierung, Eindämmung, Analyse und Reaktion auf Vorfälle, Maßnahmen zur Sensibilisierung für bestimmte Cyber-Bedrohungen, Informationsaustausch im Zusammenhang mit der Behebung von Sicherheitslücken und der koordinierten Offenlegung von Sicherheitslücken, der freiwillige Austausch von Informationen über diese Vorfälle, und Cyber-Bedrohungen und -Schwachstellen, Kompromittierungsindikatoren, Taktiken, Techniken und Verfahren, Cybersicherheitswarnungen und Konfigurationswerkzeuge könnten die Verarbeitung bestimmter Kategorien personenbezogener Daten wie IP-Adressen, URLs (Uniform Resources Locators), Domänennamen, E-Mail-Adressen und, sofern sie personenbezogene Daten offenbaren, Zeitstempel erfordern.

Die Verarbeitung personenbezogener Daten durch die zuständigen Behörden, die einheitlichen Ansprechpartner und die CSIRTs könnte eine rechtliche Verpflichtung darstellen oder als notwendig für die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt, die dem für die Verarbeitung Verantwortlichen gemäß Artikel 6 Absatz 1 Buchstabe c oder e und Artikel 6 Absatz 3 der Verordnung (EU) 2016/679 übertragen wurde, oder zur Verfolgung eines berechtigten Interesses der wesentlichen und wichtigen Einrichtungen gemäß Artikel 6 Absatz 1 Buchstabe f der genannten Verordnung angesehen werden.

Darüber hinaus könnten im nationalen Recht Vorschriften festgelegt werden, die es den zuständigen Behörden, den einheitlichen Ansprechpartnern und den CSIRTs erlauben, besondere Kategorien personenbezogener Daten im Einklang mit Artikel 9 der Verordnung (EU) 2016/679 zu verarbeiten, soweit dies zur Gewährleistung der Sicherheit der Netz- und Informationssysteme wesentlicher und wichtiger Einrichtungen erforderlich und verhältnismäßig ist, insbesondere durch geeignete und spezifische Maßnahmen zum Schutz der Grundrechte und Interessen natürlicher Personen, einschließlich technischer Beschränkungen der Weiterverwendung solcher Daten und der Verwendung von dem Stand der Technik entsprechenden Sicherheits- und Datenschutzmaßnahmen, wie Pseudonymisierung oder Verschlüsselung, wenn die Anonymisierung den verfolgten Zweck erheblich beeinträchtigen könnte.

(122) Um die Aufsichtsbefugnisse und -maßnahmen zu stärken, die zu einer wirksamen Einhaltung der Vorschriften beitragen, sollte diese Richtlinie eine Mindestliste von Aufsichtsmaßnahmen und -mitteln vorsehen, mit denen die zuständigen Behörden wesentliche und bedeutende Unternehmen beaufsichtigen können. Darüber hinaus sollte diese Richtlinie eine differenzierte Aufsichtsregelung für wesentliche und bedeutende Unternehmen vorsehen, um ein ausgewogenes Verhältnis zwischen den Verpflichtungen dieser Unternehmen und der zuständigen Behörden zu gewährleisten.

Daher sollten wichtige Unternehmen einer umfassenden Ex-ante- und Ex-post-Aufsicht unterliegen, während für wichtige Unternehmen nur eine leichte Ex-post-Aufsicht gelten sollte. Wichtige Unternehmen sollten daher nicht verpflichtet sein, die Einhaltung der Maßnahmen für das Risikomanagement im Bereich der Cybersicherheit systematisch zu dokumentieren, während die zuständigen Behörden bei der Beaufsichtigung einen reaktiven Ex-post-Ansatz verfolgen sollten und daher nicht generell verpflichtet sein sollten, diese Unternehmen zu beaufsichtigen.

Die nachträgliche Beaufsichtigung wichtiger Unternehmen kann durch Beweise, Anhaltspunkte oder Informationen ausgelöst werden, die den zuständigen Behörden zur Kenntnis gebracht werden und nach deren Auffassung auf mögliche Verstöße gegen diese Richtlinie hindeuten. Solche Anhaltspunkte, Hinweise oder Informationen könnten beispielsweise von anderen Behörden, Stellen, Bürgern, Medien oder anderen Quellen oder öffentlich zugänglichen Informationen an die zuständigen Behörden übermittelt werden oder sich aus anderen Tätigkeiten ergeben, die die zuständigen Behörden in Erfüllung ihrer Aufgaben durchführen.

(123) Die Ausführung von Aufsichtsaufgaben durch die zuständigen Behörden sollte die Geschäftstätigkeit des betreffenden Unternehmens nicht unnötig behindern. Wenn die zuständigen Behörden ihre Aufsichtsaufgaben in Bezug auf wesentliche Unternehmen wahrnehmen, einschließlich der Durchführung von Inspektionen vor Ort und der Beaufsichtigung außerhalb des Unternehmens, der Untersuchung von Verstößen gegen diese Richtlinie und der Durchführung von Sicherheitsaudits oder Sicherheitsscans, sollten sie die Auswirkungen auf die Geschäftstätigkeit des betreffenden Unternehmens so gering wie möglich halten.

(124) Bei der Ausübung der Ex-ante-Überwachung sollten die zuständigen Behörden in der Lage sein, über die Priorisierung des Einsatzes der ihnen zur Verfügung stehenden Aufsichtsmaßnahmen und -mittel nach dem Grundsatz der Verhältnismäßigkeit zu entscheiden. Dies bedeutet, dass die zuständigen Behörden über eine solche Prioritätensetzung auf der Grundlage von Aufsichtsmethoden entscheiden können, die einem risikobasierten Ansatz folgen sollten.

Konkret könnten solche Methoden Kriterien oder Richtwerte für die Einstufung wesentlicher Unternehmen in Risikokategorien und entsprechende Aufsichtsmaßnahmen und -mittel enthalten, die für die einzelnen Risikokategorien empfohlen werden, z. B. den Einsatz, die Häufigkeit oder die Art von Inspektionen vor Ort, gezielte Sicherheitsaudits oder Sicherheitsüberprüfungen, die Art der anzufordernden Informationen und den Detaillierungsgrad dieser Informationen. Solche Überwachungsmethoden könnten auch mit Arbeitsprogrammen einhergehen und regelmäßig bewertet und überprüft werden, auch im Hinblick auf Aspekte wie Ressourcenzuweisung und -bedarf. In Bezug auf Einrichtungen der öffentlichen Verwaltung sollten die Aufsichtsbefugnisse im Einklang mit den nationalen rechtlichen und institutionellen Rahmenbedingungen ausgeübt werden.

(125) Die zuständigen Behörden sollten sicherstellen, dass ihre Aufsichtsaufgaben in Bezug auf wesentliche und bedeutende Einrichtungen von geschulten Fachleuten wahrgenommen werden, die über die für diese Aufgaben erforderlichen Fähigkeiten verfügen sollten, insbesondere im Hinblick auf die Durchführung von Inspektionen vor Ort und die Beaufsichtigung außerhalb des Unternehmens, einschließlich der Ermittlung von Schwachstellen in Datenbanken, Hardware, Firewalls, Verschlüsselung und Netzen. Diese Inspektionen und die Überwachung sollten auf objektive Weise durchgeführt werden.

(126) In hinreichend begründeten Fällen, in denen sie Kenntnis von einer erheblichen Cyber-Bedrohung oder einem unmittelbaren Risiko hat, sollte die zuständige Behörde in der Lage sein, sofortige Durchsetzungsentscheidungen zu treffen, um einen Vorfall zu verhindern oder darauf zu reagieren.

(127) Um eine wirksame Durchsetzung zu gewährleisten, sollte eine Mindestliste der Durchsetzungsbefugnisse festgelegt werden, die bei Verstößen gegen die in dieser Richtlinie vorgesehenen Maßnahmen des Cybersicherheitsrisikomanagements und Meldepflichten ausgeübt werden können, und so ein klarer und kohärenter Rahmen für eine solche Durchsetzung in der gesamten Union geschaffen werden. Art, Schwere und Dauer des Verstoßes gegen diese Richtlinie, der verursachte materielle oder immaterielle Schaden, die Tatsache, ob der Verstoß vorsätzlich oder fahrlässig begangen wurde, die zur Verhinderung oder Begrenzung des materiellen oder immateriellen Schadens ergriffenen Maßnahmen, der Grad der Verantwortung oder etwaige einschlägige frühere Verstöße, der Grad der Zusammenarbeit mit der zuständigen Behörde und alle sonstigen erschwerenden oder mildernden Umstände sollten gebührend berücksichtigt werden.

Die Durchsetzungsmaßnahmen, einschließlich der Geldbußen, sollten verhältnismäßig sein, und ihre Verhängung sollte angemessenen Verfahrensgarantien im Einklang mit den allgemeinen Grundsätzen des Unionsrechts und der Charta der Grundrechte der Europäischen Union ("Charta") unterliegen, einschließlich des Rechts auf einen wirksamen Rechtsbehelf und auf ein faires Verfahren, der Unschuldsvermutung und der Verteidigungsrechte.

(128) Diese Richtlinie verpflichtet die Mitgliedstaaten nicht dazu, eine straf- oder zivilrechtliche Haftung natürlicher Personen vorzusehen, die dafür verantwortlich sind, dass eine Einrichtung die Bestimmungen dieser Richtlinie einhält, und zwar für Schäden, die Dritten infolge eines Verstoßes gegen diese Richtlinie entstehen.

(129) Um eine wirksame Durchsetzung der in dieser Richtlinie festgelegten Verpflichtungen zu gewährleisten, sollte jede zuständige Behörde die Befugnis haben, Geldbußen zu verhängen oder deren Verhängung zu verlangen.

(130) Wird gegen eine wesentliche oder bedeutende Einrichtung, die ein Unternehmen ist, eine Geldbuße verhängt, so sollte ein Unternehmen für diese Zwecke als Unternehmen im Sinne der Artikel 101 und 102 AEUV verstanden werden. Wird gegen eine Person, bei der es sich nicht um ein Unternehmen handelt, eine Geldbuße verhängt, sollte die zuständige Behörde bei der Bemessung der angemessenen Höhe der Geldbuße das allgemeine Einkommensniveau in dem Mitgliedstaat sowie die wirtschaftliche Lage der Person berücksichtigen. Es sollte den Mitgliedstaaten überlassen bleiben, zu bestimmen, ob und inwieweit gegen öffentliche Stellen Geldbußen verhängt werden sollten. Die Verhängung einer Geldbuße berührt nicht die Anwendung anderer Befugnisse der zuständigen Behörden oder anderer Sanktionen, die in den nationalen Vorschriften zur Umsetzung dieser Richtlinie vorgesehen sind.