DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION,
gestützt auf den Vorschlag der Europäischen Kommission,
nach Übermittlung des Entwurfs des Rechtsakts an die nationalen Parlamente,
gestützt auf die Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses,
gestützt auf die Stellungnahme des Ausschusses der Regionen,
Er handelt nach dem ordentlichen Gesetzgebungsverfahren,
in Erwägung nachstehender Gründe:
(1) Kritische Entitäten spielen als Anbieter von Dienstleistungen von kritischer Bedeutung eine unverzichtbare Rolle bei der Aufrechterhaltung wesentlicher gesellschaftlicher Funktionen oder wirtschaftlicher Aktivitäten im Binnenmarkt einer zunehmend interdependenten Wirtschaft der Union. Daher ist es unerlässlich, einen Unionsrahmen festzulegen, der darauf abzielt, die Widerstandsfähigkeit kritischer Entitäten im Binnenmarkt durch die Festlegung harmonisierter Mindestvorschriften zu stärken und sie durch kohärente und gezielte Unterstützungs- und Aufsichtsmaßnahmen zu unterstützen.
(2) Die Richtlinie 2008/114/EG des Rates (4) sieht ein Verfahren zur Benennung europäischer kritischer Infrastrukturen in den Sektoren Energie und Verkehr vor, deren Störung oder Zerstörung erhebliche grenzüberschreitende Auswirkungen auf mindestens zwei Mitgliedstaaten hätte. Diese Richtlinie konzentriert sich ausschließlich auf den Schutz dieser Infrastrukturen. Die im Jahr 2019 durchgeführte Bewertung der Richtlinie 2008/114/EG ergab jedoch, dass aufgrund der zunehmend vernetzten und grenzüberschreitenden Art der Vorgänge, bei denen kritische Infrastrukturen genutzt werden, Schutzmaßnahmen, die sich nur auf einzelne Anlagen beziehen, nicht ausreichen, um alle Störungen zu verhindern. Daher ist es notwendig, den Ansatz darauf zu verlagern, dass Risiken besser berücksichtigt, die Rolle und die Pflichten kritischer Akteure als Anbieter von für das Funktionieren des Binnenmarktes wesentlichen Dienstleistungen besser und kohärenter definiert und Unionsvorschriften zur Stärkung der Widerstandsfähigkeit kritischer Akteure erlassen werden. Kritische Akteure sollten in der Lage sein, ihre Fähigkeit zu stärken, Vorfälle, die die Erbringung wesentlicher Dienstleistungen stören könnten, zu verhindern, sich davor zu schützen, darauf zu reagieren, ihnen zu widerstehen, sie zu mindern, sie zu absorbieren, sie zu bewältigen und sich von ihnen zu erholen.
(3) Obwohl eine Reihe von Maßnahmen auf Unionsebene, wie das Europäische Programm zum Schutz kritischer Infrastrukturen, und auf nationaler Ebene darauf abzielen, den Schutz kritischer Infrastrukturen in der Union zu unterstützen, muss mehr getan werden, um die Betreiber solcher Infrastrukturen besser auszustatten, damit sie die Risiken für ihre Tätigkeiten bewältigen können, die zu einer Unterbrechung der Versorgung mit wesentlichen Dienstleistungen führen könnten. Es muss auch mehr getan werden, um solche Einrichtungen besser auszustatten, da sich die Bedrohungslandschaft dynamisch entwickelt, einschließlich sich entwickelnder hybrider und terroristischer Bedrohungen und wachsender Interdependenzen zwischen Infrastrukturen und Sektoren. Darüber hinaus gibt es zunehmende physische RisikoRisiko Bezeichnet das Potenzial für Verluste oder Störungen, die durch ein Ereignis verursacht werden, und wird als Kombination aus dem Ausmaß eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Ereignisses ausgedrückt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Aufgrund von Naturkatastrophen und Klimawandel, die die Häufigkeit und das Ausmaß extremer Wetterereignisse verschärfen und langfristige Veränderungen der durchschnittlichen klimatischen Bedingungen mit sich bringen, die die Kapazität, Effizienz und Lebensdauer bestimmter Infrastrukturen verringern können, wenn keine klimatischen Anpassungsmaßnahmen getroffen werden. Darüber hinaus ist der Binnenmarkt durch Fragmentierung bei der Identifizierung kritischer Rechtsträger gekennzeichnet, da relevante Sektoren und Kategorien von Rechtsträgern in allen Mitgliedstaaten nicht einheitlich als kritisch anerkannt werden. Diese Richtlinie sollte daher ein solides Harmonisierungsniveau hinsichtlich der Sektoren und Kategorien von Rechtsträgern erreichen, die unter ihren Geltungsbereich fallen.
(4) Während bestimmte Wirtschaftszweige, wie der Energie- und der Verkehrssektor, bereits durch sektor-spezifische Rechtsakte der Union geregelt sind, enthalten diese Rechtsakte Bestimmungen, die sich nur auf bestimmte Aspekte der Resilienz von in diesen Sektoren tätigen Unternehmen beziehen. Um die Resilienz dieser für das ordnungsgemäße Funktionieren des Binnenmarktes kritischen Unternehmen umfassend zu gewährleisten, schafft diese Richtlinie einen übergeordneten Rahmen, der die Resilienz kritischer Unternehmen in Bezug auf alle Gefahren, ob natürlicher oder vom Menschen verursachter, zufälliger oder vorsätzlicher Art, regelt.
(5) Die zunehmenden Wechselbeziehungen zwischen Infrastrukturen und Sektoren sind Ergebnis eines zunehmend grenzüberschreitenden und interdependenten Dienstleistungsnetzes, das Schlüsselinfrastrukturen in den Sektoren Energie, Verkehr, Bankwesen, Trinkwasser, Abwasser, Herstellung, Verarbeitung und Verteilung von Lebensmitteln, Gesundheit, Raumfahrt, Finanzmarktinfrastruktur und digitale Infrastruktur sowie in bestimmten Aspekten des Sektors öffentliche Verwaltung nutzt. Der Sektor Raumfahrt fällt in den Anwendungsbereich dieser Richtlinie in Bezug auf die Bereitstellung bestimmter Dienstleistungen, die von bodengestützten Infrastrukturen abhängen, die entweder von Mitgliedstaaten oder von privaten Akteuren im Eigentum stehen, verwaltet und betrieben werden; infolgedessen fallen Infrastrukturen, die Eigentum der Union als Teil ihres Raumfahrtprogramms sind, von ihr verwaltet oder in ihrem Auftrag betrieben werden, nicht in den Anwendungsbereich dieser Richtlinie.
Im Energiebereich und insbesondere bei den Methoden der Stromerzeugung und -übertragung (hinsichtlich der Stromversorgung) gilt, dass die Stromerzeugung, wo dies als angemessen erachtet wird, Stromübertragungsteile von Kernkraftwerken umfassen kann, jedoch die spezifisch nuklearen Elemente ausschließt, die unter Verträge und Unionsrecht fallen, einschließlich relevanter Rechtsakte der Union bezüglich Kernkraft. Das Verfahren zur Identifizierung kritischer Akteure im Lebensmittelsektor sollte die Beschaffenheit des Binnenmarktes in diesem Sektor und die umfangreichen Vorschriften der Union zu den allgemeinen Grundsätzen und Anforderungen des Lebensmittelrechts und der Lebensmittelsicherheit angemessen widerspiegeln. Um daher einen verhältnismäßigen Ansatz zu gewährleisten und die Rolle und Bedeutung dieser Akteure auf nationaler Ebene angemessen widerzuspiegeln, sollten kritische Akteure nur unter Lebensmittelunternehmen, unabhängig davon, ob sie gewinnorientiert sind oder nicht, ob sie öffentlich oder privat sind, identifiziert werden, die ausschließlich in der Logistik und im Großhandelsvertrieb sowie in der industriellen Produktion und Verarbeitung im großen Maßstab mit einem signifikanten Marktanteil auf nationaler Ebene tätig sind. Diese gegenseitigen Abhängigkeiten bedeuten, dass jede Unterbrechung wesentlicher Dienste, selbst eine, die zunächst auf einen UnternehmenEntität bezeichnet eine natürliche oder juristische Person, die nach dem innerstaatlichen Recht des Ortes ihrer Niederlassung gegründet und als solche anerkannt wurde und die in eigenem Namen handelnd Rechte und Pflichten ausüben kann. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) oder ein Sektor, kann kaskadenartige Auswirkungen breiter haben, was potenziell zu einer weitreichenden und langfristigen negativen Auswirkung auf die Erbringung von Dienstleistungen im Binnenmarkt führen kann. Große Krisen, wie die COVID-19-Pandemie, haben gezeigt SchwachstelleSchwachstelle Bezeichnet eine Schwäche, Anfälligkeit oder einen Fehler von IKT-Produkten oder IKT-Diensten, die durch eine Cyber-Bedrohung ausgenutzt werden können. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) unserer zunehmend interdependenten Gesellschaften angesichts von Risiken mit hohem Einfluss und geringer Wahrscheinlichkeit.
(6) Die für die Erbringung wesentlicher Dienstleistungen zuständigen Stellen unterliegen zunehmend unterschiedlichen Anforderungen nach nationalem Recht. Die Tatsache, dass einige Mitgliedstaaten weniger strenge Sicherheitsanforderungen an diese Stellen stellen, führt nicht nur zu unterschiedlichen Widerstandsfähigkeitsniveaus, sondern birgt auch das Risiko, dass die Aufrechterhaltung lebenswichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Aktivitäten in der gesamten Union negativ beeinträchtigt wird und dass es zu Hindernissen für das ordnungsgemäße Funktionieren des Binnenmarktes kommt. Investoren und Unternehmen können sich auf kritische, widerstandsfähige Unternehmen verlassen und ihnen vertrauen, und Zuverlässigkeit und Vertrauen sind die Eckpfeiler eines gut funktionierenden Binnenmarktes. Ähnliche Arten von Unternehmen werden in einigen Mitgliedstaaten als kritisch eingestuft, in anderen jedoch nicht, und diejenigen, die als kritisch eingestuft werden, unterliegen in verschiedenen Mitgliedstaaten unterschiedlichen Anforderungen. Dies führt zu einer zusätzlichen und unnötigen Verwaltungsbelastung für grenzüberschreitend tätige Unternehmen, insbesondere für Unternehmen, die in Mitgliedstaaten mit strengeren Anforderungen tätig sind. Ein Rahmenwerk der Union würde daher auch dazu führen, dass die Wettbewerbsbedingungen für kritische Unternehmen in der gesamten Union angeglichen werden.
(7) Es ist erforderlich, harmonisierte Mindestregeln festzulegen, um die Erbringung wesentlicher Dienstleistungen im Binnenmarkt zu gewährleisten, die Widerstandsfähigkeit kritischer Akteure zu erhöhen und die grenzüberschreitende Zusammenarbeit zwischen den zuständigen Behörden zu verbessern. Es ist wichtig, dass diese Regeln in punkto Ausgestaltung und Umsetzung zukunftssicher sind und gleichzeitig die erforderliche Flexibilität zulassen. Ebenso ist es entscheidend, die Fähigkeit kritischer Akteure zu verbessern, wesentliche Dienstleistungen angesichts einer Vielzahl von Risiken zu erbringen.
(8) Um ein hohes Maß an Resilienz zu erreichen, sollten die Mitgliedstaaten kritische Einheiten identifizieren, die spezifischen Anforderungen und der Aufsicht unterliegen und die im Hinblick auf alle relevanten Risiken besondere Unterstützung und Anleitung erhalten.
(9) Angesichts der Bedeutung von CybersicherheitCybersecurity "Cybersicherheit" ist die Cybersicherheit im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) 2019/881; - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) "Cybersicherheit" bezeichnet die Tätigkeiten, die erforderlich sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen; - Definition gemäß Artikel 2 Nummer 1 der Verordnung (EU) 2019/881; zur Stärkung der Widerstandsfähigkeit kritischer Einrichtungen und im Interesse der Kohärenz sollte, wo immer möglich, ein kohärenter Ansatz zwischen dieser Richtlinie und der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates (5) gewährleistet werden. Angesichts der höheren Häufigkeit und der besonderen Merkmale von Cyberrisiken legt die Richtlinie (EU) 2022/2555 umfassende Anforderungen für eine große Anzahl von Einrichtungen fest, um deren Cybersicherheit zu gewährleisten. Da die Cybersicherheit in der Richtlinie (EU) 2022/2555 ausreichend behandelt wird, sollten die in dieser Richtlinie behandelten Angelegenheiten vom Geltungsbereich dieser Richtlinie ausgenommen werden, unbeschadet des besonderen Regimes für Einrichtungen im Sektor der digitalen Infrastruktur.
(10) Wo sektor-spezifische Unionsrechtsakte die kritischen Entitäten zur Ergreifung von Maßnahmen zur Stärkung ihrer Widerstandsfähigkeit verpflichten und wo diese Anforderungen von den Mitgliedstaaten als mindestens gleichwertig mit den in dieser Richtlinie festgelegten entsprechenden Verpflichtungen anerkannt werden, sollten die einschlägigen Bestimmungen dieser Richtlinie nicht angewendet werden, um Doppelungen und unnötige Belastungen zu vermeiden. In diesem Fall sollten die einschlägigen Bestimmungen solcher Unionsrechtsakte gelten. Wo die einschlägigen Bestimmungen dieser Richtlinie nicht gelten, sollten auch die in dieser Richtlinie festgelegten Bestimmungen über die Aufsicht und die Durchsetzung nicht gelten.
(11) Diese Richtlinie berührt nicht die Zuständigkeiten der Mitgliedstaaten und ihrer Behörden im Hinblick auf die Verwaltungsautonomie oder ihre Verantwortung für die Wahrung der nationalen Sicherheit und Verteidigung oder ihre Befugnisse zur Wahrung anderer wesentlicher staatlicher Aufgaben, insbesondere in Bezug auf die öffentliche Sicherheit, die territoriale Integrität und die Aufrechterhaltung von Recht und Ordnung. Der Ausschluss von Stellen der öffentlichen Verwaltung vom Anwendungsbereich dieser Richtlinie sollte für Stellen gelten, deren Tätigkeiten überwiegend in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Ermittlung, Aufdeckung und Verfolgung von Straftaten, ausgeübt werden. Stellen der öffentlichen Verwaltung, deren Tätigkeiten nur am Rande mit diesen Bereichen zusammenhängen, sollten jedoch in den Anwendungsbereich dieser Richtlinie fallen. Für die Zwecke dieser Richtlinie wird nicht davon ausgegangen, dass Stellen mit Regulierungsbefugnissen Tätigkeiten im Bereich der Strafverfolgung ausüben, und sie werden daher aus diesem Grund nicht vom Anwendungsbereich dieser Richtlinie ausgeschlossen. Stellen der öffentlichen Verwaltung, die gemäß einem internationalen Abkommen gemeinsam mit einem Drittland eingerichtet wurden, sind vom Anwendungsbereich dieser Richtlinie ausgeschlossen. Diese Richtlinie gilt nicht für diplomatische und konsularische Vertretungen der Mitgliedstaaten in Drittländern.
Bestimmte kritische Einrichtungen üben Tätigkeiten in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung aus, einschließlich der Ermittlung, Aufdeckung und Verfolgung von Straftaten, oder erbringen Dienstleistungen ausschließlich für Einrichtungen der öffentlichen Verwaltung, die überwiegend in diesen Bereichen tätig sind. Angesichts der Verantwortung der Mitgliedstaaten für die Wahrung der nationalen Sicherheit und der Verteidigung sollten die Mitgliedstaaten beschließen können, dass die in dieser Richtlinie festgelegten Verpflichtungen für kritische Einrichtungen ganz oder teilweise nicht für diese kritischen Einrichtungen gelten, wenn die von ihnen erbrachten Dienstleistungen oder ausgeübten Tätigkeiten überwiegend mit den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Ermittlung, Aufdeckung und Verfolgung von Straftaten, zusammenhängen. Kritische Einrichtungen, deren Dienste oder Tätigkeiten nur am Rande mit diesen Bereichen zusammenhängen, sollten in den Anwendungsbereich dieser Richtlinie fallen. Kein Mitgliedstaat sollte verpflichtet sein, Informationen zu übermitteln, deren Offenlegung den wesentlichen Interessen seiner nationalen Sicherheit zuwiderlaufen würde. Hierfür sind unionsrechtliche oder nationale Vorschriften zum Schutz von Verschlusssachen sowie Geheimhaltungsvereinbarungen maßgeblich.
(12) Um die nationale Sicherheit oder die Sicherheits- und kommerziellen Interessen kritischer Einrichtungen nicht zu gefährden, sollten sensible Informationen mit Umsicht und besonderer Berücksichtigung der verwendeten Übertragungskanäle und Speicherkapazitäten abgerufen, ausgetauscht und bearbeitet werden.
(13) Um einen umfassenden Ansatz zur Widerstandsfähigkeit kritischer Einrichtungen zu gewährleisten, sollte jeder Mitgliedstaat über eine Strategie zur Stärkung der Widerstandsfähigkeit kritischer Einrichtungen (die ‘Strategie’) verfügen. Die Strategie sollte die strategischen Ziele und die umzusetzenden politischen Maßnahmen darlegen. Im Interesse von Kohärenz und Effizienz sollte die Strategie so konzipiert sein, dass sie bestehende Politiken nahtlos integriert und dabei, wo immer möglich, auf einschlägige bestehende nationale und sektorale Strategien, Pläne oder ähnliche Dokumente aufbaut. Um einen umfassenden Ansatz zu erreichen, sollten die Mitgliedstaaten sicherstellen, dass ihre Strategien einen politischen Rahmen für eine verbesserte Koordinierung zwischen den zuständigen Behörden im Rahmen dieser Richtlinie und den zuständigen Behörden im Rahmen der Richtlinie (EU) 2022/2555 im Zusammenhang mit dem Informationsaustausch über Cybersicherheitsrisiken, Cyberbedrohungen und Cybervorfälle sowie nicht-cyberbezogene Risiken, Bedrohungen und Vorfälle und im Zusammenhang mit der Ausübung von Aufsichtsaufgaben vorsehen. Bei der Ausarbeitung ihrer Strategien sollten die Mitgliedstaaten die hybride Natur von Bedrohungen für kritische Einrichtungen gebührend berücksichtigen.
(14) Die Mitgliedstaaten sollten ihre Strategien und wesentliche Aktualisierungen davon der Kommission mitteilen, insbesondere um es der Kommission zu ermöglichen, die korrekte Anwendung dieser Richtlinie hinsichtlich der politischen Ansätze zur Widerstandsfähigkeit kritischer Einheiten auf nationaler Ebene zu beurteilen. Sofern erforderlich, könnten die Strategien als Verschlusssache übermittelt werden. Die Kommission sollte einen zusammenfassenden Bericht über die von den Mitgliedstaaten übermittelten Strategien erstellen, der als Grundlage für den Austausch dient, um bewährte Verfahren und Fragen von gemeinsamem Interesse im Rahmen einer Gruppe zur Widerstandsfähigkeit kritischer Einheiten zu ermitteln. Aufgrund der sensiblen Natur der im zusammenfassenden Bericht enthaltenen aggregierten Informationen, ungeachtet ihres Verschlusssachenstatus, sollte die Kommission den zusammenfassenden Bericht mit der gebotenen Aufmerksamkeit verwalten, unter Achtung der Sicherheit kritischer Einheiten, der Mitgliedstaaten und der Union. Der zusammenfassende Bericht und die Strategien sollten vor rechtswidrigen oder böswilligen Handlungen geschützt werden und nur befugten Personen zugänglich sein, um die Ziele dieser Richtlinie zu erfüllen. Die Mitteilung der Strategien und wesentlichen Aktualisierungen davon sollte der Kommission auch helfen, Entwicklungen bei den Ansätzen zur Widerstandsfähigkeit kritischer Einheiten zu verstehen und in die Überwachung der Auswirkungen und des Mehrwerts dieser Richtlinie einfließen, die die Kommission regelmäßig überprüfen soll.
(15) Die Maßnahmen der Mitgliedstaaten zur Ermittlung und Stärkung der Widerstandsfähigkeit kritischer Einrichtungen sollten einem risikobasierten Ansatz folgen, der sich auf die Einrichtungen konzentriert, die für die Erfüllung lebenswichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten am relevantesten sind. Um einen solchen gezielten Ansatz zu gewährleisten, sollte jeder Mitgliedstaat innerhalb eines harmonisierten Rahmens eine Bewertung der relevanten natürlichen und vom Menschen verursachten Risiken vornehmen, einschließlich solcher sektorübergreifender oder grenzüberschreitender Art, die die Erbringung wesentlicher Dienste beeinträchtigen könnten, darunter Unfälle, Naturkatastrophen, Notfälle im Bereich der öffentlichen Gesundheit wie Pandemien sowie hybride Bedrohungen oder andere antagonistische Bedrohungen, einschließlich terroristischer Straftaten, krimineller Unterwanderung und Sabotage (‘Risikobewertung des Mitgliedstaats’). Bei der Durchführung der Risikobewertungen der Mitgliedstaaten sollten die Mitgliedstaaten andere allgemeine oder sektorspezifische Risikobewertungen berücksichtigen, die gemäß anderen Rechtsakten der Union durchgeführt wurden, und prüfen, inwieweit Sektoren voneinander abhängig sind, einschließlich von Sektoren in anderen Mitgliedstaaten und Drittländern. Die Ergebnisse der Risikobewertungen der Mitgliedstaaten sollten dazu dienen, kritische Einrichtungen zu ermitteln und diese Einrichtungen bei der Erfüllung ihrer Anforderungen an die Widerstandsfähigkeit zu unterstützen. Diese Richtlinie gilt nur für Mitgliedstaaten und kritische Einrichtungen, die innerhalb der Union tätig sind. Dennoch könnten das Fachwissen und die Erkenntnisse, die von den zuständigen Behörden, insbesondere durch Risikobewertungen, und von der Kommission, insbesondere durch verschiedene Formen der Unterstützung und Zusammenarbeit, gewonnen wurden, gegebenenfalls und im Einklang mit den geltenden Rechtsinstrumenten zum Nutzen von Drittländern, insbesondere solchen in der unmittelbaren Nachbarschaft der Union, genutzt werden, indem sie in die bestehende Zusammenarbeit im Bereich der Widerstandsfähigkeit einfließen.
(16) Um sicherzustellen, dass alle relevanten Einrichtungen den Anforderungen dieser Richtlinie an die Widerstandsfähigkeit unterliegen, und um diesbezügliche Abweichungen zu verringern, ist es wichtig, harmonisierte Vorschriften festzulegen, die eine einheitliche Ermittlung kritischer Einrichtungen in der gesamten Union ermöglichen, es den Mitgliedstaaten jedoch gleichzeitig gestatten, der Rolle und Bedeutung dieser Einrichtungen auf nationaler Ebene angemessen Rechnung zu tragen. Bei der Anwendung der in dieser Richtlinie festgelegten Kriterien sollte jeder Mitgliedstaat Unternehmen ermitteln, die eine oder mehrere wesentliche Dienste erbringen und die auf seinem Hoheitsgebiet tätig sind und über kritische Infrastrukturen verfügen. Ein Unternehmen sollte als auf dem Hoheitsgebiet eines Mitgliedstaats tätig angesehen werden, in dem es die für den oder die betreffenden wesentlichen Dienste erforderlichen Tätigkeiten ausübt und in dem sich die kritische Infrastruktur dieses Unternehmens befindet, die zur Erbringung dieses Dienstes oder dieser Dienste genutzt wird. Erfüllt in einem Mitgliedstaat keine Einrichtung diese Kriterien, sollte dieser Mitgliedstaat nicht verpflichtet sein, eine kritische Einrichtung in dem entsprechenden Sektor oder Teilsektor zu benennen. Im Interesse der Wirksamkeit, Effizienz, Kohärenz und Rechtssicherheit sollten geeignete Vorschriften für die Benachrichtigung von Einrichtungen festgelegt werden, dass sie als kritische Einrichtungen benannt wurden.
(17) Die Mitgliedstaaten sollten der Kommission auf eine Weise, die den Zielen dieser Richtlinie entspricht, eine Liste der wesentlichen Dienstleistungen, die Anzahl der für jeden der in Anhang I aufgeführten Sektoren und Teilsektoren ermittelten kritischen Organisationen und die wesentliche Dienstleistung oder die wesentlichen Dienstleistungen, die jede Organisation erbringt, und, sofern zutreffend, Schwellenwerte übermitteln. Schwellenwerte sollten als solche oder in aggregierter Form dargestellt werden können, was bedeutet, dass die Informationen nach geografischem Gebiet, nach Jahr, nach Sektor, nach Teilsektor oder auf andere Weise gemittelt werden können und Informationen über die Bandbreite der angegebenen Indikatoren enthalten können.
(18) Es sollten Kriterien festgelegt werden, um die Bedeutung einer durch eine VorfallVorfall Bezeichnet ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der von Netz- und Informationssystemen angebotenen oder über sie zugänglichen Dienste beeinträchtigt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie). Diese Kriterien sollten auf den in der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates (6) festgelegten Kriterien aufbauen, um die von den Mitgliedstaaten unternommenen Anstrengungen zur Ermittlung der Betreiber wesentlicher Dienste im Sinne dieser Richtlinie sowie die in diesem Zusammenhang gewonnenen Erfahrungen zu nutzen. Große Krisen wie die COVID-19-Pandemie haben gezeigt, wie wichtig es ist, die Sicherheit der Lieferkette zu gewährleisten, und deutlich gemacht, wie sich deren Störung negativ auf Wirtschaft und Gesellschaft in einer Vielzahl von Sektoren und über Grenzen hinweg auswirken kann. Daher sollten die Mitgliedstaaten bei der Feststellung, inwieweit andere Sektoren und Teilsektoren von der von einer kritischen Einrichtung erbrachten wesentlichen Dienstleistung abhängig sind, soweit möglich auch die Auswirkungen auf die Lieferkette berücksichtigen.
(19) Im Einklang mit dem geltenden Unionsrecht und dem nationalen Recht, einschließlich der Verordnung (EU) 2019/452 des Europäischen Parlaments und des Rates (7) zur Schaffung eines Rahmens für die Überprüfung ausländischer Direktinvestitionen in der Union, ist die potenzielle Bedrohung durch ausländisches Eigentum an kritischer Infrastruktur innerhalb der Union anzuerkennen, da die Dienstleistungen, die Wirtschaft und der freie Personen- und Sicherheitsverkehr der Unionsbürger von der ordnungsgemäßen Funktionsweise der kritischen Infrastruktur abhängen.
(20) Die Richtlinie (EU) 2022/2555 verpflichtet Unternehmen des Sektors der digitalen Infrastruktur, die als kritische Unternehmen gemäß dieser Richtlinie eingestuft werden könnten, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit der Netz- und InformationssystemeSicherheit von Netz- und Informationssystemen bezeichnet die Fähigkeit von Netz- und Informationssystemen, mit einem bestimmten Vertrauensniveau jedem Ereignis zu widerstehen, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der von diesen Netz- und Informationssystemen angebotenen oder über sie zugänglichen Dienste beeinträchtigen könnte; - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) und zur Meldung wesentlicher Vorfälle und Cyberbedrohungen. Da Bedrohungen für die Sicherheit von Netz- und Informationssystemen unterschiedlichen Ursprungs sein können, verfolgt die Richtlinie (EU) 2022/2555 einen ganzheitlichen Ansatz, der die Widerstandsfähigkeit von Netz- und Informationssystemen sowie deren physische Komponenten und deren Umfeld einschließt.
In Anbetracht dessen, dass die in der Richtlinie (EU) 2022/2555 zu diesem Punkt festgelegten Anforderungen mindestens den entsprechenden Verpflichtungen dieser Richtlinie gleichwertig sind, sollten die Verpflichtungen gemäß Artikel 11 und den Kapiteln III, IV und VI dieser Richtlinie für zum Sektor der digitalen Infrastruktur gehörende Einrichtungen nicht gelten, um Doppelarbeit und unnötigen Verwaltungsaufwand zu vermeiden. Angesichts der Bedeutung der von zum Sektor der digitalen Infrastruktur gehörenden Einrichtungen erbrachten Dienstleistungen für kritische Einrichtungen, die zu allen anderen Sektoren gehören, sollten die Mitgliedstaaten jedoch zum Sektor der digitalen Infrastruktur gehörende Einrichtungen auf der Grundlage der in dieser Richtlinie vorgesehenen Kriterien und unter Anwendung des darin vorgesehenen Verfahrens als kritische Einrichtungen identifizieren. Folglich sollten die in Kapitel II dieser Richtlinie dargelegten Strategien, die nationalen Risikobewertungen und die Unterstützungsmaßnahmen gelten. Die Mitgliedstaaten sollten in der Lage sein, Bestimmungen des nationalen Rechts zu erlassen oder beizubehalten, um für diese kritischen Einrichtungen ein höheres Maß an Widerstandsfähigkeit zu erreichen, sofern diese Bestimmungen mit dem geltenden Unionsrecht vereinbar sind.
(21) Das Finanzdienstleistungsrecht der Union enthält umfassende Anforderungen an Finanzinstitute, alle Risiken, denen sie ausgesetzt sind, einschließlich operationeller Risiken, zu steuern und die Geschäftskontinuität sicherzustellen. Zu diesen Rechtsvorschriften gehören die Verordnungen (EU) Nr. 648/2012 (8), (EU) Nr. 575/2013 (9) und (EU) Nr. 600/2014 (10) des Europäischen Parlaments und des Rates sowie die Richtlinien 2013/36/EU (11) und 2014/65/EU (12) des Europäischen Parlaments und des Rates. Dieser Rechtsrahmen wird durch die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates (13) ergänzt, die Anforderungen an Finanzunternehmen für das Management von Risiken im Bereich der Informations- und Kommunikationstechnologie (IKT) festlegt, einschließlich des Schutzes der physischen IKT-Infrastruktur. Da die Widerstandsfähigkeit dieser Unternehmen somit umfassend abgedeckt ist, sollten Artikel 11 und die Kapitel III, IV und VI dieser Richtlinie nicht für diese Unternehmen gelten, um Doppelarbeit und unnötigen Verwaltungsaufwand zu vermeiden.
Unter Berücksichtigung der Bedeutung der Dienstleistungen, die von Unternehmen im Finanzsektor für kritische Unternehmen aller anderen Sektoren erbracht werden, sollten die Mitgliedstaaten Unternehmen im Finanzsektor anhand der in dieser Richtlinie festgelegten Kriterien und nach dem darin vorgesehenen Verfahren als kritische Unternehmen identifizieren. Folglich sollten die in Kapitel II dieser Richtlinie dargelegten Strategien, die Risikobewertungen der Mitgliedstaaten und die Unterstützungsmaßnahmen zur Anwendung kommen. Die Mitgliedstaaten sollten in der Lage sein, Vorschriften des nationalen Rechts zu erlassen oder beizubehalten, um für diese kritischen Unternehmen ein höheres Maß an Resilienz zu erreichen, sofern diese Vorschriften mit dem geltenden Unionsrecht vereinbar sind.
(22) Die Mitgliedstaaten sollten Behörden benennen oder einrichten, die für die Überwachung der Anwendung und gegebenenfalls die Durchsetzung der Vorschriften dieser Richtlinie zuständig sind, und sicherstellen, dass diese Behörden über angemessene Befugnisse und Ressourcen verfügen. Angesichts der unterschiedlichen nationalen Verwaltungsstrukturen, zur Wahrung bestehender sektoraler Regelungen oder von Aufsichts- und Regulierungsstellen der Union sowie zur Vermeidung von Doppelarbeit sollten die Mitgliedstaaten die Möglichkeit haben, mehr als eine zuständige Behörde zu benennen oder einzurichten. Wenn Mitgliedstaaten mehr als eine zuständige Behörde benennen oder einrichten, sollten sie die jeweiligen Aufgaben der betroffenen Behörden klar abgrenzen und sicherstellen, dass diese reibungslos und wirksam zusammenarbeiten. Alle zuständigen Behörden sollten zudem allgemein mit anderen einschlägigen Behörden sowohl auf Unionsebene als auch auf nationaler Ebene zusammenarbeiten.
(23) Um die grenzüberschreitende Zusammenarbeit und Kommunikation zu erleichtern und die wirksame Umsetzung dieser Richtlinie zu ermöglichen, sollte jeder Mitgliedstaat unbeschadet der Anforderungen spezifischer Rechtsakte der Union einen zentralen Ansprechpartner benennen, der für die Koordinierung von Fragen im Zusammenhang mit der Widerstandsfähigkeit kritischer Einrichtungen und der grenzüberschreitenden Zusammenarbeit auf Unionsebene zuständig ist (‘zentraler Ansprechpartner’), gegebenenfalls innerhalb einer zuständigen Behörde. Jeder zentrale Ansprechpartner sollte gegebenenfalls die Kommunikation mit den zuständigen Behörden seines Mitgliedstaates, mit den zentralen Ansprechpartnern anderer Mitgliedstaaten und mit der Gruppe für die Widerstandsfähigkeit kritischer Einrichtungen abstimmen und koordinieren.
(24) Die nach dieser Richtlinie zuständigen Behörden und die nach der Richtlinie (EU) 2022/2555 zuständigen Behörden sollten zusammenarbeiten und Informationen austauschen, was Cybersicherheitsrisiken, Cyberbedrohungen und Cybervorfälle sowie nicht-cyberbezogene Risiken, Bedrohungen und Vorfälle betrifft, die kritische Einrichtungen betreffen, sowie in Bezug auf einschlägige Maßnahmen, die von den nach dieser Richtlinie zuständigen Behörden und den nach der Richtlinie (EU) 2022/2555 zuständigen Behörden ergriffen werden. Es ist wichtig, dass die Mitgliedstaaten sicherstellen, dass die in dieser Richtlinie und in der Richtlinie (EU) 2022/2555 vorgesehenen Anforderungen sich ergänzend umgesetzt werden und dass kritische Einrichtungen keinem Verwaltungsaufwand ausgesetzt sind, der über das zur Erreichung der Ziele dieser Richtlinie und jener Richtlinie erforderliche Maß hinausgeht.
(25) Die Mitgliedstaaten sollten kritische Akteure, einschließlich derjenigen, die als kleine oder mittlere Unternehmen gelten, bei der Stärkung ihrer Widerstandsfähigkeit unterstützen, im Einklang mit den Verpflichtungen der Mitgliedstaaten gemäß dieser Richtlinie, unbeschadet der eigenen rechtlichen Verantwortung der kritischen Akteure, eine solche Einhaltung sicherzustellen und damit übermäßige Verwaltungsbelastungen zu vermeiden. Die Mitgliedstaaten könnten insbesondere Leitmaterialien und Methodologien entwickeln, die Organisation von Übungen zur Prüfung der Widerstandsfähigkeit kritischer Akteure unterstützen und dem Personal kritischer Akteure Beratung und Schulung anbieten. Wo es notwendig und durch Ziele des öffentlichen Interesses gerechtfertigt ist, könnten die Mitgliedstaaten finanzielle Mittel bereitstellen und den freiwilligen Informationsaustausch und den Austausch von bewährten Verfahren zwischen kritischen Akteuren erleichtern, unbeschadet der Anwendung der Wettbewerbsregeln des Vertrags über die Arbeitsweise der Europäischen Union (AEUV).
(26) Um die Widerstandsfähigkeit der von den Mitgliedstaaten ermittelten kritischen Einrichtungen zu stärken und den Verwaltungsaufwand für diese kritischen Einrichtungen zu verringern, sollten sich die zuständigen Behörden, wann immer dies angemessen ist, gegenseitig konsultieren, um eine einheitliche Anwendung dieser Richtlinie sicherzustellen. Diese Konsultationen sollten auf Antrag einer interessierten zuständigen Behörde stattfinden und darauf abzielen, einen einheitlichen Ansatz in Bezug auf miteinander verbundene kritische Einrichtungen sicherzustellen, die kritische Infrastrukturen nutzen, die physisch zwischen zwei oder mehr Mitgliedstaaten verbunden sind, die denselben Gruppen oder Unternehmensstrukturen angehören oder die in einem Mitgliedstaat benannt wurden und wesentliche Dienste für oder in anderen Mitgliedstaaten erbringen.
(27) Wo unionsrechtliche oder nationale Rechtsvorschriften kritische Einheiten verpflichten, Risiken im Sinne dieser Richtlinie zu bewerten und Maßnahmen zu ergreifen, um ihre eigene Widerstandsfähigkeit sicherzustellen, sollten diese Verpflichtungen bei der Überwachung der Einhaltung dieser Richtlinie durch die kritischen Einheiten angemessen berücksichtigt werden.
(28) Kritische Einheiten sollten ein umfassendes Verständnis der für sie relevanten Risiken haben und dazu verpflichtet sein, diese Risiken zu analysieren. Zu diesem Zweck sollten sie Risikobewertungen durchführen, wann immer dies angesichts ihrer besonderen Umstände und der Entwicklung dieser Risiken erforderlich ist, und auf jeden Fall alle vier Jahre, um alle relevanten Risiken zu bewerten, die ihre Erbringung ihrer wesentlichen Dienstleistungen beeinträchtigen könnten (‘Risikobewertung kritischer Einheiten’). Wenn kritische Einheiten andere Risikobewertungen durchgeführt oder Dokumente gemäß den Verpflichtungen aus anderen Rechtsakten erstellt haben, die für ihre Risikobewertung kritischer Einheiten relevant sind, sollten sie in der Lage sein, diese Bewertungen und Dokumente zur Erfüllung der in dieser Richtlinie festgelegten Anforderungen an die Risikobewertungen kritischer Einheiten zu verwenden. Eine zuständige Behörde sollte erklären können, dass eine von einer kritischen Einheit durchgeführte bestehende Risikobewertung, die die relevanten Risiken und das relevante Ausmaß der Abhängigkeit abdeckt, ganz oder teilweise den in dieser Richtlinie festgelegten Verpflichtungen entspricht.
(29) Kritische Entitäten sollten technische, sicherheitstechnische und organisatorische Maßnahmen ergreifen, die dem von ihnen ausgehenden Risiko angemessen und verhältnismäßig sind, um einen Vorfall zu verhindern, davor zu schützen, darauf zu reagieren, ihm standzuhalten, ihn abzuschwächen, zu absorbieren, zu bewältigen und sich von ihm zu erholen. Während kritische Entitäten diese Maßnahmen im Einklang mit dieser Richtlinie ergreifen sollten, sollten die Einzelheiten und das Ausmaß solcher Maßnahmen die von jeder kritischen Entität im Rahmen ihrer Risikobewertung für kritische Entitäten ermittelten unterschiedlichen Risiken und die Besonderheiten einer solchen Entität auf angemessene und verhältnismäßige Weise widerspiegeln. Um eine kohärente unionsweite Vorgehensweise zu fördern, sollte die Kommission nach Anhörung der Gruppe für die Widerstandsfähigkeit kritischer Entitäten unverbindliche Leitlinien annehmen, um diese technischen, sicherheitstechnischen und organisatorischen Maßnahmen weiter zu konkretisieren. Die Mitgliedstaaten sollten sicherstellen, dass jede kritische Entität einen Verbindungsbeamten oder eine gleichwertige Kontaktperson für die zuständigen Behörden benennt.
(30) Im Interesse von Effektivität und Rechenschaftspflicht sollten kritische Einheiten die von ihnen ergriffenen Maßnahmen in einem Resilienzplan oder einem oder mehreren Dokumenten, die einem Resilienzplan gleichwertig sind, mit einem Detaillierungsgrad beschreiben, der die Ziele der Effektivität und Rechenschaftspflicht unter Berücksichtigung der identifizierten Risiken ausreichend erreicht, und diesen Plan in die Praxis umsetzen. Hat eine kritische Einheit bereits technische, sicherheitstechnische und organisatorische Maßnahmen ergriffen und Dokumente gemäß anderen Rechtsakten erstellt, die für die resilienzfördernden Maßnahmen im Rahmen dieser Richtlinie relevant sind, sollte sie in der Lage sein, diese Maßnahmen und Dokumente zur Erfüllung der Anforderungen an die Resilienzmaßnahmen im Rahmen dieser Richtlinie zu nutzen, um Doppelarbeit zu vermeiden. Um Doppelarbeit zu vermeiden, sollte eine zuständige Behörde bestehende Resilienzmaßnahmen, die eine kritische Einheit zur Erfüllung ihrer Verpflichtung zur Ergreifung technischer, sicherheitstechnischer und organisatorischer Maßnahmen gemäß dieser Richtlinie ergriffen hat, ganz oder teilweise als konform mit den Anforderungen dieser Richtlinie erklären können.
(31) Verordnungen (EG) Nr. 725/2004 (14) und (EG) Nr. 300/2008 (15) des Europäischen Parlaments und des Rates sowie die Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates (16) legen Anforderungen für Einrichtungen im Luft- und Seeverkehrssektor fest, um Vorfälle aufgrund rechtswidriger Handlungen zu verhindern und den Folgen solcher Vorfälle zu widerstehen und diese zu mindern. Zwar sind die im Rahmen dieser Richtlinie geforderten Maßnahmen hinsichtlich der abgedeckten Risiken und der Art der zu ergreifenden Maßnahmen umfassender, doch sollten kritische Einrichtungen in diesen Sektoren in ihrem Resilienzplan oder gleichwertigen Dokumenten die gemäß diesen anderen Rechtsakten der Union getroffenen Maßnahmen berücksichtigen. Kritische Einrichtungen sind ferner verpflichtet, die Richtlinie 2008/96/EG des Europäischen Parlaments und des Rates (17) zu berücksichtigen, die eine netzweite Straßenbewertung zur Erfassung des Unfallrisikos sowie eine gezielte Verkehrssicherheitsinspektion zur Ermittlung gefährlicher Zustände, Mängel und Probleme, die das Risiko von Unfällen und Verletzungen erhöhen, auf der Grundlage von Vor-Ort-Besichtigungen bestehender Straßen oder Straßenabschnitte vorsieht. Die Gewährleistung des Schutzes und der Widerstandsfähigkeit kritischer Einrichtungen ist für den Eisenbahnsektor von größter Bedeutung, und bei der Umsetzung von Maßnahmen zur Widerstandsfähigkeit im Rahmen dieser Richtlinie werden kritische Einrichtungen dazu ermutigt, auf nicht verbindliche Leitlinien und Dokumente zu bewährten Verfahren zurückzugreifen, die im Rahmen sektoraler Arbeitsgruppen entwickelt wurden, wie beispielsweise die durch den Beschluss 2018/C 232/03 der Kommission (18) eingerichtete EU-Plattform für die Sicherheit im Schienenpersonenverkehr.
(32) Die Gefahr, dass Mitarbeiter kritischer Einrichtungen oder deren Auftragnehmer beispielsweise ihre Zugangsrechte innerhalb der Organisation der kritischen Einrichtung missbrauchen, um Schaden anzurichten, gibt zunehmend Anlass zur Sorge. Die Mitgliedstaaten sollten daher die Bedingungen festlegen, unter denen kritische Einrichtungen in hinreichend begründeten Fällen und unter Berücksichtigung der Risikobewertungen der Mitgliedstaaten Anträge auf Hintergrundüberprüfungen von Personen stellen dürfen, die bestimmten Kategorien ihres Personals angehören. Es sollte sichergestellt werden, dass die zuständigen Behörden solche Anträge innerhalb einer angemessenen Frist prüfen und sie im Einklang mit nationalem Recht und nationalen Verfahren sowie dem einschlägigen und anwendbaren Unionsrecht, einschließlich des Datenschutzrechts, bearbeiten. Um die Identität einer Person zu bestätigen, die Gegenstand einer Sicherheitsüberprüfung ist, ist es angebracht, dass die Mitgliedstaaten gemäß geltendem Recht einen Identitätsnachweis verlangen, wie beispielsweise einen Reisepass, einen nationalen Personalausweis oder einen digitalen Identitätsnachweis.
Hintergrundprüfungen sollten eine Überprüfung der Strafregister der betreffenden Person umfassen. Die Mitgliedstaaten sollten das Europäische Strafregisterinformationssystem gemäß den in den Beschlüssen 2009/315/JI des Rates (19) und, soweit relevant und anwendbar, in der Verordnung (EU) 2019/816 des Europäischen Parlaments und des Rates (20) festgelegten Verfahren nutzen, um Informationen aus den Strafregistern anderer Mitgliedstaaten zu erhalten. Die Mitgliedstaaten können unter Umständen auch, soweit relevant und anwendbar, auf das durch die Verordnung (EU) 2018/1862 des Europäischen Parlaments und des Rates (21) geschaffene Schengener Informationssystem der zweiten Generation (SIS II), auf Erkenntnisse und auf sonstige verfügbare objektive Informationen zurückgreifen, die für die Beurteilung der Eignung der betreffenden Person für die Tätigkeit, für die die kritische Stelle eine Hintergrundprüfung beantragt hat, erforderlich sein könnten.
(33) Es sollte ein Meldesystem für bestimmte Vorfälle eingerichtet werden, damit die zuständigen Behörden schnell und angemessen auf Vorfälle reagieren und einen umfassenden Überblick über die Auswirkungen, die Art, die Ursache und die möglichen Folgen von Vorfällen haben können, mit denen die betroffenen Stellen befasst sind. Betroffene Stellen sollten die zuständigen Behörden unverzüglich über Vorfälle melden, die die Erbringung von wesentlichen Dienstleistungen erheblich beeinträchtigen oder das Potenzial haben, diese erheblich zu beeinträchtigen. Sofern dies betrieblich nicht möglich ist, sollten betroffene Stellen spätestens 24 Stunden nach Bekanntwerden eines Vorfalls eine Erstmeldung einreichen. Die Erstmeldung sollte nur die unbedingt erforderlichen Informationen enthalten, um die zuständige Behörde über den Vorfall zu informieren und der betroffenen Stelle die Möglichkeit zu geben, gegebenenfalls Hilfe in Anspruch zu nehmen. Eine solche Meldung sollte, wenn möglich, die mutmaßliche Ursache des Vorfalls angeben. Die Mitgliedstaaten sollten sicherstellen, dass die Verpflichtung zur Einreichung dieser Erstmeldung die Ressourcen der betroffenen Stelle nicht von Aktivitäten abzieht, die sich auf EreignisbehandlungBehandlung von Vorfällen Bezeichnet alle Maßnahmen und Verfahren, die darauf abzielen, einen Vorfall zu verhindern, zu entdecken, zu analysieren und einzudämmen oder auf einen Vorfall zu reagieren und sich davon zu erholen. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie), welche priorisiert werden sollte. Der ursprünglichen Mitteilung sollte, wo relevant, spätestens einen Monat nach dem Vorfall ein detaillierter Bericht folgen. Der detaillierte Bericht sollte die ursprüngliche Mitteilung ergänzen und einen umfassenderen Überblick über den Vorfall geben.
(34) Die Standardisierung sollte weiterhin primär ein marktorientierter Prozess bleiben. Es können jedoch weiterhin Situationen auftreten, in denen die Einhaltung bestimmter Normen vorgeschrieben werden muss. Die Mitgliedstaaten sollten, wo dies nützlich ist, die Verwendung europäischer und internationaler Normen und technischer Spezifikationen fördern, die für die Sicherheits- und Widerstandsfähigkeitsmaßnahmen gelten, die für kritische Einheiten gelten.
(35) Während kritische Einheiten im Allgemeinen als Teil eines zunehmend vernetzten Dienstleistungs- und Infrastrukturnetzes agieren und oft wesentliche Dienstleistungen in mehr als einem Mitgliedstaat erbringen, sind einige dieser kritischen Einheiten von besonderer Bedeutung für die Union und ihren Binnenmarkt, da sie wesentliche Dienstleistungen für oder in sechs oder mehr Mitgliedstaaten erbringen und somit von spezifischer Unterstützung auf Unionsebene profitieren könnten. Folglich sollten Regeln für Beratungsmissionen in Bezug auf solche kritischen Einheiten von besonderer europäischer Bedeutung festgelegt werden. Diese Regeln bleiben von den in dieser Richtlinie dargelegten Regeln für Aufsicht und Durchsetzung unberührt.
(36) Auf begründeten Antrag der Kommission oder eines oder mehrerer Mitgliedstaaten, in denen die wesentliche Dienstleistung erbracht wird, und sofern zusätzliche Informationen erforderlich sind, um eine kritische Einrichtung bei der Erfüllung ihrer Verpflichtungen gemäß dieser Richtlinie zu beraten oder die Einhaltung dieser Verpflichtungen durch eine kritische Einrichtung von besonderer europäischer Bedeutung zu bewerten, sollte der Mitgliedstaat, der eine kritische Einrichtung von besonderer europäischer Bedeutung als solche ausgewiesen hat, der Kommission bestimmte in dieser Richtlinie festgelegte Informationen zur Verfügung stellen. Im Einvernehmen mit dem Mitgliedstaat, der die kritische Einrichtung von besonderer europäischer Bedeutung als kritische Einrichtung identifiziert hat, sollte die Kommission in der Lage sein, eine Beratungsmission zu organisieren, um die von dieser Einrichtung getroffenen Maßnahmen zu bewerten. Um sicherzustellen, dass solche Beratungsmissionen ordnungsgemäß durchgeführt werden, sollten ergänzende Vorschriften festgelegt werden, insbesondere zur Organisation und Durchführung der Beratungsmissionen, zu den zu ergreifenden Folgemaßnahmen und zu den Verpflichtungen der betroffenen kritischen Einrichtungen von besonderer europäischer Bedeutung. Der Beratungsbesuch sollte unbeschadet der Verpflichtung des Mitgliedstaats, in dem der Beratungsbesuch stattfindet, und der betroffenen kritischen Einrichtung, die in dieser Richtlinie festgelegten Vorschriften einzuhalten, nach den detaillierten Vorschriften des Rechts dieses Mitgliedstaats durchgeführt werden, beispielsweise hinsichtlich der genauen Bedingungen, die erfüllt sein müssen, um Zugang zu den betreffenden Räumlichkeiten oder Unterlagen zu erhalten, sowie hinsichtlich der Rechtsbehelfe. Spezifisches Fachwissen, das für solche Beratungsmissionen erforderlich ist, könnte gegebenenfalls über das mit dem Beschluss Nr. 1313/2013/EU des Europäischen Parlaments und des Rates (22) eingerichtete Koordinierungszentrum für Notfallmaßnahmen angefordert werden.
(37) Um die Kommission zu unterstützen und die Zusammenarbeit zwischen den Mitgliedstaaten sowie den Informationsaustausch, einschließlich bewährter Verfahren, zu Fragen im Zusammenhang mit dieser Richtlinie zu erleichtern, sollte eine Gruppe zur Resilienz kritischer Einheiten als Expertengruppe der Kommission eingesetzt werden. Die Mitgliedstaaten sollten sich bemühen sicherzustellen, dass die benannten Vertreter ihrer zuständigen Behörden in der Gruppe zur Resilienz kritischer Einheiten effektiv und effizient zusammenarbeiten, auch durch die Benennung von Vertretern mit entsprechender Sicherheitsfreigabe, wo dies angebracht ist. Die Gruppe zur Resilienz kritischer Einheiten sollte so bald wie möglich mit der Erfüllung ihrer Aufgaben beginnen, um zusätzliche Mittel für eine angemessene Zusammenarbeit während der Umsetzungsfrist dieser Richtlinie bereitzustellen. Die Gruppe zur Resilienz kritischer Einheiten sollte mit anderen einschlägigen fachspezifischen Expertengruppen zusammenarbeiten.
(38) Die Gruppe für die Widerstandsfähigkeit kritischer Einrichtungen sollte mit der gemäß der Richtlinie (EU) 2022/2555 eingesetzten Kooperationsgruppe zusammenarbeiten, um einen umfassenden Rahmen für die Cyber- und Nicht-Cyber-Widerstandsfähigkeit kritischer Einrichtungen zu fördern. Die Gruppe für die Widerstandsfähigkeit kritischer Einrichtungen und die gemäß der Richtlinie (EU) 2022/2555 eingesetzte Kooperationsgruppe sollten einen regelmäßigen Dialog führen, um die Zusammenarbeit zwischen den zuständigen Behörden im Rahmen dieser Richtlinie und den zuständigen Behörden im Rahmen der Richtlinie (EU) 2022/2555 zu fördern und den Informationsaustausch zu erleichtern, insbesondere zu Themen, die für beide Gruppen von Bedeutung sind.
(39) Um die Ziele dieser Richtlinie zu erreichen und unbeschadet der rechtlichen Verantwortung der Mitgliedstaaten und der kritischen Akteure, die Einhaltung ihrer jeweiligen Verpflichtungen sicherzustellen, sollte die Kommission, wo sie dies für sachdienlich hält, die zuständigen Behörden und die kritischen Akteure unterstützen, um ihnen die Einhaltung ihrer jeweiligen Verpflichtungen zu erleichtern. Bei der Unterstützung der Mitgliedstaaten und der kritischen Akteure bei der Umsetzung der Verpflichtungen aus dieser Richtlinie sollte die Kommission auf bestehende Strukturen und Instrumente zurückgreifen, wie die des Unions-Katastrophenschutzverfahrens, das mit dem Beschluss Nr. 1313/2013/EU eingerichtet wurde, und das Europäische Referenznetzwerk für den Schutz kritischer Infrastrukturen. Darüber hinaus sollte sie die Mitgliedstaaten über die auf Unionsebene verfügbaren Ressourcen informieren, wie z. B. im Rahmen des Fonds für die innere Sicherheit, der mit der Verordnung (EU) 2021/1149 des Europäischen Parlaments und des Rates (23) eingerichtet wurde, von Horizont Europa, das mit der Verordnung (EU) 2021/695 des Europäischen Parlaments und des Rates (24) eingerichtet wurde, oder anderer Instrumente, die für die Widerstandsfähigkeit kritischer Akteure relevant sind.
Die Mitgliedstaaten sollten sicherstellen, dass ihre zuständigen Behörden über bestimmte spezielle Befugnisse zur ordnungsgemäßen Anwendung und Durchsetzung dieser Richtlinie in Bezug auf kritische Einrichtungen verfügen, sofern diese Einrichtungen ihrer Zuständigkeit gemäß dieser Richtlinie unterliegen. Diese Befugnisse sollten insbesondere die Befugnis zur Durchführung von Inspektionen und Prüfungen, die Befugnis zur Aufsicht, die Befugnis zur Anforderung von Informationen und Nachweisen von kritischen Einrichtungen über die von ihnen zur Erfüllung ihrer Verpflichtungen ergriffenen Maßnahmen sowie, falls erforderlich, die Befugnis zur Anordnung von Abhilfemaßnahmen bei festgestellten Verstößen umfassen. Bei der Erteilung solcher Anordnungen sollten die Mitgliedstaaten keine Maßnahmen verlangen, die über das zur Gewährleistung der Einhaltung der Verpflichtungen der betroffenen kritischen Einrichtung erforderliche und verhältnismäßige Maß hinausgehen, wobei insbesondere die Schwere des Verstoßes und die wirtschaftliche Leistungsfähigkeit der betroffenen kritischen Einrichtung zu berücksichtigen sind. Im Allgemeinen sollten diese Befugnisse von geeigneten und wirksamen Garantien begleitet werden, die im nationalen Recht gemäß der Charta der Grundrechte der Europäischen Union festgelegt werden. Bei der Bewertung der Einhaltung der Verpflichtungen einer kritischen Einrichtung gemäß dieser Richtlinie sollten die zuständigen Behörden im Rahmen dieser Richtlinie die zuständigen Behörden gemäß der Richtlinie (EU) 2022/2555 auffordern können, ihre Aufsichts- und Durchsetzungsbefugnisse in Bezug auf eine gemäß der Richtlinie (EU) 2022/2555 identifizierte kritische Einrichtung auszuüben. Die zuständigen Behörden im Rahmen dieser Richtlinie und die zuständigen Behörden im Rahmen der Richtlinie (EU) 2022/2555 sollten zu diesem Zweck zusammenarbeiten und Informationen austauschen.
Um diese Richtlinie wirksam und einheitlich anwenden zu können, sollte die Befugnis zur Annahme von Rechtsakten gemäß Artikel 290 AEUV auf die Kommission übertragen werden, um diese Richtlinie durch Erstellung einer Liste von wesentlichen Dienstleistungen zu ergänzen. Diese Liste sollte von den zuständigen Behörden verwendet werden, um die Risikobewertungen der Mitgliedstaaten durchzuführen und kritische Einrichtungen gemäß dieser Richtlinie zu identifizieren. Angesichts des Ansatzes der Mindestharmonisierung dieser Richtlinie ist diese Liste nicht erschöpfend, und die Mitgliedstaaten können sie um zusätzliche wesentliche Dienstleistungen auf nationaler Ebene ergänzen, um nationalen Besonderheiten bei der Erbringung wesentlicher Dienstleistungen Rechnung zu tragen. Es ist von besonderer Bedeutung, dass die Kommission bei ihren Vorarbeiten, auch auf Fachebene, entsprechende Konsultationen durchführt und dass diese Konsultationen im Einklang mit den Grundsätzen des Interinstitutionellen Abkommens vom 13. April 2016 über bessere Rechtssetzung (25) erfolgen. Insbesondere zur Gewährleistung einer gleichberechtigten Beteiligung an der Vorbereitung delegierter Rechtsakte erhalten das Europäische Parlament und der Rat alle Dokumente gleichzeitig mit den Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen erhalten systematisch Zugang zu den Sitzungen der Expertengruppen der Kommission, die sich mit der Vorbereitung delegierter Rechtsakte befassen.
Um einheitliche Bedingungen für die Durchführung dieser Richtlinie zu gewährleisten, sollten die Durchführungsbefugnisse der Kommission übertragen werden. Diese Befugnisse sollten gemäß der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates (26) ausgeübt werden.
(43) Da die Ziele dieser Richtlinie, nämlich die Gewährleistung der ungehinderten Bereitstellung von Dienstleistungen, die für die Aufrechterhaltung wesentlicher gesellschaftlicher Funktionen oder wirtschaftlicher Aktivitäten unerlässlich sind, im Binnenmarkt und die Stärkung der Widerstandsfähigkeit kritischer Einrichtungen, die solche Dienstleistungen erbringen, von den Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern aufgrund der Wirkungen des Handelns besser auf Unionsebene verwirklicht werden können, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union verankerten Subsidiaritätsprinzip Maßnahmen erlassen. Im Einklang mit dem in Artikel 5 genannten Proportionalitätsprinzip geht diese Richtlinie nicht über das zur Erreichung dieser Ziele erforderliche Maß hinaus.
(44) Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (27) konsultiert und hat hierzu am 11. August 2021 eine Stellungnahme abgegeben.
(45) Die Richtlinie 2008/114/EG sollte daher aufgehoben werden,
DIESE RICHTLINIE GENEHMIGT: