{"id":584,"date":"2024-01-29T16:47:57","date_gmt":"2024-01-29T16:47:57","guid":{"rendered":"https:\/\/nis2resources.eu\/?page_id=584"},"modified":"2024-08-09T05:19:15","modified_gmt":"2024-08-09T05:19:15","slug":"preamble","status":"publish","type":"page","link":"https:\/\/nis2resources.eu\/de\/richtlinie-2022-2555-nis2\/praambel\/","title":{"rendered":"Pr\u00e4ambel"},"content":{"rendered":"
\n

DAS EUROP\u00c4ISCHE PARLAMENT UND DER RAT DER EUROP\u00c4ISCHEN UNION,<\/h2>\n\n\n\n
gest\u00fctzt auf den Vertrag \u00fcber die Arbeitsweise der Europ\u00e4ischen Union, insbesondere auf Artikel 114,
gest\u00fctzt auf den Vorschlag der Europ\u00e4ischen Kommission,
nach \u00dcbermittlung des Entwurfs des Rechtsakts an die nationalen Parlamente,
gest\u00fctzt auf die Stellungnahme der Europ\u00e4ischen Zentralbank,
gest\u00fctzt auf die Stellungnahme des Europ\u00e4ischen Wirtschafts- und Sozialausschusses,
nach Anh\u00f6rung des Ausschusses der Regionen,
Er handelt nach dem ordentlichen Gesetzgebungsverfahren,<\/div>\n<\/div>\n\n\n\n

in Erw\u00e4gung nachstehender Gr\u00fcnde:<\/p>\n\n\n\n

(1) Die Richtlinie (EU) 2016\/1148 des Europ\u00e4ischen Parlaments und des Rates (4) zielt darauf ab, die CybersicherheitCybersecurity<\/span> \"Cybersicherheit\" ist die Cybersicherheit im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) 2019\/881; - Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a>\r\r\"Cybersicherheit\" bezeichnet die T\u00e4tigkeiten, die erforderlich sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu sch\u00fctzen; - Definition gem\u00e4\u00df Artikel 2 Nummer 1 der Verordnung (EU) 2019\/881;<\/span><\/span><\/span> F\u00e4higkeiten in der gesamten Union zu verbessern, Bedrohungen f\u00fcr Netz- und Informationssysteme, die f\u00fcr die Erbringung wesentlicher Dienste in Schl\u00fcsselsektoren eingesetzt werden, abzuschw\u00e4chen und die Kontinuit\u00e4t dieser Dienste bei Zwischenf\u00e4llen zu gew\u00e4hrleisten und so zur Sicherheit der Union und zum reibungslosen Funktionieren ihrer Wirtschaft und Gesellschaft beizutragen.<\/p>\n\n\n\n

(2) Seit dem Inkrafttreten der Richtlinie (EU) 2016\/1148 wurden erhebliche Fortschritte bei der Erh\u00f6hung der Cyberresilienz in der Union erzielt. Die \u00dcberpr\u00fcfung dieser Richtlinie hat gezeigt, dass sie als Katalysator f\u00fcr den institutionellen und regulatorischen Ansatz zur Cybersicherheit in der Union diente und den Weg f\u00fcr einen erheblichen Mentalit\u00e4tswandel ebnete.<\/p>\n\n\n\n

Diese Richtlinie hat f\u00fcr die Vervollst\u00e4ndigung der nationalen Rahmenregelungen f\u00fcr die Sicherheit der Netz- und InformationssystemeSicherheit von Netz- und Informationssystemen<\/span> bezeichnet die F\u00e4higkeit von Netz- und Informationssystemen, mit einem bestimmten Vertrauensniveau jedem Ereignis zu widerstehen, das die Verf\u00fcgbarkeit, Authentizit\u00e4t, Integrit\u00e4t oder Vertraulichkeit gespeicherter, \u00fcbermittelter oder verarbeiteter Daten oder der von diesen Netz- und Informationssystemen angebotenen oder \u00fcber sie zug\u00e4nglichen Dienste beeintr\u00e4chtigen k\u00f6nnte; - Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> durch die Ausarbeitung nationaler Strategien f\u00fcr die Sicherheit von Netz- und Informationssystemen und die Schaffung nationaler Kapazit\u00e4ten sowie durch die Umsetzung von Regulierungsma\u00dfnahmen f\u00fcr die von den einzelnen Mitgliedstaaten festgelegten wesentlichen Infrastrukturen und Einrichtungen.<\/p>\n\n\n\n

Die Richtlinie (EU) 2016\/1148 hat auch zur Zusammenarbeit auf Unionsebene durch die Einrichtung der Kooperationsgruppe und des Netzes der nationalen Computersicherheitsstellen beigetragen. VorfallVorfall<\/span> Bezeichnet ein Ereignis, das die Verf\u00fcgbarkeit, Authentizit\u00e4t, Integrit\u00e4t oder Vertraulichkeit gespeicherter, \u00fcbermittelter oder verarbeiteter Daten oder der von Netz- und Informationssystemen angebotenen oder \u00fcber sie zug\u00e4nglichen Dienste beeintr\u00e4chtigt. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> Reaktionsteams. Ungeachtet dieser Errungenschaften hat die \u00dcberpr\u00fcfung der Richtlinie (EU) 2016\/1148 inh\u00e4rente M\u00e4ngel aufgedeckt, die verhindern, dass sie aktuelle und neue Herausforderungen der Cybersicherheit wirksam angeht.<\/p>\n\n\n\n

(3) Netz- und Informationssysteme haben sich mit dem rasanten digitalen Wandel und der Vernetzung der Gesellschaft, auch im grenz\u00fcberschreitenden Austausch, zu einem zentralen Merkmal des t\u00e4glichen Lebens entwickelt. Diese Entwicklung hat zu einer Ausweitung der Cyber-BedrohungCyber-Bedrohung<\/span> bezeichnet alle potenziellen Umst\u00e4nde, Ereignisse oder Handlungen, die Netz- und Informationssysteme, die Nutzer solcher Systeme und andere Personen besch\u00e4digen, st\u00f6ren oder anderweitig beeintr\u00e4chtigen k\u00f6nnten - Definition gem\u00e4\u00df Artikel 2 Nummer 8 der Verordnung (EU) 2019\/881<\/span><\/span><\/span> Landschaft und bringen neue Herausforderungen mit sich, die angepasste, koordinierte und innovative Antworten in allen Mitgliedstaaten erfordern.<\/p>\n\n\n\n

Anzahl, Ausma\u00df, Raffinesse, H\u00e4ufigkeit und Auswirkungen von Sicherheitsvorf\u00e4llen nehmen zu und stellen eine gro\u00dfe Bedrohung f\u00fcr das Funktionieren von Netz- und Informationssystemen dar. Infolgedessen k\u00f6nnen Vorf\u00e4lle die Aus\u00fcbung von Wirtschaftst\u00e4tigkeiten im Binnenmarkt behindern, finanzielle Verluste verursachen, das Vertrauen der Nutzer untergraben und der Wirtschaft und Gesellschaft der Union gro\u00dfen Schaden zuf\u00fcgen.<\/p>\n\n\n\n

Bereitschaft und Wirksamkeit der Cybersicherheit sind daher f\u00fcr das ordnungsgem\u00e4\u00dfe Funktionieren des Binnenmarktes heute wichtiger denn je. Dar\u00fcber hinaus ist die Cybersicherheit eine wichtige Voraussetzung daf\u00fcr, dass viele kritische Sektoren den digitalen Wandel erfolgreich bew\u00e4ltigen und die wirtschaftlichen, sozialen und nachhaltigen Vorteile der Digitalisierung voll aussch\u00f6pfen k\u00f6nnen.<\/p>\n\n\n\n

(4) Rechtsgrundlage der Richtlinie (EU) 2016\/1148 war Artikel 114 des Vertrags \u00fcber die Arbeitsweise der Europ\u00e4ischen Union (AEUV), dessen Ziel die Errichtung und das Funktionieren des Binnenmarkts durch verst\u00e4rkte Ma\u00dfnahmen zur Angleichung der nationalen Vorschriften ist. Die Anforderungen an die Cybersicherheit, die Unternehmen auferlegt werden, die wirtschaftlich bedeutende Dienstleistungen erbringen oder T\u00e4tigkeiten aus\u00fcben, unterscheiden sich von Mitgliedstaat zu Mitgliedstaat erheblich in Bezug auf die Art der Anforderungen, ihren Detaillierungsgrad und die Art der \u00dcberwachung. Diese Unterschiede verursachen zus\u00e4tzliche Kosten und erschweren den Unternehmen, die grenz\u00fcberschreitend Waren oder Dienstleistungen anbieten.<\/p>\n\n\n\n

Anforderungen eines Mitgliedstaats, die sich von denen eines anderen Mitgliedstaats unterscheiden oder sogar im Widerspruch zu ihnen stehen, k\u00f6nnen solche grenz\u00fcberschreitenden T\u00e4tigkeiten erheblich beeintr\u00e4chtigen. Dar\u00fcber hinaus d\u00fcrfte sich die M\u00f6glichkeit einer unzureichenden Gestaltung oder Umsetzung von Cybersicherheitsanforderungen in einem Mitgliedstaat auf das Cybersicherheitsniveau anderer Mitgliedstaaten auswirken, insbesondere angesichts der Intensit\u00e4t des grenz\u00fcberschreitenden Austauschs.<\/p>\n\n\n\n

Die \u00dcberpr\u00fcfung der Richtlinie (EU) 2016\/1148 hat gezeigt, dass sie von den Mitgliedstaaten sehr unterschiedlich umgesetzt wird, auch in Bezug auf ihren Anwendungsbereich, dessen Abgrenzung weitgehend dem Ermessen der Mitgliedstaaten \u00fcberlassen wurde. Die Richtlinie (EU) 2016\/1148 r\u00e4umte den Mitgliedstaaten auch einen sehr weiten Ermessensspielraum bei der Umsetzung der darin festgelegten Pflichten zur Gefahrenabwehr und Meldung von Zwischenf\u00e4llen ein. Diese Verpflichtungen wurden daher auf nationaler Ebene auf sehr unterschiedliche Weise umgesetzt. \u00c4hnliche Unterschiede gibt es auch bei der Umsetzung der Bestimmungen der Richtlinie (EU) 2016\/1148 zur Aufsicht und Durchsetzung.<\/p>\n\n\n\n

(5) All diese Unterschiede f\u00fchren zu einer Zersplitterung des Binnenmarktes und k\u00f6nnen sich nachteilig auf sein Funktionieren auswirken, indem sie insbesondere die grenz\u00fcberschreitende Erbringung von Dienstleistungen und das Niveau der Cyber-Resilienz aufgrund der Anwendung einer Vielzahl von Ma\u00dfnahmen beeintr\u00e4chtigen. Letztlich k\u00f6nnten diese Unterschiede dazu f\u00fchren, dass die SchwachstelleSchwachstelle<\/span> Bezeichnet eine Schw\u00e4che, Anf\u00e4lligkeit oder einen Fehler von IKT-Produkten oder IKT-Diensten, die durch eine Cyber-Bedrohung ausgenutzt werden k\u00f6nnen. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> einiger Mitgliedstaaten gegen\u00fcber Cyber-Bedrohungen, mit m\u00f6glichen Spillover-Effekten in der gesamten Union.<\/p>\n\n\n\n

Die vorliegende Richtlinie zielt darauf ab, diese gro\u00dfen Unterschiede zwischen den Mitgliedstaaten zu beseitigen, insbesondere durch die Festlegung von Mindestvorschriften f\u00fcr das Funktionieren eines koordinierten Rechtsrahmens, durch die Festlegung von Mechanismen f\u00fcr eine wirksame Zusammenarbeit zwischen den zust\u00e4ndigen Beh\u00f6rden in den einzelnen Mitgliedstaaten, durch die Aktualisierung der Liste der Sektoren und T\u00e4tigkeiten, die Cybersicherheitsverpflichtungen unterliegen, und durch die Bereitstellung wirksamer Rechtsbehelfe und Durchsetzungsma\u00dfnahmen, die f\u00fcr die wirksame Durchsetzung dieser Verpflichtungen entscheidend sind. Daher sollte die Richtlinie (EU) 2016\/1148 aufgehoben und durch die vorliegende Richtlinie ersetzt werden.<\/p>\n\n\n\n

(6) Mit der Aufhebung der Richtlinie (EU) 2016\/1148 sollte der Anwendungsbereich nach Sektoren auf einen gr\u00f6\u00dferen Teil der Wirtschaft ausgeweitet werden, um eine umfassende Abdeckung von Sektoren und Dienstleistungen zu gew\u00e4hrleisten, die f\u00fcr wichtige gesellschaftliche und wirtschaftliche T\u00e4tigkeiten im Binnenmarkt von entscheidender Bedeutung sind. Mit dieser Richtlinie sollen insbesondere die Unzul\u00e4nglichkeiten der Unterscheidung zwischen Betreibern wesentlicher Dienste und digitaler DienstDigitaler Dienst<\/span> jede Dienstleistung der Informationsgesellschaft, d. h. jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empf\u00e4ngers erbrachte Dienstleistung.\r\rIm Sinne dieser Definition bedeutet i) \"im Fernabsatz\", dass die Dienstleistung ohne gleichzeitige Anwesenheit der Beteiligten erbracht wird; ii) \"auf elektronischem Wege\", dass die Dienstleistung mittels Ger\u00e4ten f\u00fcr die elektronische Verarbeitung (einschlie\u00dflich digitaler Kompression) und Speicherung von Daten am Ausgangspunkt gesendet und am Zielort empfangen wird und vollst\u00e4ndig \u00fcber Draht, \u00fcber Funk, auf optischem oder anderem elektromagnetischem Wege \u00fcbertragen, weitergeleitet und empfangen wird; iii) \"auf individuellen Abruf eines Empf\u00e4ngers von Diensten\", dass die Dienstleistung durch \u00dcbermittlung von Daten auf individuelle Anforderung erbracht wird.\r\r- Definition gem\u00e4\u00df Artikel 1 Absatz 1 Buchstabe b der Richtlinie (EU) 2015\/1535 des Europ\u00e4ischen Parlaments und des Rates<\/span><\/span><\/span> Dies hat sich als veraltet erwiesen, da es nicht die Bedeutung der Sektoren oder Dienstleistungen f\u00fcr die gesellschaftlichen und wirtschaftlichen Aktivit\u00e4ten im Binnenmarkt widerspiegelt.<\/p>\n\n\n\n

(7) Gem\u00e4\u00df der Richtlinie (EU) 2016\/1148 waren die Mitgliedstaaten daf\u00fcr zust\u00e4ndig, die Einrichtungen zu bestimmen, die die Kriterien f\u00fcr die Einstufung als Betreiber wesentlicher Dienste erf\u00fcllen. Um die gro\u00dfen Unterschiede zwischen den Mitgliedstaaten in dieser Hinsicht zu beseitigen und Rechtssicherheit in Bezug auf die Cybersicherheit zu gew\u00e4hrleisten RisikoRisiko<\/span> Bezeichnet das Potenzial f\u00fcr Verluste oder St\u00f6rungen, die durch ein Ereignis verursacht werden, und wird als Kombination aus dem Ausma\u00df eines solchen Verlusts oder einer solchen St\u00f6rung und der Wahrscheinlichkeit des Eintretens des Ereignisses ausgedr\u00fcckt. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span>-Managementma\u00dfnahmen und Berichterstattungspflichten f\u00fcr alle relevanten Stellen sollte ein einheitliches Kriterium festgelegt werden, das bestimmt, welche Stellen in den Anwendungsbereich dieser Richtlinie fallen.<\/p>\n\n\n\n

Dieses Kriterium sollte in der Anwendung einer \"size-cap\"-Regel bestehen, wonach alle Einheiten, die gem\u00e4\u00df Artikel 2 des Anhangs der Empfehlung 2003\/361\/EG der Kommission als mittlere Unternehmen gelten oder die in Absatz 1 des genannten Artikels vorgesehenen H\u00f6chstgrenzen f\u00fcr mittlere Unternehmen \u00fcberschreiten und die in den Sektoren t\u00e4tig sind und die Arten von Dienstleistungen erbringen oder T\u00e4tigkeiten aus\u00fcben, die unter diese Richtlinie fallen, in deren Anwendungsbereich fallen. Die Mitgliedstaaten sollten ferner vorsehen, dass bestimmte Klein- und Kleinstunternehmen im Sinne von Artikel 2 Abs\u00e4tze 2 und 3 des genannten Anhangs, die spezifische Kriterien erf\u00fcllen, die auf eine Schl\u00fcsselrolle f\u00fcr die Gesellschaft, die Wirtschaft oder f\u00fcr bestimmte Sektoren oder Dienstleistungsarten hinweisen, in den Anwendungsbereich dieser Richtlinie fallen.<\/p>\n\n\n\n

(8) Der Ausschluss von Einrichtungen der \u00f6ffentlichen Verwaltung aus dem Anwendungsbereich dieser Richtlinie sollte f\u00fcr Einrichtungen gelten, deren T\u00e4tigkeiten \u00fcberwiegend in den Bereichen der nationalen und \u00f6ffentlichen Sicherheit, der Verteidigung oder der Strafverfolgung, einschlie\u00dflich der Verh\u00fctung, Ermittlung, Feststellung und Verfolgung von Straftaten, ausge\u00fcbt werden. Einrichtungen der \u00f6ffentlichen Verwaltung, deren T\u00e4tigkeiten nur am Rande mit diesen Bereichen zusammenh\u00e4ngen, sollten jedoch nicht vom Anwendungsbereich dieser Richtlinie ausgeschlossen werden.<\/p>\n\n\n\n

F\u00fcr die Zwecke dieser Richtlinie wird nicht davon ausgegangen, dass Einrichtungen mit Regelungsbefugnissen T\u00e4tigkeiten im Bereich der Strafverfolgung aus\u00fcben, und sie sind daher nicht aus diesem Grund vom Anwendungsbereich dieser Richtlinie ausgeschlossen. Einrichtungen der \u00f6ffentlichen Verwaltung, die gem\u00e4\u00df einem internationalen Abkommen gemeinsam mit einem Drittland errichtet wurden, sind vom Anwendungsbereich dieser Richtlinie ausgeschlossen. Diese Richtlinie gilt nicht f\u00fcr die diplomatischen und konsularischen Vertretungen der Mitgliedstaaten in Drittl\u00e4ndern oder f\u00fcr deren Netz- und Informationssysteme, sofern sich diese Systeme in den R\u00e4umlichkeiten der Vertretung befinden oder f\u00fcr Nutzer in einem Drittland betrieben werden.<\/p>\n\n\n\n

(9) Die Mitgliedstaaten sollten in der Lage sein, die erforderlichen Ma\u00dfnahmen zu ergreifen, um den Schutz der wesentlichen Interessen der nationalen Sicherheit zu gew\u00e4hrleisten, die \u00f6ffentliche Ordnung und die \u00f6ffentliche Sicherheit zu sch\u00fctzen und die Verh\u00fctung, Ermittlung, Feststellung und Verfolgung von Straftaten zu erm\u00f6glichen.<\/p>\n\n\n\n

Zu diesem Zweck sollten die Mitgliedstaaten die M\u00f6glichkeit haben, bestimmte Stellen, die T\u00e4tigkeiten in den Bereichen nationale Sicherheit, \u00f6ffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschlie\u00dflich der Verh\u00fctung, Ermittlung, Feststellung und Verfolgung von Straftaten, aus\u00fcben, von bestimmten in dieser Richtlinie festgelegten Verpflichtungen in Bezug auf diese T\u00e4tigkeiten auszunehmen.<\/p>\n\n\n\n

Wo ein UnternehmenEntit\u00e4t<\/span> bezeichnet eine nat\u00fcrliche oder juristische Person, die nach dem innerstaatlichen Recht des Ortes ihrer Niederlassung gegr\u00fcndet und als solche anerkannt wurde und die in eigenem Namen handelnd Rechte und Pflichten aus\u00fcben kann. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> erbringt Dienstleistungen ausschlie\u00dflich f\u00fcr ein \u00f6ffentliche VerwaltungseinheitEinheit der \u00f6ffentlichen Verwaltung<\/span> Eine Einrichtung, die in einem Mitgliedstaat nach nationalem Recht als solche anerkannt ist, mit Ausnahme der Justiz, der Parlamente und der Zentralbanken, und die folgende Kriterien erf\u00fcllt:\r(a) Sie ist zur Deckung eines Bedarfs von allgemeinem Interesse gegr\u00fcndet worden und hat keinen industriellen oder kommerziellen Charakter; b) sie besitzt Rechtspers\u00f6nlichkeit oder ist gesetzlich befugt, im Namen einer anderen Einrichtung mit Rechtspers\u00f6nlichkeit zu handeln;\r(c) sie wird \u00fcberwiegend vom Staat, von Gebietsk\u00f6rperschaften oder von anderen Einrichtungen des \u00f6ffentlichen Rechts finanziert, unterliegt hinsichtlich ihrer Leitung der Aufsicht durch diese K\u00f6rperschaften oder Einrichtungen oder verf\u00fcgt \u00fcber ein Verwaltungs-, Leitungs- oder Aufsichtsorgan, dessen Mitglieder mehrheitlich vom Staat, von Gebietsk\u00f6rperschaften oder von anderen Einrichtungen des \u00f6ffentlichen Rechts ernannt werden; d) sie ist befugt, an nat\u00fcrliche oder juristische Personen Verwaltungs- oder Regulierungsentscheidungen zu richten, die deren Rechte im grenz\u00fcberschreitenden Personen-, Waren-, Dienstleistungs- oder Kapitalverkehr ber\u00fchren.\r- Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> die vom Anwendungsbereich dieser Richtlinie ausgenommen ist, sollten die Mitgliedstaaten die M\u00f6glichkeit haben, diese Stelle von bestimmten in dieser Richtlinie festgelegten Verpflichtungen in Bezug auf diese Dienste zu befreien. Dar\u00fcber hinaus sollte kein Mitgliedstaat verpflichtet sein, Informationen zu \u00fcbermitteln, deren Offenlegung den wesentlichen Interessen seiner nationalen Sicherheit, \u00f6ffentlichen Sicherheit oder Verteidigung zuwiderlaufen w\u00fcrde.<\/p>\n\n\n\n

Unionsrechtliche oder nationale Vorschriften zum Schutz von Verschlusssachen, Vertraulichkeitsvereinbarungen und informelle Geheimhaltungsvereinbarungen wie das Ampelprotokoll sollten in diesem Zusammenhang ber\u00fccksichtigt werden. Das Ampelprotokoll ist als ein Mittel zu verstehen, das \u00fcber etwaige Beschr\u00e4nkungen bei der Weitergabe von Informationen informiert. Es wird in fast allen Computer Security Incident Response Teams (CSIRTs) und in einigen Zentren f\u00fcr Informationsanalyse und -austausch verwendet.<\/p>\n\n\n\n

(10) Obwohl diese Richtlinie f\u00fcr Einrichtungen gilt, die T\u00e4tigkeiten im Bereich der Erzeugung von Elektrizit\u00e4t aus Kernkraftwerken durchf\u00fchren, k\u00f6nnen einige dieser T\u00e4tigkeiten mit der nationalen Sicherheit verbunden sein. Wenn dies der Fall ist, sollte ein Mitgliedstaat in der Lage sein, seine Verantwortung f\u00fcr den Schutz der nationalen Sicherheit in Bezug auf diese T\u00e4tigkeiten, einschlie\u00dflich der T\u00e4tigkeiten innerhalb der nuklearen Wertsch\u00f6pfungskette, im Einklang mit den Vertr\u00e4gen wahrzunehmen.<\/p>\n\n\n\n

(11) Einige Einrichtungen \u00fcben T\u00e4tigkeiten in den Bereichen nationale Sicherheit, \u00f6ffentliche Sicherheit, Verteidigung oder Strafverfolgung aus, einschlie\u00dflich der Verh\u00fctung, Ermittlung, Feststellung und Verfolgung von Straftaten, und erbringen gleichzeitig Vertrauensdienste. VertrauensdienstVertrauensdienst<\/span> Bezeichnet einen elektronischen Dienst, der in der Regel gegen Entgelt erbracht wird und Folgendes umfasst: a) die Erstellung, \u00dcberpr\u00fcfung und Validierung elektronischer Signaturen, elektronischer Siegel oder elektronischer Zeitstempel, elektronischer Einschreibedienste und damit zusammenh\u00e4ngender Zertifikate oder b) die Erstellung, \u00dcberpr\u00fcfung und Validierung von Zertifikaten f\u00fcr die Website-Authentifizierung oder c) die Aufbewahrung von elektronischen Signaturen, Siegeln oder Zertifikaten im Zusammenhang mit diesen Diensten - Definition gem\u00e4\u00df Artikel 3 Nummer 16 der Verordnung (EU) Nr. 910\/2014<\/span><\/span><\/span> Anbieter, die in den Anwendungsbereich der Verordnung (EU) Nr. 910\/2014 des Europ\u00e4ischen Parlaments und des Rates (6) fallen, sollten in den Anwendungsbereich dieser Richtlinie fallen, um das gleiche Ma\u00df an Sicherheitsanforderungen und Aufsicht zu gew\u00e4hrleisten, das zuvor in der genannten Verordnung f\u00fcr Vertrauensdiensteanbieter festgelegt war. Im Einklang mit dem Ausschluss bestimmter spezifischer Dienste aus der Verordnung (EU) Nr. 910\/2014 sollte diese Richtlinie nicht f\u00fcr die Erbringung von Vertrauensdiensten gelten, die ausschlie\u00dflich innerhalb geschlossener Systeme genutzt werden, die sich aus nationalen Rechtsvorschriften oder aus Vereinbarungen zwischen einer bestimmten Gruppe von Teilnehmern ergeben.<\/p>\n\n\n\n

(12) Anbieter von Postdiensten im Sinne der Richtlinie 97\/67\/EG des Europ\u00e4ischen Parlaments und des Rates, einschlie\u00dflich Anbieter von Kurierdiensten, sollten dieser Richtlinie unterliegen, wenn sie mindestens einen der Schritte in der Postzustellungskette, insbesondere die Abholung, das Sortieren, die Bef\u00f6rderung oder die Verteilung von Postsendungen, einschlie\u00dflich Abholdienste, erbringen, wobei der Grad ihrer Abh\u00e4ngigkeit von Netz- und Informationssystemen zu ber\u00fccksichtigen ist. Transportdienste, die nicht in Verbindung mit einem dieser Schritte erbracht werden, sollten vom Anwendungsbereich der Postdienste ausgeschlossen werden.<\/p>\n\n\n\n

(13) In Anbetracht der Versch\u00e4rfung und zunehmenden Raffinesse von Cyber-Bedrohungen sollten sich die Mitgliedstaaten bem\u00fchen, sicherzustellen, dass Einrichtungen, die vom Anwendungsbereich dieser Richtlinie ausgenommen sind, ein hohes Ma\u00df an Cybersicherheit erreichen, und die Umsetzung gleichwertiger Ma\u00dfnahmen des Cybersicherheits-Risikomanagements unterst\u00fctzen, die dem sensiblen Charakter dieser Einrichtungen Rechnung tragen.<\/p>\n\n\n\n

(14) Das Datenschutzrecht der Union und das Unionsrecht zum Schutz der Privatsph\u00e4re gelten f\u00fcr jede Verarbeitung personenbezogener Daten im Rahmen dieser Richtlinie. Insbesondere l\u00e4sst diese Richtlinie die Verordnung (EU) 2016\/679 des Europ\u00e4ischen Parlaments und des Rates und die Richtlinie 2002\/58\/EG des Europ\u00e4ischen Parlaments und des Rates unber\u00fchrt. Diese Richtlinie sollte daher unter anderem nicht die Aufgaben und Befugnisse der Beh\u00f6rden ber\u00fchren, die f\u00fcr die \u00dcberwachung der Einhaltung des geltenden Datenschutzrechts der Union und des Unionsrechts zum Schutz der Privatsph\u00e4re zust\u00e4ndig sind.<\/p>\n\n\n\n

(15) Einrichtungen, die im Hinblick auf die Einhaltung von Ma\u00dfnahmen des Cybersicherheitsrisikomanagements und von Meldepflichten in den Anwendungsbereich dieser Richtlinie fallen, sollten in zwei Kategorien eingeteilt werden, n\u00e4mlich in wesentliche Einrichtungen und in wichtige Einrichtungen, wobei das Ausma\u00df, in dem sie in Bezug auf ihren Sektor oder die Art der von ihnen erbrachten Dienstleistung kritisch sind, sowie ihre Gr\u00f6\u00dfe ber\u00fccksichtigt werden sollten. In dieser Hinsicht sollten gegebenenfalls einschl\u00e4gige sektorale Risikobewertungen oder Leitlinien der zust\u00e4ndigen Beh\u00f6rden geb\u00fchrend ber\u00fccksichtigt werden. Die Aufsichts- und Durchsetzungsregelungen f\u00fcr diese beiden Kategorien von Unternehmen sollten differenziert werden, um ein angemessenes Gleichgewicht zwischen risikobasierten Anforderungen und Verpflichtungen einerseits und dem mit der \u00dcberwachung der Einhaltung der Vorschriften verbundenen Verwaltungsaufwand andererseits zu gew\u00e4hrleisten.<\/p>\n\n\n\n

(16) Um zu vermeiden, dass Unternehmen, die Partnerunternehmen oder verbundene Unternehmen haben, als wesentliche oder wichtige Unternehmen angesehen werden, wenn dies unverh\u00e4ltnism\u00e4\u00dfig w\u00e4re, k\u00f6nnen die Mitgliedstaaten bei der Anwendung von Artikel 6 Absatz 2 des Anhangs der Empfehlung 2003\/361\/EG den Grad der Unabh\u00e4ngigkeit ber\u00fccksichtigen, den ein Unternehmen gegen\u00fcber seinen Partnerunternehmen oder verbundenen Unternehmen genie\u00dft. Insbesondere k\u00f6nnen die Mitgliedstaaten die Tatsache ber\u00fccksichtigen, dass ein Unternehmen in Bezug auf das Netz und die Informationssysteme, die dieses Unternehmen bei der Erbringung seiner Dienstleistungen nutzt, und in Bezug auf die von ihm erbrachten Dienstleistungen von seinen Partnerunternehmen oder verbundenen Unternehmen unabh\u00e4ngig ist.<\/p>\n\n\n\n

Auf dieser Grundlage k\u00f6nnen die Mitgliedstaaten gegebenenfalls davon ausgehen, dass ein solches Unternehmen nicht als mittleres Unternehmen im Sinne von Artikel 2 des Anhangs der Empfehlung 2003\/361\/EG einzustufen ist oder die in Absatz 1 des genannten Artikels vorgesehenen Obergrenzen f\u00fcr mittlere Unternehmen nicht \u00fcberschreitet, wenn das Unternehmen unter Ber\u00fccksichtigung des Grades seiner Unabh\u00e4ngigkeit nicht als mittleres Unternehmen eingestuft worden w\u00e4re oder diese Obergrenzen nicht \u00fcberschritten h\u00e4tte, wenn nur seine eigenen Daten ber\u00fccksichtigt worden w\u00e4ren. Dies l\u00e4sst die in dieser Richtlinie festgelegten Verpflichtungen von Partnerunternehmen und verbundenen Unternehmen, die in den Anwendungsbereich dieser Richtlinie fallen, unber\u00fchrt.<\/p>\n\n\n\n

(17) Die Mitgliedstaaten sollten beschlie\u00dfen k\u00f6nnen, dass Einrichtungen, die vor dem Inkrafttreten der vorliegenden Richtlinie als Betreiber wesentlicher Dienste gem\u00e4\u00df der Richtlinie (EU) 2016\/1148 ermittelt wurden, als wesentliche Einrichtungen zu betrachten sind.<\/p>\n\n\n\n

(18) Um einen klaren \u00dcberblick \u00fcber die in den Anwendungsbereich dieser Richtlinie fallenden Einrichtungen zu gew\u00e4hrleisten, sollten die Mitgliedstaaten eine Liste der wesentlichen und wichtigen Einrichtungen sowie der Einrichtungen, die Dom\u00e4nennamenregistrierungsdienste anbieten, erstellen. Zu diesem Zweck sollten die Mitgliedstaaten von den Einrichtungen verlangen, dass sie den zust\u00e4ndigen Beh\u00f6rden zumindest die folgenden Informationen \u00fcbermitteln, n\u00e4mlich Name, Anschrift und aktuelle Kontaktdaten, einschlie\u00dflich der E-Mail-Adressen, IP-Bereiche und Telefonnummern der Einrichtung, und gegebenenfalls den jeweiligen Sektor und Teilsektor gem\u00e4\u00df den Anh\u00e4ngen sowie gegebenenfalls eine Liste der Mitgliedstaaten, in denen sie Dienstleistungen erbringen, die in den Geltungsbereich dieser Richtlinie fallen.<\/p>\n\n\n\n

Zu diesem Zweck sollte die Kommission mit Unterst\u00fctzung der Agentur der Europ\u00e4ischen Union f\u00fcr Cybersicherheit (ENISA) unverz\u00fcglich Leitlinien und Vorlagen f\u00fcr die Verpflichtung zur \u00dcbermittlung von Informationen bereitstellen. Zur Erleichterung der Erstellung und Aktualisierung des Verzeichnisses der wesentlichen und bedeutenden Einrichtungen sowie der Einrichtungen, die Dienste zur Registrierung von Dom\u00e4nennamen anbieten, sollten die Mitgliedstaaten die M\u00f6glichkeit haben, nationale Mechanismen einzurichten, damit sich die Einrichtungen selbst registrieren k\u00f6nnen. Wenn es auf nationaler Ebene Register gibt, k\u00f6nnen die Mitgliedstaaten \u00fcber geeignete Verfahren entscheiden, die die Identifizierung von Einrichtungen, die in den Anwendungsbereich dieser Richtlinie fallen, erm\u00f6glichen.<\/p>\n\n\n\n

(19) Die Mitgliedstaaten sollten daf\u00fcr verantwortlich sein, der Kommission zumindest die Zahl der wesentlichen und bedeutenden Einrichtungen f\u00fcr jeden Sektor und Teilsektor gem\u00e4\u00df den Anh\u00e4ngen sowie einschl\u00e4gige Informationen \u00fcber die Zahl der ermittelten Einrichtungen und die in dieser Richtlinie festgelegten Bestimmungen, auf deren Grundlage sie ermittelt wurden, sowie \u00fcber die Art der von ihnen erbrachten Dienstleistung zu \u00fcbermitteln. Die Mitgliedstaaten werden aufgefordert, mit der Kommission Informationen \u00fcber wesentliche und wichtige Einrichtungen auszutauschen und im Falle einer gro\u00df angelegter CybersicherheitsvorfallGro\u00dfer Vorfall im Bereich der Cybersicherheit<\/span> Ein Ereignis, das ein Ausma\u00df an St\u00f6rungen verursacht, das die Reaktionsf\u00e4higkeit eines Mitgliedstaats \u00fcbersteigt, oder das erhebliche Auswirkungen auf mindestens zwei Mitgliedstaaten hat. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span>Die Kommission wird gebeten, relevante Informationen wie den Namen der betreffenden Einrichtung anzugeben.<\/p>\n\n\n\n

(20) Die Kommission sollte in Zusammenarbeit mit der Kooperationsgruppe und nach Anh\u00f6rung der einschl\u00e4gigen Interessengruppen Leitlinien f\u00fcr die Anwendung der Kriterien erstellen, die f\u00fcr Kleinst- und Kleinunternehmen gelten, um zu beurteilen, ob sie in den Anwendungsbereich dieser Richtlinie fallen. Die Kommission sollte auch sicherstellen, dass Kleinst- und Kleinunternehmen, die in den Anwendungsbereich dieser Richtlinie fallen, angemessene Leitlinien erhalten. Die Kommission sollte mit Unterst\u00fctzung der Mitgliedstaaten den Kleinst- und Kleinunternehmen diesbez\u00fcgliche Informationen zur Verf\u00fcgung stellen.<\/p>\n\n\n\n

(21) Die Kommission k\u00f6nnte die Mitgliedstaaten bei der Umsetzung der Bestimmungen dieser Richtlinie \u00fcber den Anwendungsbereich und die Bewertung der Verh\u00e4ltnism\u00e4\u00dfigkeit der gem\u00e4\u00df dieser Richtlinie zu treffenden Ma\u00dfnahmen unterst\u00fctzen, insbesondere im Hinblick auf Unternehmen mit komplexen Gesch\u00e4ftsmodellen oder Betriebsumgebungen, bei denen ein Unternehmen gleichzeitig die Kriterien f\u00fcr wesentliche und wichtige Unternehmen erf\u00fcllen oder gleichzeitig T\u00e4tigkeiten aus\u00fcben kann, von denen einige in den Anwendungsbereich dieser Richtlinie fallen und andere nicht.<\/p>\n\n\n\n

(22) Diese Richtlinie bildet die Grundlage f\u00fcr Ma\u00dfnahmen des Cybersicherheitsrisikomanagements und f\u00fcr Meldepflichten in den Sektoren, die in ihren Anwendungsbereich fallen. Um eine Fragmentierung der Cybersicherheitsbestimmungen in den Rechtsakten der Union zu vermeiden, sollte die Kommission in den F\u00e4llen, in denen weitere sektorspezifische Rechtsakte der Union \u00fcber Ma\u00dfnahmen des Cybersicherheitsrisikomanagements und Meldepflichten f\u00fcr notwendig erachtet werden, um ein hohes Cybersicherheitsniveau in der gesamten Union zu gew\u00e4hrleisten, pr\u00fcfen, ob solche weiteren Bestimmungen in einem Durchf\u00fchrungsrechtsakt im Rahmen dieser Richtlinie festgelegt werden k\u00f6nnten.<\/p>\n\n\n\n

Sollte ein solcher Durchf\u00fchrungsrechtsakt f\u00fcr diesen Zweck nicht geeignet sein, k\u00f6nnten sektorspezifische Rechtsakte der Union dazu beitragen, ein hohes Ma\u00df an Cybersicherheit in der gesamten Union zu gew\u00e4hrleisten, wobei den Besonderheiten und der Komplexit\u00e4t der betreffenden Sektoren in vollem Umfang Rechnung zu tragen ist. Zu diesem Zweck schlie\u00dft diese Richtlinie den Erlass weiterer sektorspezifischer Rechtsakte der Union nicht aus, die sich mit Ma\u00dfnahmen des Risikomanagements im Bereich der Cybersicherheit und mit Meldepflichten befassen und die der Notwendigkeit eines umfassenden und koh\u00e4renten Cybersicherheitsrahmens geb\u00fchrend Rechnung tragen. Diese Richtlinie ber\u00fchrt nicht die bestehenden Durchf\u00fchrungsbefugnisse, die der Kommission in einer Reihe von Sektoren, einschlie\u00dflich Verkehr und Energie, \u00fcbertragen wurden.<\/p>\n\n\n\n

(23) Enth\u00e4lt ein sektorspezifischer Rechtsakt der Union Bestimmungen, nach denen wesentliche oder bedeutende Einrichtungen verpflichtet sind, Ma\u00dfnahmen f\u00fcr das Risikomanagement im Bereich der Cybersicherheit zu ergreifen oder bedeutende Vorf\u00e4lle zu melden, und sind diese Anforderungen in ihrer Wirkung den in dieser Richtlinie festgelegten Verpflichtungen zumindest gleichwertig, so sollten diese Bestimmungen, einschlie\u00dflich der Bestimmungen \u00fcber die Aufsicht und die Durchsetzung, f\u00fcr diese Einrichtungen gelten. Gilt ein sektorspezifischer Rechtsakt der Union nicht f\u00fcr alle Einrichtungen eines bestimmten Sektors, der in den Anwendungsbereich dieser Richtlinie f\u00e4llt, so sollten die einschl\u00e4gigen Bestimmungen dieser Richtlinie weiterhin f\u00fcr die Einrichtungen gelten, die nicht unter diesen Rechtsakt fallen.<\/p>\n\n\n\n

(24) Sehen Bestimmungen eines sektorspezifischen Rechtsakts der Union vor, dass wesentliche oder bedeutende Einrichtungen Meldepflichten einhalten m\u00fcssen, die in ihrer Wirkung den Meldepflichten nach dieser Richtlinie zumindest gleichwertig sind, sollten die Koh\u00e4renz und die Wirksamkeit der Bearbeitung von Meldungen \u00fcber Vorf\u00e4lle sichergestellt werden. Zu diesem Zweck sollten die Bestimmungen des sektorspezifischen Rechtsakts der Union \u00fcber die Meldung von Vorf\u00e4llen den CSIRTs, den zust\u00e4ndigen Beh\u00f6rden oder den einheitlichen Ansprechpartnern f\u00fcr Cybersicherheit (\"einheitliche Ansprechpartner\") gem\u00e4\u00df dieser Richtlinie einen unmittelbaren Zugang zu den gem\u00e4\u00df dem sektorspezifischen Rechtsakt der Union \u00fcbermittelten Meldungen von Vorf\u00e4llen erm\u00f6glichen.<\/p>\n\n\n\n

Ein solcher unmittelbarer Zugang kann insbesondere dann gew\u00e4hrleistet werden, wenn die Meldungen von Zwischenf\u00e4llen ohne unn\u00f6tige Verz\u00f6gerung an das CSIRT, die zust\u00e4ndige Beh\u00f6rde oder den einheitlichen Ansprechpartner gem\u00e4\u00df dieser Richtlinie weitergeleitet werden. Gegebenenfalls sollten die Mitgliedstaaten ein automatisches und direktes Meldeverfahren einrichten, das einen systematischen und sofortigen Informationsaustausch mit den CSIRT, den zust\u00e4ndigen Beh\u00f6rden oder den einheitlichen Ansprechpartnern \u00fcber die Bearbeitung solcher Zwischenfallmeldungen gew\u00e4hrleistet. Zur Vereinfachung der Meldung und zur Umsetzung des automatischen und direkten Meldemechanismus k\u00f6nnten die Mitgliedstaaten im Einklang mit dem sektorspezifischen Rechtsakt der Union eine einzige Anlaufstelle verwenden.<\/p>\n\n\n\n

(25) Sektorspezifische Rechtsakte der Union, die Ma\u00dfnahmen f\u00fcr das Risikomanagement im Bereich der Cybersicherheit oder Meldepflichten vorsehen, die in ihrer Wirkung den in dieser Richtlinie festgelegten zumindest gleichwertig sind, k\u00f6nnten vorsehen, dass die nach diesen Rechtsakten zust\u00e4ndigen Beh\u00f6rden ihre Aufsichts- und Durchsetzungsbefugnisse in Bezug auf diese Ma\u00dfnahmen oder Pflichten mit Unterst\u00fctzung der nach dieser Richtlinie zust\u00e4ndigen Beh\u00f6rden aus\u00fcben.<\/p>\n\n\n\n

Die betroffenen zust\u00e4ndigen Beh\u00f6rden k\u00f6nnten zu diesem Zweck Kooperationsvereinbarungen treffen. In solchen Kooperationsvereinbarungen k\u00f6nnten unter anderem die Verfahren f\u00fcr die Koordinierung der Aufsichtst\u00e4tigkeiten, einschlie\u00dflich der Verfahren f\u00fcr Ermittlungen und Pr\u00fcfungen vor Ort im Einklang mit dem nationalen Recht, und ein Mechanismus f\u00fcr den Austausch einschl\u00e4giger Informationen \u00fcber die Beaufsichtigung und Durchsetzung zwischen den zust\u00e4ndigen Beh\u00f6rden, einschlie\u00dflich des Zugangs zu cyberbezogenen Informationen, die von den zust\u00e4ndigen Beh\u00f6rden gem\u00e4\u00df dieser Richtlinie angefordert werden, festgelegt werden.<\/p>\n\n\n\n

(26) In den F\u00e4llen, in denen sektorspezifische Rechtsakte der Union die Meldung erheblicher Cyber-Bedrohungen vorschreiben oder Anreize daf\u00fcr bieten, sollten die Mitgliedstaaten auch die Weitergabe erheblicher Cyber-Bedrohungen an die CSIRTs, die zust\u00e4ndigen Beh\u00f6rden oder die einheitlichen Ansprechpartner im Rahmen dieser Richtlinie f\u00f6rdern, um sicherzustellen, dass diese Stellen besser \u00fcber die Cyber-Bedrohungslage informiert sind und in der Lage sind, wirksam und rechtzeitig zu reagieren, wenn die erheblichen Cyber-Bedrohungen eintreten.<\/p>\n\n\n\n

(27) K\u00fcnftige sektorspezifische Rechtsakte der Union sollten den Definitionen und dem in dieser Richtlinie festgelegten Aufsichts- und Durchsetzungsrahmen geb\u00fchrend Rechnung tragen.<\/p>\n\n\n\n

(28) Die Verordnung (EU) 2022\/2554 des Europ\u00e4ischen Parlaments und des Rates (10) sollte als sektorspezifischer Rechtsakt der Union in Bezug auf diese Richtlinie in Bezug auf Finanzunternehmen betrachtet werden. Die Bestimmungen der Verordnung (EU) Nr. 2022\/2554 \u00fcber das Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT), das Management von IKT-bezogenen Vorf\u00e4llen und insbesondere die Meldung gr\u00f6\u00dferer IKT-bezogener Vorf\u00e4lle sowie \u00fcber die Pr\u00fcfung der digitalen operationellen Belastbarkeit, Vereinbarungen \u00fcber den Informationsaustausch und das IKT-Drittrisiko sollten anstelle der in dieser Richtlinie vorgesehenen Bestimmungen gelten. Die Mitgliedstaaten sollten daher die Bestimmungen dieser Richtlinie \u00fcber Risikomanagement und Meldepflichten im Bereich der Cybersicherheit sowie \u00fcber Aufsicht und Durchsetzung nicht auf Finanzunternehmen anwenden, die unter die Verordnung (EU) 2022\/2554 fallen. Gleichzeitig ist es wichtig, eine enge Beziehung und den Informationsaustausch mit dem Finanzsektor im Rahmen dieser Richtlinie aufrechtzuerhalten.<\/p>\n\n\n\n

Zu diesem Zweck gestattet die Verordnung (EU) 2022\/2554 den Europ\u00e4ischen Finanzaufsichtsbeh\u00f6rden (ESA) und den zust\u00e4ndigen Beh\u00f6rden im Rahmen dieser Verordnung, sich an den T\u00e4tigkeiten der Kooperationsgruppe zu beteiligen und Informationen auszutauschen und mit den einheitlichen Ansprechpartnern sowie mit den CSIRT und den zust\u00e4ndigen Beh\u00f6rden im Rahmen dieser Richtlinie zusammenzuarbeiten. Die zust\u00e4ndigen Beh\u00f6rden im Sinne der Verordnung (EU) 2022\/2554 sollten den CSIRTs, den zust\u00e4ndigen Beh\u00f6rden oder den einheitlichen Ansprechpartnern im Sinne dieser Richtlinie auch Einzelheiten zu gr\u00f6\u00dferen IKT-bezogenen Vorf\u00e4llen und gegebenenfalls zu erheblichen Cyber-Bedrohungen \u00fcbermitteln. Dies l\u00e4sst sich dadurch erreichen, dass sie sofortigen Zugang zu den Meldungen \u00fcber Vorf\u00e4lle gew\u00e4hren und diese entweder direkt oder \u00fcber eine zentrale Anlaufstelle weiterleiten. Dar\u00fcber hinaus sollten die Mitgliedstaaten den Finanzsektor weiterhin in ihre Cybersicherheitsstrategien einbeziehen, und die CSIRTs k\u00f6nnen den Finanzsektor in ihre T\u00e4tigkeiten einbeziehen.<\/p>\n\n\n\n

(29) Um L\u00fccken oder \u00dcberschneidungen bei den Cybersicherheitsverpflichtungen, die den Stellen im Luftfahrtsektor auferlegt werden, zu vermeiden, sollten die nationalen Beh\u00f6rden im Rahmen der Verordnungen (EG) Nr. 300\/2008 und (EU) 2018\/1139 des Europ\u00e4ischen Parlaments und des Rates und die zust\u00e4ndigen Beh\u00f6rden im Rahmen dieser Richtlinie in Bezug auf die Durchf\u00fchrung von Ma\u00dfnahmen des Cybersicherheitsrisikomanagements und die \u00dcberwachung der Einhaltung dieser Ma\u00dfnahmen auf nationaler Ebene zusammenarbeiten. Die Einhaltung der in den Verordnungen (EG) Nr. 300\/2008 und (EU) 2018\/1139 sowie in den gem\u00e4\u00df diesen Verordnungen erlassenen einschl\u00e4gigen delegierten Rechtsakten und Durchf\u00fchrungsrechtsakten festgelegten Sicherheitsanforderungen durch eine Einrichtung k\u00f6nnte von den gem\u00e4\u00df dieser Richtlinie zust\u00e4ndigen Beh\u00f6rden als Einhaltung der entsprechenden Anforderungen dieser Richtlinie betrachtet werden.<\/p>\n\n\n\n

(30) Angesichts der Verflechtungen zwischen der Cybersicherheit und der physischen Sicherheit von Einrichtungen sollte ein koh\u00e4renter Ansatz zwischen der Richtlinie (EU) 2022\/2557 des Europ\u00e4ischen Parlaments und des Rates und der vorliegenden Richtlinie sichergestellt werden. Um dies zu erreichen, sollten Einrichtungen, die gem\u00e4\u00df der Richtlinie (EU) 2022\/2557 als kritische Einrichtungen eingestuft sind, als wesentliche Einrichtungen im Sinne der vorliegenden Richtlinie betrachtet werden.<\/p>\n\n\n\n

Au\u00dferdem sollte jeder Mitgliedstaat sicherstellen, dass seine nationale Strategie f\u00fcr CybersicherheitNationale Cybersicherheitsstrategie<\/span> Bezeichnet einen koh\u00e4renten Rahmen eines Mitgliedstaats, der strategische Ziele und Priorit\u00e4ten im Bereich der Cybersicherheit sowie die Governance zu deren Erreichung in diesem Mitgliedstaat vorsieht. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> sieht einen politischen Rahmen f\u00fcr eine verst\u00e4rkte Koordinierung innerhalb dieses Mitgliedstaats zwischen den zust\u00e4ndigen Beh\u00f6rden gem\u00e4\u00df dieser Richtlinie und den Beh\u00f6rden gem\u00e4\u00df der Richtlinie (EU) 2022\/2557 im Zusammenhang mit dem Informationsaustausch \u00fcber Risiken, Cyber-Bedrohungen und -Vorf\u00e4lle sowie \u00fcber Nicht-Cyber-Risiken, -Bedrohungen und -Vorf\u00e4lle und die Wahrnehmung von Aufsichtsaufgaben vor. Die gem\u00e4\u00df dieser Richtlinie und die gem\u00e4\u00df der Richtlinie (EU) 2022\/2557 zust\u00e4ndigen Beh\u00f6rden sollten zusammenarbeiten und unverz\u00fcglich Informationen austauschen, insbesondere in Bezug auf die Ermittlung kritischer Stellen, Risiken, Cyber-Bedrohungen und -Vorf\u00e4lle sowie in Bezug auf Nicht-Cyber-Risiken, -Bedrohungen und -Vorf\u00e4lle, die kritische Stellen betreffen, einschlie\u00dflich der von kritischen Stellen ergriffenen Cybersicherheits- und physischen Ma\u00dfnahmen sowie der Ergebnisse der in Bezug auf diese Stellen durchgef\u00fchrten Aufsichtst\u00e4tigkeiten.<\/p>\n\n\n\n

Um die Aufsichtst\u00e4tigkeiten der zust\u00e4ndigen Beh\u00f6rden im Rahmen der vorliegenden Richtlinie und der zust\u00e4ndigen Beh\u00f6rden im Rahmen der Richtlinie (EU) 2022\/2557 zu straffen und den Verwaltungsaufwand f\u00fcr die betroffenen Unternehmen so gering wie m\u00f6glich zu halten, sollten sich die zust\u00e4ndigen Beh\u00f6rden au\u00dferdem bem\u00fchen, die Vorlagen f\u00fcr die Meldung von Vorf\u00e4llen und die Aufsichtsverfahren zu harmonisieren. Gegebenenfalls sollten die gem\u00e4\u00df der Richtlinie (EU) 2022\/2557 zust\u00e4ndigen Beh\u00f6rden die gem\u00e4\u00df der vorliegenden Richtlinie zust\u00e4ndigen Beh\u00f6rden ersuchen k\u00f6nnen, ihre Aufsichts- und Durchsetzungsbefugnisse in Bezug auf eine Einrichtung auszu\u00fcben, die gem\u00e4\u00df der Richtlinie (EU) 2022\/2557 als kritische Einrichtung eingestuft ist. Die gem\u00e4\u00df der vorliegenden Richtlinie zust\u00e4ndigen Beh\u00f6rden und die gem\u00e4\u00df der Richtlinie (EU) 2022\/2557 zust\u00e4ndigen Beh\u00f6rden sollten zu diesem Zweck zusammenarbeiten und Informationen austauschen, und zwar m\u00f6glichst in Echtzeit.<\/p>\n\n\n\n

(31) Einrichtungen, die dem Sektor der digitalen Infrastruktur angeh\u00f6ren, st\u00fctzen sich im Wesentlichen auf Netz- und Informationssysteme, und daher sollten die diesen Einrichtungen gem\u00e4\u00df dieser Richtlinie auferlegten Verpflichtungen die physische Sicherheit solcher Systeme als Teil ihrer Ma\u00dfnahmen zum Risikomanagement im Bereich der Cybersicherheit und ihrer Berichterstattungspflichten umfassend behandeln. Da diese Fragen von der vorliegenden Richtlinie abgedeckt werden, gelten die in den Kapiteln III, IV und VI der Richtlinie (EU) 2022\/2557 festgelegten Verpflichtungen nicht f\u00fcr diese Einrichtungen.

<\/p>\n\n\n\n

(32) Die Aufrechterhaltung und der Erhalt eines zuverl\u00e4ssigen, widerstandsf\u00e4higen und sicheren Dom\u00e4nennamensystems (DNS) sind Schl\u00fcsselfaktoren f\u00fcr die Aufrechterhaltung der Integrit\u00e4t des Internets und von wesentlicher Bedeutung f\u00fcr seinen kontinuierlichen und stabilen Betrieb, von dem die digitale Wirtschaft und Gesellschaft abh\u00e4ngen. Daher sollte diese Richtlinie f\u00fcr TLD-Register und DNS-Diensteanbieter gelten, die als Einrichtungen zu verstehen sind, die \u00f6ffentlich zug\u00e4ngliche rekursive Dom\u00e4nennamensaufl\u00f6sungsdienste f\u00fcr Internet-Endnutzer oder ma\u00dfgebliche Dom\u00e4nennamensaufl\u00f6sungsdienste f\u00fcr die Nutzung durch Dritte anbieten. Diese Richtlinie sollte nicht f\u00fcr Root-Name-Server gelten.

<\/p>\n\n\n\n

(33) Cloud-Computing-Dienste sollten digitale Dienste umfassen, die eine bedarfsgerechte Verwaltung und einen umfassenden Fernzugriff auf einen skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen erm\u00f6glichen, auch wenn diese Ressourcen \u00fcber mehrere Standorte verteilt sind. Zu den Rechenressourcen geh\u00f6ren Ressourcen wie Netze, Server oder andere Infrastrukturen, Betriebssysteme, Software, Speicher, Anwendungen und Dienste. Zu den Dienstmodellen des Cloud Computing geh\u00f6ren u. a. Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS) und Network as a Service (NaaS).
<\/p>\n\n\n\n

Die Einsatzmodelle des Cloud Computing sollten private, gemeinschaftliche, \u00f6ffentliche und hybride Clouds umfassen. Die Cloud-Computing-DienstCloud Computing-Dienst<\/span> Bezeichnet einen digitalen Dienst, der eine bedarfsgerechte Verwaltung und einen umfassenden Fernzugriff auf einen skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen erm\u00f6glicht, auch wenn diese Ressourcen \u00fcber mehrere Standorte verteilt sind. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> und Bereitstellungsmodelle haben die gleiche Bedeutung wie die in ISO\/IEC 17788:2014 definierten Begriffe f\u00fcr Dienste und Bereitstellungsmodelle StandardStandard<\/span> Eine technische Spezifikation, die von einem anerkannten Normungsgremium zur wiederholten oder st\u00e4ndigen Anwendung angenommen wurde, deren Einhaltung nicht zwingend vorgeschrieben ist und bei der es sich um eine der folgenden Normen handelt:\r(a) \"internationale Norm\" eine Norm, die von einem internationalen Normungsgremium angenommen wurde; b) \"europ\u00e4ische Norm\" eine Norm, die von einer europ\u00e4ischen Normungsorganisation angenommen wurde; c) \"harmonisierte Norm\" eine europ\u00e4ische Norm, die auf der Grundlage eines Antrags der Kommission auf Anwendung der Harmonisierungsrechtsvorschriften der Union angenommen wurde; d) \"nationale Norm\" eine Norm, die von einem nationalen Normungsgremium angenommen wurde - Definition gem\u00e4\u00df Artikel 2 Nummer 1 der Verordnung (EU) Nr. 1025\/2012 des Europ\u00e4ischen Parlaments und des Rates.<\/span><\/span><\/span>. Die F\u00e4higkeit des Cloud-Computing-Nutzers, Rechenkapazit\u00e4ten wie Serverzeit oder Netzwerkspeicher einseitig selbst bereitzustellen, ohne dass der Anbieter des Cloud-Computing-Dienstes eingreifen muss, k\u00f6nnte als On-Demand-Verwaltung bezeichnet werden.
<\/p>\n\n\n\n

Der Begriff \"breiter Fernzugriff\" wird verwendet, um zu beschreiben, dass die Cloud-Funktionen \u00fcber das Netz bereitgestellt werden und der Zugriff \u00fcber Mechanismen erfolgt, die die Nutzung heterogener Thin- oder Thick-Client-Plattformen, einschlie\u00dflich Mobiltelefonen, Tablets, Laptops und Workstations, f\u00f6rdern. Der Begriff \"skalierbar\" bezieht sich auf Rechenressourcen, die vom Cloud-Dienstanbieter unabh\u00e4ngig vom geografischen Standort der Ressourcen flexibel zugewiesen werden, um Nachfrageschwankungen zu bew\u00e4ltigen.
<\/p>\n\n\n\n

Der Begriff \"elastischer Pool\" wird verwendet, um Rechenressourcen zu beschreiben, die je nach Bedarf bereitgestellt und freigegeben werden, um die verf\u00fcgbaren Ressourcen je nach Arbeitsbelastung schnell zu erh\u00f6hen oder zu verringern. Der Begriff \"gemeinsam nutzbar\" wird verwendet, um Rechenressourcen zu beschreiben, die mehreren Nutzern zur Verf\u00fcgung gestellt werden, die einen gemeinsamen Zugang zu dem Dienst haben, wobei die Verarbeitung jedoch f\u00fcr jeden Nutzer getrennt erfolgt, obwohl der Dienst von denselben elektronischen Ger\u00e4ten aus erbracht wird. Der Begriff \"verteilt\" wird verwendet, um Rechenressourcen zu beschreiben, die sich auf verschiedenen vernetzten Computern oder Ger\u00e4ten befinden und die untereinander durch Nachrichten\u00fcbermittlung kommunizieren und koordinieren.

<\/p>\n\n\n\n

(34) Angesichts des Aufkommens innovativer Technologien und neuer Gesch\u00e4ftsmodelle ist damit zu rechnen, dass auf dem Binnenmarkt neue Cloud-Computing-Dienste und -Bereitstellungsmodelle entstehen, die den sich wandelnden Kundenbed\u00fcrfnissen Rechnung tragen. In diesem Zusammenhang k\u00f6nnen Cloud-Computing-Dienste in hochgradig verteilter Form erbracht werden, und zwar noch n\u00e4her an dem Ort, an dem die Daten erzeugt oder gesammelt werden, so dass das traditionelle Modell durch ein hochgradig verteiltes Modell ersetzt wird (Edge Computing).

<\/p>\n\n\n\n

(35) Dienstleistungen, die von RechenzentrumsdienstDienst des Datenzentrums<\/span> <\/b>bezeichnet einen Dienst, der Strukturen oder Gruppen von Strukturen umfasst, die der zentralen Unterbringung, der Zusammenschaltung und dem Betrieb von IT- und Netzwerkausr\u00fcstungen dienen, die Datenspeicherungs-, -verarbeitungs- und -transportdienste erbringen, sowie alle Einrichtungen und Infrastrukturen f\u00fcr die Stromverteilung und Umgebungskontrolle. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> Anbieter nicht immer in Form eines Cloud-Computing-Dienstes bereitgestellt werden. Dementsprechend stellen Rechenzentren nicht immer einen Teil der Cloud-Computing-Infrastruktur dar. Um alle Risiken f\u00fcr die Sicherheit von Netz- und Informationssystemen zu beherrschen, sollte diese Richtlinie daher auch f\u00fcr Anbieter von Rechenzentrumsdiensten gelten, die keine Cloud-Computing-Dienste sind.
<\/p>\n\n\n\n

F\u00fcr die Zwecke dieser Richtlinie sollte der Begriff \"Rechenzentrumsdienst\" die Erbringung eines Dienstes umfassen, der Strukturen oder Gruppen von Strukturen umfasst, die f\u00fcr die zentrale Unterbringung, die Zusammenschaltung und den Betrieb von Informationstechnologie (IT) und Netzausr\u00fcstungen, die Datenspeicherungs-, -verarbeitungs- und -transportdienste erbringen, sowie alle Einrichtungen und Infrastrukturen f\u00fcr die Stromverteilung und die Umgebungskontrolle bestimmt sind. Der Begriff \"Rechenzentrumsdienst\" sollte nicht f\u00fcr unternehmensinterne Rechenzentren gelten, die sich im Besitz der betreffenden Einrichtung befinden und von dieser f\u00fcr ihre eigenen Zwecke betrieben werden.

<\/p>\n\n\n\n

(36) Forschungst\u00e4tigkeiten spielen eine Schl\u00fcsselrolle bei der Entwicklung neuer Produkte und Verfahren. Viele dieser T\u00e4tigkeiten werden von Einrichtungen durchgef\u00fchrt, die ihre Forschungsergebnisse weitergeben, verbreiten oder zu kommerziellen Zwecken nutzen. Diese Einrichtungen k\u00f6nnen daher wichtige Akteure in Wertsch\u00f6pfungsketten sein, so dass die Sicherheit ihrer Netz- und Informationssysteme ein wesentlicher Bestandteil der allgemeinen Cybersicherheit des Binnenmarktes ist.
<\/p>\n\n\n\n

Unter Forschungseinrichtungen sind Einrichtungen zu verstehen, die den wesentlichen Teil ihrer T\u00e4tigkeiten auf die Durchf\u00fchrung von angewandter Forschung oder experimenteller Entwicklung im Sinne des Frascati-Handbuchs 2015 der Organisation f\u00fcr wirtschaftliche Zusammenarbeit und Entwicklung konzentrieren: Guidelines for Collecting and Reporting Data on Research and Experimental Development\" der Organisation f\u00fcr wirtschaftliche Zusammenarbeit und Entwicklung (OECD) konzentrieren, um ihre Ergebnisse f\u00fcr kommerzielle Zwecke zu nutzen, z. B. f\u00fcr die Herstellung oder Entwicklung eines Produkts oder Verfahrens, die Erbringung einer Dienstleistung oder deren Vermarktung.

<\/p>\n\n\n\n

(37) Die zunehmenden Interdependenzen sind das Ergebnis eines zunehmend grenz\u00fcberschreitenden und voneinander abh\u00e4ngigen Netzes der Erbringung von Dienstleistungen unter Nutzung von Schl\u00fcsselinfrastrukturen in der gesamten Union in Bereichen wie Energie, Verkehr, digitale Infrastruktur, Trinkwasser und Abwasser, Gesundheit, bestimmte Aspekte der \u00f6ffentlichen Verwaltung sowie Raumfahrt, soweit es um die Erbringung bestimmter Dienstleistungen geht, die von bodengest\u00fctzten Infrastrukturen abh\u00e4ngen, die entweder Eigentum der Mitgliedstaaten oder privater Parteien sind und von diesen verwaltet und betrieben werden, so dass Infrastrukturen, die Eigentum der Union sind und von dieser oder in ihrem Namen im Rahmen ihres Raumfahrtprogramms verwaltet oder betrieben werden, nicht erfasst werden.
<\/p>\n\n\n\n

Diese wechselseitigen Abh\u00e4ngigkeiten bedeuten, dass jede St\u00f6rung, selbst wenn sie zun\u00e4chst auf eine Einrichtung oder einen Sektor beschr\u00e4nkt ist, kaskadenartige Auswirkungen auf breiterer Ebene haben kann, was zu weitreichenden und lang anhaltenden negativen Folgen f\u00fcr die Erbringung von Dienstleistungen im gesamten Binnenmarkt f\u00fchren kann. Die verst\u00e4rkten Cyberangriffe w\u00e4hrend der COVID-19-Pandemie haben gezeigt, wie verwundbar die zunehmend voneinander abh\u00e4ngigen Gesellschaften angesichts der geringen Wahrscheinlichkeit von Risiken sind.

<\/p>\n\n\n\n

(38) In Anbetracht der unterschiedlichen nationalen Governance-Strukturen und um bereits bestehende sektorale Regelungen oder Aufsichts- und Regulierungsstellen der Union zu sch\u00fctzen, sollten die Mitgliedstaaten eine oder mehrere f\u00fcr die Cybersicherheit und f\u00fcr die Aufsichtsaufgaben im Rahmen dieser Richtlinie zust\u00e4ndige Beh\u00f6rden benennen oder einrichten k\u00f6nnen.

<\/p>\n\n\n\n

(39) Um die grenz\u00fcberschreitende Zusammenarbeit und Kommunikation zwischen den Beh\u00f6rden zu erleichtern und eine wirksame Umsetzung dieser Richtlinie zu erm\u00f6glichen, muss jeder Mitgliedstaat eine einzige Kontaktstelle benennen, die f\u00fcr die Koordinierung von Fragen der Sicherheit von Netz- und Informationssystemen und der grenz\u00fcberschreitenden Zusammenarbeit auf Unionsebene zust\u00e4ndig ist.

<\/p>\n\n\n\n

(40) Die einheitlichen Ansprechpartner sollten eine wirksame grenz\u00fcberschreitende Zusammenarbeit mit den zust\u00e4ndigen Beh\u00f6rden anderer Mitgliedstaaten und gegebenenfalls mit der Kommission und der ENISA gew\u00e4hrleisten. Die einheitlichen Ansprechpartner sollten daher die Aufgabe haben, Meldungen \u00fcber erhebliche Vorf\u00e4lle mit grenz\u00fcberschreitenden Auswirkungen auf Ersuchen des CSIRT oder der zust\u00e4ndigen Beh\u00f6rde an die einheitlichen Ansprechpartner anderer betroffener Mitgliedstaaten weiterzuleiten. Auf nationaler Ebene sollten die einheitlichen Ansprechpartner eine reibungslose sektor\u00fcbergreifende Zusammenarbeit mit anderen zust\u00e4ndigen Beh\u00f6rden erm\u00f6glichen. Die einheitlichen Ansprechpartner k\u00f6nnten auch die Adressaten relevanter Informationen \u00fcber Vorf\u00e4lle sein, die Finanzunternehmen betreffen, die von den zust\u00e4ndigen Beh\u00f6rden gem\u00e4\u00df der Verordnung (EU) 2022\/2554 \u00fcbermittelt werden und die sie gegebenenfalls an die CSIRTs oder die zust\u00e4ndigen Beh\u00f6rden gem\u00e4\u00df dieser Richtlinie weiterleiten k\u00f6nnen.
<\/p>\n\n\n\n

(41) Die Mitgliedstaaten sollten sowohl in technischer als auch in organisatorischer Hinsicht angemessen ausgestattet sein, um Vorf\u00e4lle und Risiken zu verhindern, aufzudecken, darauf zu reagieren und sie zu mindern. Die Mitgliedstaaten sollten daher im Rahmen dieser Richtlinie ein oder mehrere CSIRTs einrichten oder benennen und sicherstellen, dass diese \u00fcber angemessene Ressourcen und technische F\u00e4higkeiten verf\u00fcgen. Die CSIRTs sollten die in dieser Richtlinie festgelegten Anforderungen erf\u00fcllen, um wirksame und kompatible F\u00e4higkeiten zur Bew\u00e4ltigung von Vorf\u00e4llen und Risiken zu gew\u00e4hrleisten und eine effiziente Zusammenarbeit auf Unionsebene sicherzustellen.<\/p>\n\n\n\n

Die Mitgliedstaaten sollten die M\u00f6glichkeit haben, bestehende Computer-Notfallteams (CERTs) als CSIRTs zu benennen. Um das Vertrauensverh\u00e4ltnis zwischen den Stellen und den CSIRTs zu st\u00e4rken, sollten die Mitgliedstaaten in den F\u00e4llen, in denen ein CSIRT Teil einer zust\u00e4ndigen Beh\u00f6rde ist, eine funktionale Trennung zwischen den operativen Aufgaben der CSIRTs, insbesondere in Bezug auf den Informationsaustausch und die Unterst\u00fctzung der Stellen, und den Aufsichtst\u00e4tigkeiten der zust\u00e4ndigen Beh\u00f6rden in Betracht ziehen k\u00f6nnen.<\/p>\n\n\n\n

(42) Die CSIRTs haben folgende Aufgaben EreignisbehandlungBehandlung von Vorf\u00e4llen<\/span> Bezeichnet alle Ma\u00dfnahmen und Verfahren, die darauf abzielen, einen Vorfall zu verhindern, zu entdecken, zu analysieren und einzud\u00e4mmen oder auf einen Vorfall zu reagieren und sich davon zu erholen. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span>. Dazu geh\u00f6rt auch die Verarbeitung gro\u00dfer Mengen von mitunter sensiblen Daten. Die Mitgliedstaaten sollten sicherstellen, dass die CSIRTs \u00fcber eine Infrastruktur f\u00fcr den Informationsaustausch und die Informationsverarbeitung sowie \u00fcber gut ausgestattetes Personal verf\u00fcgen, das die Vertraulichkeit und Vertrauensw\u00fcrdigkeit ihrer T\u00e4tigkeit gew\u00e4hrleistet. Die CSIRTs k\u00f6nnten in dieser Hinsicht auch Verhaltenskodizes verabschieden.<\/p>\n\n\n\n

(43) In Bezug auf personenbezogene Daten sollten die CSIRTs in der Lage sein, im Einklang mit der Verordnung (EU) 2016\/679 auf Ersuchen einer wesentlichen oder wichtigen Einrichtung eine proaktive Durchsuchung des Netzes und der Informationssysteme, die f\u00fcr die Erbringung der Dienste der Einrichtung verwendet werden, durchzuf\u00fchren. Gegebenenfalls sollten die Mitgliedstaaten anstreben, f\u00fcr alle sektoralen CSIRTs ein gleiches Niveau an technischen F\u00e4higkeiten zu gew\u00e4hrleisten. Die Mitgliedstaaten sollten die M\u00f6glichkeit haben, die ENISA um Unterst\u00fctzung bei der Entwicklung ihrer CSIRTs zu ersuchen.<\/p>\n\n\n\n

(44) Die CSIRTs sollten in der Lage sein, auf Ersuchen einer wesentlichen oder wichtigen Einrichtung die dem Internet zugewandten Anlagen der Einrichtung sowohl innerhalb als auch au\u00dferhalb ihrer R\u00e4umlichkeiten zu \u00fcberwachen, um die allgemeinen organisatorischen Risiken der Einrichtung in Bezug auf neu festgestellte Kompromittierungen der Lieferkette oder kritische Schwachstellen zu ermitteln, zu verstehen und zu bew\u00e4ltigen. Die Stelle sollte ermutigt werden, dem CSIRT mitzuteilen, ob sie eine Schnittstelle zur Verwaltung von Privilegien betreibt, da dies die Geschwindigkeit der Durchf\u00fchrung von Abhilfema\u00dfnahmen beeinflussen k\u00f6nnte.<\/p>\n\n\n\n

(45) Angesichts der Bedeutung der internationalen Zusammenarbeit im Bereich der Cybersicherheit sollten die CSIRT die M\u00f6glichkeit haben, sich zus\u00e4tzlich zu dem durch diese Richtlinie eingerichteten CSIRT-Netz an internationalen Kooperationsnetzen zu beteiligen. Daher sollten die CSIRTs und die zust\u00e4ndigen Beh\u00f6rden zur Erf\u00fcllung ihrer Aufgaben Informationen, einschlie\u00dflich personenbezogener Daten, mit den nationalen Teams f\u00fcr die Reaktion auf Computersicherheitsvorf\u00e4lle oder den zust\u00e4ndigen Beh\u00f6rden von Drittl\u00e4ndern austauschen k\u00f6nnen, sofern die Bedingungen des Datenschutzrechts der Union f\u00fcr die \u00dcbermittlung personenbezogener Daten an Drittl\u00e4nder, unter anderem die Bedingungen von Artikel 49 der Verordnung (EU) 2016\/679, erf\u00fcllt sind.<\/p>\n\n\n\n

(46) Um die Ziele dieser Richtlinie zu erreichen und die zust\u00e4ndigen Beh\u00f6rden und die CSIRTs in die Lage zu versetzen, die in dieser Richtlinie festgelegten Aufgaben zu erf\u00fcllen, m\u00fcssen angemessene Ressourcen sichergestellt werden. Die Mitgliedstaaten k\u00f6nnen auf nationaler Ebene einen Finanzierungsmechanismus einf\u00fchren, um die notwendigen Ausgaben im Zusammenhang mit der Wahrnehmung der Aufgaben der f\u00fcr die Cybersicherheit in dem betreffenden Mitgliedstaat zust\u00e4ndigen \u00f6ffentlichen Stellen gem\u00e4\u00df dieser Richtlinie zu decken. Ein solcher Mechanismus sollte mit dem Unionsrecht im Einklang stehen, verh\u00e4ltnism\u00e4\u00dfig und nicht diskriminierend sein und unterschiedlichen Ans\u00e4tzen f\u00fcr die Bereitstellung sicherer Dienste Rechnung tragen.<\/p>\n\n\n\n

(47) Das CSIRT-Netz sollte weiterhin zur St\u00e4rkung von Vertrauen und Zuversicht beitragen und eine rasche und wirksame operative Zusammenarbeit zwischen den Mitgliedstaaten f\u00f6rdern. Um die operative Zusammenarbeit auf Unionsebene zu verbessern, sollte das CSIRT-Netz in Erw\u00e4gung ziehen, an der Cybersicherheitspolitik beteiligte Einrichtungen und Agenturen der Union, wie Europol, zur Teilnahme an seiner Arbeit einzuladen.<\/p>\n\n\n\n

(48) Um ein hohes Ma\u00df an Cybersicherheit zu erreichen und aufrechtzuerhalten, sollten die in dieser Richtlinie geforderten nationalen Cybersicherheitsstrategien aus koh\u00e4renten Rahmen bestehen, die strategische Ziele und Priorit\u00e4ten im Bereich der Cybersicherheit sowie die zu ihrer Verwirklichung erforderliche Governance enthalten. Diese Strategien k\u00f6nnen sich aus einem oder mehreren legislativen oder nichtlegislativen Instrumenten zusammensetzen.<\/p>\n\n\n\n

(49) Cyber-Hygienema\u00dfnahmen bilden die Grundlage f\u00fcr den Schutz Netzwerk und InformationssystemNetzwerk und Informationssystem<\/span> (a) ein elektronisches Kommunikationsnetz im Sinne von Artikel 2 Nummer 1 der Richtlinie (EU) 2018\/1972; b) ein Ger\u00e4t oder eine Gruppe miteinander verbundener oder zusammenh\u00e4ngender Ger\u00e4te, von denen eines oder mehrere nach einem Programm eine automatische Verarbeitung digitaler Daten durchf\u00fchren; oder c) digitale Daten, die von den unter den Buchstaben a und b erfassten Elementen zum Zwecke ihres Betriebs, ihrer Nutzung, ihres Schutzes und ihrer Pflege gespeichert, verarbeitet, abgerufen oder \u00fcbertragen werden; - Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> Infrastrukturen, Hardware, Software und Online-Anwendungssicherheit sowie Gesch\u00e4fts- oder Endnutzerdaten, auf die sich Unternehmen verlassen. Cyber-Hygienestrategien, die ein gemeinsames Grundger\u00fcst von Praktiken umfassen, darunter Software- und Hardware-Updates, Passwort\u00e4nderungen, die Verwaltung neuer Installationen, die Beschr\u00e4nkung von Zugangskonten auf Administratorebene und die Sicherung von Daten, erm\u00f6glichen einen proaktiven Rahmen f\u00fcr die Bereitschaft und die allgemeine Sicherheit im Falle von Zwischenf\u00e4llen oder Cyber-Bedrohungen. Die ENISA sollte die Cyberhygiene-Strategien der Mitgliedstaaten \u00fcberwachen und analysieren.<\/p>\n\n\n\n

(50) Das Bewusstsein f\u00fcr die Cybersicherheit und die Cyberhygiene sind von entscheidender Bedeutung f\u00fcr die Verbesserung des Niveaus der Cybersicherheit in der Union, insbesondere in Anbetracht der wachsenden Zahl vernetzter Ger\u00e4te, die zunehmend f\u00fcr Cyberangriffe genutzt werden. Es sollten Anstrengungen unternommen werden, um das allgemeine Bewusstsein f\u00fcr Risiken im Zusammenhang mit solchen Ger\u00e4ten zu sch\u00e4rfen, w\u00e4hrend Bewertungen auf Unionsebene dazu beitragen k\u00f6nnten, ein gemeinsames Verst\u00e4ndnis solcher Risiken im Binnenmarkt zu gew\u00e4hrleisten.<\/p>\n\n\n\n

(51) Die Mitgliedstaaten sollten den Einsatz innovativer Technologien, einschlie\u00dflich k\u00fcnstlicher Intelligenz, f\u00f6rdern, deren Einsatz die Aufdeckung und Verh\u00fctung von Cyberangriffen verbessern k\u00f6nnte, so dass die Ressourcen wirksamer gegen Cyberangriffe eingesetzt werden k\u00f6nnen. Die Mitgliedstaaten sollten daher im Rahmen ihrer nationalen Cybersicherheitsstrategie Forschungs- und Entwicklungsma\u00dfnahmen f\u00f6rdern, die den Einsatz solcher Technologien erleichtern, insbesondere solcher, die sich auf automatisierte oder halbautomatisierte Instrumente der Cybersicherheit beziehen, sowie gegebenenfalls die gemeinsame Nutzung von Daten, die f\u00fcr die Schulung der Nutzer solcher Technologien und f\u00fcr deren Verbesserung erforderlich sind.<\/p>\n\n\n\n

Der Einsatz innovativer Technologien, einschlie\u00dflich k\u00fcnstlicher Intelligenz, sollte im Einklang mit dem Datenschutzrecht der Union stehen, einschlie\u00dflich der Datenschutzgrunds\u00e4tze der Datenrichtigkeit, der Datenminimierung, der Verarbeitung nach Treu und Glauben und der Datensicherheit, z. B. durch modernste Verschl\u00fcsselung. Die Anforderungen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen gem\u00e4\u00df der Verordnung (EU) 2016\/679 sollten voll ausgesch\u00f6pft werden.<\/p>\n\n\n\n

(52) Open-Source-Cybersicherheits-Tools und -Anwendungen k\u00f6nnen zu einem h\u00f6heren Grad an Offenheit beitragen und sich positiv auf die Effizienz der industriellen Innovation auswirken. Offene Standards erleichtern die Interoperabilit\u00e4t zwischen Sicherheitswerkzeugen, was der Sicherheit der industriellen Akteure zugute kommt. Open-Source-Cybersicherheits-Tools und -Anwendungen k\u00f6nnen von einer gr\u00f6\u00dferen Entwicklergemeinschaft genutzt werden und erm\u00f6glichen eine Diversifizierung der Anbieter. Open Source kann zu einem transparenteren \u00dcberpr\u00fcfungsprozess von Cybersicherheitswerkzeugen und zu einem von der Gemeinschaft gesteuerten Prozess der Entdeckung von Schwachstellen f\u00fchren.<\/p>\n\n\n\n

Die Mitgliedstaaten sollten daher in der Lage sein, die Verwendung von quelloffener Software und offenen Standards zu f\u00f6rdern, indem sie Ma\u00dfnahmen zur Nutzung offener Daten und quelloffener Software als Teil der Sicherheit durch Transparenz verfolgen. Ma\u00dfnahmen zur F\u00f6rderung der Einf\u00fchrung und nachhaltigen Nutzung von quelloffenen Cybersicherheitswerkzeugen sind f\u00fcr kleine und mittlere Unternehmen von besonderer Bedeutung, die mit erheblichen Implementierungskosten konfrontiert sind, die durch die Verringerung des Bedarfs an spezifischen Anwendungen oder Werkzeugen minimiert werden k\u00f6nnten.<\/p>\n\n\n\n

(53) Versorgungsunternehmen werden in den St\u00e4dten zunehmend an digitale Netze angeschlossen, um die st\u00e4dtischen Verkehrsnetze zu verbessern, die Wasserversorgung und die Abfallentsorgung zu modernisieren und die Effizienz der Beleuchtung und Heizung von Geb\u00e4uden zu steigern. Diese digitalisierten Versorgungsunternehmen sind anf\u00e4llig f\u00fcr Cyberangriffe und laufen im Falle eines erfolgreichen Cyberangriffs Gefahr, die B\u00fcrger aufgrund ihrer Vernetzung in gro\u00dfem Umfang zu sch\u00e4digen. Die Mitgliedstaaten sollten eine Politik entwickeln, die die Entwicklung solcher vernetzten oder intelligenten St\u00e4dte und ihre potenziellen Auswirkungen auf die Gesellschaft als Teil ihrer nationalen Cybersicherheitsstrategie behandelt.<\/p>\n\n\n\n

(54) In den letzten Jahren war die Union mit einer exponentiellen Zunahme von Ransomware-Angriffen konfrontiert, bei denen Malware Daten und Systeme verschl\u00fcsselt und f\u00fcr die Freigabe ein L\u00f6segeld verlangt. Die zunehmende H\u00e4ufigkeit und Schwere von Ransomware-Angriffen l\u00e4sst sich auf verschiedene Faktoren zur\u00fcckf\u00fchren, z. B. auf unterschiedliche Angriffsmuster, kriminelle Gesch\u00e4ftsmodelle im Zusammenhang mit \"Ransomware als Dienstleistung\" und Kryptow\u00e4hrungen, L\u00f6segeldforderungen und die Zunahme von Angriffen \u00fcber die Lieferkette. Die Mitgliedstaaten sollten im Rahmen ihrer nationalen Cybersicherheitsstrategie eine Politik entwickeln, die sich mit der Zunahme von Ransomware-Angriffen befasst.<\/p>\n\n\n\n

(55) \u00d6ffentlich-private Partnerschaften (\u00d6PP) im Bereich der Cybersicherheit k\u00f6nnen einen geeigneten Rahmen f\u00fcr den Wissensaustausch, die gemeinsame Nutzung bew\u00e4hrter Verfahren und die Schaffung einer gemeinsamen Verst\u00e4ndigungsebene zwischen den Beteiligten bieten. Die Mitgliedstaaten sollten politische Ma\u00dfnahmen f\u00f6rdern, die die Einrichtung von Cybersicherheits-\u00d6PPs unterst\u00fctzen.<\/p>\n\n\n\n

In diesen Strategien sollten u. a. der Anwendungsbereich und die beteiligten Akteure, das Verwaltungsmodell, die verf\u00fcgbaren Finanzierungsoptionen und die Interaktion zwischen den beteiligten Akteuren im Hinblick auf \u00d6PPs gekl\u00e4rt werden. \u00d6PPs k\u00f6nnen das Fachwissen privater Stellen nutzen, um die zust\u00e4ndigen Beh\u00f6rden bei der Entwicklung von Diensten und Verfahren auf dem neuesten Stand der Technik zu unterst\u00fctzen, darunter Informationsaustausch, Fr\u00fchwarnungen, \u00dcbungen zu Cyberbedrohungen und -vorf\u00e4llen, Krisenmanagement und Resilienzplanung.<\/p>\n\n\n\n

(56) Die Mitgliedstaaten sollten in ihren nationalen Cybersicherheitsstrategien auf die besonderen Cybersicherheitsbed\u00fcrfnisse kleiner und mittlerer Unternehmen eingehen. Kleine und mittlere Unternehmen machen unionsweit einen gro\u00dfen Prozentsatz des Industrie- und Gesch\u00e4ftsmarkts aus und haben oft Schwierigkeiten, sich an neue Gesch\u00e4ftspraktiken in einer st\u00e4rker vernetzten Welt und an das digitale Umfeld anzupassen, in dem Mitarbeiter von zu Hause aus arbeiten und Gesch\u00e4fte zunehmend online abgewickelt werden.<\/p>\n\n\n\n

Einige kleine und mittlere Unternehmen stehen vor besonderen Herausforderungen im Bereich der Cybersicherheit, wie z. B. geringes Cyber-Bewusstsein, fehlende IT-Sicherheit aus der Ferne, hohe Kosten f\u00fcr Cybersicherheitsl\u00f6sungen und ein erh\u00f6htes Ma\u00df an Bedrohungen, wie z. B. Ransomware, f\u00fcr die sie Anleitung und Unterst\u00fctzung erhalten sollten. Kleine und mittlere Unternehmen werden zunehmend zur Zielscheibe von Angriffen auf die Lieferkette, da sie weniger strenge Ma\u00dfnahmen f\u00fcr das Risikomanagement im Bereich der Cybersicherheit und das Angriffsmanagement ergreifen und nur \u00fcber begrenzte Sicherheitsressourcen verf\u00fcgen.<\/p>\n\n\n\n

Solche Angriffe auf die Lieferkette wirken sich nicht nur auf kleine und mittlere Unternehmen und deren Betrieb aus, sondern k\u00f6nnen auch eine Kaskadenwirkung auf gr\u00f6\u00dfere Angriffe auf Unternehmen haben, die von ihnen beliefert werden. Die Mitgliedstaaten sollten im Rahmen ihrer nationalen Cybersicherheitsstrategien kleine und mittlere Unternehmen dabei unterst\u00fctzen, die Herausforderungen in ihren Lieferketten zu bew\u00e4ltigen.<\/p>\n\n\n\n

Die Mitgliedstaaten sollten auf nationaler oder regionaler Ebene eine Kontaktstelle f\u00fcr kleine und mittlere Unternehmen einrichten, die entweder kleine und mittlere Unternehmen ber\u00e4t und unterst\u00fctzt oder sie an die entsprechenden Stellen verweist, die sie in Fragen der Cybersicherheit beraten und unterst\u00fctzen. Die Mitgliedstaaten werden au\u00dferdem ermutigt, Kleinst- und Kleinunternehmen, die nicht \u00fcber diese F\u00e4higkeiten verf\u00fcgen, Dienste wie die Konfiguration von Websites und die Protokollierung anzubieten.<\/p>\n\n\n\n

(57) Als Teil ihrer nationalen Cybersicherheitsstrategien sollten die Mitgliedstaaten Ma\u00dfnahmen zur F\u00f6rderung eines aktiven Cyberschutzes als Teil einer umfassenderen Verteidigungsstrategie ergreifen. Anstatt reaktiv zu reagieren, besteht aktiver Cyberschutz in der Verh\u00fctung, Erkennung, \u00dcberwachung, Analyse und Abschw\u00e4chung von Verletzungen der Netzsicherheit auf aktive Weise, kombiniert mit dem Einsatz von F\u00e4higkeiten innerhalb und au\u00dferhalb des Opfernetzes.<\/p>\n\n\n\n

Dazu k\u00f6nnte geh\u00f6ren, dass die Mitgliedstaaten bestimmten Einrichtungen kostenlose Dienste oder Instrumente anbieten, darunter Selbstbedienungspr\u00fcfungen, Erkennungsinstrumente und Dienste zur Beseitigung von Angriffen. Die F\u00e4higkeit, Bedrohungsinformationen und -analysen, Warnmeldungen zu Cyberaktivit\u00e4ten und Reaktionsma\u00dfnahmen schnell und automatisch auszutauschen und zu verstehen, ist von entscheidender Bedeutung, um Angriffe auf Netz- und Informationssysteme mit vereinten Kr\u00e4ften erfolgreich zu verhindern, zu erkennen, zu bek\u00e4mpfen und abzuwehren. Aktiver Cyberschutz basiert auf einer defensiven Strategie, die offensive Ma\u00dfnahmen ausschlie\u00dft.<\/p>\n\n\n\n

(58) Da die Ausnutzung von Schwachstellen in Netz- und Informationssystemen erhebliche St\u00f6rungen und Sch\u00e4den verursachen kann, ist die rasche Ermittlung und Behebung solcher Schwachstellen ein wichtiger Faktor f\u00fcr die Risikominderung. Einrichtungen, die Netz- und Informationssysteme entwickeln oder verwalten, sollten daher geeignete Verfahren f\u00fcr den Umgang mit Schwachstellen einrichten, wenn diese entdeckt werden. Da Schwachstellen h\u00e4ufig von Dritten entdeckt und offengelegt werden, sollte der Hersteller oder Anbieter von IKT-Produkten oder IKT-Dienstleistungen auch die erforderlichen Verfahren einrichten, um Informationen \u00fcber Schwachstellen von Dritten zu erhalten.<\/p>\n\n\n\n

In diesem Zusammenhang bieten die internationalen Normen ISO\/IEC 30111 und ISO\/IEC 29147 Leitlinien f\u00fcr den Umgang mit Sicherheitsl\u00fccken und die Offenlegung von Sicherheitsl\u00fccken. Eine st\u00e4rkere Koordinierung zwischen den meldenden nat\u00fcrlichen und juristischen Personen und den Herstellern oder Anbietern von IKT-Produkten oder IKT-Dienstleistungen ist besonders wichtig, um den freiwilligen Rahmen f\u00fcr die Offenlegung von Sicherheitsl\u00fccken zu erleichtern.<\/p>\n\n\n\n

Die koordinierte Offenlegung von Schwachstellen legt einen strukturierten Prozess fest, durch den Schwachstellen dem Hersteller oder Anbieter der potenziell gef\u00e4hrdeten IKT-Produkte oder IKT-Dienstleistungen in einer Weise gemeldet werden, die es ihm erm\u00f6glicht, die Schwachstelle zu diagnostizieren und zu beheben, bevor detaillierte Informationen \u00fcber die Schwachstelle an Dritte oder an die \u00d6ffentlichkeit weitergegeben werden. Die koordinierte Offenlegung von Schwachstellen sollte auch eine Koordinierung zwischen der meldenden nat\u00fcrlichen oder juristischen Person und dem Hersteller oder Anbieter der potenziell gef\u00e4hrdeten IKT-Produkte oder IKT-Dienstleistungen in Bezug auf den Zeitplan f\u00fcr die Behebung und Ver\u00f6ffentlichung von Schwachstellen umfassen.<\/p>\n\n\n\n

(59) Die Kommission, die ENISA und die Mitgliedstaaten sollten weiterhin die Angleichung an internationale Normen und bestehende bew\u00e4hrte Praktiken der Branche im Bereich des Cybersicherheitsrisikomanagements f\u00f6rdern, beispielsweise in den Bereichen Sicherheitsbewertung der Lieferkette, Informationsaustausch und Offenlegung von Schwachstellen.<\/p>\n\n\n\n

(60) Die Mitgliedstaaten sollten in Zusammenarbeit mit der ENISA Ma\u00dfnahmen zur Erleichterung der koordinierten Offenlegung von Sicherheitsl\u00fccken ergreifen, indem sie eine entsprechende nationale Politik festlegen. Als Teil ihrer nationalen Politik sollten die Mitgliedstaaten bestrebt sein, die Herausforderungen, denen sich die Erforscher von Sicherheitsl\u00fccken gegen\u00fcbersehen, einschlie\u00dflich ihrer potenziellen strafrechtlichen Haftung, so weit wie m\u00f6glich im Einklang mit dem nationalen Recht anzugehen. Da nat\u00fcrliche und juristische Personen, die Schwachstellen erforschen, in einigen Mitgliedstaaten straf- und zivilrechtlich haftbar gemacht werden k\u00f6nnten, werden die Mitgliedstaaten ermutigt, Leitlinien f\u00fcr die Nichtverfolgung von Informationssicherheitsforschern und eine Befreiung von der zivilrechtlichen Haftung f\u00fcr ihre T\u00e4tigkeiten zu erlassen.<\/p>\n\n\n\n

(61) Die Mitgliedstaaten sollten eines ihrer CSIRTs als Koordinator benennen, der als vertrauensw\u00fcrdiger Vermittler zwischen den meldenden nat\u00fcrlichen oder juristischen Personen und den Herstellern oder Anbietern von IKT-Produkten oder IKT-Dienstleistungen, die wahrscheinlich von der Schwachstelle betroffen sind, fungiert, sofern dies erforderlich ist.<\/p>\n\n\n\n

Zu den Aufgaben des als Koordinator benannten CSIRT sollte es geh\u00f6ren, die betroffenen Stellen zu ermitteln und zu kontaktieren, die nat\u00fcrlichen oder juristischen Personen, die eine Schwachstelle melden, zu unterst\u00fctzen, Fristen f\u00fcr die Offenlegung auszuhandeln und Schwachstellen zu verwalten, die mehrere Stellen betreffen (koordinierte Offenlegung von Schwachstellen durch mehrere Parteien). Wenn die gemeldete Schwachstelle erhebliche Auswirkungen auf Einrichtungen in mehr als einem Mitgliedstaat haben k\u00f6nnte, sollten die als Koordinatoren benannten CSIRTs gegebenenfalls innerhalb des CSIRT-Netzwerks zusammenarbeiten.<\/p>\n\n\n\n

(62) Der Zugang zu korrekten und rechtzeitigen Informationen \u00fcber Schwachstellen, die IKT-Produkte und -Dienste betreffen, tr\u00e4gt zu einem verbesserten Risikomanagement im Bereich der Cybersicherheit bei. \u00d6ffentlich zug\u00e4ngliche Informationsquellen \u00fcber Schwachstellen sind ein wichtiges Instrument f\u00fcr die Einrichtungen und f\u00fcr die Nutzer ihrer Dienste, aber auch f\u00fcr die zust\u00e4ndigen Beh\u00f6rden und die CSIRTs. Aus diesem Grund sollte die ENISA eine europ\u00e4ische Schwachstellendatenbank einrichten, in der Einrichtungen, unabh\u00e4ngig davon, ob sie in den Anwendungsbereich dieser Richtlinie fallen, und ihre Lieferanten von Netz- und Informationssystemen sowie die zust\u00e4ndigen Beh\u00f6rden und die CSIRTs auf freiwilliger Basis \u00f6ffentlich bekannte Schwachstellen offenlegen und registrieren k\u00f6nnen, damit die Nutzer geeignete Abhilfema\u00dfnahmen ergreifen k\u00f6nnen.<\/p>\n\n\n\n

Ziel dieser Datenbank ist es, die besonderen Herausforderungen zu bew\u00e4ltigen, die sich aus den Risiken f\u00fcr Einrichtungen der Union ergeben. Dar\u00fcber hinaus sollte die ENISA ein geeignetes Verfahren f\u00fcr den Ver\u00f6ffentlichungsprozess einrichten, um den Einrichtungen die Zeit zu geben, Ma\u00dfnahmen zur Abschw\u00e4chung ihrer Schwachstellen zu ergreifen und dem Stand der Technik entsprechende Ma\u00dfnahmen zum Management von Cybersicherheitsrisiken sowie maschinenlesbare Datens\u00e4tze und entsprechende Schnittstellen einzusetzen. Um eine Kultur der Offenlegung von Schwachstellen zu f\u00f6rdern, sollte die Offenlegung keine nachteiligen Auswirkungen auf die meldende nat\u00fcrliche oder juristische Person haben.<\/p>\n\n\n\n

(63) Zwar gibt es \u00e4hnliche Schwachstellenregister oder -datenbanken, doch werden sie von Einrichtungen betrieben und gepflegt, die nicht in der Union ans\u00e4ssig sind. Eine europ\u00e4ische Schwachstellendatenbank, die von der ENISA verwaltet wird, w\u00fcrde f\u00fcr mehr Transparenz in Bezug auf den Ver\u00f6ffentlichungsprozess sorgen, bevor die Schwachstelle \u00f6ffentlich bekannt gemacht wird, und f\u00fcr mehr Ausfallsicherheit im Falle einer St\u00f6rung oder Unterbrechung bei der Bereitstellung \u00e4hnlicher Dienste.<\/p>\n\n\n\n

Um soweit wie m\u00f6glich Doppelarbeit zu vermeiden und Komplementarit\u00e4t anzustreben, sollte die ENISA die M\u00f6glichkeit pr\u00fcfen, strukturierte Kooperationsvereinbarungen mit \u00e4hnlichen Registern oder Datenbanken zu schlie\u00dfen, die unter die Rechtsprechung von Drittl\u00e4ndern fallen. Insbesondere sollte die ENISA die M\u00f6glichkeit einer engen Zusammenarbeit mit den Betreibern des CVE-Systems (Common Vulnerabilities and Exposures) pr\u00fcfen.<\/p>\n\n\n\n

(64) Die Kooperationsgruppe sollte die strategische Zusammenarbeit und den Informationsaustausch unterst\u00fctzen und erleichtern sowie das Vertrauen zwischen den Mitgliedstaaten st\u00e4rken. Die Kooperationsgruppe sollte alle zwei Jahre ein Arbeitsprogramm aufstellen. Das Arbeitsprogramm sollte die Ma\u00dfnahmen enthalten, die von der Kooperationsgruppe zur Umsetzung ihrer Ziele und Aufgaben durchzuf\u00fchren sind. Der Zeitrahmen f\u00fcr die Erstellung des ersten Arbeitsprogramms nach dieser Richtlinie sollte an den Zeitrahmen des letzten Arbeitsprogramms nach der Richtlinie (EU) 2016\/1148 angepasst werden, um m\u00f6gliche Unterbrechungen der Arbeit der Kooperationsgruppe zu vermeiden.<\/p>\n\n\n\n

(65) Bei der Ausarbeitung von Leitf\u00e4den sollte die Kooperationsgruppe durchg\u00e4ngig nationale L\u00f6sungen und Erfahrungen erfassen, die Auswirkungen der von der Kooperationsgruppe erbrachten Leistungen auf die nationalen Konzepte bewerten, Herausforderungen bei der Umsetzung er\u00f6rtern und spezifische Empfehlungen formulieren, insbesondere im Hinblick auf die Erleichterung einer Angleichung der Umsetzung dieser Richtlinie in den Mitgliedstaaten, die durch eine bessere Umsetzung der bestehenden Vorschriften erreicht werden soll. Die Kooperationsgruppe k\u00f6nnte auch eine \u00dcbersicht \u00fcber die nationalen L\u00f6sungen erstellen, um die Kompatibilit\u00e4t von Cybersicherheitsl\u00f6sungen f\u00fcr jeden spezifischen Sektor in der Union zu f\u00f6rdern. Dies ist besonders f\u00fcr Sektoren mit internationalem oder grenz\u00fcberschreitendem Charakter von Bedeutung.<\/p>\n\n\n\n

(66) Die Kooperationsgruppe sollte ein flexibles Forum bleiben und in der Lage sein, auf ver\u00e4nderte und neue politische Priorit\u00e4ten und Herausforderungen zu reagieren, wobei die Verf\u00fcgbarkeit von Ressourcen zu ber\u00fccksichtigen ist. Sie k\u00f6nnte regelm\u00e4\u00dfige gemeinsame Sitzungen mit relevanten privaten Akteuren aus der gesamten Union veranstalten, um die von der Kooperationsgruppe durchgef\u00fchrten Aktivit\u00e4ten zu er\u00f6rtern und Daten und Beitr\u00e4ge zu neuen politischen Herausforderungen zu sammeln. Dar\u00fcber hinaus sollte die Kooperationsgruppe eine regelm\u00e4\u00dfige Bewertung des Stands der Dinge in Bezug auf Cyber-Bedrohungen oder -Vorf\u00e4lle, wie etwa Ransomware, vornehmen.<\/p>\n\n\n\n

Um die Zusammenarbeit auf Unionsebene zu verbessern, sollte die Kooperationsgruppe in Erw\u00e4gung ziehen, einschl\u00e4gige Organe, Einrichtungen, \u00c4mter und Agenturen der Union, die an der Cybersicherheitspolitik beteiligt sind, wie das Europ\u00e4ische Parlament, Europol, den Europ\u00e4ischen Datenschutzausschuss, die durch die Verordnung (EU) 2018\/1139 errichtete Agentur der Europ\u00e4ischen Union f\u00fcr Flugsicherheit und die durch die Verordnung (EU) 2021\/696 des Europ\u00e4ischen Parlaments und des Rates (14) errichtete Agentur der Europ\u00e4ischen Union f\u00fcr das Weltraumprogramm, zur Teilnahme an ihrer Arbeit einzuladen.<\/p>\n\n\n\n

(67) Die zust\u00e4ndigen Beh\u00f6rden und die CSIRTs sollten in der Lage sein, an Austauschprogrammen f\u00fcr Beamte aus anderen Mitgliedstaaten teilzunehmen, und zwar innerhalb eines bestimmten Rahmens und gegebenenfalls vorbehaltlich der erforderlichen Sicherheits\u00fcberpr\u00fcfung der an solchen Austauschprogrammen teilnehmenden Beamten, um die Zusammenarbeit zu verbessern und das Vertrauen zwischen den Mitgliedstaaten zu st\u00e4rken. Die zust\u00e4ndigen Beh\u00f6rden sollten die erforderlichen Ma\u00dfnahmen ergreifen, um es Beamten aus anderen Mitgliedstaaten zu erm\u00f6glichen, eine wirksame Rolle bei den T\u00e4tigkeiten der zust\u00e4ndigen Beh\u00f6rde des Gastlandes oder des CSIRT des Gastlandes zu spielen.<\/p>\n\n\n\n

(68) Die Mitgliedstaaten sollten \u00fcber die bestehenden Kooperationsnetze, insbesondere das Netz der europ\u00e4ischen Verbindungsstellen f\u00fcr Cyberkriminalit\u00e4t (EU-CyCLONe), das CSIRT-Netz und die Kooperationsgruppe, zur Schaffung des EU-Rahmens f\u00fcr die Reaktion auf Cyberkriminalit\u00e4t gem\u00e4\u00df der Empfehlung (EU) 2017\/1584 der Kommission (15) beitragen. Das EU-CyCLONe und das CSIRTs-Netz sollten auf der Grundlage von Verfahrensvereinbarungen zusammenarbeiten, in denen die Einzelheiten dieser Zusammenarbeit festgelegt sind und jegliche Doppelarbeit vermieden wird.<\/p>\n\n\n\n

In der Gesch\u00e4ftsordnung des EU-CyCLONe sollten die Modalit\u00e4ten f\u00fcr das Funktionieren dieses Netzes, einschlie\u00dflich der Aufgaben des Netzes, der Mittel f\u00fcr die Zusammenarbeit, der Interaktionen mit anderen einschl\u00e4gigen Akteuren und der Vorlagen f\u00fcr den Informationsaustausch sowie der Kommunikationsmittel, n\u00e4her festgelegt werden. F\u00fcr die Krisenbew\u00e4ltigung auf Unionsebene sollten sich die einschl\u00e4gigen Parteien auf die EU-Regelungen zur integrierten politischen Krisenreaktion gem\u00e4\u00df dem Durchf\u00fchrungsbeschluss (EU) 2018\/1993 des Rates (16) (IPCR-Regelungen) st\u00fctzen. Die Kommission sollte zu diesem Zweck den hochrangigen sektor\u00fcbergreifenden Krisenkoordinierungsprozess ARGUS nutzen. Wenn die Krise eine wichtige au\u00dfenpolitische oder die Gemeinsame Sicherheits- und Verteidigungspolitik betreffende Dimension aufweist, sollte der Krisenreaktionsmechanismus des Europ\u00e4ischen Ausw\u00e4rtigen Dienstes aktiviert werden.<\/p>\n\n\n\n

(69) Gem\u00e4\u00df dem Anhang der Empfehlung (EU) 2017\/1584 sollte ein gro\u00df angelegter Cybersicherheitsvorfall ein Vorfall sein, der ein Ausma\u00df an St\u00f6rungen verursacht, das die F\u00e4higkeit eines Mitgliedstaats \u00fcbersteigt, darauf zu reagieren, oder der erhebliche Auswirkungen auf mindestens zwei Mitgliedstaaten hat. Je nach Ursache und Auswirkung k\u00f6nnen gro\u00df angelegte Cybersicherheitsvorf\u00e4lle eskalieren und sich zu ausgewachsenen Krisen entwickeln, die das ordnungsgem\u00e4\u00dfe Funktionieren des Binnenmarkts beeintr\u00e4chtigen oder ernste Risiken f\u00fcr die \u00f6ffentliche Sicherheit und die Sicherheit von Einrichtungen oder B\u00fcrgern in mehreren Mitgliedstaaten oder in der gesamten Union darstellen.<\/p>\n\n\n\n

In Anbetracht des weitreichenden Umfangs und in den meisten F\u00e4llen des grenz\u00fcberschreitenden Charakters solcher Vorf\u00e4lle sollten die Mitgliedstaaten und die zust\u00e4ndigen Organe, Einrichtungen, \u00c4mter und Agenturen der Union auf technischer, operativer und politischer Ebene zusammenarbeiten, um die Reaktion in der gesamten Union angemessen zu koordinieren.<\/p>\n\n\n\n

(70) Gro\u00df angelegte Cybersicherheitsvorf\u00e4lle und -krisen auf Unionsebene erfordern aufgrund der starken Interdependenz zwischen Sektoren und Mitgliedstaaten ein koordiniertes Vorgehen, um eine schnelle und wirksame Reaktion zu gew\u00e4hrleisten. Die Verf\u00fcgbarkeit cyberresistenter Netz- und Informationssysteme sowie die Verf\u00fcgbarkeit, Vertraulichkeit und Integrit\u00e4t von Daten sind von entscheidender Bedeutung f\u00fcr die Sicherheit der Union und f\u00fcr den Schutz ihrer B\u00fcrger, Unternehmen und Einrichtungen vor Zwischenf\u00e4llen und Cyberbedrohungen sowie f\u00fcr die St\u00e4rkung des Vertrauens von Einzelpersonen und Organisationen in die F\u00e4higkeit der Union, einen globalen, offenen, freien, stabilen und sicheren Cyberraum zu f\u00f6rdern und zu sch\u00fctzen, der auf den Menschenrechten, den Grundfreiheiten, der Demokratie und der Rechtsstaatlichkeit beruht.<\/p>\n\n\n\n

(71) Das EU-CyCLONe sollte bei gro\u00df angelegten Cybersicherheitsvorf\u00e4llen und -krisen als Vermittler zwischen der technischen und der politischen Ebene fungieren und die Zusammenarbeit auf operativer Ebene verbessern sowie die Entscheidungsfindung auf politischer Ebene unterst\u00fctzen. In Zusammenarbeit mit der Kommission und unter Ber\u00fccksichtigung der Zust\u00e4ndigkeit der Kommission im Bereich des Krisenmanagements sollte das EU-CyCLONe auf den Erkenntnissen des CSIRT-Netzes aufbauen und seine eigenen F\u00e4higkeiten nutzen, um eine Analyse der Auswirkungen von gro\u00df angelegten Cybersicherheitsvorf\u00e4llen und -krisen zu erstellen.<\/p>\n\n\n\n

(72) Cyberangriffe sind grenz\u00fcberschreitend, und ein erheblicher Vorfall kann kritische Informationsinfrastrukturen, von denen das reibungslose Funktionieren des Binnenmarkts abh\u00e4ngt, st\u00f6ren und besch\u00e4digen. Die Empfehlung (EU) 2017\/1584 befasst sich mit der Rolle aller einschl\u00e4gigen Akteure. Dar\u00fcber hinaus ist die Kommission im Rahmen des mit dem Beschluss Nr. 1313\/2013\/EU des Europ\u00e4ischen Parlaments und des Rates eingerichteten Katastrophenschutzverfahrens der Union f\u00fcr allgemeine Bereitschaftsma\u00dfnahmen zust\u00e4ndig, einschlie\u00dflich der Verwaltung des Koordinierungszentrums f\u00fcr Notfallma\u00dfnahmen und des Gemeinsamen Kommunikations- und Informationssystems f\u00fcr Notf\u00e4lle, der Aufrechterhaltung und Weiterentwicklung des Situationsbewusstseins und der Analysef\u00e4higkeit sowie der Einrichtung und Verwaltung der F\u00e4higkeit zur Mobilisierung und Entsendung von Expertenteams im Falle eines Hilfeersuchens eines Mitgliedstaats oder eines Drittlands.<\/p>\n\n\n\n

Die Kommission ist auch f\u00fcr die Erstellung von Analyseberichten f\u00fcr die IPCR-Vereinbarungen gem\u00e4\u00df dem Durchf\u00fchrungsbeschluss (EU) 2018\/1993 zust\u00e4ndig, unter anderem in Bezug auf das Situationsbewusstsein und die Abwehrbereitschaft im Bereich der Cybersicherheit sowie f\u00fcr das Situationsbewusstsein und die Krisenreaktion in den Bereichen Landwirtschaft, ung\u00fcnstige Wetterbedingungen, Konfliktkartierung und -vorhersage, Fr\u00fchwarnsysteme f\u00fcr Naturkatastrophen, Gesundheitsnotf\u00e4lle, \u00dcberwachung von Infektionskrankheiten, Pflanzengesundheit, chemische Zwischenf\u00e4lle, Lebensmittel- und Futtermittelsicherheit, Tiergesundheit, Migration, Zoll, nukleare und radiologische Notf\u00e4lle und Energie.<\/p>\n\n\n\n

(73) Die Union kann gegebenenfalls im Einklang mit Artikel 218 AEUV internationale \u00dcbereink\u00fcnfte mit Drittl\u00e4ndern oder internationalen Organisationen schlie\u00dfen, um deren Beteiligung an bestimmten T\u00e4tigkeiten der Kooperationsgruppe, des CSIRT-Netzes und von EU-CyCLONe zu erm\u00f6glichen und zu organisieren. Solche Vereinbarungen sollten die Interessen der Union und einen angemessenen Datenschutz gew\u00e4hrleisten. Dies sollte nicht das Recht der Mitgliedstaaten ausschlie\u00dfen, mit Drittl\u00e4ndern beim Management von Schwachstellen und beim Management von Cybersicherheitsrisiken zusammenzuarbeiten und die Berichterstattung und den allgemeinen Informationsaustausch im Einklang mit dem Unionsrecht zu erleichtern.<\/p>\n\n\n\n

(74) Um die wirksame Umsetzung dieser Richtlinie unter anderem in Bezug auf das Management von Schwachstellen, Ma\u00dfnahmen des Cybersicherheitsrisikomanagements, Meldepflichten und Vereinbarungen \u00fcber den Informationsaustausch im Bereich der Cybersicherheit zu erleichtern, k\u00f6nnen die Mitgliedstaaten mit Drittl\u00e4ndern zusammenarbeiten und Ma\u00dfnahmen ergreifen, die f\u00fcr diesen Zweck als geeignet erachtet werden, einschlie\u00dflich des Austauschs von Informationen \u00fcber Cyber-Bedrohungen, -Vorf\u00e4lle, -Schwachstellen, -Werkzeuge und -Methoden, -Taktiken, -Techniken und -Verfahren, Vorbereitung auf das Cybersicherheits-Krisenmanagement und -\u00dcbungen, Schulungen, Vertrauensbildung und strukturierte Vereinbarungen \u00fcber den Informationsaustausch.<\/p>\n\n\n\n

(75) Peer Reviews sollten eingef\u00fchrt werden, um aus gemeinsamen Erfahrungen zu lernen, das gegenseitige Vertrauen zu st\u00e4rken und ein hohes gemeinsames Niveau der Cybersicherheit zu erreichen. Peer Reviews k\u00f6nnen zu wertvollen Erkenntnissen und Empfehlungen f\u00fchren, die die allgemeinen Cybersicherheitskapazit\u00e4ten st\u00e4rken, einen weiteren funktionalen Weg f\u00fcr den Austausch bew\u00e4hrter Verfahren zwischen den Mitgliedstaaten schaffen und dazu beitragen, den Reifegrad der Mitgliedstaaten im Bereich der Cybersicherheit zu erh\u00f6hen. Dar\u00fcber hinaus sollten die Peer-Reviews den Ergebnissen \u00e4hnlicher Mechanismen, wie dem Peer-Review-System des CSIRT-Netzes, Rechnung tragen, einen Mehrwert schaffen und Doppelarbeit vermeiden. Die Durchf\u00fchrung von Peer-Reviews sollte die Rechtsvorschriften der Union oder der Mitgliedstaaten \u00fcber den Schutz vertraulicher oder als Verschlusssache eingestufter Informationen unber\u00fchrt lassen.<\/p>\n\n\n\n

(76) Die Kooperationsgruppe sollte eine Selbstbewertungsmethode f\u00fcr die Mitgliedstaaten festlegen, die darauf abzielt, Faktoren wie den Grad der Umsetzung der Ma\u00dfnahmen zum Management von Cybersicherheitsrisiken und der Meldepflichten, den Grad der F\u00e4higkeiten und die Wirksamkeit der Wahrnehmung der Aufgaben der zust\u00e4ndigen Beh\u00f6rden, die operativen F\u00e4higkeiten der CSIRTs, den Grad der Umsetzung der Amtshilfe, den Grad der Umsetzung der Vereinbarungen \u00fcber den Informationsaustausch im Bereich der Cybersicherheit oder spezifische Fragen mit grenz- oder sektor\u00fcbergreifendem Charakter zu erfassen. Die Mitgliedstaaten sollten ermutigt werden, regelm\u00e4\u00dfig Selbstbewertungen vorzunehmen und die Ergebnisse ihrer Selbstbewertung in der Kooperationsgruppe vorzustellen und zu er\u00f6rtern.<\/p>\n\n\n\n

(77) Die Verantwortung f\u00fcr die Gew\u00e4hrleistung der Sicherheit von Netz- und Informationssystemen liegt weitgehend bei den wesentlichen und wichtigen Einrichtungen. Es sollte eine Kultur des Risikomanagements gef\u00f6rdert und entwickelt werden, die Risikobewertungen und die Umsetzung von Ma\u00dfnahmen zum Risikomanagement im Bereich der Cybersicherheit umfasst, die den bestehenden Risiken angemessen sind.<\/p>\n\n\n\n

(78) Die Ma\u00dfnahmen f\u00fcr das Risikomanagement im Bereich der Cybersicherheit sollten dem Grad der Abh\u00e4ngigkeit der wesentlichen oder bedeutenden Einrichtung von Netz- und Informationssystemen Rechnung tragen und Ma\u00dfnahmen zur Ermittlung des Risikos von Zwischenf\u00e4llen, zur Vorbeugung, Erkennung, Reaktion und Wiederherstellung nach Zwischenf\u00e4llen sowie zur Begrenzung ihrer Auswirkungen umfassen. Die Sicherheit von Netz- und Informationssystemen sollte auch die Sicherheit der gespeicherten, \u00fcbertragenen und verarbeiteten Daten umfassen. Die Ma\u00dfnahmen f\u00fcr das Risikomanagement im Bereich der Cybersicherheit sollten eine systemische Analyse vorsehen, bei der auch der Faktor Mensch ber\u00fccksichtigt wird, um ein vollst\u00e4ndiges Bild von der Sicherheit des Netzes und der Informationssysteme zu erhalten.<\/p>\n\n\n\n

(79) Da Bedrohungen f\u00fcr die Sicherheit von Netz- und Informationssystemen unterschiedliche Ursachen haben k\u00f6nnen, sollten Ma\u00dfnahmen des Risikomanagements im Bereich der Cybersicherheit auf einem All-Gefahren-Ansatz beruhen, der darauf abzielt, Netz- und Informationssysteme und die physische Umgebung dieser Systeme vor Ereignissen wie Diebstahl, Brand, \u00dcberschwemmung, Telekommunikations- oder Stromausf\u00e4llen zu sch\u00fctzen, oder den unbefugten physischen Zugang zu und die Besch\u00e4digung und St\u00f6rung von Informations- und Informationsverarbeitungseinrichtungen einer wesentlichen oder wichtigen Einrichtung, die die Verf\u00fcgbarkeit, Authentizit\u00e4t, Integrit\u00e4t oder Vertraulichkeit gespeicherter, \u00fcbermittelter oder verarbeiteter Daten oder der von Netz- und Informationssystemen angebotenen oder \u00fcber sie zug\u00e4nglichen Dienste gef\u00e4hrden k\u00f6nnten.<\/p>\n\n\n\n

Die Ma\u00dfnahmen des Cybersicherheitsrisikomanagements sollten daher auch die physische und umgebungsbedingte Sicherheit von Netz- und Informationssystemen betreffen, indem sie Ma\u00dfnahmen zum Schutz solcher Systeme vor Systemausf\u00e4llen, menschlichem Versagen, b\u00f6swilligen Handlungen oder Naturereignissen im Einklang mit europ\u00e4ischen und internationalen Normen, wie den in der Reihe ISO\/IEC 27000 enthaltenen, umfassen. In diesem Zusammenhang sollten wichtige und bedeutende Einrichtungen im Rahmen ihrer Ma\u00dfnahmen zum Risikomanagement im Bereich der Cybersicherheit auch die Sicherheit der Humanressourcen ber\u00fccksichtigen und \u00fcber geeignete Zugangskontrollma\u00dfnahmen verf\u00fcgen. Diese Ma\u00dfnahmen sollten mit der Richtlinie (EU) 2022\/2557 in Einklang stehen.<\/p>\n\n\n\n

(80) Zum Nachweis der Einhaltung von Ma\u00dfnahmen des Cybersicherheitsrisikomanagements und in Ermangelung geeigneter europ\u00e4ischer Cybersicherheitszertifizierungssysteme, die gem\u00e4\u00df der Verordnung (EU) 2019\/881 des Europ\u00e4ischen Parlaments und des Rates (18) angenommen wurden, sollten die Mitgliedstaaten in Absprache mit der Kooperationsgruppe und der Europ\u00e4ischen Gruppe f\u00fcr Cybersicherheitszertifizierung die Verwendung einschl\u00e4giger europ\u00e4ischer und internationaler Normen durch wesentliche und wichtige Einrichtungen f\u00f6rdern oder k\u00f6nnen Einrichtungen zur Verwendung zertifizierter IKT-Produkte, IKT-Dienste und IKT-Verfahren verpflichten.<\/p>\n\n\n\n

\n\n\n\n

(81) Um wesentliche und wichtige Einrichtungen nicht unverh\u00e4ltnism\u00e4\u00dfig finanziell und administrativ zu belasten, sollten die Ma\u00dfnahmen des Cybersicherheitsrisikomanagements in einem angemessenen Verh\u00e4ltnis zu den Risiken stehen, die f\u00fcr das betreffende Netz und Informationssystem bestehen, wobei der Stand der Technik dieser Ma\u00dfnahmen und gegebenenfalls einschl\u00e4gige europ\u00e4ische und internationale Normen sowie die Kosten f\u00fcr ihre Durchf\u00fchrung zu ber\u00fccksichtigen sind.<\/p>\n\n\n\n

(82) Die Ma\u00dfnahmen des Cybersicherheitsrisikomanagements sollten in einem angemessenen Verh\u00e4ltnis zum Grad der Risikoexposition des wesentlichen oder bedeutenden Unternehmens und zu den gesellschaftlichen und wirtschaftlichen Auswirkungen eines Zwischenfalls stehen. Bei der Festlegung von Ma\u00dfnahmen f\u00fcr das Cybersicherheitsrisikomanagement, die auf wesentliche und wichtige Einrichtungen zugeschnitten sind, sollte die unterschiedliche Risikoexposition wesentlicher und wichtiger Einrichtungen geb\u00fchrend ber\u00fccksichtigt werden, z. B. die Kritikalit\u00e4t der Einrichtung, die Risiken, einschlie\u00dflich gesellschaftlicher Risiken, denen sie ausgesetzt ist, die Gr\u00f6\u00dfe der Einrichtung sowie die Wahrscheinlichkeit des Auftretens von Vorf\u00e4llen und deren Schwere, einschlie\u00dflich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen.<\/p>\n\n\n\n

(83) Wesentliche und wichtige Einrichtungen sollten die Sicherheit der Netz- und Informationssysteme gew\u00e4hrleisten, die sie f\u00fcr ihre T\u00e4tigkeiten nutzen. Bei diesen Systemen handelt es sich in erster Linie um private Netz- und Informationssysteme, die von den internen IT-Mitarbeitern der wesentlichen und bedeutenden Unternehmen verwaltet werden oder deren Sicherheit ausgelagert wurde. Die in dieser Richtlinie festgelegten Ma\u00dfnahmen f\u00fcr das Risikomanagement im Bereich der Cybersicherheit und die Meldepflichten sollten f\u00fcr die betreffenden wesentlichen und bedeutenden Einrichtungen gelten, unabh\u00e4ngig davon, ob diese Einrichtungen ihre Netz- und Informationssysteme intern verwalten oder deren Wartung auslagern.<\/p>\n\n\n\n

(84) Unter Ber\u00fccksichtigung ihres grenz\u00fcberschreitenden Charakters: Anbieter von DNS-Diensten, TLD-Namensregistrierungsstellen, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Content-Delivery-NetzwerkNetzwerk zur Bereitstellung von Inhalten<\/span> Bezeichnet ein Netz geografisch verteilter Server, das im Auftrag von Inhalts- und Diensteanbietern eine hohe Verf\u00fcgbarkeit, Zug\u00e4nglichkeit oder schnelle Bereitstellung digitaler Inhalte und Dienste f\u00fcr Internetnutzer gew\u00e4hrleisten soll. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> Anbieter, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten, Anbieter von Online-Marktpl\u00e4tzen, Online-Suchmaschinen und Plattformen f\u00fcr soziale Netzwerkdienste sowie Anbieter von Vertrauensdiensten sollten auf Unionsebene in hohem Ma\u00dfe harmonisiert werden. Die Durchf\u00fchrung von Ma\u00dfnahmen des Cybersicherheitsrisikomanagements in Bezug auf diese Einrichtungen sollte daher durch einen Durchf\u00fchrungsrechtsakt erleichtert werden.<\/p>\n\n\n\n

(85) Angesichts der H\u00e4ufigkeit von Vorf\u00e4llen, bei denen Unternehmen Opfer von Cyberangriffen wurden und b\u00f6swillige T\u00e4ter in der Lage waren, die Sicherheit des Netzes und der Informationssysteme eines Unternehmens zu gef\u00e4hrden, indem sie Schwachstellen in Produkten und Dienstleistungen Dritter ausnutzten, ist es besonders wichtig, sich mit den Risiken zu befassen, die sich aus der Lieferkette eines Unternehmens und seinen Beziehungen zu seinen Lieferanten ergeben, wie z. B. Anbietern von Datenspeicherungs- und -verarbeitungsdiensten oder Anbietern von verwalteten Sicherheitsdiensten und Softwareherstellern.<\/p>\n\n\n\n

Wesentliche und wichtige Unternehmen sollten daher die Gesamtqualit\u00e4t und Widerstandsf\u00e4higkeit von Produkten und Dienstleistungen, die darin enthaltenen Ma\u00dfnahmen zum Management von Cybersicherheitsrisiken und die Cybersicherheitspraktiken ihrer Lieferanten und Dienstleister, einschlie\u00dflich ihrer sicheren Entwicklungsverfahren, bewerten und ber\u00fccksichtigen. Wesentliche und wichtige Einrichtungen sollten insbesondere dazu angehalten werden, Ma\u00dfnahmen zum Management von Cybersicherheitsrisiken in die vertraglichen Vereinbarungen mit ihren direkten Zulieferern und Dienstleistern aufzunehmen. Diese Unternehmen k\u00f6nnten auch Risiken ber\u00fccksichtigen, die von anderen Ebenen von Lieferanten und Dienstleistern ausgehen.<\/p>\n\n\n\n

(86) Unter den Dienstleistern spielen Anbieter von verwalteten Sicherheitsdiensten in Bereichen wie Reaktion auf Vorf\u00e4lle, Penetrationstests, Sicherheitsaudits und Beratung eine besonders wichtige Rolle bei der Unterst\u00fctzung von Einrichtungen bei ihren Bem\u00fchungen, Vorf\u00e4lle zu verhindern, aufzudecken, darauf zu reagieren oder sich davon zu erholen. Anbieter von verwalteten Sicherheitsdiensten sind jedoch auch selbst Ziel von Cyberangriffen gewesen und stellen aufgrund ihrer engen Einbindung in die Abl\u00e4ufe der Einrichtungen ein besonderes Risiko dar. Wesentliche und wichtige Einrichtungen sollten daher bei der Auswahl eines Anbieters mit erh\u00f6hter Sorgfalt vorgehen. Anbieter von verwalteten SicherheitsdienstenAnbieter von verwalteten Sicherheitsdiensten<\/span> Bezeichnet einen Anbieter verwalteter Dienste, der T\u00e4tigkeiten im Zusammenhang mit dem Management von Cybersicherheitsrisiken durchf\u00fchrt oder unterst\u00fctzt. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span>.<\/p>\n\n\n\n

(87) Die zust\u00e4ndigen Beh\u00f6rden k\u00f6nnen im Rahmen ihrer Aufsichtsaufgaben auch Cybersicherheitsdienste wie Sicherheitsaudits, Penetrationstests oder Reaktionen auf Vorf\u00e4lle in Anspruch nehmen.<\/p>\n\n\n\n

(88) Wesentliche und wichtige Unternehmen sollten sich auch mit den Risiken befassen, die sich aus ihren Interaktionen und Beziehungen mit anderen Akteuren innerhalb eines breiteren \u00d6kosystems ergeben, auch im Hinblick auf die Bek\u00e4mpfung von Wirtschaftsspionage und den Schutz von Gesch\u00e4ftsgeheimnissen.<\/p>\n\n\n\n

Insbesondere sollten diese Einrichtungen geeignete Ma\u00dfnahmen ergreifen, um sicherzustellen, dass ihre Zusammenarbeit mit Hochschul- und Forschungseinrichtungen im Einklang mit ihren Cybersicherheitsstrategien erfolgt und bew\u00e4hrten Verfahren f\u00fcr den sicheren Zugang und die Verbreitung von Informationen im Allgemeinen und den Schutz des geistigen Eigentums im Besonderen folgt. In Anbetracht der Bedeutung und des Werts von Daten f\u00fcr die T\u00e4tigkeiten wesentlicher und wichtiger Einrichtungen sollten diese Einrichtungen, wenn sie sich auf Datenumwandlungs- und Datenanalysedienste Dritter st\u00fctzen, alle geeigneten Ma\u00dfnahmen f\u00fcr das Risikomanagement im Bereich der Cybersicherheit ergreifen.<\/p>\n\n\n\n

(89) Wesentliche und wichtige Einrichtungen sollten eine breite Palette grundlegender Praktiken der Cyberhygiene anwenden, z. B. Null-Vertrauens-Prinzipien, Software-Updates, Ger\u00e4tekonfiguration, Netzsegmentierung, Identit\u00e4ts- und Zugangsmanagement oder Sensibilisierung der Nutzer, Schulungen f\u00fcr ihre Mitarbeiter organisieren und das Bewusstsein f\u00fcr Cyberbedrohungen, Phishing oder Social-Engineering-Techniken sch\u00e4rfen. Dar\u00fcber hinaus sollten diese Einrichtungen ihre eigenen Cybersicherheitskapazit\u00e4ten bewerten und gegebenenfalls die Integration von Technologien zur Verbesserung der Cybersicherheit, wie k\u00fcnstliche Intelligenz oder maschinelles Lernen, vorantreiben, um ihre F\u00e4higkeiten und die Sicherheit von Netz- und Informationssystemen zu erh\u00f6hen.<\/p>\n\n\n\n

(90) Um die Hauptrisiken in der Lieferkette weiter anzugehen und wesentliche und wichtige Einrichtungen, die in den unter diese Richtlinie fallenden Sektoren t\u00e4tig sind, bei der angemessenen Beherrschung der Risiken in der Lieferkette und bei den Zulieferern zu unterst\u00fctzen, sollte die Kooperationsgruppe in Zusammenarbeit mit der Kommission und der ENISA und gegebenenfalls nach Konsultation der einschl\u00e4gigen Interessentr\u00e4ger, einschlie\u00dflich der Industrie, koordinierte Sicherheitsrisikobewertungen kritischer Lieferketten durchf\u00fchren, wie sie f\u00fcr 5G-Netze gem\u00e4\u00df der Empfehlung (EU) 2019\/534 der Kommission durchgef\u00fchrt wurden, mit dem Ziel, f\u00fcr jeden Sektor die kritischen IKT-Dienste, IKT-Systeme oder IKT-Produkte sowie die einschl\u00e4gigen Bedrohungen und Schwachstellen zu ermitteln.<\/p>\n\n\n\n

In solchen koordinierten Sicherheitsrisikobewertungen sollten Ma\u00dfnahmen, Pl\u00e4ne zur Risikominderung und bew\u00e4hrte Praktiken ermittelt werden, um kritischen Abh\u00e4ngigkeiten, potenziellen Single Points of Failure, Bedrohungen, Schwachstellen und anderen mit der Lieferkette verbundenen Risiken entgegenzuwirken, und es sollte nach M\u00f6glichkeiten gesucht werden, ihre breitere Anwendung durch wesentliche und wichtige Einrichtungen zu f\u00f6rdern. Zu den potenziellen nichttechnischen Risikofaktoren, wie z. B. die unzul\u00e4ssige Einflussnahme eines Drittlandes auf Lieferanten und Dienstleister, insbesondere im Falle alternativer Governance-Modelle, geh\u00f6ren versteckte Schwachstellen oder Hintert\u00fcren und potenzielle systemische Versorgungsunterbrechungen, insbesondere im Falle einer technologischen Bindung oder Abh\u00e4ngigkeit von Anbietern.<\/p>\n\n\n\n

(91) Bei den koordinierten Sicherheitsrisikobewertungen kritischer Lieferketten sollten unter Ber\u00fccksichtigung der Merkmale des betreffenden Sektors sowohl technische als auch gegebenenfalls nichttechnische Faktoren ber\u00fccksichtigt werden, einschlie\u00dflich der in der Empfehlung (EU) 2019\/534, in der koordinierten EU-Risikobewertung der Cybersicherheit von 5G-Netzen und in der von der Kooperationsgruppe vereinbarten EU-Toolbox zur 5G-Cybersicherheit festgelegten Faktoren.<\/p>\n\n\n\n

Bei der Ermittlung der Lieferketten, die einer koordinierten Sicherheitsrisikobewertung unterzogen werden sollten, sollten die folgenden Kriterien ber\u00fccksichtigt werden:<\/p>\n\n\n\n

(i) das Ausma\u00df, in dem wesentliche und wichtige Einrichtungen bestimmte kritische IKT-Dienste, IKT-Systeme oder IKT-Produkte nutzen und auf diese angewiesen sind;<\/p>\n\n\n\n

(ii) die Bedeutung bestimmter kritischer IKT-Dienste, IKT-Systeme oder IKT-Produkte f\u00fcr die Erf\u00fcllung kritischer oder sensibler Funktionen, einschlie\u00dflich der Verarbeitung personenbezogener Daten;<\/p>\n\n\n\n

(iii) die Verf\u00fcgbarkeit von alternativen IKT-Dienstleistungen, IKT-Systemen oder IKT-Produkten;<\/p>\n\n\n\n

(iv) die Widerstandsf\u00e4higkeit der gesamten Lieferkette von IKT-Dienstleistungen, IKT-Systemen oder IKT-Produkten w\u00e4hrend ihres gesamten Lebenszyklus gegen\u00fcber st\u00f6renden Ereignissen; und<\/p>\n\n\n\n

(v) bei neu entstehenden IKT-Diensten, IKT-Systemen oder IKT-Produkten deren potenzielle k\u00fcnftige Bedeutung f\u00fcr die T\u00e4tigkeiten der Unternehmen.<\/p>\n\n\n\n

Dar\u00fcber hinaus sollte besonderes Augenmerk auf IKT-Dienstleistungen, IKT-Systeme oder IKT-Produkte gelegt werden, f\u00fcr die spezifische Anforderungen aus Drittl\u00e4ndern gelten.<\/p>\n\n\n\n

(92) Um die den Betreibern \u00f6ffentlicher elektronischer Kommunikationsnetze oder \u00f6ffentlich zug\u00e4nglicher elektronischer Kommunikationsdienste sowie den Vertrauensdiensteanbietern auferlegten Verpflichtungen in Bezug auf die Sicherheit ihrer Netz- und Informationssysteme zu straffen, zu straffen und es diesen Einrichtungen und den zust\u00e4ndigen Beh\u00f6rden gem\u00e4\u00df der Richtlinie (EU) 2018\/1972 des Europ\u00e4ischen Parlaments und des Rates bzw. der Verordnung (EU) Nr. 910\/2014 zu erm\u00f6glichen, von dem durch diese Richtlinie geschaffenen Rechtsrahmen zu profitieren, einschlie\u00dflich der Benennung eines f\u00fcr die Bearbeitung von Vorf\u00e4llen zust\u00e4ndigen CSIRT, der Beteiligung der betreffenden zust\u00e4ndigen Beh\u00f6rden an den T\u00e4tigkeiten der Kooperationsgruppe und des CSIRT-Netzes, sollten diese Einrichtungen in den Anwendungsbereich dieser Richtlinie fallen.<\/p>\n\n\n\n

Die entsprechenden Bestimmungen der Verordnung (EU) Nr. 910\/2014 und der Richtlinie (EU) 2018\/1972 \u00fcber die Auferlegung von Sicherheits- und Meldepflichten f\u00fcr diese Arten von Einrichtungen sollten daher gestrichen werden. Die in dieser Richtlinie festgelegten Vorschriften \u00fcber Meldepflichten sollten die Verordnung (EU) 2016\/679 und die Richtlinie 2002\/58\/EG unber\u00fchrt lassen.<\/p>\n\n\n\n

(93) Die in dieser Richtlinie festgelegten Cybersicherheitsverpflichtungen sollten als Erg\u00e4nzung zu den Anforderungen betrachtet werden, die den Vertrauensdiensteanbietern gem\u00e4\u00df der Verordnung (EU) Nr. 910\/2014 auferlegt werden. Von Vertrauensdiensteanbietern sollte verlangt werden, dass sie alle geeigneten und verh\u00e4ltnism\u00e4\u00dfigen Ma\u00dfnahmen ergreifen, um die mit ihren Diensten verbundenen Risiken, auch in Bezug auf Kunden und vertrauensw\u00fcrdige Dritte, zu bew\u00e4ltigen, und dass sie Vorf\u00e4lle gem\u00e4\u00df dieser Richtlinie melden. Diese Cybersicherheits- und Meldepflichten sollten auch den physischen Schutz der erbrachten Dienste betreffen. Die Anforderungen f\u00fcr qualifizierter TreuhandserviceQualifizierter Treuhanddienst<\/span> Bezeichnet einen Vertrauensdienst, der die in dieser Verordnung festgelegten Anforderungen erf\u00fcllt - Definition gem\u00e4\u00df Artikel 3 Nummer 17 der Verordnung (EU) Nr. 910\/2014<\/span><\/span><\/span> Die in Artikel 24 der Verordnung (EU) Nr. 910\/2014 festgelegten Anbieter gelten weiterhin.<\/p>\n\n\n\n

(94) Die Mitgliedstaaten k\u00f6nnen die Rolle der f\u00fcr Vertrauensdienste zust\u00e4ndigen Beh\u00f6rden den Aufsichtsstellen gem\u00e4\u00df der Verordnung (EU) Nr. 910\/2014 \u00fcbertragen, um die Fortf\u00fchrung der derzeitigen Praktiken zu gew\u00e4hrleisten und auf den bei der Anwendung der genannten Verordnung gewonnenen Kenntnissen und Erfahrungen aufzubauen. In einem solchen Fall sollten die gem\u00e4\u00df dieser Richtlinie zust\u00e4ndigen Beh\u00f6rden eng und rechtzeitig mit diesen Aufsichtsstellen zusammenarbeiten, indem sie einschl\u00e4gige Informationen austauschen, um eine wirksame Beaufsichtigung und die Einhaltung der in dieser Richtlinie und in der Verordnung (EU) Nr. 910\/2014 festgelegten Anforderungen durch die Vertrauensdiensteanbieter sicherzustellen.<\/p>\n\n\n\n

Gegebenenfalls sollte das CSIRT oder die gem\u00e4\u00df dieser Richtlinie zust\u00e4ndige Beh\u00f6rde die Aufsichtsbeh\u00f6rde gem\u00e4\u00df der Verordnung (EU) Nr. 910\/2014 unverz\u00fcglich \u00fcber alle gemeldeten erhebliche Cyber-BedrohungErhebliche Cyber-Bedrohung<\/span> Bezeichnet eine Cyber-Bedrohung, bei der aufgrund ihrer technischen Merkmale davon ausgegangen werden kann, dass sie das Potenzial hat, schwerwiegende Auswirkungen auf das Netz und die Informationssysteme einer Einrichtung oder die Nutzer der Dienste der Einrichtung zu haben, indem sie erhebliche materielle oder immaterielle Sch\u00e4den verursacht. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> oder Vorf\u00e4lle, die Vertrauensdienste betreffen, sowie \u00fcber Verst\u00f6\u00dfe eines TreuhanddienstleisterVertrauensdiensteanbieter<\/span> Bezeichnet eine nat\u00fcrliche oder juristische Person, die einen oder mehrere Vertrauensdienste entweder als qualifizierter oder als nicht qualifizierter Vertrauensdiensteanbieter erbringt - Definition gem\u00e4\u00df Artikel 3 Nummer 19 der Verordnung (EU) Nr. 910\/2014<\/span><\/span><\/span> der vorliegenden Richtlinie. F\u00fcr die Zwecke der Meldung k\u00f6nnen die Mitgliedstaaten gegebenenfalls die zentrale Anlaufstelle nutzen, die eingerichtet wurde, um eine gemeinsame und automatische Meldung von Vorf\u00e4llen sowohl an die Aufsichtsstelle gem\u00e4\u00df der Verordnung (EU) Nr. 910\/2014 als auch an das CSIRT oder die zust\u00e4ndige Beh\u00f6rde gem\u00e4\u00df dieser Richtlinie zu erreichen.<\/p>\n\n\n\n

(95) Gegebenenfalls und um unn\u00f6tige Unterbrechungen zu vermeiden, sollten bestehende nationale Leitlinien, die zur Umsetzung der in den Artikeln 40 und 41 der Richtlinie (EU) 2018\/1972 festgelegten Vorschriften f\u00fcr Sicherheitsma\u00dfnahmen angenommen wurden, bei der Umsetzung dieser Richtlinie ber\u00fccksichtigt werden, wobei auf den im Rahmen der Richtlinie (EU) 2018\/1972 bereits erworbenen Kenntnissen und F\u00e4higkeiten in Bezug auf Sicherheitsma\u00dfnahmen und Meldungen von Zwischenf\u00e4llen aufgebaut werden sollte.<\/p>\n\n\n\n

Die ENISA kann auch Leitlinien zu den Sicherheitsanforderungen und zur Meldepflicht f\u00fcr Anbieter \u00f6ffentlicher elektronischer Kommunikationsnetze oder \u00f6ffentlich zug\u00e4nglicher elektronischer Kommunikationsdienste ausarbeiten, um die Harmonisierung und den \u00dcbergang zu erleichtern und St\u00f6rungen zu minimieren. Die Mitgliedstaaten k\u00f6nnen den nationalen Regulierungsbeh\u00f6rden gem\u00e4\u00df der Richtlinie (EU) 2018\/1972 die Rolle der f\u00fcr die elektronische Kommunikation zust\u00e4ndigen Beh\u00f6rden \u00fcbertragen, um die Fortf\u00fchrung der derzeitigen Praktiken zu gew\u00e4hrleisten und auf den bei der Umsetzung der Richtlinie gewonnenen Kenntnissen und Erfahrungen aufzubauen.<\/p>\n\n\n\n

(96) Angesichts der zunehmenden Bedeutung nummernunabh\u00e4ngiger interpersoneller Kommunikationsdienste im Sinne der Richtlinie (EU) 2018\/1972 muss sichergestellt werden, dass diese Dienste angesichts ihrer besonderen Art und wirtschaftlichen Bedeutung auch angemessenen Sicherheitsanforderungen unterliegen. Da sich die Angriffsfl\u00e4che weiter vergr\u00f6\u00dfert, werden nummernunabh\u00e4ngige interpersonelle Kommunikationsdienste, wie z. B. Messaging-Dienste, zu weit verbreiteten Angriffsvektoren.<\/p>\n\n\n\n

B\u00f6swillige T\u00e4ter nutzen Plattformen, um zu kommunizieren und ihre Opfer dazu zu bringen, kompromittierte Webseiten zu \u00f6ffnen, wodurch die Wahrscheinlichkeit von Vorf\u00e4llen, bei denen personenbezogene Daten missbraucht werden, und damit auch die Sicherheit von Netz- und Informationssystemen steigt. Die Anbieter von nummernunabh\u00e4ngigen interpersonellen Kommunikationsdiensten sollten ein Sicherheitsniveau der Netz- und Informationssysteme gew\u00e4hrleisten, das den Risiken angemessen ist.<\/p>\n\n\n\n

Da die Anbieter nummernunabh\u00e4ngiger interpersoneller Kommunikationsdienste in der Regel keine tats\u00e4chliche Kontrolle \u00fcber die \u00dcbertragung von Signalen \u00fcber Netze aus\u00fcben, kann das Ausma\u00df der Risiken f\u00fcr solche Dienste in mancher Hinsicht als geringer angesehen werden als f\u00fcr herk\u00f6mmliche elektronische Kommunikationsdienste. Das Gleiche gilt f\u00fcr interpersonelle Kommunikationsdienste im Sinne der Richtlinie (EU) 2018\/1972, die Nummern nutzen und keine tats\u00e4chliche Kontrolle \u00fcber die Signal\u00fcbertragung aus\u00fcben.<\/p>\n\n\n\n

(97) Der Binnenmarkt ist mehr denn je auf das Funktionieren des Internets angewiesen. Die Dienstleistungen fast aller wesentlichen und wichtigen Einrichtungen h\u00e4ngen von Diensten ab, die \u00fcber das Internet erbracht werden. Um die reibungslose Erbringung von Diensten durch wesentliche und wichtige Einrichtungen zu gew\u00e4hrleisten, ist es wichtig, dass alle Betreiber \u00f6ffentlicher elektronischer Kommunikationsnetze \u00fcber geeignete Ma\u00dfnahmen f\u00fcr das Risikomanagement im Bereich der Cybersicherheit verf\u00fcgen und wesentliche Vorf\u00e4lle in diesem Zusammenhang melden.<\/p>\n\n\n\n

Die Mitgliedstaaten sollten sicherstellen, dass die Sicherheit der \u00f6ffentlichen elektronischen Kommunikationsnetze aufrechterhalten wird und dass ihre lebenswichtigen Sicherheitsinteressen vor Sabotage und Spionage gesch\u00fctzt werden. Da die internationale Konnektivit\u00e4t die wettbewerbsf\u00e4hige Digitalisierung der Union und ihrer Wirtschaft f\u00f6rdert und beschleunigt, sollten Vorf\u00e4lle, die unterseeische Kommunikationskabel betreffen, dem CSIRT oder gegebenenfalls der zust\u00e4ndigen Beh\u00f6rde gemeldet werden. Die nationale Cybersicherheitsstrategie sollte gegebenenfalls der Cybersicherheit von Unterseekabeln Rechnung tragen und eine Kartierung potenzieller Cybersicherheitsrisiken und Ma\u00dfnahmen zur Abschw\u00e4chung dieser Risiken enthalten, um ein H\u00f6chstma\u00df an Schutz zu gew\u00e4hrleisten.<\/p>\n\n\n\n

(98) Um die Sicherheit \u00f6ffentlicher elektronischer Kommunikationsnetze und \u00f6ffentlich zug\u00e4nglicher elektronischer Kommunikationsdienste zu gew\u00e4hrleisten, sollte der Einsatz von Verschl\u00fcsselungstechniken, insbesondere der Ende-zu-Ende-Verschl\u00fcsselung, sowie von datenzentrierten Sicherheitskonzepten wie Kartografie, Segmentierung, Kennzeichnung, Zugangspolitik und Zugangsverwaltung sowie automatische Zugangsentscheidungen gef\u00f6rdert werden. Erforderlichenfalls sollte der Einsatz von Verschl\u00fcsselungstechniken, insbesondere der Ende-zu-Ende-Verschl\u00fcsselung, f\u00fcr Betreiber \u00f6ffentlicher elektronischer Kommunikationsnetze oder \u00f6ffentlich zug\u00e4nglicher elektronischer Kommunikationsdienste im Einklang mit den Grunds\u00e4tzen der Sicherheit und des Schutzes der Privatsph\u00e4re durch Voreinstellungen und durch Technik im Sinne dieser Richtlinie verbindlich sein.<\/p>\n\n\n\n

Die Verwendung der Ende-zu-Ende-Verschl\u00fcsselung sollte mit den Befugnissen der Mitgliedstaaten zur Gew\u00e4hrleistung des Schutzes ihrer wesentlichen Sicherheitsinteressen und der \u00f6ffentlichen Sicherheit in Einklang gebracht werden und die Verh\u00fctung, Ermittlung, Feststellung und Verfolgung von Straftaten im Einklang mit dem Unionsrecht erm\u00f6glichen. Dies sollte jedoch nicht zu einer Schw\u00e4chung der Ende-zu-Ende-Verschl\u00fcsselung f\u00fchren, die eine entscheidende Technologie f\u00fcr den wirksamen Schutz von Daten und der Privatsph\u00e4re sowie f\u00fcr die Sicherheit der Kommunikation ist.<\/p>\n\n\n\n

(99) Um die Sicherheit \u00f6ffentlicher elektronischer Kommunikationsnetze und \u00f6ffentlich zug\u00e4nglicher elektronischer Kommunikationsdienste zu gew\u00e4hrleisten und Missbrauch und Manipulation zu verhindern, sollte die Verwendung sicherer Leitweglenkungsstandards gef\u00f6rdert werden, um die Integrit\u00e4t und Robustheit der Leitweglenkungsfunktionen im gesamten \u00d6kosystem der Anbieter von Internetzugangsdiensten zu gew\u00e4hrleisten.<\/p>\n\n\n\n

(100) Um die Funktionalit\u00e4t und Integrit\u00e4t des Internets zu gew\u00e4hrleisten und die Sicherheit und Belastbarkeit des DNS zu f\u00f6rdern, sollten die einschl\u00e4gigen Akteure, einschlie\u00dflich der privatwirtschaftlichen Einrichtungen der Union, der Anbieter \u00f6ffentlich zug\u00e4nglicher elektronischer Kommunikationsdienste, insbesondere der Anbieter von Internetzugangsdiensten, und der Anbieter von Online-Suchmaschinen, ermutigt werden, eine Strategie zur Diversifizierung der DNS-Aufl\u00f6sung zu verfolgen. Au\u00dferdem sollten die Mitgliedstaaten die Entwicklung und Nutzung eines \u00f6ffentlichen und sicheren europ\u00e4ischen DNS-Aufl\u00f6sungsdienstes f\u00f6rdern.<\/p>\n\n\n\n

(101) In dieser Richtlinie wird ein mehrstufiger Ansatz f\u00fcr die Meldung bedeutender Vorf\u00e4lle festgelegt, um das richtige Gleichgewicht zu finden zwischen einerseits einer raschen Meldung, die dazu beitr\u00e4gt, die potenzielle Ausbreitung bedeutender Vorf\u00e4lle einzud\u00e4mmen und wesentlichen und wichtigen Einrichtungen die M\u00f6glichkeit zu geben, Hilfe zu suchen, und andererseits einer ausf\u00fchrlichen Meldung, die wertvolle Lehren aus einzelnen Vorf\u00e4llen zieht und die Cyber-Resilienz einzelner Einrichtungen und ganzer Sektoren mit der Zeit verbessert.<\/p>\n\n\n\n

In diesem Zusammenhang sollte diese Richtlinie die Meldung von Vorf\u00e4llen einschlie\u00dfen, die auf der Grundlage einer ersten Bewertung durch die betreffende Stelle zu einer schwerwiegenden St\u00f6rung des Betriebs der Dienste oder zu finanziellen Verlusten f\u00fcr diese Stelle f\u00fchren oder andere nat\u00fcrliche oder juristische Personen beeintr\u00e4chtigen k\u00f6nnten, indem sie erhebliche materielle oder immaterielle Sch\u00e4den verursachen.<\/p>\n\n\n\n

Bei einer solchen Anfangsbewertung sollten unter anderem das betroffene Netz und die betroffenen Informationssysteme, insbesondere ihre Bedeutung f\u00fcr die Erbringung der Dienste der Einrichtung, die Schwere und die technischen Merkmale einer Cyber-Bedrohung und etwaige zugrunde liegende Schwachstellen, die ausgenutzt werden, sowie die Erfahrungen der Einrichtung mit \u00e4hnlichen Vorf\u00e4llen ber\u00fccksichtigt werden. Indikatoren wie das Ausma\u00df, in dem das Funktionieren des Dienstes beeintr\u00e4chtigt ist, die Dauer eines Vorfalls oder die Anzahl der betroffenen Dienstleistungsempf\u00e4nger k\u00f6nnten eine wichtige Rolle bei der Feststellung spielen, ob die Betriebsunterbrechung des Dienstes schwerwiegend ist.<\/p>\n\n\n\n

(102) Erhalten wesentliche oder wichtige Einrichtungen Kenntnis von einem bedeutenden Zwischenfall, so sollten sie verpflichtet sein, unverz\u00fcglich, auf jeden Fall aber innerhalb von 24 Stunden, eine Fr\u00fchwarnung abzugeben. Auf diese Fr\u00fchwarnung sollte eine St\u00f6rfallmeldung folgen. Die betroffenen Einrichtungen sollten unverz\u00fcglich, auf jeden Fall aber innerhalb von 72 Stunden nach Bekanntwerden des bedeutsamen Vorfalls, eine Meldung \u00fcber den Vorfall \u00fcbermitteln, um insbesondere die im Rahmen der Fr\u00fchwarnung \u00fcbermittelten Informationen zu aktualisieren und eine erste Bewertung des bedeutsamen Vorfalls, einschlie\u00dflich seiner Schwere und seiner Auswirkungen, sowie gegebenenfalls Indikatoren f\u00fcr eine Kompromittierung anzugeben.<\/p>\n\n\n\n

Sp\u00e4testens einen Monat nach der Meldung des Vorfalls sollte ein Abschlussbericht vorgelegt werden. Die Fr\u00fchwarnung sollte nur die Informationen enthalten, die erforderlich sind, um das CSIRT oder gegebenenfalls die zust\u00e4ndige Beh\u00f6rde auf den bedeutsamen Vorfall aufmerksam zu machen und der betroffenen Stelle die M\u00f6glichkeit zu geben, bei Bedarf um Unterst\u00fctzung zu ersuchen. In der Fr\u00fchwarnung sollte gegebenenfalls angegeben werden, ob der Verdacht besteht, dass der schwerwiegende Vorfall durch rechtswidrige oder b\u00f6swillige Handlungen verursacht wurde, und ob er wahrscheinlich grenz\u00fcberschreitende Auswirkungen hat.<\/p>\n\n\n\n

Die Mitgliedstaaten sollten sicherstellen, dass die Verpflichtung zur \u00dcbermittlung dieser Fr\u00fchwarnung bzw. der anschlie\u00dfenden Meldung des Vorfalls nicht dazu f\u00fchrt, dass die Ressourcen der meldenden Stelle von vorrangig zu bearbeitenden Vorf\u00e4llen abgezogen werden, um zu verhindern, dass die Verpflichtung zur Meldung von Vorf\u00e4llen dazu f\u00fchrt, dass Ressourcen von der Bearbeitung wichtiger Vorf\u00e4lle abgezogen oder die diesbez\u00fcglichen Bem\u00fchungen der Stelle anderweitig beeintr\u00e4chtigt werden. Ist ein Vorfall zum Zeitpunkt der Vorlage des Abschlussberichts noch nicht abgeschlossen, sollten die Mitgliedstaaten sicherstellen, dass die betroffenen Stellen zu diesem Zeitpunkt einen Fortschrittsbericht und innerhalb eines Monats nach der Bearbeitung des bedeutenden Vorfalls einen Abschlussbericht vorlegen.<\/p>\n\n\n\n

(103) Gegebenenfalls sollten wesentliche und bedeutende Unternehmen ihren Dienstleistungsempf\u00e4ngern unverz\u00fcglich alle Ma\u00dfnahmen oder Abhilfema\u00dfnahmen mitteilen, die sie ergreifen k\u00f6nnen, um die aus einer erheblichen Cyber-Bedrohung resultierenden Risiken zu mindern. Diese Unternehmen sollten gegebenenfalls und insbesondere dann, wenn die erhebliche Cyber-Bedrohung wahrscheinlich eintreten wird, ihre Dienstleistungsempf\u00e4nger auch \u00fcber die Bedrohung selbst informieren.<\/p>\n\n\n\n

Die Anforderung, diese Empf\u00e4nger \u00fcber erhebliche Cyber-Bedrohungen zu informieren, sollte nach bestem Bem\u00fchen erf\u00fcllt werden, sollte diese Stellen jedoch nicht von der Verpflichtung entbinden, auf eigene Kosten geeignete und sofortige Ma\u00dfnahmen zu ergreifen, um solche Bedrohungen zu verhindern oder zu beheben und das normale Sicherheitsniveau des Dienstes wiederherzustellen. Die Bereitstellung solcher Informationen \u00fcber erhebliche Cyber-Bedrohungen f\u00fcr die Dienstleistungsempf\u00e4nger sollte kostenlos sein und in leicht verst\u00e4ndlicher Sprache erfolgen.<\/p>\n\n\n\n

(104) Die Betreiber \u00f6ffentlicher elektronischer Kommunikationsnetze oder \u00f6ffentlich zug\u00e4nglicher elektronischer Kommunikationsdienste sollten Sicherheit durch Technik und Voreinstellungen gew\u00e4hrleisten und ihre Dienstleistungsempf\u00e4nger \u00fcber erhebliche Cyber-Bedrohungen und \u00fcber Ma\u00dfnahmen informieren, die sie zum Schutz ihrer Ger\u00e4te und ihrer Kommunikation ergreifen k\u00f6nnen, z. B. durch den Einsatz bestimmter Software oder Verschl\u00fcsselungstechniken.<\/p>\n\n\n\n

(105) Ein proaktiver Ansatz in Bezug auf Cyber-Bedrohungen ist ein wesentlicher Bestandteil des Risikomanagements im Bereich der Cybersicherheit, der die zust\u00e4ndigen Beh\u00f6rden in die Lage versetzen sollte, wirksam zu verhindern, dass sich Cyber-Bedrohungen zu Vorf\u00e4llen entwickeln, die erhebliche materielle oder immaterielle Sch\u00e4den verursachen k\u00f6nnen. Zu diesem Zweck ist die Meldung von Cyber-Bedrohungen von zentraler Bedeutung. Zu diesem Zweck werden die Einrichtungen aufgefordert, Cyber-Bedrohungen auf freiwilliger Basis zu melden.<\/p>\n\n\n\n

(106) Um die Meldung der nach dieser Richtlinie erforderlichen Informationen zu vereinfachen und den Verwaltungsaufwand f\u00fcr die Unternehmen zu verringern, sollten die Mitgliedstaaten technische Mittel wie eine einzige Anlaufstelle, automatisierte Systeme, Online-Formulare, benutzerfreundliche Schnittstellen, Vorlagen und spezielle Plattformen bereitstellen, die die Unternehmen unabh\u00e4ngig davon, ob sie in den Anwendungsbereich dieser Richtlinie fallen, f\u00fcr die \u00dcbermittlung der zu meldenden relevanten Informationen nutzen k\u00f6nnen.<\/p>\n\n\n\n

Die Unionsfinanzierung zur Unterst\u00fctzung der Umsetzung dieser Richtlinie, insbesondere im Rahmen des Programms \"Digitales Europa\", das durch die Verordnung (EU) 2021\/694 des Europ\u00e4ischen Parlaments und des Rates (21) eingerichtet wurde, k\u00f6nnte auch die Unterst\u00fctzung f\u00fcr zentrale Anlaufstellen umfassen. Dar\u00fcber hinaus befinden sich Einrichtungen h\u00e4ufig in einer Situation, in der ein bestimmter Vorfall aufgrund seiner Merkmale an verschiedene Beh\u00f6rden gemeldet werden muss, da in verschiedenen Rechtsinstrumenten Meldepflichten vorgesehen sind. Solche F\u00e4lle verursachen zus\u00e4tzlichen Verwaltungsaufwand und k\u00f6nnten auch zu Unsicherheiten hinsichtlich des Formats und der Verfahren f\u00fcr solche Meldungen f\u00fchren.<\/p>\n\n\n\n

Wird eine zentrale Anlaufstelle eingerichtet, werden die Mitgliedstaaten ermutigt, diese zentrale Anlaufstelle auch f\u00fcr Meldungen von Sicherheitsvorf\u00e4llen zu nutzen, die nach anderem Unionsrecht, wie der Verordnung (EU) 2016\/679 und der Richtlinie 2002\/58\/EG, erforderlich sind. Die Nutzung einer solchen zentralen Anlaufstelle f\u00fcr die Meldung von Sicherheitsvorf\u00e4llen gem\u00e4\u00df der Verordnung (EU) 2016\/679 und der Richtlinie 2002\/58\/EG sollte die Anwendung der Bestimmungen der Verordnung (EU) 2016\/679 und der Richtlinie 2002\/58\/EG, insbesondere der Bestimmungen \u00fcber die Unabh\u00e4ngigkeit der darin genannten Beh\u00f6rden, nicht beeintr\u00e4chtigen. Die ENISA sollte in Zusammenarbeit mit der Gruppe \"Zusammenarbeit\" gemeinsame Meldevorlagen in Form von Leitlinien entwickeln, um die nach dem Unionsrecht zu meldenden Informationen zu vereinfachen und zu straffen und den Verwaltungsaufwand der meldenden Stellen zu verringern.<\/p>\n\n\n\n

(107) Besteht der Verdacht, dass ein Vorfall mit schwerwiegenden kriminellen Handlungen nach Unionsrecht oder nationalem Recht zusammenh\u00e4ngt, sollten die Mitgliedstaaten wesentliche und wichtige Einrichtungen ermutigen, Vorf\u00e4lle, bei denen der Verdacht auf schwerwiegende kriminelle Handlungen besteht, auf der Grundlage der geltenden Strafverfahrensvorschriften im Einklang mit dem Unionsrecht den zust\u00e4ndigen Strafverfolgungsbeh\u00f6rden zu melden. Unbeschadet der f\u00fcr Europol geltenden Vorschriften \u00fcber den Schutz personenbezogener Daten ist es w\u00fcnschenswert, dass die Koordinierung zwischen den zust\u00e4ndigen Beh\u00f6rden und den Strafverfolgungsbeh\u00f6rden der verschiedenen Mitgliedstaaten gegebenenfalls durch das Europ\u00e4ische Zentrum zur Bek\u00e4mpfung der Cyberkriminalit\u00e4t (EC3) und die ENISA erleichtert wird.<\/p>\n\n\n\n

(108) Personenbezogene Daten sind in vielen F\u00e4llen infolge von Vorf\u00e4llen gef\u00e4hrdet. In diesem Zusammenhang sollten die zust\u00e4ndigen Beh\u00f6rden mit den in der Verordnung (EU) 2016\/679 und der Richtlinie 2002\/58\/EG genannten Beh\u00f6rden zusammenarbeiten und Informationen \u00fcber alle relevanten Angelegenheiten austauschen.<\/p>\n\n\n\n

(109) Die Pflege genauer und vollst\u00e4ndiger Datenbanken mit Dom\u00e4nennamenregistrierungsdaten (WHOIS-Daten) und die Gew\u00e4hrung eines rechtm\u00e4\u00dfigen Zugangs zu diesen Daten sind von wesentlicher Bedeutung, um die Sicherheit, Stabilit\u00e4t und Belastbarkeit des DNS zu gew\u00e4hrleisten, was wiederum zu einem hohen gemeinsamen Niveau der Cybersicherheit in der Union beitr\u00e4gt. Zu diesem Zweck sollten TLD-Register und Einrichtungen, die Dom\u00e4nennamenregistrierungsdienste anbieten, verpflichtet werden, bestimmte Daten zu verarbeiten, die zur Erreichung dieses Zwecks erforderlich sind.<\/p>\n\n\n\n

Eine solche Verarbeitung sollte eine rechtliche Verpflichtung im Sinne von Artikel 6 Absatz 1 Buchstabe c der Verordnung (EU) 2016\/679 darstellen. Diese Verpflichtung l\u00e4sst die M\u00f6glichkeit unber\u00fchrt, Registrierungsdaten von Dom\u00e4nennamen f\u00fcr andere Zwecke zu erheben, zum Beispiel auf der Grundlage vertraglicher Vereinbarungen oder rechtlicher Anforderungen, die in anderen Rechtsvorschriften der Union oder der Mitgliedstaaten festgelegt sind. Diese Verpflichtung zielt darauf ab, einen vollst\u00e4ndigen und genauen Satz von Registrierungsdaten zu erhalten, und sollte nicht dazu f\u00fchren, dass dieselben Daten mehrfach erhoben werden. Die TLD-Register und die Einrichtungen, die Dom\u00e4nennamenregistrierungsdienste anbieten, sollten zusammenarbeiten, um eine doppelte Erfassung dieser Daten zu vermeiden.<\/p>\n\n\n\n

(110) Die Verf\u00fcgbarkeit und rechtzeitige Zug\u00e4nglichkeit von Dom\u00e4nennamenregistrierungsdaten f\u00fcr rechtm\u00e4\u00dfige Antragsteller ist f\u00fcr die Verh\u00fctung und Bek\u00e4mpfung von DNS-Missbrauch sowie f\u00fcr die Verh\u00fctung und Aufdeckung von und die Reaktion auf Vorf\u00e4lle von wesentlicher Bedeutung. Unter rechtm\u00e4\u00dfigen Antragstellern ist jede nat\u00fcrliche oder juristische Person zu verstehen, die einen Antrag gem\u00e4\u00df dem Unionsrecht oder dem nationalen Recht stellt.<\/p>\n\n\n\n

Dazu k\u00f6nnen die nach dieser Richtlinie zust\u00e4ndigen Beh\u00f6rden und die nach Unionsrecht oder nationalem Recht f\u00fcr die Verh\u00fctung, Ermittlung, Feststellung oder Verfolgung von Straftaten zust\u00e4ndigen Beh\u00f6rden sowie CERTs oder CSIRTs geh\u00f6ren. TLD-Namensregister und Stellen, die Dom\u00e4nennamenregistrierungsdienste anbieten, sollten verpflichtet sein, berechtigten Antragstellern im Einklang mit dem Unionsrecht und dem nationalen Recht rechtm\u00e4\u00dfigen Zugang zu bestimmten Dom\u00e4nennamenregistrierungsdaten zu gew\u00e4hren, die f\u00fcr die Zwecke des Zugangsantrags erforderlich sind. Dem Antrag eines rechtm\u00e4\u00dfigen Antragstellers sollte eine Begr\u00fcndung beigef\u00fcgt werden, die eine Beurteilung der Notwendigkeit des Zugangs zu den Daten erm\u00f6glicht.<\/p>\n\n\n\n

(111) Um die Verf\u00fcgbarkeit genauer und vollst\u00e4ndiger Dom\u00e4nennamenregistrierungsdaten zu gew\u00e4hrleisten, sollten TLD-Namensregister und Einrichtungen, die Dom\u00e4nennamenregistrierungsdienste anbieten, die Integrit\u00e4t und Verf\u00fcgbarkeit von Dom\u00e4nennamenregistrierungsdaten erfassen und gew\u00e4hrleisten. Insbesondere sollten TLD-Register und Einrichtungen, die Dom\u00e4nennamen-Registrierungsdienste anbieten, im Einklang mit dem Datenschutzrecht der Union Strategien und Verfahren zur Erhebung und Pflege genauer und vollst\u00e4ndiger Dom\u00e4nennamen-Registrierungsdaten sowie zur Verhinderung und Korrektur unrichtiger Registrierungsdaten festlegen.<\/p>\n\n\n\n

Diese Strategien und Verfahren sollten so weit wie m\u00f6glich den von den Multi-Stakeholder-Governance-Strukturen auf internationaler Ebene entwickelten Standards Rechnung tragen. Die TLD-Register und die Einrichtungen, die Dom\u00e4nennamenregistrierungsdienste anbieten, sollten angemessene Verfahren zur \u00dcberpr\u00fcfung der Dom\u00e4nennamenregistrierungsdaten einf\u00fchren und umsetzen.<\/p>\n\n\n\n

Diese Verfahren sollten den bew\u00e4hrten Praktiken der Branche und, soweit m\u00f6glich, den Fortschritten auf dem Gebiet der elektronischen Identifizierung Rechnung tragen. Beispiele f\u00fcr \u00dcberpr\u00fcfungsverfahren k\u00f6nnen Ex-ante-Kontrollen zum Zeitpunkt der Registrierung und Ex-post-Kontrollen nach der Registrierung umfassen. Die TLD-Register und die Einrichtungen, die Dienste zur Registrierung von Dom\u00e4nennamen anbieten, sollten insbesondere mindestens eine Kontaktm\u00f6glichkeit des Registranten \u00fcberpr\u00fcfen.<\/p>\n\n\n\n

(112) TLD-Namensregister und Stellen, die Dom\u00e4nennamenregistrierungsdienste anbieten, sollten verpflichtet werden, Dom\u00e4nennamenregistrierungsdaten, die nicht in den Anwendungsbereich des Datenschutzrechts der Union fallen, wie Daten, die juristische Personen betreffen, im Einklang mit der Pr\u00e4ambel der Verordnung (EU) 2016\/679 \u00f6ffentlich zug\u00e4nglich zu machen. F\u00fcr juristische Personen sollten die TLD-Namensregister und die Einrichtungen, die Dom\u00e4nennamenregistrierungsdienste anbieten, zumindest den Namen des Registranten und die Kontakttelefonnummer \u00f6ffentlich zug\u00e4nglich machen.<\/p>\n\n\n\n

Die Kontakt-E-Mail-Adresse sollte ebenfalls ver\u00f6ffentlicht werden, sofern sie keine personenbezogenen Daten enth\u00e4lt, wie z. B. im Falle von E-Mail-Aliasnamen oder funktionalen Konten. TLD-Namensregister und Stellen, die Dom\u00e4nennamenregistrierungsdienste anbieten, sollten berechtigten Antragstellern im Einklang mit dem Datenschutzrecht der Union auch den rechtm\u00e4\u00dfigen Zugang zu bestimmten Dom\u00e4nennamenregistrierungsdaten nat\u00fcrlicher Personen erm\u00f6glichen. Die Mitgliedstaaten sollten TLD-Register und Stellen, die Dom\u00e4nennamenregistrierungsdienste anbieten, dazu verpflichten, Antr\u00e4ge auf Offenlegung von Dom\u00e4nennamenregistrierungsdaten von rechtm\u00e4\u00dfigen Antragstellern unverz\u00fcglich zu beantworten.<\/p>\n\n\n\n

TLD-Namensregister und Einrichtungen, die Dienste f\u00fcr die Registrierung von Dom\u00e4nennamen anbieten, sollten Grunds\u00e4tze und Verfahren f\u00fcr die Ver\u00f6ffentlichung und Offenlegung von Registrierungsdaten festlegen, einschlie\u00dflich Dienstg\u00fctevereinbarungen f\u00fcr den Umgang mit Zugangsantr\u00e4gen von legitimen Antragstellern. Diese Strategien und Verfahren sollten so weit wie m\u00f6glich alle Leitlinien und Standards ber\u00fccksichtigen, die von den Multi-Stakeholder-Governance-Strukturen auf internationaler Ebene entwickelt wurden. Das Zugangsverfahren k\u00f6nnte die Verwendung einer Schnittstelle, eines Portals oder eines anderen technischen Instruments umfassen, um ein effizientes System f\u00fcr die Beantragung von und den Zugang zu Registrierungsdaten bereitzustellen.<\/p>\n\n\n\n

Im Hinblick auf die F\u00f6rderung harmonisierter Praktiken im gesamten Binnenmarkt kann die Kommission unbeschadet der Zust\u00e4ndigkeiten des Europ\u00e4ischen Datenschutzausschusses Leitlinien f\u00fcr solche Verfahren festlegen, die so weit wie m\u00f6glich den von den Multi-Stakeholder-Governance-Strukturen auf internationaler Ebene entwickelten Standards Rechnung tragen. Die Mitgliedstaaten sollten sicherstellen, dass alle Arten des Zugriffs auf personenbezogene und nicht personenbezogene Registrierungsdaten von Dom\u00e4nennamen geb\u00fchrenfrei sind.<\/p>\n\n\n\n

(113) Einrichtungen, die in den Anwendungsbereich dieser Richtlinie fallen, sollten als der Gerichtsbarkeit des Mitgliedstaats unterliegend betrachtet werden, in dem sie niedergelassen sind. Anbieter \u00f6ffentlicher elektronischer Kommunikationsnetze oder Anbieter \u00f6ffentlich zug\u00e4nglicher elektronischer Kommunikationsdienste sollten jedoch als der Gerichtsbarkeit des Mitgliedstaats unterliegend betrachtet werden, in dem sie ihre Dienste erbringen.<\/p>\n\n\n\n

Anbieter von DNS-Diensten, TLD-Namensregistrierungsstellen, Anbieter von Dom\u00e4nennamenregistrierungsdiensten, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Anbieter von Content-Delivery-Netzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktpl\u00e4tzen, Online-Suchmaschinen und Plattformen f\u00fcr soziale Netzwerkdienste sollten als der Gerichtsbarkeit des Mitgliedstaats unterliegend betrachtet werden, in dem sie ihre Hauptniederlassung in der Union haben.<\/p>\n\n\n\n

Einrichtungen der \u00f6ffentlichen Verwaltung sollten der Gerichtsbarkeit des Mitgliedstaats unterliegen, in dem sie errichtet wurden. Erbringt die Einrichtung Dienstleistungen oder ist sie in mehr als einem Mitgliedstaat niedergelassen, so sollte sie der getrennten und gleichzeitigen Zust\u00e4ndigkeit jedes dieser Mitgliedstaaten unterliegen. Die zust\u00e4ndigen Beh\u00f6rden dieser Mitgliedstaaten sollten zusammenarbeiten, sich gegenseitig Amtshilfe leisten und gegebenenfalls gemeinsame Aufsichtsma\u00dfnahmen durchf\u00fchren. \u00dcben die Mitgliedstaaten ihre Gerichtsbarkeit aus, so sollten sie gem\u00e4\u00df dem Grundsatz \"ne bis in idem\" f\u00fcr ein und dasselbe Verhalten nicht mehr als einmal Durchsetzungsma\u00dfnahmen oder Sanktionen verh\u00e4ngen.<\/p>\n\n\n\n

(114) Um dem grenz\u00fcberschreitenden Charakter der Dienste und T\u00e4tigkeiten von DNS-Diensteanbietern, TLD-Namensregistern, Einrichtungen, die Dom\u00e4nennamenregistrierungsdienste anbieten, Anbietern von Cloud-Computing-Diensten, Anbietern von Rechenzentrumsdiensten, Anbietern von Content-Delivery-Netzen, Anbietern von verwalteten Diensten, Anbietern von verwalteten Sicherheitsdiensten sowie Anbietern von Online-Marktpl\u00e4tzen, Online-Suchmaschinen und Plattformen f\u00fcr soziale Netzwerkdienste Rechnung zu tragen, sollte nur ein Mitgliedstaat f\u00fcr diese Einrichtungen zust\u00e4ndig sein. Die gerichtliche Zust\u00e4ndigkeit sollte dem Mitgliedstaat zugewiesen werden, in dem die betreffende Einrichtung ihre Hauptniederlassung in der Union hat.<\/p>\n\n\n\n

Das Kriterium der Niederlassung im Sinne dieser Richtlinie setzt die tats\u00e4chliche Aus\u00fcbung einer T\u00e4tigkeit im Rahmen fester Vereinbarungen voraus. Die Rechtsform dieser Vereinbarungen, sei es eine Zweigniederlassung oder eine Tochtergesellschaft mit eigener Rechtspers\u00f6nlichkeit, ist in dieser Hinsicht nicht ausschlaggebend. Ob dieses Kriterium erf\u00fcllt ist, sollte nicht davon abh\u00e4ngen, ob sich das Netz und die Informationssysteme physisch an einem bestimmten Ort befinden; das Vorhandensein und die Nutzung solcher Systeme stellen f\u00fcr sich genommen keine Hauptniederlassung dar und sind daher keine entscheidenden Kriterien f\u00fcr die Bestimmung der Hauptniederlassung.<\/p>\n\n\n\n

Als Hauptniederlassung sollte der Mitgliedstaat gelten, in dem die Entscheidungen im Zusammenhang mit den Ma\u00dfnahmen des Cybersicherheitsrisikomanagements in der Union \u00fcberwiegend getroffen werden. Dies entspricht in der Regel dem Ort der zentralen Verwaltung der Einrichtungen in der Union. Kann ein solcher Mitgliedstaat nicht bestimmt werden oder werden solche Entscheidungen nicht in der Union getroffen, so sollte als Hauptniederlassung der Mitgliedstaat gelten, in dem die Cybersicherheitsma\u00dfnahmen durchgef\u00fchrt werden.<\/p>\n\n\n\n

Kann ein solcher Mitgliedstaat nicht bestimmt werden, so sollte als Hauptniederlassung der Mitgliedstaat gelten, in dem das Unternehmen die Niederlassung mit der h\u00f6chsten Besch\u00e4ftigtenzahl in der Union hat. Werden die Dienstleistungen von einer Unternehmensgruppe erbracht, so sollte die Hauptniederlassung des herrschenden Unternehmens als Hauptniederlassung der Unternehmensgruppe gelten.<\/p>\n\n\n\n

(115) Wird ein \u00f6ffentlich zug\u00e4nglicher rekursiver DNS-Dienst von einem Anbieter \u00f6ffentlicher elektronischer Kommunikationsnetze oder \u00f6ffentlich zug\u00e4nglicher elektronischer Kommunikationsdienste nur als Teil des Internetzugangsdienstes bereitgestellt, so sollte davon ausgegangen werden, dass die Einrichtung der Rechtsprechung aller Mitgliedstaaten unterliegt, in denen ihre Dienste erbracht werden.<\/p>\n\n\n\n

(116) Wenn ein DNS-DienstanbieterDNS-Dienstanbieter<\/span> <\/b>Bezeichnet eine Einrichtung, die a) \u00f6ffentlich zug\u00e4ngliche rekursive Dom\u00e4nennamensaufl\u00f6sungsdienste f\u00fcr Internet-Endnutzer oder b) ma\u00dfgebliche Dom\u00e4nennamensaufl\u00f6sungsdienste f\u00fcr Dritte anbietet, mit Ausnahme von Root-Nameservern. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span>ein TLD-Namen-Register, ein Unternehmen, das Dienstleistungen zur Registrierung von Dom\u00e4nennamen anbietetEinrichtung, die Dienstleistungen zur Registrierung von Dom\u00e4nennamen anbietet<\/span> Bezeichnet eine Registrierstelle oder einen Bevollm\u00e4chtigten, der im Namen von Registrierstellen handelt, wie z. B. ein Anbieter von Datenschutz- oder Vollmachtsregistrierungsdiensten oder ein Wiederverk\u00e4ufer. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span>einen Anbieter von Cloud-Computing-Diensten, einen Anbieter von Rechenzentrumsdiensten, einen Anbieter von Content-Delivery-Netzen, einen Managed Service ProviderAnbieter verwalteter Dienste<\/span> Bezeichnet eine Einrichtung, die Dienstleistungen im Zusammenhang mit der Installation, dem Management, dem Betrieb oder der Wartung von IKT-Produkten, Netzwerken, Infrastrukturen, Anwendungen oder anderen Netzwerk- und Informationssystemen durch Unterst\u00fctzung oder aktive Verwaltung entweder in den R\u00e4umlichkeiten des Kunden oder aus der Ferne erbringt. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span>einen Anbieter von verwalteten Sicherheitsdiensten oder einen Anbieter eines Online-Marktplatzes, eines Online-SuchmaschineOnline-Suchmaschine<\/span> Ein digitaler Dienst, der es Nutzern erm\u00f6glicht, Abfragen einzugeben, um grunds\u00e4tzlich alle Websites oder alle Websites in einer bestimmten Sprache auf der Grundlage einer Abfrage zu einem beliebigen Thema in Form eines Schl\u00fcsselworts, einer Sprachanfrage, eines Satzes oder einer anderen Eingabe zu durchsuchen, und der Ergebnisse in einem beliebigen Format zur\u00fcckgibt, in dem Informationen zu dem angeforderten Inhalt gefunden werden k\u00f6nnen - Definition gem\u00e4\u00df Artikel 2 Nummer 5 der Verordnung (EU) 2019\/1150 des Europ\u00e4ischen Parlaments und des Rates<\/span><\/span><\/span> oder einer Plattform f\u00fcr soziale NetzwerkdienstePlattform f\u00fcr soziale Netzwerkdienste<\/span> Bezeichnet eine Plattform, die es Endnutzern erm\u00f6glicht, sich \u00fcber mehrere Ger\u00e4te hinweg zu verbinden, auszutauschen, zu entdecken und miteinander zu kommunizieren, insbesondere \u00fcber Chats, Beitr\u00e4ge, Videos und Empfehlungen. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span>die nicht in der Union niedergelassen ist, Dienstleistungen in der Union anbietet, sollte sie eine repr\u00e4sentativAbgeordneter<\/span> Bezeichnet eine in der Union ans\u00e4ssige nat\u00fcrliche oder juristische Person, die ausdr\u00fccklich dazu bestimmt ist, im Namen eines DNS-Diensteanbieters, eines TLD-Namenregisters, einer Einrichtung, die Dom\u00e4nennamenregistrierungsdienste anbietet, eines Cloud-Computing-Diensteanbieters, eines Rechenzentrumsdiensteanbieters, eines Content-Delivery-Network-Anbieters, eines Managed-Service-Anbieters, eines Managed-Security-Service-Anbieters oder eines Anbieters eines Online-Marktplatzes, einer Online-Suchmaschine oder einer Plattform f\u00fcr soziale Netzwerkdienste, der nicht in der Union ans\u00e4ssig ist, zu handeln, und an die sich eine zust\u00e4ndige Beh\u00f6rde oder ein CSIRT anstelle der Einrichtung selbst in Bezug auf die Verpflichtungen dieser Einrichtung nach dieser Richtlinie wenden kann.\r\r- Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> in der Union.<\/p>\n\n\n\n

Um festzustellen, ob eine solche Einrichtung Dienstleistungen innerhalb der Union anbietet, sollte gepr\u00fcft werden, ob die Einrichtung plant, Personen in einem oder mehreren Mitgliedstaaten Dienstleistungen anzubieten. Die blo\u00dfe Zug\u00e4nglichkeit der Website der Einrichtung oder eines Vermittlers in der Union oder einer E-Mail-Adresse oder anderer Kontaktangaben oder die Verwendung einer Sprache, die in dem Drittland, in dem die Einrichtung niedergelassen ist, allgemein verwendet wird, sollte als nicht ausreichend angesehen werden, um eine solche Absicht festzustellen.<\/p>\n\n\n\n

Faktoren wie die Verwendung einer Sprache oder einer W\u00e4hrung, die in einem oder mehreren Mitgliedstaaten allgemein gebr\u00e4uchlich ist, mit der M\u00f6glichkeit, Dienstleistungen in dieser Sprache zu bestellen, oder die Erw\u00e4hnung von Kunden oder Nutzern, die sich in der Union befinden, k\u00f6nnten jedoch darauf hindeuten, dass die Einrichtung plant, Dienstleistungen innerhalb der Union anzubieten. Der Vertreter sollte im Namen der Einrichtung handeln, und die zust\u00e4ndigen Beh\u00f6rden oder die CSIRTs sollten sich an den Vertreter wenden k\u00f6nnen. Der Vertreter sollte durch ein schriftliches Mandat der Stelle ausdr\u00fccklich dazu bestimmt werden, in Bezug auf die in dieser Richtlinie festgelegten Verpflichtungen der Stelle, einschlie\u00dflich der Meldung von Vorf\u00e4llen, in deren Namen zu handeln.<\/p>\n\n\n\n

(117) Um einen klaren \u00dcberblick \u00fcber die Anbieter von DNS-Diensten, TLD-Namensregistern, Einrichtungen, die Dom\u00e4nennamenregistrierungsdienste anbieten, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Anbieter von Content-Delivery-Netzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktpl\u00e4tzen, Online-Suchmaschinen und Plattformen f\u00fcr soziale Netze, die unionsweit Dienste anbieten, die in den Anwendungsbereich dieser Richtlinie fallen, zu gew\u00e4hrleisten, sollte die ENISA auf der Grundlage der von den Mitgliedstaaten erhaltenen Informationen ein Register dieser Einrichtungen erstellen und f\u00fchren, gegebenenfalls \u00fcber nationale Mechanismen, die f\u00fcr die Einrichtungen eingerichtet wurden, um sich selbst zu registrieren.<\/p>\n\n\n\n

Die einheitlichen Ansprechpartner sollten die Informationen und etwaige \u00c4nderungen daran an die ENISA weiterleiten. Um die Richtigkeit und Vollst\u00e4ndigkeit der in dieses Register aufzunehmenden Informationen zu gew\u00e4hrleisten, k\u00f6nnen die Mitgliedstaaten der ENISA die in den nationalen Registern \u00fcber diese Stellen verf\u00fcgbaren Informationen \u00fcbermitteln. Die ENISA und die Mitgliedstaaten sollten Ma\u00dfnahmen ergreifen, um die Interoperabilit\u00e4t solcher Register zu erleichtern und gleichzeitig den Schutz vertraulicher oder klassifizierter Informationen zu gew\u00e4hrleisten. Die ENISA sollte geeignete Protokolle zur Klassifizierung und Verwaltung von Informationen erstellen, um die Sicherheit und Vertraulichkeit der offengelegten Informationen zu gew\u00e4hrleisten und den Zugang, die Speicherung und die \u00dcbermittlung solcher Informationen auf die vorgesehenen Nutzer zu beschr\u00e4nken.<\/p>\n\n\n\n

(118) Werden Informationen, die nach dem Unionsrecht oder dem nationalen Recht als Verschlusssache eingestuft sind, im Rahmen dieser Richtlinie ausgetauscht, gemeldet oder auf andere Weise weitergegeben, sollten die entsprechenden Vorschriften f\u00fcr die Behandlung von Verschlusssachen angewandt werden. Dar\u00fcber hinaus sollte die ENISA \u00fcber die Infrastruktur, die Verfahren und die Vorschriften f\u00fcr den Umgang mit sensiblen und als Verschlusssache eingestuften Informationen im Einklang mit den geltenden Sicherheitsvorschriften f\u00fcr den Schutz von EU-Verschlusssachen verf\u00fcgen.<\/p>\n\n\n\n

(119) Da Cyber-Bedrohungen immer komplexer und ausgefeilter werden, h\u00e4ngen eine gute Erkennung solcher Bedrohungen und Ma\u00dfnahmen zu ihrer Verhinderung weitgehend vom regelm\u00e4\u00dfigen Austausch von Bedrohungs- und Schwachstelleninformationen zwischen den Einrichtungen ab. Der Informationsaustausch tr\u00e4gt zu einer st\u00e4rkeren Sensibilisierung f\u00fcr Cyber-Bedrohungen bei, was wiederum die F\u00e4higkeit der Einrichtungen verbessert, solche Bedrohungen zu verhindern, damit sie sich nicht zu Vorf\u00e4llen auswachsen, und die Einrichtungen in die Lage versetzt, die Auswirkungen von Vorf\u00e4llen besser einzud\u00e4mmen und sich effizienter zu erholen. Da es keine Leitlinien auf Unionsebene gibt, scheinen verschiedene Faktoren einen solchen Informationsaustausch zu behindern, insbesondere die Unsicherheit \u00fcber die Vereinbarkeit mit den Wettbewerbs- und Haftungsvorschriften.<\/p>\n\n\n\n

(120) Die Mitgliedstaaten sollten die Einrichtungen ermutigen und sie dabei unterst\u00fctzen, ihr individuelles Wissen und ihre praktischen Erfahrungen auf strategischer, taktischer und operativer Ebene gemeinsam zu nutzen, um ihre F\u00e4higkeiten zur angemessenen Verh\u00fctung, Aufdeckung, Reaktion und Bew\u00e4ltigung von Vorf\u00e4llen oder zur Minderung ihrer Auswirkungen zu verbessern. Es ist daher notwendig, auf Unionsebene freiwillige Vereinbarungen \u00fcber den Informationsaustausch im Bereich der Cybersicherheit zu erm\u00f6glichen.<\/p>\n\n\n\n

Zu diesem Zweck sollten die Mitgliedstaaten Einrichtungen, z. B. solche, die Cybersicherheitsdienste und -forschung anbieten, sowie einschl\u00e4gige Einrichtungen, die nicht in den Anwendungsbereich dieser Richtlinie fallen, aktiv unterst\u00fctzen und ermutigen, sich an solchen Vereinbarungen \u00fcber den Austausch von Cybersicherheitsinformationen zu beteiligen. Diese Vereinbarungen sollten im Einklang mit den Wettbewerbsregeln der Union und dem Datenschutzrecht der Union getroffen werden.<\/p>\n\n\n\n

\n\n\n\n

(121) Die Verarbeitung personenbezogener Daten, soweit sie f\u00fcr die Gew\u00e4hrleistung der Sicherheit von Netz- und Informationssystemen durch wesentliche und wichtige Einrichtungen erforderlich und verh\u00e4ltnism\u00e4\u00dfig ist, k\u00f6nnte als rechtm\u00e4\u00dfig angesehen werden, da diese Verarbeitung einer rechtlichen Verpflichtung entspricht, der der f\u00fcr die Verarbeitung Verantwortliche unterliegt, gem\u00e4\u00df den Anforderungen von Artikel 6 Absatz 1 Buchstabe c und Artikel 6 Absatz 3 der Verordnung (EU) 2016\/679.<\/p>\n\n\n\n

Die Verarbeitung personenbezogener Daten k\u00f6nnte auch f\u00fcr die berechtigten Interessen von wesentlichen und wichtigen Einrichtungen sowie von Anbietern von Sicherheitstechnologien und -diensten, die im Auftrag dieser Einrichtungen handeln, gem\u00e4\u00df Artikel 6 Absatz 1 Buchstabe f der Verordnung (EU) 2016\/679 erforderlich sein, einschlie\u00dflich der F\u00e4lle, in denen eine solche Verarbeitung f\u00fcr Vereinbarungen \u00fcber den Austausch von Cybersicherheitsinformationen oder die freiwillige Meldung einschl\u00e4giger Informationen im Einklang mit dieser Richtlinie erforderlich ist.<\/p>\n\n\n\n

Ma\u00dfnahmen im Zusammenhang mit der Verh\u00fctung, Aufdeckung, Identifizierung, Eind\u00e4mmung, Analyse und Reaktion auf Vorf\u00e4lle, Ma\u00dfnahmen zur Sensibilisierung f\u00fcr bestimmte Cyber-Bedrohungen, Informationsaustausch im Zusammenhang mit der Behebung von Sicherheitsl\u00fccken und der koordinierten Offenlegung von Sicherheitsl\u00fccken, der freiwillige Austausch von Informationen \u00fcber diese Vorf\u00e4lle, und Cyber-Bedrohungen und -Schwachstellen, Kompromittierungsindikatoren, Taktiken, Techniken und Verfahren, Cybersicherheitswarnungen und Konfigurationswerkzeuge k\u00f6nnten die Verarbeitung bestimmter Kategorien personenbezogener Daten wie IP-Adressen, URLs (Uniform Resources Locators), Dom\u00e4nennamen, E-Mail-Adressen und, sofern sie personenbezogene Daten offenbaren, Zeitstempel erfordern.<\/p>\n\n\n\n

Die Verarbeitung personenbezogener Daten durch die zust\u00e4ndigen Beh\u00f6rden, die einheitlichen Ansprechpartner und die CSIRTs k\u00f6nnte eine rechtliche Verpflichtung darstellen oder als notwendig f\u00fcr die Wahrnehmung einer Aufgabe im \u00f6ffentlichen Interesse oder in Aus\u00fcbung \u00f6ffentlicher Gewalt, die dem f\u00fcr die Verarbeitung Verantwortlichen gem\u00e4\u00df Artikel 6 Absatz 1 Buchstabe c oder e und Artikel 6 Absatz 3 der Verordnung (EU) 2016\/679 \u00fcbertragen wurde, oder zur Verfolgung eines berechtigten Interesses der wesentlichen und wichtigen Einrichtungen gem\u00e4\u00df Artikel 6 Absatz 1 Buchstabe f der genannten Verordnung angesehen werden.<\/p>\n\n\n\n

Dar\u00fcber hinaus k\u00f6nnten im nationalen Recht Vorschriften festgelegt werden, die es den zust\u00e4ndigen Beh\u00f6rden, den einheitlichen Ansprechpartnern und den CSIRTs erlauben, besondere Kategorien personenbezogener Daten im Einklang mit Artikel 9 der Verordnung (EU) 2016\/679 zu verarbeiten, soweit dies zur Gew\u00e4hrleistung der Sicherheit der Netz- und Informationssysteme wesentlicher und wichtiger Einrichtungen erforderlich und verh\u00e4ltnism\u00e4\u00dfig ist, insbesondere durch geeignete und spezifische Ma\u00dfnahmen zum Schutz der Grundrechte und Interessen nat\u00fcrlicher Personen, einschlie\u00dflich technischer Beschr\u00e4nkungen der Weiterverwendung solcher Daten und der Verwendung von dem Stand der Technik entsprechenden Sicherheits- und Datenschutzma\u00dfnahmen, wie Pseudonymisierung oder Verschl\u00fcsselung, wenn die Anonymisierung den verfolgten Zweck erheblich beeintr\u00e4chtigen k\u00f6nnte.<\/p>\n\n\n\n

(122) Um die Aufsichtsbefugnisse und -ma\u00dfnahmen zu st\u00e4rken, die zu einer wirksamen Einhaltung der Vorschriften beitragen, sollte diese Richtlinie eine Mindestliste von Aufsichtsma\u00dfnahmen und -mitteln vorsehen, mit denen die zust\u00e4ndigen Beh\u00f6rden wesentliche und bedeutende Unternehmen beaufsichtigen k\u00f6nnen. Dar\u00fcber hinaus sollte diese Richtlinie eine differenzierte Aufsichtsregelung f\u00fcr wesentliche und bedeutende Unternehmen vorsehen, um ein ausgewogenes Verh\u00e4ltnis zwischen den Verpflichtungen dieser Unternehmen und der zust\u00e4ndigen Beh\u00f6rden zu gew\u00e4hrleisten.<\/p>\n\n\n\n

Daher sollten wichtige Unternehmen einer umfassenden Ex-ante- und Ex-post-Aufsicht unterliegen, w\u00e4hrend f\u00fcr wichtige Unternehmen nur eine leichte Ex-post-Aufsicht gelten sollte. Wichtige Unternehmen sollten daher nicht verpflichtet sein, die Einhaltung der Ma\u00dfnahmen f\u00fcr das Risikomanagement im Bereich der Cybersicherheit systematisch zu dokumentieren, w\u00e4hrend die zust\u00e4ndigen Beh\u00f6rden bei der Beaufsichtigung einen reaktiven Ex-post-Ansatz verfolgen sollten und daher nicht generell verpflichtet sein sollten, diese Unternehmen zu beaufsichtigen.<\/p>\n\n\n\n

Die nachtr\u00e4gliche Beaufsichtigung wichtiger Unternehmen kann durch Beweise, Anhaltspunkte oder Informationen ausgel\u00f6st werden, die den zust\u00e4ndigen Beh\u00f6rden zur Kenntnis gebracht werden und nach deren Auffassung auf m\u00f6gliche Verst\u00f6\u00dfe gegen diese Richtlinie hindeuten. Solche Anhaltspunkte, Hinweise oder Informationen k\u00f6nnten beispielsweise von anderen Beh\u00f6rden, Stellen, B\u00fcrgern, Medien oder anderen Quellen oder \u00f6ffentlich zug\u00e4nglichen Informationen an die zust\u00e4ndigen Beh\u00f6rden \u00fcbermittelt werden oder sich aus anderen T\u00e4tigkeiten ergeben, die die zust\u00e4ndigen Beh\u00f6rden in Erf\u00fcllung ihrer Aufgaben durchf\u00fchren.<\/p>\n\n\n\n

(123) Die Ausf\u00fchrung von Aufsichtsaufgaben durch die zust\u00e4ndigen Beh\u00f6rden sollte die Gesch\u00e4ftst\u00e4tigkeit des betreffenden Unternehmens nicht unn\u00f6tig behindern. Wenn die zust\u00e4ndigen Beh\u00f6rden ihre Aufsichtsaufgaben in Bezug auf wesentliche Unternehmen wahrnehmen, einschlie\u00dflich der Durchf\u00fchrung von Inspektionen vor Ort und der Beaufsichtigung au\u00dferhalb des Unternehmens, der Untersuchung von Verst\u00f6\u00dfen gegen diese Richtlinie und der Durchf\u00fchrung von Sicherheitsaudits oder Sicherheitsscans, sollten sie die Auswirkungen auf die Gesch\u00e4ftst\u00e4tigkeit des betreffenden Unternehmens so gering wie m\u00f6glich halten.<\/p>\n\n\n\n

(124) Bei der Aus\u00fcbung der Ex-ante-\u00dcberwachung sollten die zust\u00e4ndigen Beh\u00f6rden in der Lage sein, \u00fcber die Priorisierung des Einsatzes der ihnen zur Verf\u00fcgung stehenden Aufsichtsma\u00dfnahmen und -mittel nach dem Grundsatz der Verh\u00e4ltnism\u00e4\u00dfigkeit zu entscheiden. Dies bedeutet, dass die zust\u00e4ndigen Beh\u00f6rden \u00fcber eine solche Priorit\u00e4tensetzung auf der Grundlage von Aufsichtsmethoden entscheiden k\u00f6nnen, die einem risikobasierten Ansatz folgen sollten.<\/p>\n\n\n\n

Konkret k\u00f6nnten solche Methoden Kriterien oder Richtwerte f\u00fcr die Einstufung wesentlicher Unternehmen in Risikokategorien und entsprechende Aufsichtsma\u00dfnahmen und -mittel enthalten, die f\u00fcr die einzelnen Risikokategorien empfohlen werden, z. B. den Einsatz, die H\u00e4ufigkeit oder die Art von Inspektionen vor Ort, gezielte Sicherheitsaudits oder Sicherheits\u00fcberpr\u00fcfungen, die Art der anzufordernden Informationen und den Detaillierungsgrad dieser Informationen. Solche \u00dcberwachungsmethoden k\u00f6nnten auch mit Arbeitsprogrammen einhergehen und regelm\u00e4\u00dfig bewertet und \u00fcberpr\u00fcft werden, auch im Hinblick auf Aspekte wie Ressourcenzuweisung und -bedarf. In Bezug auf Einrichtungen der \u00f6ffentlichen Verwaltung sollten die Aufsichtsbefugnisse im Einklang mit den nationalen rechtlichen und institutionellen Rahmenbedingungen ausge\u00fcbt werden.<\/p>\n\n\n\n

(125) Die zust\u00e4ndigen Beh\u00f6rden sollten sicherstellen, dass ihre Aufsichtsaufgaben in Bezug auf wesentliche und bedeutende Einrichtungen von geschulten Fachleuten wahrgenommen werden, die \u00fcber die f\u00fcr diese Aufgaben erforderlichen F\u00e4higkeiten verf\u00fcgen sollten, insbesondere im Hinblick auf die Durchf\u00fchrung von Inspektionen vor Ort und die Beaufsichtigung au\u00dferhalb des Unternehmens, einschlie\u00dflich der Ermittlung von Schwachstellen in Datenbanken, Hardware, Firewalls, Verschl\u00fcsselung und Netzen. Diese Inspektionen und die \u00dcberwachung sollten auf objektive Weise durchgef\u00fchrt werden.<\/p>\n\n\n\n

(126) In hinreichend begr\u00fcndeten F\u00e4llen, in denen sie Kenntnis von einer erheblichen Cyber-Bedrohung oder einem unmittelbaren Risiko hat, sollte die zust\u00e4ndige Beh\u00f6rde in der Lage sein, sofortige Durchsetzungsentscheidungen zu treffen, um einen Vorfall zu verhindern oder darauf zu reagieren.<\/p>\n\n\n\n

(127) Um eine wirksame Durchsetzung zu gew\u00e4hrleisten, sollte eine Mindestliste der Durchsetzungsbefugnisse festgelegt werden, die bei Verst\u00f6\u00dfen gegen die in dieser Richtlinie vorgesehenen Ma\u00dfnahmen des Cybersicherheitsrisikomanagements und Meldepflichten ausge\u00fcbt werden k\u00f6nnen, und so ein klarer und koh\u00e4renter Rahmen f\u00fcr eine solche Durchsetzung in der gesamten Union geschaffen werden. Art, Schwere und Dauer des Versto\u00dfes gegen diese Richtlinie, der verursachte materielle oder immaterielle Schaden, die Tatsache, ob der Versto\u00df vors\u00e4tzlich oder fahrl\u00e4ssig begangen wurde, die zur Verhinderung oder Begrenzung des materiellen oder immateriellen Schadens ergriffenen Ma\u00dfnahmen, der Grad der Verantwortung oder etwaige einschl\u00e4gige fr\u00fchere Verst\u00f6\u00dfe, der Grad der Zusammenarbeit mit der zust\u00e4ndigen Beh\u00f6rde und alle sonstigen erschwerenden oder mildernden Umst\u00e4nde sollten geb\u00fchrend ber\u00fccksichtigt werden.<\/p>\n\n\n\n

Die Durchsetzungsma\u00dfnahmen, einschlie\u00dflich der Geldbu\u00dfen, sollten verh\u00e4ltnism\u00e4\u00dfig sein, und ihre Verh\u00e4ngung sollte angemessenen Verfahrensgarantien im Einklang mit den allgemeinen Grunds\u00e4tzen des Unionsrechts und der Charta der Grundrechte der Europ\u00e4ischen Union (\"Charta\") unterliegen, einschlie\u00dflich des Rechts auf einen wirksamen Rechtsbehelf und auf ein faires Verfahren, der Unschuldsvermutung und der Verteidigungsrechte.<\/p>\n\n\n\n

(128) Diese Richtlinie verpflichtet die Mitgliedstaaten nicht dazu, eine straf- oder zivilrechtliche Haftung nat\u00fcrlicher Personen vorzusehen, die daf\u00fcr verantwortlich sind, dass eine Einrichtung die Bestimmungen dieser Richtlinie einh\u00e4lt, und zwar f\u00fcr Sch\u00e4den, die Dritten infolge eines Versto\u00dfes gegen diese Richtlinie entstehen.<\/p>\n\n\n\n

(129) Um eine wirksame Durchsetzung der in dieser Richtlinie festgelegten Verpflichtungen zu gew\u00e4hrleisten, sollte jede zust\u00e4ndige Beh\u00f6rde die Befugnis haben, Geldbu\u00dfen zu verh\u00e4ngen oder deren Verh\u00e4ngung zu verlangen.<\/p>\n\n\n\n

(130) Wird gegen eine wesentliche oder bedeutende Einrichtung, die ein Unternehmen ist, eine Geldbu\u00dfe verh\u00e4ngt, so sollte ein Unternehmen f\u00fcr diese Zwecke als Unternehmen im Sinne der Artikel 101 und 102 AEUV verstanden werden. Wird gegen eine Person, bei der es sich nicht um ein Unternehmen handelt, eine Geldbu\u00dfe verh\u00e4ngt, sollte die zust\u00e4ndige Beh\u00f6rde bei der Bemessung der angemessenen H\u00f6he der Geldbu\u00dfe das allgemeine Einkommensniveau in dem Mitgliedstaat sowie die wirtschaftliche Lage der Person ber\u00fccksichtigen. Es sollte den Mitgliedstaaten \u00fcberlassen bleiben, zu bestimmen, ob und inwieweit gegen \u00f6ffentliche Stellen Geldbu\u00dfen verh\u00e4ngt werden sollten. Die Verh\u00e4ngung einer Geldbu\u00dfe ber\u00fchrt nicht die Anwendung anderer Befugnisse der zust\u00e4ndigen Beh\u00f6rden oder anderer Sanktionen, die in den nationalen Vorschriften zur Umsetzung dieser Richtlinie vorgesehen sind.<\/p>","protected":false},"excerpt":{"rendered":"

Whereas: (1) Directive (EU) 2016\/1148 of the European Parliament and the Council (4) aimed to build cybersecurityCybersecurity \u2018cybersecurity\u2019 means cybersecurity as defined in Article 2, point (1), of Regulation (EU) 2019\/881; – Definition according Article 6 Directive (EU) 2022\/2555 (NIS2 Directive) ‘cybersecurity\u2019 means the activities necessary to protect network and information systems, the users of […]<\/p>","protected":false},"author":1,"featured_media":0,"parent":592,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_gspb_post_css":".gspb_container-id-gsbp-b565ac4{flex-direction:column;box-sizing:border-box}#gspb_container-id-gsbp-b565ac4.gspb_container>p:last-of-type{margin-bottom:0}.gspb_container{position:relative}#gspb_container-id-gsbp-b565ac4.gspb_container{display:flex;flex-direction:column;align-items:center;margin-bottom:40px}@media (max-width:991.98px){#gspb_container-id-gsbp-b565ac4.gspb_container{margin-bottom:40px}}#gspb_heading-id-gsbp-d1b4c76{font-size:30px}@media (max-width:991.98px){#gspb_heading-id-gsbp-d1b4c76{font-size:30px}}@media (max-width:575.98px){#gspb_heading-id-gsbp-d1b4c76{font-size:25px}}#gspb_heading-id-gsbp-d1b4c76,#gspb_heading-id-gsbp-d1b4c76 .gsap-g-line,.gspb_text-id-gsbp-2c13756,.gspb_text-id-gsbp-2c13756 .gsap-g-line{text-align:center!important}#gspb_heading-id-gsbp-d1b4c76{margin-top:0;margin-bottom:10px}.gspb_text-id-gsbp-2c13756{max-width:800px}","footnotes":""},"class_list":["post-584","page","type-page","status-publish","hentry"],"blocksy_meta":{"has_hero_section":"enabled","styles_descriptor":{"styles":{"desktop":"[data-prefix=\"single_page\"] .entry-header .page-title {--theme-font-size:30px;} [data-prefix=\"single_page\"] .entry-header .entry-meta {--theme-font-weight:600;--theme-text-transform:uppercase;--theme-font-size:12px;--theme-line-height:1.3;}","tablet":"","mobile":""},"google_fonts":[],"version":6},"vertical_spacing_source":"custom","content_area_spacing":"none","page_structure_type":"type-2","hero_elements":[{"id":"custom_title","enabled":true,"heading_tag":"h1","title":"Home","__id":"zUAv84-iCqwWhwHz_7eMU"},{"id":"custom_description","enabled":false,"description_visibility":{"desktop":true,"tablet":true,"mobile":false},"__id":"q0z81OBwVS1eiBNwQJZ31"},{"id":"custom_meta","enabled":false,"meta_elements":[{"id":"author","enabled":true,"label":"By","has_author_avatar":"yes","avatar_size":25},{"id":"post_date","enabled":true,"label":"On","date_format_source":"default","date_format":"M j, Y"},{"id":"updated_date","enabled":false,"label":"On","date_format_source":"default","date_format":"M j, Y"},{"id":"categories","enabled":false,"label":"In","style":"simple"},{"id":"comments","enabled":true}],"page_meta_elements":{"joined":true,"articles_count":true,"comments":true},"__id":"908KnW1IQtQMH2CkUzVag"},{"id":"breadcrumbs","enabled":true,"__id":"gyh2MB_UdPumL0ReCyfHv"},{"id":"content-block","enabled":false,"__id":"RhhTfxRztIm-fh5C63-qH"}]},"rankMath":{"parentDomain":"nis2resources.eu","noFollowDomains":[],"noFollowExcludeDomains":[],"noFollowExternalLinks":false,"featuredImageNotice":"Das angezeigte Beitragsbild sollte mindestens 200x200 px gro\u00df sein, damit Facebook und andere Social-Media-Websites es \u00fcbernehmen.","pluginReviewed":false,"postSettings":{"linkSuggestions":true,"useFocusKeyword":false},"frontEndScore":false,"postName":"preamble","permalinkFormat":"https:\/\/nis2resources.eu\/de\/%pagename%\/","showLockModifiedDate":true,"assessor":{"focusKeywordLink":"https:\/\/nis2resources.eu\/wp-admin\/edit.php?focus_keyword=%focus_keyword%&post_type=%post_type%","hasTOCPlugin":false,"primaryTaxonomy":false,"serpData":{"title":"","description":"","focusKeywords":"","pillarContent":false,"canonicalUrl":"","breadcrumbTitle":"","advancedRobots":{"max-snippet":"-1","max-video-preview":"-1","max-image-preview":"large"},"facebookTitle":"","facebookDescription":"","facebookImage":"","facebookImageID":"","facebookHasOverlay":false,"facebookImageOverlay":"","facebookAuthor":"","twitterCardType":"","twitterUseFacebook":true,"twitterTitle":"","twitterDescription":"","twitterImage":"","twitterImageID":"","twitterHasOverlay":false,"twitterImageOverlay":"","twitterPlayerUrl":"","twitterPlayerSize":"","twitterPlayerStream":"","twitterPlayerStreamCtype":"","twitterAppDescription":"","twitterAppIphoneName":"","twitterAppIphoneID":"","twitterAppIphoneUrl":"","twitterAppIpadName":"","twitterAppIpadID":"","twitterAppIpadUrl":"","twitterAppGoogleplayName":"","twitterAppGoogleplayID":"","twitterAppGoogleplayUrl":"","twitterAppCountry":"","robots":{"index":true},"twitterAuthor":"Benutzername","primaryTerm":0,"authorName":"admin","titleTemplate":"%title% %sep% %sitename%","descriptionTemplate":"%excerpt%","showScoreFrontend":true,"lockModifiedDate":false},"powerWords":["abgelenkt","abgesturzt","absolut","abstossend","aburd","abweisen","adaquat","aggressiv","ahnungslos","akkurat","alarmierend","alarmiert","albtraum","all-inclusive","allererste","allererster","allererstes","alleswisser","am schlechtesten","am wichtigsten","angewidert","angriff","angsteinflossend","angstlich","animiert","ankundigung","anonym","anpassbar","anspruchslos","anstossig","antagonistisch","apokalypse","applaus","argumentativ","arm","armageddon","arrogant","atemberaubend","attacke","attraktiv","aufdeckend","aufgebracht","aufgedeckt","aufgeregt","aufheiternd","aufregend","aufregende","aufregenden","aufregung","aufstachelnd","aufstandisch","aufsteigend","auftreibend","augenoffnend","ausgelassen","ausgeruht","ausgespielt","ausgewahlt","ausgewuhlt","ausnutzen","aussergewohnlich","autark","authentisch","autoritat","backdoor","badass","beangstigend","bedenklich","bedingungslos","bedrohen","bedroht","beforderung","befreit","befriedigend","befriedigt","begehren","begeistern","begeistert","begeisterung","beherzt","behind the scenes","beichte","beleidigung","belohnung","bemerkenswert","beneiden","bequem","beruhmt","beschadigen","beschamend","beschmutzt","beschuldigen","beschutzen","besitz","bessesen","bestatigen","bestatigt","beste","bestimmt","bestrafen","betrug","betrugen","bewahrt","bewiesen","bewiesenermassen","bewusst","bezahlbar","bezaubernd","bizarre","bleich","blendend","blut","blutbad","blutig","bombe","bonanza","bonus","bosartig","bose","boshaft","brilliant","brodelnd","brutal","budget","bullshit","bully","bunt","bunte","bunten","case study","cash","challenge","challgene","chaos","cheat-sheet","clever","content","cool","courage","dankbar","daruber redet keiner","deadline","definitiv","dekadent","demoralisierend","demut","desillusioniert","detailiert","diagnose","die wahrheit","direkt","disastros","discount","dokument","dollar","dominieren","doppelt","download","dreckig","dreifach","dreistigkeit","dringend","dringlichkeit","dumm","dummkopf","dummlich","durchbruch","duselig","dynamik","echt","effektiv","effizient","ehrlich","eier","eifersuchtig","eifrig","eindeutig","eindrucksvoll","eine stufe besser","einfach","einfachheit","einfallsreich","eingebildet","eingeschrankt","eingesperrt","einmalig","einsam","eintauchen","einzigartig","eisern","eliminieren","elite","empathie","empfehle","empfehlen","endeffekt","energie","energisch","enorm","entdecken","entfesselt","entfremdet","enthullen","enthullung","enthusiastisch","entmachtet","entsetzlich","entspannt","entzuckend","entzunden","epidemisch","episch","erbarmlich","erfolg","erfolgreich","erfolgsbilanz","erfreut","erfullen","erfullt","ergebnisse","ergreifen","erhaben","erheben","erhohen","erledigt","ermachtigt","ermudet","ernmutigt","ernsthaft","erobern","erroten","errungenschaft","erschaffen","erschrocken","ersehnen","ersparnisse","erstattbar","erstatten","erstaunlich","erste","ertrinken","essentiell","ethisch","euphorisch","exakt","exklusiv","exklusivitat","exkuisit","experte","explodieren","explosiv","exposed","extrem","exzellent","fahig","fahigkeiten","fail","falle","fantasie","fantastischen","farbenfroh","farbenfrohe","faszinierend","faszinierende","faul","faux pas","faux","fehler","feindselig","feldstudie","fesselnd","festlich","festmahl","festplatte","final","flirt","fluchtling","flussig","fokus","fokussiert","folter","formel","frech","freebie","frei","freiheit","freudig","friedlich","frohlich","frohlichkeit","frustriert","fundamental","fur immer","furchtbar","furchtlos","gangster","garantiert","geblendet","geehrt","gefahr","gefahrlich","gefangen","gefangnis","gefeuert","gegensatzlich","gehassig","geheimnis","geheimnisse","geil","geisseln","geist","geistesgestort","gelassen","geld zuruck","geld","genial","gepackt","gerade angekommen","gerissen","geschenk","geschmuggelt","geschutzt","gestandnis","gestandnisse","gestopft","gestresst","gesucht","gesund","getauscht","getestet","getotet","gewaltig","gewalttatig","gewidmet","gewinnspiel","gier","gierig","gift","giftig","gigantisch","giveaway","glamourose","glanzend","glaube","glaubwurdig","gleichmassig","glittering","glitzernde","gluckselig","golden","grandios","grandiose","grandiosen","grandioses","grauenhaft","grausamkeit","grinsen","groesste","gross","grossartig","grossartig","grossartige","grossartigen","grossartiger","grossartiges","grosse","grossen","grosste","grosszugig","grotesk","grube","grundlegend","gruselig","gunstig","hack","hamisch","hammer","handelsgeheimnis","hartnackig","hass","heilig","heimlich","heisshunger","heisshungrig","heiter","held","hell","herablassend","herausfordernd","herausforderung","herausvorderung","herrlichen","herrschend","hervorragend","herz","herzbrechend","herzerwahrmend","heute","hightech","hilflosigkeit","hilfreich","hilfsbereit","himmlisch","hinterhaltig","hoax","hocheffektiv","hochnasig","hochste","hoffnung","hoffnungsvoll","holle","holocaust","horror","how to","humor","hungrige","hurrikan","hypnotisch","hypnotisierend","idiot","idiotisch","illegal","immer","informativ","inhalt","inkompetent","innovativ","insider","inspirierend","inspiriert","intelligent","intensiv","interessant","interessante","invasion","investment","ist da","jackpot","jederzeit kundigen","jetzt","jubilant","jumpstart","jung","kadaver","kampf","katapult","katastrophe","kaufen","kein risiko","keine verpflichtung","kickstart","kindisch","kitschig","klaglich","klar","knast","kollabieren","kollosal","komfortabel","komisch","kompetitiv","komplett","kompromiss","komsich","konstruktiv","kontrollierend","kontrollverlust","kooperativ","kopie","korrupt","kostenlos","kraftlos","kraftvoll","krankhaft","kreativ","kreative","kriese","kritisch","kruppel","lachen","lacherlich","lahm","last minute","lauernd","lebendig","lebenslanglich","lecken","lecker","legendar","legitim","leiche","leicht","leiden","leider","leise","letzte chance","letzte","leuchtend","liberal","licht","liebe","liebenswurdig","liebevoll","life-changing","limitiert","lohnend","loser","losung","lugen","lugend","lukrativ","lust","lustig","lustige","lustigsten","luxorios","magisch","mainstream","mammut","manipulativ","massiv","masterclass","meditierend","meiseter","meistverkauft","meltdown","millionen","mind-blowing","minderwertig","minimalist","missbrauch","misstrauisch","mittelmassig","mittig","modern","moderne","moglichkeiten","monetarisieren","monumental","mord","motiviert","muhelos","muhevoll","mull","mut","mutig","nachmachen","nachteile","nackt","nagel","naiv","natural","nazi","neid","nervos","neu","niedertrachtig","niemals","notfall","notiert","nutzlich","nutzlos","offensichtlich","offiziel","offnen","ohne hintergedanken","ok","okay","okonomisch","on-demand","opfer","optimistisch","overnight","packend","panik","panzer","paralisiert","pas","passioniert","pause","payback","peinlich","perfekt","perplex","perskeptive","pessimistisch","pfund","piranha","pleite","plotzlich","pochend","polarisierend","popular","portfolio","praktisch","preis","prestige","privat","privatsphare","priviligiert","problem","produktiv","professionell","profit","profitabel","provokativ","provozierend","prozess","psychologisch","qual","qualen","qualitat","rabatt","rache","rachsuchtig","raffiniert","rasend","rat","rau","recherche","reduziert","reflektieren","regeln","reich","reiche","reichtum","relaxed","report","responsive","revolutionar","riesig","risiko","riskant","riskieren","rotzfrech","rowdy","ruckrat","ruckschlag","rucksichtlos","ruhig","ruiniert","sabotiert","sadistisch","sale","sarkastisch","scam","schabig","schadigend","schadlich","schamlos","schatz","schicksal","schlachten","schlafen","schlag","schlau","schlimm","schmerzhaft","schmerzlos","schmuggel","schnell","schnellstart","schokierend","schonheit","schrecklich","schreien","schritt fur schritt","schuld","schuldlos","schwach","schwarm","schwarzmarkt","schwerkraft","schwinden","sechsstellig","sehenswerte","selbsthass","selten","sensationell","sex","sexy","sicher","sicherheit","sicherlich","sieg","sill","simpel","sinnlich","sinnlos","skandal","skandalos","skill","sklave","sneak-peek","snob","sofort gespart","sofort","sollte","sonnig","sonnige","sonnigen","sorgen","sorgfaltig","sorglos","spannend","sparen","sparsam","spass","spassig","spektakular","speziell","spielen","spoiler","spontan","spotlight","stabil","stark","start","stoisch","stolz","stop","strahlend","strangulieren","strategie","studien","stumperhaft","stur","sunden","sundigend","super","superb","survival","tapfer","tauschend","teaser","technologie","terror","terrorist","teuer","tief","tiefgreifend","tierisch","tod","todlich","toll","tolle","toller","tortur","tot","tote","toten","totend","toxisch","tragisch","tragodie","transfomieren","transparenz","trauma","traumatisiert","traurigkeit","trend","tricks","trigger","triumpf","trocken","trotz","trugerisch","tweaks","tyrann","ubel","uberfordert","uberkommen","uberleben","uberlegen","uberraschend","uberrascht","uberraschung","uberwaltigend","uberwinden","ultimativ","umfassend","umstritten","umwerfend","unatorisiert","unaufhaltbar","unausgelasted","unbedacht","unbeliebt","unbeschwert","unbewusst","undercover","undokumentiert","unehrlich","unentschlossen","unerwartet","unfahig","ungeduldig","ungedult","ungehort","ungemutlich","ungerechtfertigt","ungesehen","ungetrubt","ungewohnlich","ungezogen","unglaublich","unglaubliches","uninteressiert","unkontrollierbar","unkonventionell","unlimitiert","unpenetrierbar","unschuldig","unsicher","unstabil","unter verschluss","untergrund","unterhaltsam","unterstutz","unterstutzend","unubertroffen","unvergesslich","unverneinbar","unvoreingenommen","unwiderstehlich","unwirtlich","unzensiert","unzuverlassig","up-selling","vaporisieren","verangstigt","verantwortlich","verargert","verarscht","verbessert","verbluffend","verblufft","verboten","verbreiten","verdachtig","verdammt","verdeckt","vereinfacht","verfuhrend","vergebend","vergessen","vergleich","verhauen","verifizieren","verkommen","verlegen","verletzbar","verletzt","verlockend","verloren","vermasselt","vermeiden","vermogen","vernichten","vernichtend","vernunftig","veroffentlichung","verpassen","verraterisch","verruckt","versagen","verschwitzt","versichert","verspielt","versprechend","versteckt","vertrauenswurdig","vertraulich","vertraumt","verurteilend","verwunderlich","verwundet","verzaubernd","verzweifelt","vierfach","vogelfrei","vollig","vollstandig","vorsicht","vorstellungskraft","vorteil","wachstum","wagemutig","wahnsinn","wahnsinnig","wahrhaftig","wahrheit","wahrheitsgemass","wahrscheinlich","warnung","was dir keiner sagt","wehleidig","welt","wenig bekannt","wert","wertvoll","wichtig","widerlich","wiedererkannt","wild","wilde","wilden","willensstarke","wirr","wohltatigkeit","wortlich","wunder","wunderbar","wunderbaren","wunderschon","wutend","zeichen","zeitig","zen","zensiert","zerschlagen","zerschmetternd","zerstorend","zertifiziert","zielorientiert","zischend","zischt","zocken","zogernd","zugeben","zuruckgehalten","zuruckgelassen","zuruckweisen","zusatzlich","zutaten","zuverlassig","zwangsernahrt","zweifelnd","zwickend","zwingend","einfache","einfachen","einfaches","einfacher","simple","simplen","simples","simpler","besten","bestes","bester","beste","bestbewertet","bestbewerteten","bestbewertete","bestbewerteter","bestbewertetes","\u00fcberraschende","\u00fcberraschenden","\u00fcberraschendes","\u00fcberraschender","hilfreiche","hilfreiches","hilfreichen","hilfreicher","f\u00f6rdern","unterst\u00fctzen","helfen","spielerisch","spannende","spannendes","spannenden","spannender","gro\u00dfartige","gro\u00dfartiges","gro\u00dfartigen","gro\u00dfartiger","ideal","ideales","idealen","idealer","faszinierend","faszinierendes","faszinierenden","faszinierender","wichtig","wichtige","wichtiges","wichtigen","wichtiger","sicher","sichere","sicheres","sicheren","sicherer","umfassende","umfassendes","umfassenden","umfassender","ultimative","ultimatives","ultimativen","ultimativer","einzigartige","einzigartiges","einzigartigen","einzigartiger"],"diacritics":{"A":"[\\u0041\\u24B6\\uFF21\\u00C0\\u00C1\\u00C2\\u1EA6\\u1EA4\\u1EAA\\u1EA8\\u00C3\\u0100\\u0102\\u1EB0\\u1EAE\\u1EB4\\u1EB2\\u0226\\u01E0\\u01DE\\u1EA2\\u00C5\\u01FA\\u01CD\\u0200\\u0202\\u1EA0\\u1EAC\\u1EB6\\u1E00\\u0104\\u023A\\u2C6F]","AA":"[\\uA732]","AE":"[\\u00C6\\u01FC\\u01E2\\u00C4]","AO":"[\\uA734]","AU":"[\\uA736]","AV":"[\\uA738\\uA73A]","AY":"[\\uA73C]","B":"[\\u0042\\u24B7\\uFF22\\u1E02\\u1E04\\u1E06\\u0243\\u0182\\u0181]","C":"[\\u0043\\u24B8\\uFF23\\u0106\\u0108\\u010A\\u010C\\u00C7\\u1E08\\u0187\\u023B\\uA73E]","D":"[\\u0044\\u24B9\\uFF24\\u1E0A\\u010E\\u1E0C\\u1E10\\u1E12\\u1E0E\\u0110\\u018B\\u018A\\u0189\\uA779]","DZ":"[\\u01F1\\u01C4]","Dz":"[\\u01F2\\u01C5]","E":"[\\u0045\\u24BA\\uFF25\\u00C8\\u00C9\\u00CA\\u1EC0\\u1EBE\\u1EC4\\u1EC2\\u1EBC\\u0112\\u1E14\\u1E16\\u0114\\u0116\\u00CB\\u1EBA\\u011A\\u0204\\u0206\\u1EB8\\u1EC6\\u0228\\u1E1C\\u0118\\u1E18\\u1E1A\\u0190\\u018E]","F":"[\\u0046\\u24BB\\uFF26\\u1E1E\\u0191\\uA77B]","G":"[\\u0047\\u24BC\\uFF27\\u01F4\\u011C\\u1E20\\u011E\\u0120\\u01E6\\u0122\\u01E4\\u0193\\uA7A0\\uA77D\\uA77E]","H":"[\\u0048\\u24BD\\uFF28\\u0124\\u1E22\\u1E26\\u021E\\u1E24\\u1E28\\u1E2A\\u0126\\u2C67\\u2C75\\uA78D]","I":"[\\u0049\\u24BE\\uFF29\\u00CC\\u00CD\\u00CE\\u0128\\u012A\\u012C\\u0130\\u00CF\\u1E2E\\u1EC8\\u01CF\\u0208\\u020A\\u1ECA\\u012E\\u1E2C\\u0197]","J":"[\\u004A\\u24BF\\uFF2A\\u0134\\u0248]","K":"[\\u004B\\u24C0\\uFF2B\\u1E30\\u01E8\\u1E32\\u0136\\u1E34\\u0198\\u2C69\\uA740\\uA742\\uA744\\uA7A2]","L":"[\\u004C\\u24C1\\uFF2C\\u013F\\u0139\\u013D\\u1E36\\u1E38\\u013B\\u1E3C\\u1E3A\\u0141\\u023D\\u2C62\\u2C60\\uA748\\uA746\\uA780]","LJ":"[\\u01C7]","Lj":"[\\u01C8]","M":"[\\u004D\\u24C2\\uFF2D\\u1E3E\\u1E40\\u1E42\\u2C6E\\u019C]","N":"[\\u004E\\u24C3\\uFF2E\\u01F8\\u0143\\u00D1\\u1E44\\u0147\\u1E46\\u0145\\u1E4A\\u1E48\\u0220\\u019D\\uA790\\uA7A4]","NJ":"[\\u01CA]","Nj":"[\\u01CB]","O":"[\\u004F\\u24C4\\uFF2F\\u00D2\\u00D3\\u00D4\\u1ED2\\u1ED0\\u1ED6\\u1ED4\\u00D5\\u1E4C\\u022C\\u1E4E\\u014C\\u1E50\\u1E52\\u014E\\u022E\\u0230\\u022A\\u1ECE\\u0150\\u01D1\\u020C\\u020E\\u01A0\\u1EDC\\u1EDA\\u1EE0\\u1EDE\\u1EE2\\u1ECC\\u1ED8\\u01EA\\u01EC\\u00D8\\u01FE\\u0186\\u019F\\uA74A\\uA74C]","OE":"[\\u00D6]","OI":"[\\u01A2]","OO":"[\\uA74E]","OU":"[\\u0222]","P":"[\\u0050\\u24C5\\uFF30\\u1E54\\u1E56\\u01A4\\u2C63\\uA750\\uA752\\uA754]","Q":"[\\u0051\\u24C6\\uFF31\\uA756\\uA758\\u024A]","R":"[\\u0052\\u24C7\\uFF32\\u0154\\u1E58\\u0158\\u0210\\u0212\\u1E5A\\u1E5C\\u0156\\u1E5E\\u024C\\u2C64\\uA75A\\uA7A6\\uA782]","S":"[\\u0053\\u24C8\\uFF33\\u1E9E\\u015A\\u1E64\\u015C\\u1E60\\u0160\\u1E66\\u1E62\\u1E68\\u0218\\u015E\\u2C7E\\uA7A8\\uA784]","T":"[\\u0054\\u24C9\\uFF34\\u1E6A\\u0164\\u1E6C\\u021A\\u0162\\u1E70\\u1E6E\\u0166\\u01AC\\u01AE\\u023E\\uA786]","TZ":"[\\uA728]","U":"[\\u0055\\u24CA\\uFF35\\u00D9\\u00DA\\u00DB\\u0168\\u1E78\\u016A\\u1E7A\\u016C\\u01DB\\u01D7\\u01D5\\u01D9\\u1EE6\\u016E\\u0170\\u01D3\\u0214\\u0216\\u01AF\\u1EEA\\u1EE8\\u1EEE\\u1EEC\\u1EF0\\u1EE4\\u1E72\\u0172\\u1E76\\u1E74\\u0244]","UE":"[\\u00DC]","V":"[\\u0056\\u24CB\\uFF36\\u1E7C\\u1E7E\\u01B2\\uA75E\\u0245]","VY":"[\\uA760]","W":"[\\u0057\\u24CC\\uFF37\\u1E80\\u1E82\\u0174\\u1E86\\u1E84\\u1E88\\u2C72]","X":"[\\u0058\\u24CD\\uFF38\\u1E8A\\u1E8C]","Y":"[\\u0059\\u24CE\\uFF39\\u1EF2\\u00DD\\u0176\\u1EF8\\u0232\\u1E8E\\u0178\\u1EF6\\u1EF4\\u01B3\\u024E\\u1EFE]","Z":"[\\u005A\\u24CF\\uFF3A\\u0179\\u1E90\\u017B\\u017D\\u1E92\\u1E94\\u01B5\\u0224\\u2C7F\\u2C6B\\uA762]","a":"[\\u0061\\u24D0\\uFF41\\u1E9A\\u00E0\\u00E1\\u00E2\\u1EA7\\u1EA5\\u1EAB\\u1EA9\\u00E3\\u0101\\u0103\\u1EB1\\u1EAF\\u1EB5\\u1EB3\\u0227\\u01E1\\u01DF\\u1EA3\\u00E5\\u01FB\\u01CE\\u0201\\u0203\\u1EA1\\u1EAD\\u1EB7\\u1E01\\u0105\\u2C65\\u0250]","aa":"[\\uA733]","ae":"[\\u00E6\\u01FD\\u01E3\\u00E4]","ao":"[\\uA735]","au":"[\\uA737]","av":"[\\uA739\\uA73B]","ay":"[\\uA73D]","b":"[\\u0062\\u24D1\\uFF42\\u1E03\\u1E05\\u1E07\\u0180\\u0183\\u0253]","c":"[\\u0063\\u24D2\\uFF43\\u0107\\u0109\\u010B\\u010D\\u00E7\\u1E09\\u0188\\u023C\\uA73F\\u2184]","d":"[\\u0064\\u24D3\\uFF44\\u1E0B\\u010F\\u1E0D\\u1E11\\u1E13\\u1E0F\\u0111\\u018C\\u0256\\u0257\\uA77A]","dz":"[\\u01F3\\u01C6]","e":"[\\u0065\\u24D4\\uFF45\\u00E8\\u00E9\\u00EA\\u1EC1\\u1EBF\\u1EC5\\u1EC3\\u1EBD\\u0113\\u1E15\\u1E17\\u0115\\u0117\\u00EB\\u1EBB\\u011B\\u0205\\u0207\\u1EB9\\u1EC7\\u0229\\u1E1D\\u0119\\u1E19\\u1E1B\\u0247\\u025B\\u01DD]","f":"[\\u0066\\u24D5\\uFF46\\u1E1F\\u0192\\uA77C]","g":"[\\u0067\\u24D6\\uFF47\\u01F5\\u011D\\u1E21\\u011F\\u0121\\u01E7\\u0123\\u01E5\\u0260\\uA7A1\\u1D79\\uA77F]","h":"[\\u0068\\u24D7\\uFF48\\u0125\\u1E23\\u1E27\\u021F\\u1E25\\u1E29\\u1E2B\\u1E96\\u0127\\u2C68\\u2C76\\u0265]","hv":"[\\u0195]","i":"[\\u0069\\u24D8\\uFF49\\u00EC\\u00ED\\u00EE\\u0129\\u012B\\u012D\\u00EF\\u1E2F\\u1EC9\\u01D0\\u0209\\u020B\\u1ECB\\u012F\\u1E2D\\u0268\\u0131]","j":"[\\u006A\\u24D9\\uFF4A\\u0135\\u01F0\\u0249]","k":"[\\u006B\\u24DA\\uFF4B\\u1E31\\u01E9\\u1E33\\u0137\\u1E35\\u0199\\u2C6A\\uA741\\uA743\\uA745\\uA7A3]","l":"[\\u006C\\u24DB\\uFF4C\\u0140\\u013A\\u013E\\u1E37\\u1E39\\u013C\\u1E3D\\u1E3B\\u017F\\u0142\\u019A\\u026B\\u2C61\\uA749\\uA781\\uA747]","lj":"[\\u01C9]","m":"[\\u006D\\u24DC\\uFF4D\\u1E3F\\u1E41\\u1E43\\u0271\\u026F]","n":"[\\u006E\\u24DD\\uFF4E\\u01F9\\u0144\\u00F1\\u1E45\\u0148\\u1E47\\u0146\\u1E4B\\u1E49\\u019E\\u0272\\u0149\\uA791\\uA7A5]","nj":"[\\u01CC]","o":"[\\u006F\\u24DE\\uFF4F\\u00F2\\u00F3\\u00F4\\u1ED3\\u1ED1\\u1ED7\\u1ED5\\u00F5\\u1E4D\\u022D\\u1E4F\\u014D\\u1E51\\u1E53\\u014F\\u022F\\u0231\\u022B\\u1ECF\\u0151\\u01D2\\u020D\\u020F\\u01A1\\u1EDD\\u1EDB\\u1EE1\\u1EDF\\u1EE3\\u1ECD\\u1ED9\\u01EB\\u01ED\\u00F8\\u01FF\\u0254\\uA74B\\uA74D\\u0275]","oe":"[\\u00f6]","oi":"[\\u01A3]","ou":"[\\u0223]","oo":"[\\uA74F]","p":"[\\u0070\\u24DF\\uFF50\\u1E55\\u1E57\\u01A5\\u1D7D\\uA751\\uA753\\uA755]","q":"[\\u0071\\u24E0\\uFF51\\u024B\\uA757\\uA759]","r":"[\\u0072\\u24E1\\uFF52\\u0155\\u1E59\\u0159\\u0211\\u0213\\u1E5B\\u1E5D\\u0157\\u1E5F\\u024D\\u027D\\uA75B\\uA7A7\\uA783]","s":"[\\u0073\\u24E2\\uFF53\\u015B\\u1E65\\u015D\\u1E61\\u0161\\u1E67\\u1E63\\u1E69\\u0219\\u015F\\u023F\\uA7A9\\uA785\\u1E9B]","ss":"[\\u00DF]","t":"[\\u0074\\u24E3\\uFF54\\u1E6B\\u1E97\\u0165\\u1E6D\\u021B\\u0163\\u1E71\\u1E6F\\u0167\\u01AD\\u0288\\u2C66\\uA787]","tz":"[\\uA729]","u":"[\\u0075\\u24E4\\uFF55\\u00F9\\u00FA\\u00FB\\u0169\\u1E79\\u016B\\u1E7B\\u016D\\u01DC\\u01D8\\u01D6\\u01DA\\u1EE7\\u016F\\u0171\\u01D4\\u0215\\u0217\\u01B0\\u1EEB\\u1EE9\\u1EEF\\u1EED\\u1EF1\\u1EE5\\u1E73\\u0173\\u1E77\\u1E75\\u0289]","ue":"[\\u00FC]","v":"[\\u0076\\u24E5\\uFF56\\u1E7D\\u1E7F\\u028B\\uA75F\\u028C]","vy":"[\\uA761]","w":"[\\u0077\\u24E6\\uFF57\\u1E81\\u1E83\\u0175\\u1E87\\u1E85\\u1E98\\u1E89\\u2C73]","x":"[\\u0078\\u24E7\\uFF58\\u1E8B\\u1E8D]","y":"[\\u0079\\u24E8\\uFF59\\u1EF3\\u00FD\\u0177\\u1EF9\\u0233\\u1E8F\\u00FF\\u1EF7\\u1E99\\u1EF5\\u01B4\\u024F\\u1EFF]","z":"[\\u007A\\u24E9\\uFF5A\\u017A\\u1E91\\u017C\\u017E\\u1E93\\u1E95\\u01B6\\u0225\\u0240\\u2C6C\\uA763]"},"researchesTests":["contentHasTOC","contentHasShortParagraphs","contentHasAssets","keywordInTitle","keywordInMetaDescription","keywordInPermalink","keywordIn10Percent","keywordInContent","keywordInSubheadings","keywordInImageAlt","keywordDensity","keywordNotUsed","lengthContent","lengthPermalink","linksHasInternal","linksHasExternals","linksNotAllExternals","titleStartWithKeyword","titleSentiment","titleHasPowerWords","titleHasNumber","hasContentAI"],"hasRedirection":true,"hasBreadcrumb":true},"homeUrl":"https:\/\/nis2resources.eu\/de","objectID":584,"objectType":"post","locale":"de","localeFull":"de_DE","overlayImages":{"play":{"name":"Wiedergabezeichen","url":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-play.png","path":"\/var\/www\/vhosts\/nis2resources.eu\/httpdocs\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-play.png","position":"middle_center"},"gif":{"name":"GIF-Symbol","url":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-gif.png","path":"\/var\/www\/vhosts\/nis2resources.eu\/httpdocs\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-gif.png","position":"middle_center"}},"defautOgImage":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/social-placeholder.jpg","customPermalinks":true,"isUserRegistered":true,"autoSuggestKeywords":true,"connectSiteUrl":"https:\/\/rankmath.com\/auth?site=https%3A%2F%2Fnis2resources.eu%2Fde&r=https%3A%2F%2Fnis2resources.eu%2Fde%2Fwp-json%2Fwp%2Fv2%2Fpages%2F584%2F%3Fnonce%3Db48180f2a9&pro=1","maxTags":100,"trendsIcon":"<\/svg>","showScore":true,"siteFavIcon":"https:\/\/nis2resources.eu\/wp-content\/uploads\/2024\/08\/cropped-nis2resources-icon-32x32.png","canUser":{"general":false,"advanced":false,"snippet":false,"social":false,"analysis":false,"analytics":false,"content_ai":false},"showKeywordIntent":true,"isPro":true,"is_front_page":false,"trendsUpgradeLink":"https:\/\/rankmath.com\/pricing\/?utm_source=Plugin&utm_medium=CE%20General%20Tab%20Trends&utm_campaign=WP","trendsUpgradeLabel":"Upgraden","trendsPreviewImage":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/trends-preview.jpg","currentEditor":false,"homepageData":{"assessor":{"powerWords":["abgelenkt","abgesturzt","absolut","abstossend","aburd","abweisen","adaquat","aggressiv","ahnungslos","akkurat","alarmierend","alarmiert","albtraum","all-inclusive","allererste","allererster","allererstes","alleswisser","am schlechtesten","am wichtigsten","angewidert","angriff","angsteinflossend","angstlich","animiert","ankundigung","anonym","anpassbar","anspruchslos","anstossig","antagonistisch","apokalypse","applaus","argumentativ","arm","armageddon","arrogant","atemberaubend","attacke","attraktiv","aufdeckend","aufgebracht","aufgedeckt","aufgeregt","aufheiternd","aufregend","aufregende","aufregenden","aufregung","aufstachelnd","aufstandisch","aufsteigend","auftreibend","augenoffnend","ausgelassen","ausgeruht","ausgespielt","ausgewahlt","ausgewuhlt","ausnutzen","aussergewohnlich","autark","authentisch","autoritat","backdoor","badass","beangstigend","bedenklich","bedingungslos","bedrohen","bedroht","beforderung","befreit","befriedigend","befriedigt","begehren","begeistern","begeistert","begeisterung","beherzt","behind the scenes","beichte","beleidigung","belohnung","bemerkenswert","beneiden","bequem","beruhmt","beschadigen","beschamend","beschmutzt","beschuldigen","beschutzen","besitz","bessesen","bestatigen","bestatigt","beste","bestimmt","bestrafen","betrug","betrugen","bewahrt","bewiesen","bewiesenermassen","bewusst","bezahlbar","bezaubernd","bizarre","bleich","blendend","blut","blutbad","blutig","bombe","bonanza","bonus","bosartig","bose","boshaft","brilliant","brodelnd","brutal","budget","bullshit","bully","bunt","bunte","bunten","case study","cash","challenge","challgene","chaos","cheat-sheet","clever","content","cool","courage","dankbar","daruber redet keiner","deadline","definitiv","dekadent","demoralisierend","demut","desillusioniert","detailiert","diagnose","die wahrheit","direkt","disastros","discount","dokument","dollar","dominieren","doppelt","download","dreckig","dreifach","dreistigkeit","dringend","dringlichkeit","dumm","dummkopf","dummlich","durchbruch","duselig","dynamik","echt","effektiv","effizient","ehrlich","eier","eifersuchtig","eifrig","eindeutig","eindrucksvoll","eine stufe besser","einfach","einfachheit","einfallsreich","eingebildet","eingeschrankt","eingesperrt","einmalig","einsam","eintauchen","einzigartig","eisern","eliminieren","elite","empathie","empfehle","empfehlen","endeffekt","energie","energisch","enorm","entdecken","entfesselt","entfremdet","enthullen","enthullung","enthusiastisch","entmachtet","entsetzlich","entspannt","entzuckend","entzunden","epidemisch","episch","erbarmlich","erfolg","erfolgreich","erfolgsbilanz","erfreut","erfullen","erfullt","ergebnisse","ergreifen","erhaben","erheben","erhohen","erledigt","ermachtigt","ermudet","ernmutigt","ernsthaft","erobern","erroten","errungenschaft","erschaffen","erschrocken","ersehnen","ersparnisse","erstattbar","erstatten","erstaunlich","erste","ertrinken","essentiell","ethisch","euphorisch","exakt","exklusiv","exklusivitat","exkuisit","experte","explodieren","explosiv","exposed","extrem","exzellent","fahig","fahigkeiten","fail","falle","fantasie","fantastischen","farbenfroh","farbenfrohe","faszinierend","faszinierende","faul","faux pas","faux","fehler","feindselig","feldstudie","fesselnd","festlich","festmahl","festplatte","final","flirt","fluchtling","flussig","fokus","fokussiert","folter","formel","frech","freebie","frei","freiheit","freudig","friedlich","frohlich","frohlichkeit","frustriert","fundamental","fur immer","furchtbar","furchtlos","gangster","garantiert","geblendet","geehrt","gefahr","gefahrlich","gefangen","gefangnis","gefeuert","gegensatzlich","gehassig","geheimnis","geheimnisse","geil","geisseln","geist","geistesgestort","gelassen","geld zuruck","geld","genial","gepackt","gerade angekommen","gerissen","geschenk","geschmuggelt","geschutzt","gestandnis","gestandnisse","gestopft","gestresst","gesucht","gesund","getauscht","getestet","getotet","gewaltig","gewalttatig","gewidmet","gewinnspiel","gier","gierig","gift","giftig","gigantisch","giveaway","glamourose","glanzend","glaube","glaubwurdig","gleichmassig","glittering","glitzernde","gluckselig","golden","grandios","grandiose","grandiosen","grandioses","grauenhaft","grausamkeit","grinsen","groesste","gross","grossartig","grossartig","grossartige","grossartigen","grossartiger","grossartiges","grosse","grossen","grosste","grosszugig","grotesk","grube","grundlegend","gruselig","gunstig","hack","hamisch","hammer","handelsgeheimnis","hartnackig","hass","heilig","heimlich","heisshunger","heisshungrig","heiter","held","hell","herablassend","herausfordernd","herausforderung","herausvorderung","herrlichen","herrschend","hervorragend","herz","herzbrechend","herzerwahrmend","heute","hightech","hilflosigkeit","hilfreich","hilfsbereit","himmlisch","hinterhaltig","hoax","hocheffektiv","hochnasig","hochste","hoffnung","hoffnungsvoll","holle","holocaust","horror","how to","humor","hungrige","hurrikan","hypnotisch","hypnotisierend","idiot","idiotisch","illegal","immer","informativ","inhalt","inkompetent","innovativ","insider","inspirierend","inspiriert","intelligent","intensiv","interessant","interessante","invasion","investment","ist da","jackpot","jederzeit kundigen","jetzt","jubilant","jumpstart","jung","kadaver","kampf","katapult","katastrophe","kaufen","kein risiko","keine verpflichtung","kickstart","kindisch","kitschig","klaglich","klar","knast","kollabieren","kollosal","komfortabel","komisch","kompetitiv","komplett","kompromiss","komsich","konstruktiv","kontrollierend","kontrollverlust","kooperativ","kopie","korrupt","kostenlos","kraftlos","kraftvoll","krankhaft","kreativ","kreative","kriese","kritisch","kruppel","lachen","lacherlich","lahm","last minute","lauernd","lebendig","lebenslanglich","lecken","lecker","legendar","legitim","leiche","leicht","leiden","leider","leise","letzte chance","letzte","leuchtend","liberal","licht","liebe","liebenswurdig","liebevoll","life-changing","limitiert","lohnend","loser","losung","lugen","lugend","lukrativ","lust","lustig","lustige","lustigsten","luxorios","magisch","mainstream","mammut","manipulativ","massiv","masterclass","meditierend","meiseter","meistverkauft","meltdown","millionen","mind-blowing","minderwertig","minimalist","missbrauch","misstrauisch","mittelmassig","mittig","modern","moderne","moglichkeiten","monetarisieren","monumental","mord","motiviert","muhelos","muhevoll","mull","mut","mutig","nachmachen","nachteile","nackt","nagel","naiv","natural","nazi","neid","nervos","neu","niedertrachtig","niemals","notfall","notiert","nutzlich","nutzlos","offensichtlich","offiziel","offnen","ohne hintergedanken","ok","okay","okonomisch","on-demand","opfer","optimistisch","overnight","packend","panik","panzer","paralisiert","pas","passioniert","pause","payback","peinlich","perfekt","perplex","perskeptive","pessimistisch","pfund","piranha","pleite","plotzlich","pochend","polarisierend","popular","portfolio","praktisch","preis","prestige","privat","privatsphare","priviligiert","problem","produktiv","professionell","profit","profitabel","provokativ","provozierend","prozess","psychologisch","qual","qualen","qualitat","rabatt","rache","rachsuchtig","raffiniert","rasend","rat","rau","recherche","reduziert","reflektieren","regeln","reich","reiche","reichtum","relaxed","report","responsive","revolutionar","riesig","risiko","riskant","riskieren","rotzfrech","rowdy","ruckrat","ruckschlag","rucksichtlos","ruhig","ruiniert","sabotiert","sadistisch","sale","sarkastisch","scam","schabig","schadigend","schadlich","schamlos","schatz","schicksal","schlachten","schlafen","schlag","schlau","schlimm","schmerzhaft","schmerzlos","schmuggel","schnell","schnellstart","schokierend","schonheit","schrecklich","schreien","schritt fur schritt","schuld","schuldlos","schwach","schwarm","schwarzmarkt","schwerkraft","schwinden","sechsstellig","sehenswerte","selbsthass","selten","sensationell","sex","sexy","sicher","sicherheit","sicherlich","sieg","sill","simpel","sinnlich","sinnlos","skandal","skandalos","skill","sklave","sneak-peek","snob","sofort gespart","sofort","sollte","sonnig","sonnige","sonnigen","sorgen","sorgfaltig","sorglos","spannend","sparen","sparsam","spass","spassig","spektakular","speziell","spielen","spoiler","spontan","spotlight","stabil","stark","start","stoisch","stolz","stop","strahlend","strangulieren","strategie","studien","stumperhaft","stur","sunden","sundigend","super","superb","survival","tapfer","tauschend","teaser","technologie","terror","terrorist","teuer","tief","tiefgreifend","tierisch","tod","todlich","toll","tolle","toller","tortur","tot","tote","toten","totend","toxisch","tragisch","tragodie","transfomieren","transparenz","trauma","traumatisiert","traurigkeit","trend","tricks","trigger","triumpf","trocken","trotz","trugerisch","tweaks","tyrann","ubel","uberfordert","uberkommen","uberleben","uberlegen","uberraschend","uberrascht","uberraschung","uberwaltigend","uberwinden","ultimativ","umfassend","umstritten","umwerfend","unatorisiert","unaufhaltbar","unausgelasted","unbedacht","unbeliebt","unbeschwert","unbewusst","undercover","undokumentiert","unehrlich","unentschlossen","unerwartet","unfahig","ungeduldig","ungedult","ungehort","ungemutlich","ungerechtfertigt","ungesehen","ungetrubt","ungewohnlich","ungezogen","unglaublich","unglaubliches","uninteressiert","unkontrollierbar","unkonventionell","unlimitiert","unpenetrierbar","unschuldig","unsicher","unstabil","unter verschluss","untergrund","unterhaltsam","unterstutz","unterstutzend","unubertroffen","unvergesslich","unverneinbar","unvoreingenommen","unwiderstehlich","unwirtlich","unzensiert","unzuverlassig","up-selling","vaporisieren","verangstigt","verantwortlich","verargert","verarscht","verbessert","verbluffend","verblufft","verboten","verbreiten","verdachtig","verdammt","verdeckt","vereinfacht","verfuhrend","vergebend","vergessen","vergleich","verhauen","verifizieren","verkommen","verlegen","verletzbar","verletzt","verlockend","verloren","vermasselt","vermeiden","vermogen","vernichten","vernichtend","vernunftig","veroffentlichung","verpassen","verraterisch","verruckt","versagen","verschwitzt","versichert","verspielt","versprechend","versteckt","vertrauenswurdig","vertraulich","vertraumt","verurteilend","verwunderlich","verwundet","verzaubernd","verzweifelt","vierfach","vogelfrei","vollig","vollstandig","vorsicht","vorstellungskraft","vorteil","wachstum","wagemutig","wahnsinn","wahnsinnig","wahrhaftig","wahrheit","wahrheitsgemass","wahrscheinlich","warnung","was dir keiner sagt","wehleidig","welt","wenig bekannt","wert","wertvoll","wichtig","widerlich","wiedererkannt","wild","wilde","wilden","willensstarke","wirr","wohltatigkeit","wortlich","wunder","wunderbar","wunderbaren","wunderschon","wutend","zeichen","zeitig","zen","zensiert","zerschlagen","zerschmetternd","zerstorend","zertifiziert","zielorientiert","zischend","zischt","zocken","zogernd","zugeben","zuruckgehalten","zuruckgelassen","zuruckweisen","zusatzlich","zutaten","zuverlassig","zwangsernahrt","zweifelnd","zwickend","zwingend","einfache","einfachen","einfaches","einfacher","simple","simplen","simples","simpler","besten","bestes","bester","beste","bestbewertet","bestbewerteten","bestbewertete","bestbewerteter","bestbewertetes","\u00fcberraschende","\u00fcberraschenden","\u00fcberraschendes","\u00fcberraschender","hilfreiche","hilfreiches","hilfreichen","hilfreicher","f\u00f6rdern","unterst\u00fctzen","helfen","spielerisch","spannende","spannendes","spannenden","spannender","gro\u00dfartige","gro\u00dfartiges","gro\u00dfartigen","gro\u00dfartiger","ideal","ideales","idealen","idealer","faszinierend","faszinierendes","faszinierenden","faszinierender","wichtig","wichtige","wichtiges","wichtigen","wichtiger","sicher","sichere","sicheres","sicheren","sicherer","umfassende","umfassendes","umfassenden","umfassender","ultimative","ultimatives","ultimativen","ultimativer","einzigartige","einzigartiges","einzigartigen","einzigartiger"],"diacritics":true,"researchesTests":["contentHasTOC","contentHasShortParagraphs","contentHasAssets","keywordInTitle","keywordInMetaDescription","keywordInPermalink","keywordIn10Percent","keywordInContent","keywordInSubheadings","keywordInImageAlt","keywordDensity","keywordNotUsed","lengthContent","lengthPermalink","linksHasInternal","linksHasExternals","linksNotAllExternals","titleStartWithKeyword","titleSentiment","titleHasPowerWords","titleHasNumber","hasContentAI"],"hasBreadcrumb":true,"serpData":{"title":"%sitename% %page% %sep% %sitedesc%","description":"","titleTemplate":"%sitename% %page% %sep% %sitedesc%","descriptionTemplate":"","focusKeywords":"","breadcrumbTitle":"Home","robots":{"index":true},"advancedRobots":{"max-snippet":"-1","max-video-preview":"-1","max-image-preview":"large"},"facebookTitle":"","facebookDescription":"","facebookImage":"","facebookImageID":""}}},"searchIntents":[],"isAnalyticsConnected":false,"tocTitle":"Table of Contents","tocExcludeHeadings":[],"listStyle":"ul"},"_links":{"self":[{"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/pages\/584","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/comments?post=584"}],"version-history":[{"count":0,"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/pages\/584\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/pages\/592"}],"wp:attachment":[{"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/media?parent=584"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}