1. (1) Die Mitgliedstaaten stellen sicher, dass die Aufsichts- oder Durchsetzungsma\u00dfnahmen, die den wesentlichen Einrichtungen in Bezug auf die in dieser Richtlinie festgelegten Verpflichtungen auferlegt werden, wirksam, verh\u00e4ltnism\u00e4\u00dfig und abschreckend sind, wobei die Umst\u00e4nde des jeweiligen Einzelfalls zu ber\u00fccksichtigen sind.<\/p>\n\n\n\n
2. Die Mitgliedstaaten stellen sicher, dass die zust\u00e4ndigen Beh\u00f6rden bei der Wahrnehmung ihrer Aufsichtsaufgaben in Bezug auf wesentliche Unternehmen befugt sind, diese Unternehmen zumindest einer Pr\u00fcfung zu unterziehen:<\/p>\n\n\n\n
(a) Inspektionen vor Ort und \u00dcberwachung au\u00dferhalb des Betriebsgel\u00e4ndes, einschlie\u00dflich stichprobenartiger Kontrollen durch geschultes Fachpersonal;<\/p>\n\n\n\n
(b) regelm\u00e4\u00dfige und gezielte Sicherheitsaudits, die von einer unabh\u00e4ngigen Stelle oder einer zust\u00e4ndigen Beh\u00f6rde durchgef\u00fchrt werden;<\/p>\n\n\n\n
(c) Ad-hoc-Pr\u00fcfungen, einschlie\u00dflich solcher, die aufgrund eines erheblichen VorfallVorfall<\/span> Bezeichnet ein Ereignis, das die Verf\u00fcgbarkeit, Authentizit\u00e4t, Integrit\u00e4t oder Vertraulichkeit gespeicherter, \u00fcbermittelter oder verarbeiteter Daten oder der von Netz- und Informationssystemen angebotenen oder \u00fcber sie zug\u00e4nglichen Dienste beeintr\u00e4chtigt. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> oder einen Versto\u00df gegen diese Richtlinie durch das wesentliche UnternehmenEntit\u00e4t<\/span> bezeichnet eine nat\u00fcrliche oder juristische Person, die nach dem innerstaatlichen Recht des Ortes ihrer Niederlassung gegr\u00fcndet und als solche anerkannt wurde und die in eigenem Namen handelnd Rechte und Pflichten aus\u00fcben kann. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span>;<\/p>\n\n\n\n (d) Sicherheits\u00fcberpr\u00fcfungen auf der Grundlage objektiver, nichtdiskriminierender, fairer und transparenter RisikoRisiko<\/span> Bezeichnet das Potenzial f\u00fcr Verluste oder St\u00f6rungen, die durch ein Ereignis verursacht werden, und wird als Kombination aus dem Ausma\u00df eines solchen Verlusts oder einer solchen St\u00f6rung und der Wahrscheinlichkeit des Eintretens des Ereignisses ausgedr\u00fcckt. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> Bewertungskriterien, gegebenenfalls in Zusammenarbeit mit der betreffenden Einrichtung;<\/p>\n\n\n\n (e) Ersuchen um Informationen, die zur Bewertung der CybersicherheitCybersecurity<\/span> \"Cybersicherheit\" ist die Cybersicherheit im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) 2019\/881; - Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a>\r\r\"Cybersicherheit\" bezeichnet die T\u00e4tigkeiten, die erforderlich sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu sch\u00fctzen; - Definition gem\u00e4\u00df Artikel 2 Nummer 1 der Verordnung (EU) 2019\/881;<\/span><\/span><\/span> die von der betreffenden Stelle getroffenen Risikomanagementma\u00dfnahmen, einschlie\u00dflich dokumentierter Cybersicherheitsstrategien, sowie die Einhaltung der Verpflichtung zur \u00dcbermittlung von Informationen an die zust\u00e4ndigen Beh\u00f6rden gem\u00e4\u00df Artikel 27;<\/p>\n\n\n\n (f) Ersuchen um Zugang zu Daten, Dokumenten und Informationen, die sie zur Erf\u00fcllung ihrer Aufsichtsaufgaben ben\u00f6tigen;<\/p>\n\n\n\n (g) Ersuchen um Nachweise f\u00fcr die Umsetzung von Cybersicherheitsstrategien, wie etwa die Ergebnisse von Sicherheitsaudits, die von einem qualifizierten Pr\u00fcfer durchgef\u00fchrt wurden, und die entsprechenden Nachweise.<\/p>\n\n\n\n Die in Unterabsatz 1 Buchstabe b genannten gezielten Sicherheitsaudits st\u00fctzen sich auf Risikobewertungen, die von der zust\u00e4ndigen Beh\u00f6rde oder der gepr\u00fcften Stelle durchgef\u00fchrt werden, oder auf andere risikobezogene verf\u00fcgbare Informationen.<\/p>\n\n\n\n Die Ergebnisse eines gezielten Sicherheitsaudits sind der zust\u00e4ndigen Beh\u00f6rde zur Verf\u00fcgung zu stellen. Die Kosten eines solchen von einer unabh\u00e4ngigen Stelle durchgef\u00fchrten gezielten Sicherheitsaudits sind von der gepr\u00fcften Stelle zu tragen, es sei denn, die zust\u00e4ndige Beh\u00f6rde entscheidet in hinreichend begr\u00fcndeten F\u00e4llen anders.<\/p>\n\n\n\n 3. Bei der Aus\u00fcbung ihrer Befugnisse nach Absatz 2 Buchstaben e, f oder g geben die zust\u00e4ndigen Beh\u00f6rden den Zweck des Ersuchens an und spezifizieren die gew\u00fcnschten Informationen.<\/p>\n\n\n\n 4. Die Mitgliedstaaten stellen sicher, dass ihre zust\u00e4ndigen Beh\u00f6rden bei der Aus\u00fcbung ihrer Durchsetzungsbefugnisse in Bezug auf wesentliche Einrichtungen zumindest die Befugnis haben:<\/p>\n\n\n\n (a) Warnungen vor Verst\u00f6\u00dfen gegen diese Richtlinie durch die betreffenden Einrichtungen auszusprechen;<\/p>\n\n\n\n (b) verbindliche Anweisungen erlassen, auch in Bezug auf Ma\u00dfnahmen, die zur Verhinderung oder Behebung eines Vorfalls erforderlich sind, sowie Fristen f\u00fcr die Durchf\u00fchrung dieser Ma\u00dfnahmen und f\u00fcr die Berichterstattung \u00fcber ihre Durchf\u00fchrung, oder eine Anordnung erlassen, mit der die betreffenden Stellen verpflichtet werden, die festgestellten M\u00e4ngel oder Verst\u00f6\u00dfe gegen diese Richtlinie zu beheben;<\/p>\n\n\n\n (c) die betreffenden Stellen anzuweisen, das gegen diese Richtlinie versto\u00dfende Verhalten einzustellen und von einer Wiederholung dieses Verhaltens abzusehen;<\/p>\n\n\n\n (d) sie ordnet an, dass die betreffenden Stellen sicherstellen, dass ihre Ma\u00dfnahmen zum Management des Cybersicherheitsrisikos mit Artikel 21 im Einklang stehen, oder dass sie die Meldepflichten nach Artikel 23 in einer bestimmten Weise und innerhalb einer bestimmten Frist erf\u00fcllen;<\/p>\n\n\n\n (e) die betroffenen Einrichtungen anzuweisen, die nat\u00fcrlichen oder juristischen Personen zu informieren, f\u00fcr die sie Dienstleistungen erbringen oder T\u00e4tigkeiten aus\u00fcben, die potenziell von einer solchen Ma\u00dfnahme betroffen sind erhebliche Cyber-BedrohungErhebliche Cyber-Bedrohung<\/span> Bezeichnet eine Cyber-Bedrohung, bei der aufgrund ihrer technischen Merkmale davon ausgegangen werden kann, dass sie das Potenzial hat, schwerwiegende Auswirkungen auf das Netz und die Informationssysteme einer Einrichtung oder die Nutzer der Dienste der Einrichtung zu haben, indem sie erhebliche materielle oder immaterielle Sch\u00e4den verursacht. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> \u00fcber die Art der Bedrohung sowie \u00fcber m\u00f6gliche Schutz- oder Abhilfema\u00dfnahmen, die von diesen nat\u00fcrlichen oder juristischen Personen als Reaktion auf die Bedrohung getroffen werden k\u00f6nnen;<\/p>\n\n\n\n (f) sie ordnet an, dass die betreffenden Stellen die Empfehlungen, die als Ergebnis eines Sicherheitsaudits abgegeben wurden, innerhalb einer angemessenen Frist umsetzen;<\/p>\n\n\n\n (g) Benennung eines \u00dcberwachungsbeauftragten mit genau definierten Aufgaben f\u00fcr einen bestimmten Zeitraum, der die Einhaltung der Artikel 21 und 23 durch die betreffenden Einrichtungen \u00fcberwacht;<\/p>\n\n\n\n (h) die betreffenden Stellen anzuweisen, Aspekte von Verst\u00f6\u00dfen gegen diese Richtlinie in einer bestimmten Weise zu ver\u00f6ffentlichen;<\/p>\n\n\n\n (i) zus\u00e4tzlich zu den unter den Buchstaben a) bis h) genannten Ma\u00dfnahmen eine Geldbu\u00dfe nach Artikel 34 zu verh\u00e4ngen oder die Verh\u00e4ngung einer solchen Geldbu\u00dfe durch die zust\u00e4ndigen Stellen oder Gerichte im Einklang mit dem nationalen Recht zu beantragen.<\/p>\n\n\n\n 5. (5) Sind die gem\u00e4\u00df Absatz 4 Buchstaben a bis d und f getroffenen Durchsetzungsma\u00dfnahmen unwirksam, so stellen die Mitgliedstaaten sicher, dass ihre zust\u00e4ndigen Beh\u00f6rden befugt sind, eine Frist zu setzen, innerhalb derer die wesentliche Einrichtung aufgefordert wird, die erforderlichen Ma\u00dfnahmen zu ergreifen, um die M\u00e4ngel zu beseitigen oder den Anforderungen dieser Beh\u00f6rden nachzukommen. Werden die verlangten Ma\u00dfnahmen nicht innerhalb der gesetzten Frist ergriffen, so stellen die Mitgliedstaaten sicher, dass ihre zust\u00e4ndigen Beh\u00f6rden befugt sind, diese Ma\u00dfnahmen zu ergreifen:<\/p>\n\n\n\n (a) eine Zertifizierung oder Genehmigung f\u00fcr einen Teil oder die Gesamtheit der von der wesentlichen Einrichtung erbrachten Dienste oder ausge\u00fcbten T\u00e4tigkeiten vor\u00fcbergehend auszusetzen oder eine Zertifizierungs- oder Genehmigungsstelle oder ein Gericht im Einklang mit dem nationalen Recht zu ersuchen, diese vor\u00fcbergehend auszusetzen;<\/p>\n\n\n\n