Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2023, Betriebssicherheit - EU Bund

I. Einleitung

1. Nach Artikel 4 Absatz 3 der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) ¹ muss die Kommission bis zum 17. Juli 2023 Leitlinien zur Klarstellung der Anwendung des Artikels 4 Absätze 1 und 2 der Richtlinie bereitstellen.

2. Mit den vorliegenden Leitlinien wird die Anwendung dieser Bestimmungen präzisiert, die das Verhältnis zwischen der Richtlinie (EU) 2022/2555 und aktuellen und künftigen sektorspezifischen Rechtsakten der Union über Risikomanagementmaßnahmen oder Meldepflichten für Sicherheitsvorfälle im Bereich der Cybersicherheit betreffen. In der Anlage zu diesen Leitlinien werden die sektorspezifischen Rechtsakte der Union aufgeführt, die nach Auffassung der Kommission in den Anwendungsbereich des Artikels 4 der Richtlinie (EU) 2022/2555 fallen. Der Umstand, dass ein Rechtsakt nicht in dieser Anlage aufgeführt ist, bedeutet nicht zwangsläufig, dass er nicht in den Anwendungsbereich dieser Bestimmung fällt.

3. In Anwendung des Artikels 4 Absatz 3 Satz 3 der Richtlinie (EU) 2022/2555 hat die Kommission die Bemerkungen der NIS-Kooperationsgruppe und der Agentur der Europäischen Union für Cybersicherheit (ENISA) vor der Annahme der vorliegenden Leitlinien berücksichtigt.

4. Die vorliegenden Leitlinien lassen die Auslegung des Unionsrechts durch den Gerichtshof der Europäischen Union unberührt.

II. Gleichwertigkeit der Cybersicherheitsanforderungen aus sektorspezifischen Rechtsakten der Union

5. Wenn wesentliche oder wichtige Einrichtungen gemäß sektorspezifischen Rechtsakten der Union entweder Maßnahmen zum Cybersicherheitsrisikomanagement ergreifen oder erhebliche Sicherheitsvorfälle melden müssen und wenn die entsprechenden Anforderungen in ihrer Wirkung den in der Richtlinie (EU) 2022/2555 festgelegten Verpflichtungen zumindest gleichwertig sind, finden laut Artikel 4 Absatz 1 der Richtlinie (EU) 2022/2555 die einschlägigen Bestimmungen dieser Richtlinie, einschließlich der Bestimmungen über Aufsicht und Durchsetzung in Kapitel VII derselben Richtlinie, keine Anwendung auf solche Einrichtungen. Weiter besagt diese Bestimmung, dass, wenn die sektorspezifischen Rechtsakte der Union nicht für alle in den Anwendungsbereich der Richtlinie (EU) 2022/2555 fallenden Einrichtungen eines bestimmten Sektors gelten, die einschlägigen Bestimmungen dieser Richtlinie weiterhin auf Einrichtungen angewandt werden, die nicht unter diese sektorspezifischen Rechtsakte der Union fallen.

II.1. Anforderungen an das Risikomanagement im Bereich der Cybersicherheit

6. Nach Artikel 4 Absatz 2 Buchstabe a der Richtlinie (EU) 2022/2555 gelten Maßnahmen zum Cybersicherheitsrisikomanagement, die von wesentlichen oder wichtigen Einrichtungen im Rahmen sektorspezifischer Rechtsakte der Union ergriffen werden müssen, als in ihrer Wirkung den in der Richtlinie (EU) 2022/2555 festgelegten Verpflichtungen gleichwertig, wenn diese Maßnahmen in ihrer Wirkung den in Artikel 21 Absätze 1 und 2 der Richtlinie festgelegten Maßnahmen mindestens gleichwertig sind. Bei der Beurteilung der Frage, ob die Anforderungen eines sektorspezifischen Rechtsakts der Union über Maßnahmen zum Cybersicherheitsrisikomanagement den Anforderungen des Artikels 21 Absätze 1 und 2 der Richtlinie (EU) 2022/2555 mindestens gleichwertig sind, sollten die Anforderungen des sektorspezifischen Rechtsakts der Union zumindest den Anforderungen dieser Bestimmungen entsprechen oder darüber hinausgehen, was bedeutet, dass die sektorspezifischen Bestimmungen inhaltlich detaillierter sein können als die entsprechenden Bestimmungen der Richtlinie (EU) 2022/2555.

7. Nach Artikel 21 Absatz 1 Unterabsatz 1 der Richtlinie (EU) 2022/2555 müssen die Mitgliedstaaten sicherstellen, dass wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen. Diese Maßnahmen sollten risikobasiert und geeignet sein, Sicherheitsvorfälle zu verhindern bzw. deren Auswirkungen so gering wie möglich zu halten. In Artikel 21 Absatz 1 Unterabsatz 2 der Richtlinie (EU) 2022/2555 ist festgelegt, wie die Verhältnismäßigkeit solcher Maßnahmen zu bewerten ist ². Die in Artikel 21 Absatz 1 der Richtlinie (EU) 2022/2555 festgelegte Verpflichtung, wonach wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige Risikomanagementmaßnahmen im Bereich der Cybersicherheit ergreifen müssen, bezieht sich auf alle Tätigkeiten und Dienste der betreffenden Einrichtung und nicht nur auf bestimmte von der Einrichtung bereitgestellte IT-Anlagen oder bestimmte von ihr erbrachte kritische Dienste.

8. Bei der Bewertung der Gleichwertigkeit eines sektorspezifischen Rechtsakts der Union mit den einschlägigen Bestimmungen der Richtlinie (EU) 2022/2555 über das Cyberrisikomanagement sollte der Frage besondere Bedeutung beigemessen werden, ob die in dem Rechtsakt enthaltenen Sicherheitspflichten auch Maßnahmen zur Gewährleistung der Sicherheit von Netz- und Informationssystemen umfassen. Der Begriff der "Sicherheit von Netz- und Informationssystemen" wird in Artikel 6 Nummer 2 der Richtlinie (EU) 2022/2555 definiert als die Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können. Die Verwendung der Begriffe "Verfügbarkeit", "Authentizität", "Integrität" und "Vertraulichkeit" in dieser Begriffsbestimmung bezieht sich auf alle vier Schutzziele im Zusammenhang mit der Sicherheit von Netz- und Informationssystemen. Der Begriff "Netz- und Informationssysteme" im Sinne des Artikels 6 Nummer 1 der Richtlinie (EU) 2022/2555 umfasst elektronische Kommunikationsnetze ³, ein Gerät oder eine Gruppe miteinander verbundener oder zusammenhängender Geräte, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung digitaler Daten durchführen, und digitale Daten, die zum Zwecke ihrer betrieblichen Nutzung, ihres Schutzes oder ihrer Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden. Folglich sollten die in einem sektorspezifischen Rechtsakt der Union vorgeschriebenen Sicherheitsmaßnahmen auch für Hardware, Firmware und Software gelten, die bei den Tätigkeiten einer Einrichtung verwendet werden.

9. Ein weiterer wichtiger Aspekt bei der Beurteilung der Gleichwertigkeit der Anforderungen eines sektorspezifischen Rechtsakts der Union mit den Anforderungen des Artikels 21 Absätze 1 und 2 der Richtlinie (EU) 2022/2555 ist, dass die in dem Rechtsakt vorgeschriebenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit auf einem "gefahrenübergreifenden Ansatz" beruhen müssen. Da Bedrohungen der Sicherheit von Netz- und Informationssystemen unterschiedliche Ursachen haben können, kann jede Art von Ereignis negative Auswirkungen auf die Netz- und Informationssysteme der Einrichtung haben und möglicherweise zu einem Sicherheitsvorfall führen. Deshalb sollten die von der Einrichtung ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit nicht nur ihre Netz- und Informationssysteme, sondern auch die physische Umgebung dieser Systeme vor Ereignissen wie Sabotage, Diebstahl, Brand, Überschwemmung, Telekommunikations- oder Stromausfällen oder unbefugtem physischen Zugang schützen, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der von Netz- und Informationssystemen angebotenen oder über diese zugänglichen Dienste beeinträchtigen können. Folglich sollten sich die in einem sektorspezifischen Rechtsakt der Union vorgeschriebenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit insbesondere auch auf die physische Sicherheit und die Sicherheit des Umfelds von Netz- und Informationssystemen erstrecken, die sich aus Systemfehlern, menschlichen Fehlern, böswilligen Handlungen oder Naturereignissen ergeben ⁴.

10. Nach Artikel 21 Absatz 2 der Richtlinie (EU) 2022/2555 müssen die Risikomanagementmaßnahmen im Bereich der Cybersicherheit auch die in Absatz 2 Buchstaben a bis j dieses Artikels aufgeführten spezifischen Sicherheitsanforderungen einbeziehen. Diese Anforderungen umfassen Maßnahmen wie Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme, die Bewältigung von Sicherheitsvorfällen, die Aufrechterhaltung des Betriebs, das Krisenmanagement, die Sicherheit der Lieferkette, Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung. Durch Artikel 21 Absatz 5 Unterabsatz 2 der Richtlinie (EU) 2022/2555 wird der Kommission die Befugnis übertragen, Durchführungsrechtsakte zur Festlegung der technischen und methodischen Anforderungen sowie erforderlichenfalls sektorspezifischer Anforderungen an die in Artikel 21 Absatz 2 der Richtlinie aufgeführten Sicherheitsmaßnahmen zu erlassen. In Bezug auf DNS-Diensteanbieter, TLD-Namenregister, Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter muss die Kommission bis zum 17. Oktober 2024 Durchführungsrechtsakte zu den technischen und methodischen Anforderungen an die in Artikel 21 Absatz 2 der Richtlinie (EU) 2022/2555 genannten Maßnahmen erlassen. In Durchführungsrechtsakten werden die wichtigsten Bedingungen und Kriterien für die Durchführung entsprechend den Vorgaben im Basisrechtsakt präzisiert, ohne den Regelungsgehalt des Basisrechtsakts zu beeinträchtigen ⁵.

II.2. Meldepflichten

11. Nach Artikel 4 Absatz 2 Buchstabe b der Richtlinie (EU) 2022/2555 werden Meldepflichten für erhebliche Sicherheitsvorfälle als den Verpflichtungen der Richtlinie gleichwertig betrachtet, wenn ein sektorspezifischer Rechtsakt der Union einen unmittelbaren, gegebenenfalls automatischen und direkten Zugang zu den Meldungen von Sicherheitsvorfällen durch die CSIRTs, die zuständigen Behörden oder die zentralen Anlaufstellen vorsieht und wenn die Anforderungen zur Meldung erheblicher Sicherheitsvorfälle in ihrer Wirkung mindestens den in Artikel 23 Absätze 1 bis 6 der Richtlinie (EU) 2022/2555 festgelegten Anforderungen gleichwertig sind.

12. Da die Anforderungen eines sektorspezifischen Rechtsakts der Union in Bezug auf die Meldung erheblicher Sicherheitsvorfälle in ihrer Wirkung den Anforderungen des Artikels 23 Absätze 1 bis 6 der Richtlinie (EU) 2022/2555 mindestens gleichwertig sein müssen, damit dieser Rechtsakt anstelle der Meldepflichten der genannten Richtlinie gelten kann, sind die in Artikel 23 Absätze 1 bis 6 der Richtlinie festgelegten Anforderungen für die Bewertung dieser Gleichwertigkeit von besonderer Bedeutung. In Artikel 23 Absätze 1 bis 6 der Richtlinie (EU) 2022/2555 wird ausführlicher festgelegt, welche Arten von Sicherheitsvorfällen an wen, in welchem Zeitrahmen und mit welchem Informationsinhalt zu melden sind. Dies wird in den folgenden Unterabschnitten näher erläutert:

II.2.1. Meldung erheblicher Sicherheitsvorfälle an CSIRTs, zuständige Behörden und Empfänger

13. Nach Artikel 23 Absatz 1 Unterabsatz 1 Satz 1 der Richtlinie (EU) 2022/2555 müssen wesentliche und wichtige Einrichtungen ihrem CSIRT oder gegebenenfalls ihrer zuständigen Behörde unverzüglich jeden erheblichen Sicherheitsvorfall melden. Nach Artikel 23 Absatz 1 Unterabsatz 1 Satz 2 der Richtlinie (EU) 2022/2555 müssen wesentliche und wichtige Einrichtungen gegebenenfalls den Empfängern ihrer Dienste unverzüglich erhebliche Sicherheitsvorfälle mitteilen, die die Erbringung dieser Dienste beeinträchtigen können.

14. Während in Artikel 6 Nummer 6 der Richtlinie (EU) 2022/2555 der Begriff "Sicherheitsvorfall" sehr weit gefasst wird als jedes Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder Dienste, die über diese Netz- und Informationssysteme angebotenen werden bzw. zugänglich sind, beeinträchtigt, wird in Artikel 23 Absatz 1 nur für erhebliche Sicherheitsvorfälle eine Meldepflicht vorgeschrieben. Ein Sicherheitsvorfall gilt als erheblich, wenn er schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann (Artikel 23 Absatz 3 Buchstabe a) oder wenn er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann (Artikel 23 Absatz 3 Buchstabe b).

15. In Erwägungsgrund 101 der Richtlinie (EU) 2022/2555 wird klargestellt, dass die Meldung von Sicherheitsvorfällen auf einer von der betreffenden Einrichtung vorgenommenen Anfangsbewertung beruhen sollte. Bei einer solchen Anfangsbewertung sollten unter anderem die betroffenen Netz- und Informationssysteme und insbesondere deren Bedeutung für die Erbringung der Dienste der Einrichtung, die Schwere und die technischen Merkmale der Cyberbedrohung und alle zugrunde liegenden Schwachstellen, die ausgenutzt werden, sowie die Erfahrungen der Einrichtung mit ähnlichen Vorfällen berücksichtigt werden. Indikatoren wie das Ausmaß, in dem das Funktionieren des Dienstes beeinträchtigt wird, die Dauer eines Sicherheitsvorfalls oder die Zahl der betroffenen Nutzer von Diensten könnten eine wichtige Rolle bei der Feststellung spielen, ob die Betriebsstörung des Dienstes schwerwiegend ist.

16. Durch Artikel 23 Absatz 11 Unterabsatz 2 der Richtlinie (EU) 2022/2555 wird der Kommission die Befugnis übertragen, Durchführungsrechtsakte zu erlassen, in denen näher bestimmt wird, in welchen Fällen ein Sicherheitsvorfall als erheblich anzusehen ist. In Bezug auf DNS-Diensteanbieter, TLD-Namenregister, Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke muss die Kommission solche Durchführungsrechtsakte bis zum 17. Oktober 2024 erlassen. In Durchführungsrechtsakten werden die wichtigsten Bedingungen und Kriterien für die Durchführung entsprechend den Vorgaben im Basisrechtsakt präzisiert, ohne den Regelungsgehalt des Basisrechtsakts zu beeinträchtigen ⁶.

II.2.2. Mehrstufiger Ansatz und Zeitrahmen für die Meldung erheblicher Sicherheitsvorfälle

17. In der Richtlinie (EU) 2022/2555 ist ein mehrstufiger Ansatz für die Meldung erheblicher Sicherheitsvorfälle festgelegt worden, der eine Frühwarnung, eine Meldung von Sicherheitsvorfällen und einen Abschlussbericht umfasst. Diese drei Elemente können möglicherweise durch Zwischenberichte und einen Fortschrittsbericht ergänzt werden.

18. Der mehrstufige Ansatz dient der Herstellung der richtigen Balance zwischen einer zeitnahen Meldung einerseits, die einer potenziellen Ausbreitung erheblicher Sicherheitsvorfälle entgegenwirkt und den wesentlichen und wichtigen Einrichtungen die Möglichkeit gibt, Unterstützung zu erhalten, und einer detaillierten Meldung andererseits, bei der aus individuellen Sicherheitsvorfällen wichtige Lehren gezogen werden und einzelne Einrichtungen und ganze Sektoren ihre Cyberresilienz im Laufe der Zeit verbessern können ⁷.

19. Nach dem mehrstufigen Ansatz müssen wesentliche und wichtige Einrichtungen zunächst unverzüglich, in jedem Fall aber innerhalb von 24 Stunden, nachdem sie von dem erheblichen Sicherheitsvorfall Kenntnis erlangt haben, dem zuständigen CSIRT oder der zuständigen Behörde eine Frühwarnung übermitteln. Anschließend müssen diese Einrichtungen unverzüglich, in jedem Fall aber innerhalb von 72 Stunden, nachdem sie Kenntnis von dem erheblichen Sicherheitsvorfall erlangt haben, eine Meldung über den Sicherheitsvorfall übermitteln. Danach kann von einem zuständigen CSIRT oder einer zuständigen Behörde ein Zwischenbericht angefordert werden. Schließlich muss dem zuständigen CSIRT oder der zuständigen Behörde spätestens einen Monat nach der Meldung des Sicherheitsvorfalls ein Abschlussbericht vorgelegt werden, es sei denn, der Sicherheitsvorfall dauert zu diesem Zeitpunkt noch an; in diesem Fall ist zunächst ein Fortschrittsbericht und dann innerhalb eines Monats nach der Bewältigung des Sicherheitsvorfalls ein Abschlussbericht vorzulegen.

20. Für die Meldung von Sicherheitsvorfällen gemäß Artikel 23 Absatz 4 Unterabsatz 2 der Richtlinie (EU) 2022/2555 in Bezug auf Vertrauensdiensteanbieter gilt ein anderer Zeitrahmen. Diese Anbieter müssen erhebliche Sicherheitsvorfälle, die bei der Erbringung ihrer Vertrauensdienste auftreten, unverzüglich, in jedem Fall aber innerhalb von 24 Stunden, nachdem sie Kenntnis von dem erheblichen Sicherheitsvorfall erlangt haben, melden.

II.2.3. Inhalt der verpflichtenden Meldung erheblicher Sicherheitsvorfälle an CSIRTs oder zuständige Behörden

21. Nach Artikel 23 Absatz 1 Unterabsatz 1 Satz 3 der Richtlinie (EU) 2022/2555 müssen die Mitgliedstaaten in der Regel sicherstellen, dass wesentliche und wichtige Einrichtungen unter anderem alle Informationen übermitteln, die es dem zuständigen CSIRT oder gegebenenfalls der zuständigen Behörde ermöglichen zu ermitteln, ob ein Sicherheitsvorfall grenzüberschreitende Auswirkungen hat. Diese Anforderung in Bezug auf den Inhalt der verpflichtenden Meldung wird in Artikel 23 Absatz 4 der Richtlinie (EU) 2022/2555 näher ausgeführt, in dem der mehrstufige Ansatz festgelegt wird.

22. Nach Artikel 23 Absatz 4 Buchstabe a muss in der Frühwarnung gegebenenfalls angegeben werden, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall durch rechtswidrige oder böswillige Handlungen verursacht wurde, und ob er möglicherweise grenzüberschreitende Auswirkungen hat (d. h. ob dies wahrscheinlich ist). Nach Erwägungsgrund 102 der Richtlinie (EU) 2022/2555 sollte die Frühwarnung nur die Informationen enthalten, die erforderlich sind, um das zuständige CSIRT oder die zuständige Behörde über den erheblichen Sicherheitsvorfall zu unterrichten und es der betreffenden Einrichtung zu ermöglichen, bei Bedarf Hilfe in Anspruch zu nehmen.

23. Die Meldung des Vorfalls muss gegebenenfalls Aktualisierungen der im Rahmen der Frühwarnung übermittelten Informationen enthalten. Darüber hinaus muss sie eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren enthalten.

24. Falls ein Zwischenbericht verlangt wird, muss dieser auch relevante Statusaktualisierungen enthalten. Der Abschlussbericht muss eine ausführliche Beschreibung des Sicherheitsvorfalls enthalten, einschließlich seines Schweregrads und seiner Auswirkungen, der Art der Bedrohung bzw. der zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat, der getroffenen und laufenden Abhilfemaßnahmen und gegebenenfalls der grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls.

II.2.4. Unmittelbarer Zugang zu Meldungen von Sicherheitsvorfällen

25. Nach Artikel 4 Absatz 2 Buchstabe b der Richtlinie (EU) 2022/2555 muss ein sektorspezifischer Rechtsakt der Union, um bezüglich der Meldepflichten anstelle der Richtlinie anwendbar zu sein, den CSIRTs, den zuständigen Behörden oder den in der Richtlinie (EU) 2022/2555 genannten zentralen Anlaufstellen einen unmittelbaren Zugang zu den gemäß dem sektorspezifischen Rechtsakt der Union übermittelten Meldungen von Sicherheitsvorfällen ermöglichen. Nach Erwägungsgrund 24 der Richtlinie (EU) 2022/2555 kann ein solcher sofortiger Zugang insbesondere dadurch gewährt werden, dass Meldungen von Sicherheitsvorfällen unverzüglich an das CSIRT, die zuständige Behörde oder die zentrale Anlaufstelle weitergeleitet werden.

26. Der unmittelbare Zugang kann gegebenenfalls über automatische und direkte Mittel gewährt werden, die von den Mitgliedstaaten eingerichtet werden sollten. Solche automatischen und direkten Meldemechanismen stellen einen systematischen und sofortigen Informationsaustausch mit den CSIRTs, den zuständigen Behörden oder den zentralen Anlaufstellen zur Bearbeitung solcher Meldungen von Sicherheitsvorfällen sicher. Die Mitgliedstaaten können auch eine zentrale Anlaufstelle nutzen, die dem sektorspezifischen Rechtsakt der Union entspricht, um die Berichterstattung zu vereinfachen und den automatischen und direkten Meldemechanismus umzusetzen.

27. Bei der Beurteilung der Frage, ob die Anforderungen eines sektorspezifischen Rechtsakts der Union über die Meldung erheblicher Sicherheitsvorfälle den Anforderungen des Artikels 23 Absätze 1 bis 6 der Richtlinie (EU) 2022/2555 mindestens gleichwertig sind, sollten die Anforderungen des sektorspezifischen Rechtsakts der Union zumindest den Anforderungen des Artikels 23 Absätze 1 bis 6 entsprechen oder in ihrer Ausführlichkeit darüber hinausgehen. Die Anforderungen sollten sich auf die Art von Sicherheitsvorfällen beziehen, die gemäß der Richtlinie (EU) 2022/2555 zu melden sind, wobei insbesondere die Empfänger, der Inhalt und die geltenden Fristen zu berücksichtigen sind.

III. Folgen der Gleichwertigkeit

III.1. Aufsicht und Durchsetzung

28. Wenn die Bestimmungen sektorspezifischer Rechtsakte der Union den in der Richtlinie (EU) 2022/2555 festgelegten Verpflichtungen in ihrer Wirkung zumindest gleichwertig sind, finden nicht nur die betreffenden Bestimmungen der Richtlinie über zu ergreifende Maßnahmen zum Cybersicherheitsrisikomanagement oder über die Meldung erheblicher Sicherheitsvorfälle keine Anwendung, sondern auch die in Kapitel VII der Richtlinie (EU) 2022/2555 festgelegten Bestimmungen über Aufsicht und Durchsetzung.

29. In Erwägungsgrund 25 der Richtlinie (EU) 2022/2555 wird erläutert, dass sektorspezifische Rechtsakte der Union, die in ihrer Wirkung zumindest gleichwertig sind, vorsehen könnten, dass die nach diesen Rechtsakten zuständigen Behörden ihre Aufsichts- und Durchsetzungsbefugnisse in Bezug auf das Cybersicherheitsrisikomanagement oder die Meldepflichten mit Unterstützung der gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörden ausüben sollen. Die betreffenden zuständigen Behörden könnten zu diesem Zweck Kooperationsvereinbarungen schließen, in denen auch Verfahren für die Koordinierung der Aufsichtstätigkeiten, Verfahren für Untersuchungen und Prüfungen vor Ort nach nationalem Recht sowie ein Mechanismus für den Austausch einschlägiger Informationen über Aufsicht und Durchsetzung zwischen den zuständigen Behörden festgelegt werden. Ein solcher Mechanismus für den Austausch einschlägiger Informationen könnte auch den Zugang zu Cyberinformationen, der von den zuständigen Behörden gemäß der Richtlinie (EU) 2022/2555 beantragt wird, beinhalten.

III.2. Nationale Cybersicherheitsstrategie

30. Jeder Mitgliedstaat muss gemäß Artikel 7 Absatz 1 der Richtlinie (EU) 2022/2555 eine nationale Cybersicherheitsstrategie aufstellen. Eine nationale Cybersicherheitsstrategie ist ein kohärenter Rahmen eines Mitgliedstaats, in dem strategische Ziele und Prioritäten im Bereich der Cybersicherheit und die zu ihrer Verwirklichung erforderliche Governance in diesem Mitgliedstaat festgelegt werden (siehe Artikel 6 Nummer 4 der Richtlinie (EU) 2022/2555). Die Cybersicherheitsstrategie muss unter anderem Ziele und Prioritäten enthalten, die insbesondere die in den Anhängen I und II der Richtlinie (EU) 2022/2555 genannten Sektoren abdecken. Darüber hinaus muss diese Strategie einen Steuerungsrahmen zur Verwirklichung dieser Ziele und Prioritäten sowie die in Artikel 7 Absatz 2 der Richtlinie (EU) 2022/2555 genannten Konzepte umfassen.

31. Außerdem sieht Artikel 7 Absatz 1 Buchstabe c der Richtlinie (EU) 2022/2555 vor, dass die nationale Cybersicherheitsstrategie einen Steuerungsrahmen umfassen muss, in dem die Aufgaben und Zuständigkeiten der jeweiligen Interessenträger auf nationaler Ebene klargestellt, die Zusammenarbeit und Koordinierung auf nationaler Ebene zwischen den nach der Richtlinie (EU) 2022/2555 zuständigen Behörden, zentralen Anlaufstellen und CSIRTs sowie die Koordinierung und Zusammenarbeit zwischen diesen Stellen und nach sektorspezifischen Rechtsakten der Union zuständigen Behörden untermauert werden.

32. Die Anforderung in Artikel 7 der Richtlinie (EU) 2022/2555, eine Cybersicherheitsstrategie aufzustellen, betrifft daher weder die Cybersicherheitsanforderungen, die wesentlichen und wichtigen Einrichtungen gemäß den Artikeln 21 und 23 der Richtlinie auferlegt werden, noch die Bestimmungen im Hinblick auf ihre Aufsicht und Durchsetzung gemäß Kapitel VII, wie in Artikel 4 Absätze 1 und 2 der Richtlinie vorgesehen. Die einschlägige Bestimmung des Artikels 7 sollte auf Sektoren, Teilsektoren und Arten von Einrichtungen Anwendung finden, für die sektorspezifische Rechtsakte der Union im Sinne des Artikels 4 der Richtlinie (EU) 2022/2555 bestehen.

III.3. Benennung von CSIRTs

33. Nach Artikel 10 Absatz 1 der Richtlinie (EU) 2022/2555 müssen die Mitgliedstaaten ein oder mehrere CSIRTs benennen oder einrichten, die mindestens die in den Anhängen I und II der Richtlinie genannten Sektoren, Teilsektoren und Arten von Einrichtungen abdecken, d. h. auch die Sektoren, Teilsektoren und Arten von Einrichtungen, für die sektorspezifische Rechtsakte der Union bestehen. Die CSIRTs werden diesbezüglich in der Regel auch ihre Aufgaben gemäß Artikel 11 Absatz 3 der Richtlinie (EU) 2022/2555 wahrnehmen, es sei denn, in den sektorspezifischen Rechtsakten der Union sind besondere Aufgaben festgelegt.

III.4. Nationale Rahmen für das Cyberkrisenmanagement und EU-CyCLONe

34. Nach Artikel 9 Absatz 1 der Richtlinie (EU) 2022/2555 müssen die Mitgliedstaaten eine oder mehrere Behörden für das Cyberkrisenmanagement benennen oder einrichten, die für das Management von Cybersicherheitsvorfällen großen Ausmaßes und Krisen zuständig sind. Nach Artikel 6 Nummer 7 der Richtlinie ist ein Cybersicherheitsvorfall großen Ausmaßes ein Sicherheitsvorfall, der eine Störung verursacht, deren Ausmaß die Reaktionsfähigkeit eines Mitgliedstaats übersteigt, oder der beträchtliche Auswirkungen auf mindestens zwei Mitgliedstaaten hat. Nach Artikel 9 Absatz 4 der Richtlinie (EU) 2022/2555 muss jeder Mitgliedstaat zudem einen nationalen Plan für die Reaktion auf Cybersicherheitsvorfälle großen Ausmaßes und Krisen aufstellen, in dem die Ziele und Modalitäten für das Management von Cybersicherheitsvorfällen großen Ausmaßes und Krisen festgelegt werden. In diesem Plan sollten unter anderem die Verfahren für das Cyberkrisenmanagement, einschließlich deren Integration in den nationalen Rahmen für das allgemeine Krisenmanagement und die Kanäle für den Informationsaustausch, sowie die einschlägigen öffentlichen und privaten Interessenträger und die betroffenen Infrastrukturen festgelegt werden. In diese Verfahren für das Cyberkrisenmanagement sowie die einschlägigen öffentlichen und privaten Interessenträger und Infrastrukturen könnten auch sektorspezifische Verfahren und Interessenträger einbezogen werden.

35. Durch Artikel 16 der Richtlinie (EU) 2022/2555 wird zur Unterstützung des koordinierten Managements von Cybersicherheitsvorfällen großen Ausmaßes und Krisen auf operativer Ebene und zur Gewährleistung eines regelmäßigen Austauschs relevanter Informationen zwischen den Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen der Union das Europäische Netzwerk der Verbindungsorganisationen für Cyberkrisen (European Cyber Crises Liaison Organisation Network, EU-CyCLONe) eingerichtet.

36. Da Artikel 9 über Rahmen für das Cyberkrisenmanagement und Artikel 16 über EU-CyCLONe weder die Cybersicherheitsanforderungen betreffen, die Einrichtungen gemäß den Artikeln 21 und 23 der Richtlinie (EU) 2022/2555 auferlegt werden, noch die Aufsicht und Durchsetzung gemäß Kapitel VII, wie in Artikel 4 Absätze 1 und 2 der Richtlinie vorgesehen, sollten die Artikel 9 und 16 in ihrer Gesamtheit für Sektoren gelten, auch wenn sektorspezifische Rechtsakte der Union im Sinne des Artikels 4 bestehen. Folglich müssen die Mitgliedstaaten eine oder mehrere Behörden für das Cyberkrisenmanagement benennen oder einrichten, die für das Management von Cybersicherheitsvorfällen großen Ausmaßes und Krisen in den Sektoren zuständig sind, die unter sektorspezifische Rechtsakte der Union fallen. Darüber hinaus sollten Sektoren, die unter sektorspezifische Rechtsakte der Union fallen, bei der Aufstellung des nationalen Plans für die Reaktion auf Cybersicherheitsvorfälle großen Ausmaßes und Krisen nicht außer Acht gelassen werden. Schließlich sollte EU-CyCLONe seine in Artikel 16 der Richtlinie (EU) 2022/2555 festgelegten Aufgaben auch in Bezug auf Sektoren wahrnehmen, in denen für Einrichtungen sektorspezifische Rechtsakte der Union gelten.

III.5. Ausschluss von der Anwendung des Artikels 3 Absätze 3 und 4, des Artikels 20 und des Artikels 27 Absätze 2 und 3

37. Nach Artikel 3 Absatz 3 der Richtlinie (EU) 2022/2555 müssen die Mitgliedstaaten eine Liste von wesentlichen und wichtigen Einrichtungen und von Einrichtungen, die Domänennamen-Registrierungsdienste erbringen und in den Anwendungsbereich der Richtlinie fallen, erstellen. Nach Artikel 27 Absatz 2 müssen die Mitgliedstaaten von den in Artikel 27 Absatz 1 der Richtlinie genannten Einrichtungen verlangen, dass sie den zuständigen Behörden bestimmte Angaben übermitteln. Da der Zweck dieser Bestimmungen darin besteht, einen klaren Überblick über die von der Richtlinie (EU) 2022/2555 erfassten Einrichtungen zu erlangen, um die Beaufsichtigung wesentlicher und wichtiger Einrichtungen, die in ihren Anwendungsbereich fallen, zu unterstützen, sollten diese Bestimmungen folglich nicht für Einrichtungen gelten, für die in Bezug auf das Risikomanagement und Meldepflichten im Bereich der Cybersicherheit ein sektorspezifischer Rechtsakt der Union gilt. Dies hindert die Mitgliedstaaten jedoch nicht daran, solche Einrichtungen in die Liste aufzunehmen.

Nach Artikel 20 Absatz 1 der Richtlinie (EU) 2022/2555 müssen die Leitungsorgane wesentlicher und wichtiger Einrichtungen die von diesen Einrichtungen zur Einhaltung des Artikels 21 ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen, ihre Umsetzung überwachen und für Verstöße gegen diesen Artikel durch die betreffenden Einrichtungen verantwortlich gemacht werden können. Nach Artikel 20 Absatz 2 der Richtlinie müssen die Mitgliedstaaten dafür sorgen, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen an Schulungen teilnehmen müssen, und wesentliche und wichtige Einrichtungen dazu anhalten, allen Mitarbeitern regelmäßig entsprechende Schulungen anzubieten, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben. Da die Verpflichtungen aus Artikel 20 der Richtlinie (EU) 2022/2555 untrennbar mit den Anforderungen des Artikels 21 der Richtlinie verbunden sind, sollte der Artikel 20 nicht für sektorspezifische Rechtsakte der Union im Sinne des Artikels 4 der Richtlinie gelten, die auf Anforderungen an das Cybersicherheitsrisikomanagement Anwendung finden.

.

Verordnung (EU) 2022/2554 (Verordnung über die digitale operationale Resilienz) ¹

1. Artikel 1 Absatz 2 der Verordnung (EU) 2022/2554 (Verordnung über die digitale operationale Resilienz, DORA) sieht vor, dass in Bezug auf Finanzunternehmen, die unter die Richtlinie (EU) 2022/2555 und die entsprechenden nationalen Umsetzungsvorschriften fallen, für die Zwecke des Artikels 4 der Richtlinie (EU) 2022/2555 die Verordnung (EU) 2022/2554 als sektorspezifischer Rechtsakt der Union gilt. Diese Aussage spiegelt sich in Erwägungsgrund 28 der Richtlinie (EU) 2022/2555 wider, wonach die Verordnung über die digitale operationale Resilienz im Zusammenhang mit der Richtlinie (EU) 2022/2555 als sektorspezifischer Rechtsakt der Union in Bezug auf Finanzunternehmen betrachtet werden sollte. Folglich sollten die Bestimmungen der Verordnung (EU) 2022/2554, die sich auf das Risikomanagement im Bereich der Informations- und Kommunikationstechnologien (IKT) (Artikel 6 und folgende), das Management von IKT-bezogenen Vorfällen und insbesondere die Meldung von schwerwiegenden IKT-bezogenen Vorfällen (Artikel 17 und folgende) sowie die Prüfung der digitalen Betriebsstabilität (Artikel 24 und folgende), Vereinbarungen über den Informationsaustausch (Artikel 25) und Risiken durch IKT-Drittanbieter (Artikel 28 und folgende) beziehen, anstelle der Bestimmungen der Richtlinie (EU) 2022/2555 gelten. Die Mitgliedstaaten sollten daher die Bestimmungen der Richtlinie (EU) 2022/2555, die sich auf das Cybersicherheitsrisikomanagement und Meldepflichten sowie auf die Aufsicht und Durchsetzung beziehen, nicht auf Finanzunternehmen anwenden, die unter die Verordnung (EU) 2022/2554 fallen.

2. In dieser Hinsicht gelten Finanzunternehmen als Einrichtungen im Sinne des Artikels 2 Absatz 1 Buchstaben a bis t der Verordnung (EU) 2022/2554. Zu den Arten von Einrichtungen, die als Finanzunternehmen in den Anwendungsbereich der Verordnung (EU) 2022/2554 und gleichzeitig als wesentliche oder wichtige Einrichtungen in den Anwendungsbereich der Richtlinie (EU) 2022/2555 fallen, gehören Kreditinstitute, Handelsplätze und zentrale Gegenparteien. Da es wichtig ist, im Rahmen der Richtlinie (EU) 2022/2555 eine enge Beziehung zum Finanzsektor und den Informationsaustausch mit dem Finanzsektor aufrechtzuerhalten, können die Europäischen Aufsichtsbehörden und die nach der Verordnung (EU) 2022/2554 zuständigen Behörden die Beteilung an den Tätigkeiten der Kooperationsgruppe ² beantragen und mit den zentralen Anlaufstellen sowie den CSIRTs und den nach der Richtlinie (EU) 2022/2555 zuständigen Behörden Informationen austauschen und zusammenarbeiten ³. Die nach der Verordnung (EU) 2022/2554 zuständigen Behörden sollten zudem Einzelheiten über schwerwiegende IKT-bezogene Vorfälle und gegebenenfalls über erhebliche Cyberbedrohungen auch im Rahmen der Richtlinie (EU) 2022/2555 an die CSIRTs, die zuständigen Behörden oder zentralen Anlaufstellen übermitteln. Dies kann durch den unmittelbaren Zugang zu Meldungen von Vorfällen und durch deren Weiterleitung - entweder direkt oder über eine zentrale Anlaufstelle - erfolgen. CSIRTs sollten in der Lage sein, den Finanzsektor bei ihren Tätigkeiten einzubeziehen ⁴. Die Mitgliedstaaten sollten den Finanzsektor weiterhin in ihre Cybersicherheitsstrategien einbeziehen. Die Bestimmungen über die nationalen Rahmen für das Cyberkrisenmanagement (Artikel 9 der Richtlinie (EU) 2022/2555) sowie über EU-CyCLONe (Artikel 16 der Richtlinie (EU) 2022/2555) sollten weiterhin für Einrichtungen gelten, die in den Anwendungsbereich der Verordnung (EU) 2022/2554 fallen.

ENDE