Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2023, Betriebssicherheit - EU Bund

I. Einleitung

1. Nach Artikel 4 Absatz 3 der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) ¹ muss die Kommission bis zum 17. Juli 2023 Leitlinien zur Klarstellung der Anwendung des Artikels 4 Absätze 1 und 2 der Richtlinie bereitstellen.

2. Mit den vorliegenden Leitlinien wird die Anwendung dieser Bestimmungen präzisiert, die das Verhältnis zwischen der Richtlinie (EU) 2022/2555 und aktuellen und künftigen sektorspezifischen Rechtsakten der Union über Risikomanagementmaßnahmen oder Meldepflichten für Sicherheitsvorfälle im Bereich der Cybersicherheit betreffen. In der Anlage zu diesen Leitlinien werden die sektorspezifischen Rechtsakte der Union aufgeführt, die nach Auffassung der Kommission in den Anwendungsbereich des Artikels 4 der Richtlinie (EU) 2022/2555 fallen. Der Umstand, dass ein Rechtsakt nicht in dieser Anlage aufgeführt ist, bedeutet nicht zwangsläufig, dass er nicht in den Anwendungsbereich dieser Bestimmung fällt.

3. In Anwendung des Artikels 4 Absatz 3 Satz 3 der Richtlinie (EU) 2022/2555 hat die Kommission die Bemerkungen der NIS-Kooperationsgruppe und der Agentur der Europäischen Union für Cybersicherheit (ENISA) vor der Annahme der vorliegenden Leitlinien berücksichtigt.

4. Die vorliegenden Leitlinien lassen die Auslegung des Unionsrechts durch den Gerichtshof der Europäischen Union unberührt.

II. Gleichwertigkeit der Cybersicherheitsanforderungen aus sektorspezifischen Rechtsakten der Union

5. Wenn wesentliche oder wichtige Einrichtungen gemäß sektorspezifischen Rechtsakten der Union entweder Maßnahmen zum Cybersicherheitsrisikomanagement ergreifen oder erhebliche Sicherheitsvorfälle melden müssen und wenn die entsprechenden Anforderungen in ihrer Wirkung den in der Richtlinie (EU) 2022/2555 festgelegten Verpflichtungen zumindest gleichwertig sind, finden laut Artikel 4 Absatz 1 der Richtlinie (EU) 2022/2555 die einschlägigen Bestimmungen dieser Richtlinie, einschließlich der Bestimmungen über Aufsicht und Durchsetzung in Kapitel VII derselben Richtlinie, keine Anwendung auf solche Einrichtungen. Weiter besagt diese Bestimmung, dass, wenn die sektorspezifischen Rechtsakte der Union nicht für alle in den Anwendungsbereich der Richtlinie (EU) 2022/2555 fallenden Einrichtungen eines bestimmten Sektors gelten, die einschlägigen Bestimmungen dieser Richtlinie weiterhin auf Einrichtungen angewandt werden, die nicht unter diese sektorspezifischen Rechtsakte der Union fallen.

II.1. Anforderungen an das Risikomanagement im Bereich der Cybersicherheit

6. Nach Artikel 4 Absatz 2 Buchstabe a der Richtlinie (EU) 2022/2555 gelten Maßnahmen zum Cybersicherheitsrisikomanagement, die von wesentlichen oder wichtigen Einrichtungen im Rahmen sektorspezifischer Rechtsakte der Union ergriffen werden müssen, als in ihrer Wirkung den in der Richtlinie (EU) 2022/2555 festgelegten Verpflichtungen gleichwertig, wenn diese Maßnahmen in ihrer Wirkung den in Artikel 21 Absätze 1 und 2 der Richtlinie festgelegten Maßnahmen mindestens gleichwertig sind. Bei der Beurteilung der Frage, ob die Anforderungen eines sektorspezifischen Rechtsakts der Union über Maßnahmen zum Cybersicherheitsrisikomanagement den Anforderungen des Artikels 21 Absätze 1 und 2 der Richtlinie (EU) 2022/2555 mindestens gleichwertig sind, sollten die Anforderungen des sektorspezifischen Rechtsakts der Union zumindest den Anforderungen dieser Bestimmungen entsprechen oder darüber hinausgehen, was bedeutet, dass die sektorspezifischen Bestimmungen inhaltlich detaillierter sein können als die entsprechenden Bestimmungen der Richtlinie (EU) 2022/2555.

7. Nach Artikel 21 Absatz 1 Unterabsatz 1 der Richtlinie (EU) 2022/2555 müssen die Mitgliedstaaten sicherstellen, dass wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen. Diese Maßnahmen sollten risikobasiert und geeignet sein, Sicherheitsvorfälle zu verhindern bzw. deren Auswirkungen so gering wie möglich zu halten. In Artikel 21 Absatz 1 Unterabsatz 2 der Richtlinie (EU) 2022/2555 ist festgelegt, wie die Verhältnismäßigkeit solcher Maßnahmen zu bewerten ist ². Die in Artikel 21