Artikel 12 Risikobewertungen durch kritische Einrichtungen

(1) Ungeachtet der in Artikel 6 Absatz 3 Unterabsatz 2 festgelegten Frist, stellen die Mitgliedstaaten sicher, dass kritische Einrichtungen innerhalb von neun Monaten nach Erhalt der in Artikel 6 Absatz 3 genannten Mitteilung und anschließend im Bedarfsfall, mindestens jedoch alle vier Jahre, eine Risikobewertung auf der Grundlage der Risikobewertungen durch Mitgliedstaaten und anderer entsprechender Informationsquellen durchführen, um alle entsprechenden Risiken zu bewerten, die die Erbringung ihrer wesentlichen Dienste (im Folgenden „Risikobewertung durch kritische Einrichtungen“) stören könnten.

(2) Die Risikobewertung durch kritische Einrichtungen trägt allen entsprechenden natürlichen und vom Menschen verursachten Risiken Rechnung, die zu einem Sicherheitsvorfall führen könnten, einschließlich grenzüberschreitender oder sektorübergreifender Risiken, Unfällen, Naturkatastrophen, gesundheitlicher Notlagen und hybriden Bedrohungen und anderen feindlichen Bedrohungen, einschließlich terroristischer Straftaten gemäß der Richtlinie (EU) 2017/541. Eine Risikobewertung durch kritische Einrichtungen trägt dem Ausmaß der Abhängigkeit anderer im Anhang festgelegten Sektoren von dem wesentlichen Dienst, der von der kritischen Einrichtung — gegebenenfalls auch in benachbarten Mitgliedstaaten und Drittländern — erbracht wird, und dem Ausmaß der Abhängigkeit der kritischen Einrichtung von den wesentlichen Diensten, der von anderen Einrichtungen in anderen Sektoren — gegebenenfalls auch in benachbarten Mitgliedstaaten und Drittländern — erbracht wird, Rechnung.

Hat eine kritische Einrichtung aufgrund von Verpflichtungen aus anderen Rechtsakten, die für ihre Risikobewertung durch kritische Einrichtungen relevant sind, andere Risikobewertungen vorgenommen oder Dokumente erstellt, so kann sie diese Bewertungen und Dokumente verwenden, um die in diesem Artikel festgelegten Anforderungen zu erfüllen. Bei der Wahrnehmung ihrer Aufsichtsaufgaben kann die zuständige Behörde eine bestehende Risikobewertung, die von einer kritischen Einrichtung durchgeführt wurde, die sich mit den in Unterabsatz 1 genannten Risiken und dem Ausmaß der Abhängigkeit befasst, als vollständig oder teilweise den Verpflichtungen nach diesem Artikel entsprechend erklären.

Stand: 27.12.2022

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!