Artikel 13 Resilienzmaßnahmen kritischer Einrichtungen

(1) Die Mitgliedstaaten stellen sicher, dass die kritischen Einrichtungen auf der Grundlage der von den Mitgliedstaaten bereitgestellten entsprechenden Informationen über die Risikobewertung durch Mitgliedstaaten sowie den Ergebnissen der Risikobewertung durch kritische Einrichtungen geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz ergreifen, unter anderem Maßnahmen, die erforderlich sind, um

a) das Auftreten von Sicherheitsvorfällen zu verhindern, unter gebührender Berücksichtigung von Katastrophenvorsorge und Maßnahmen zur Anpassung an den Klimawandel;
b) einen angemessenen physischen Schutz ihrer Räumlichkeiten und kritischen Infrastrukturen zu gewährleisten, unter gebührender Berücksichtigung zum Beispiel von dem Aufstellen von Zäunen und Sperren, Instrumenten und Verfahren für die Überwachung der Umgebung, Detektionsgeräten und Zugangskontrollen;
c) auf Sicherheitsvorfälle zu reagieren, sie abzuwehren und die Folgen solcher Vorfälle zu begrenzen, unter gebührender Berücksichtigung der Umsetzung von Risiko- und Krisenmanagementverfahren und -protokollen und vorgegebener Abläufe im Alarmfall;
d) nach Sicherheitsvorfällen die Wiederherstellung zu gewährleisten, unter gebührender Berücksichtigung von Maßnahmen zur Aufrechterhaltung des Betriebs und der Ermittlung alternativer Lieferketten, um die Erbringung des wesentlichen Dienstes wiederaufzunehmen;
e) ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeiter zu gewährleisten, unter gebührender Berücksichtigung von Maßnahmen wie der Festlegung von Kategorien von Personal, das kritische Funktionen wahrnimmt, der Festlegung von Zugangsrechten zu Räumlichkeiten, kritischen Infrastrukturen und zu sensiblen Informationen und der Einführung von Verfahren für Zuverlässigkeitsüberprüfungen im Einklang mit Artikel 14 und der Benennung von Kategorien von Personal, die solche Zuverlässigkeitsüberprüfungen durchlaufen müssen, und der Festlegung angemessener Schulungsanforderungen und Qualifikationen.
f) das entsprechende Personal für die unter den Buchstaben a bis e genannten Maßnahmen unter gebührender Berücksichtigung von Schulungen, Informationsmaterial und Übungen zu sensibilisieren. Für die Zwecke von Unterabsatz 1 Buchstabe e stellen die Mitgliedstaaten sicher, dass kritische Einrichtungen das Personal externer Dienstleister bei der Festlegung der Kategorien von Personal, das kritische Funktionen wahrnimmt, berücksichtigt;

(2) Die Mitgliedstaaten stellen sicher, dass kritische Einrichtungen über einen Resilienzplan oder ein gleichwertiges Dokument oder Dokumente, in denen die Maßnahmen gemäß Absatz 1 beschrieben werden, verfügen und diese anwenden. Haben kritische Einrichtungen Dokumente erstellt oder Maßnahmen aufgrund von Verpflichtungen aus anderen Rechtsakten, die für die in Absatz 1 genannten Maßnahmen relevant sind, ergriffen, so können sie diese Dokumente und Maßnahmen verwenden, um die in diesem Artikel festgelegten Anforderungen zu erfüllen. Bei der Wahrnehmung ihrer Aufsichtsaufgaben kann die zuständige Behörde bestehende Maßnahmen zur Verbesserung der Resilienz einer kritischen Einrichtung, die die in Absatz 1 genannten technischen, sicherheitsbezogenen und organisatorischen Maßnahmen betreffen, als vollständig oder teilweise den Verpflichtungen nach diesem Artikel entsprechend erklären.

(3) Die Mitgliedstaaten stellen sicher, dass jede kritische Einrichtung einen Verbindungsbeauftragten oder eine Person mit vergleichbarer Aufgabenstellung als Ansprechpartner für die zuständigen Behörden benennt.

(4) Auf Ersuchen des Mitgliedstaats, der die kritische Einrichtung ermittelt hat, und mit Zustimmung der betreffenden kritischen Einrichtung organisiert die Kommission im Einklang mit den Regelungen gemäß Artikel 18 Absätze 6, 8 und 9 Beratungsmissionen, um die betreffende kritische Einrichtung im Hinblick auf die Erfüllung ihrer Verpflichtungen nach Kapitel III zu beraten. Die Beratungsmission erstattet der Kommission, dem betreffenden Mitgliedstaat und der betreffenden kritischen Einrichtung Bericht über ihre Ergebnisse.

(5) Die Kommission erlässt nach Konsultation der Gruppe für die Resilienz kritischer Einrichtungen gemäß Artikel 19 unverbindliche Leitlinien, in denen die technischen, sicherheitsbezogenen und organisatorischen Maßnahmen, die gemäß Absatz 1 des vorliegenden Artikels ergriffen werden können, näher spezifiziert werden.

(6) Die Kommission erlässt Durchführungsrechtsakte, um die erforderlichen technischen und methodischen Spezifikationen für die Anwendung der in Absatz 1 des vorliegenden Artikels genannten Maßnahmen festzulegen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 24 Absatz 2 genannten Prüfverfahren erlassen

Stand: 27.12.2022

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!