Artikel 4 Strategien für die Resilienz kritischer Einrichtungen
(1) Nach einer Konsultation, die — soweit praktisch möglich — den entsprechenden Interessenvertretern offensteht, verabschiedet jeder Mitgliedstaat spätestens am 17. Januar 2026 eine Strategie zur Verbesserung der Resilienz kritischer Einrichtungen (im Folgenden „Strategie“). In der Strategie sind — aufbauend auf den bestehenden entsprechenden nationalen und sektorspezifischen Strategien, Plänen oder ähnlichen Dokumenten — die strategischen Ziele und politischen Maßnahmen festgelegt, mit denen ein hohes Resilienzniveau von kritischen Einrichtungen erreicht und aufrechterhalten werden soll und mindestens die im Anhang festgelegten Sektoren abgedeckt werden sollen.
(2) Jede Strategie enthält mindestens folgende Elemente:
a) strategische Ziele und Prioritäten zur Verbesserung der Gesamtresilienz kritischer Einrichtungen unter Berücksichtigung grenzüberschreitender und sektorübergreifender Abhängigkeiten und gegenseitiger Abhängigkeiten;
b) einen Steuerungsrahmen zur Verwirklichung der strategischen Ziele und Prioritäten, einschließlich einer Beschreibung der Aufgaben und Zuständigkeiten der jeweiligen Behörden, kritischen Einrichtungen und sonstigen an der Umsetzung der Strategie beteiligten Akteure;
c) eine Beschreibung der Maßnahmen, die zur Verbesserung der Gesamtresilienz kritischer Einrichtungen erforderlich sind, einschließlich einer Beschreibung der Risikobewertung nach Artikel 5;
d) eine Beschreibung des Verfahrens zur Ermittlung kritischer Einrichtungen;
e) eine Beschreibung des Prozesses zur Unterstützung kritischer Einrichtungen gemäß diesem Kapitel, einschließlich Maßnahmen zur Verbesserung der Zusammenarbeit zwischen dem öffentlichen Sektor einerseits und dem privaten Sektor und öffentlichen und privaten Einrichtungen andererseits;
f) eine Liste der wichtigsten Behörden und entsprechenden Interessenvertretern — bei denen es sich nicht um kritische Einrichtungen handelt —, die an der Umsetzung der Strategie beteiligt sind;
g) einen politischen Rahmen für die Koordinierung zwischen den gemäß der vorliegenden Richtlinie zuständigen Behörden (im Folgenden „zuständige Behörden“) und den gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörden für die Zwecke des Informationsaustauschs über Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfälle und über nicht cyberbezogene Risiken, Bedrohungen und Sicherheitsvorfälle sowie die Wahrnehmung von Aufsichtsaufgaben;
h) eine Beschreibung der bereits bestehenden Maßnahmen zur Erleichterung der Umsetzung von Verpflichtungen gemäß Kapitel III der vorliegenden Richtlinie durch kleine und mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG der Kommission (31), die von den betreffenden Mitgliedstaaten als kritische Einrichtungen eingestuft wurden.
Nach einer Konsultation, die — soweit praktisch möglich — den entsprechenden Interessenvertretern offensteht, aktualisieren die Mitgliedstaaten ihre Strategien mindestens alle vier Jahre.
(3) Die Mitgliedstaaten teilen der Kommission ihre Strategien und deren wesentlichen Aktualisierungen innerhalb von drei Monaten nach ihrer Verabschiedung mit.
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!