Artikel 5 Risikobewertung durch die Mitgliedstaaten

(1) Der Kommission wird die Befugnis übertragen, bis zum 17. November 2023 delegierte Rechtsakte nach Artikel 23 zu erlassen, um diese Richtlinie durch eine nicht erschöpfende Liste wesentlicher Dienste in den im Anhang genannten Sektoren und Teilsektoren zu ergänzen. Die zuständigen Behörden verwenden jene Liste wesentlicher Dienste für die Zwecke einer Risikobewertung (im Folgenden „Risikobewertung durch Mitgliedstaaten“), die bis zum 17. Januar 2026 je nach Bedarf, mindestens aber alle vier Jahre, durchgeführt wird. Die zuständigen Behörden verwenden Risikobewertungen durch Mitgliedstaaten, um kritische Einrichtungen gemäß Artikel 6 zu ermitteln und diese bei der Ergreifung von Maßnahmen gemäß Artikel 13 zu unterstützen.

Bei Risikobewertungen durch Mitgliedstaaten werden die entsprechenden natürlichen und vom Menschen verursachten Risiken berücksichtigt, darunter solche sektorübergreifender oder grenzüberschreitender Art, Unfälle, Naturkatastrophen, gesundheitliche Notlagen, sowie hybride Bedrohungen oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten gemäß der Richtlinie (EU) 2017/541 des Europäischen Parlaments und des Rates (32).

(2) Bei der Durchführung von Risikobewertungen durch Mitgliedstaaten berücksichtigen die Mitgliedstaaten mindestens

a) die nach Artikel 6 Absatz 1 des Beschlusses Nr. 1313/2013/EU vorgenommene allgemeine Risikobewertung;
b) sonstige entsprechende Risikobewertungen, die im Einklang mit den Anforderungen der entsprechenden sektorspezifischen Rechtsakte der Union, einschließlich der Verordnungen (EU) 2017/1938 (33) und (EU) 2019/941 (34) des Europäischen Parlaments und des Rates sowie der Richtlinien 2007/60/EG (35) und 2012/18/EU (36) des Europäischen Parlaments und des Rates, durchgeführt werden;
c) die entsprechenden Risiken, die sich aus dem Ausmaß der Abhängigkeit zwischen den im Anhang genannten Sektoren, einschließlich dem Ausmaß der Abhängigkeit gegenüber in anderen Mitgliedstaaten und Drittstaaten ansässigen Einrichtungen, ergeben, sowie die Auswirkungen, die eine in einem Sektor auftretende erhebliche Störung auf andere Sektoren haben kann, darunter alle wesentlichen Risiken für die Bürger und Bürgerinnen und den Binnenmarkt;
d) sämtliche gemäß Artikel 15 gemeldeten Informationen über Sicherheitsvorfälle.

Für die Zwecke von Unterabsatz 1 Buchstabe c arbeiten die Mitgliedstaaten mit den zuständigen Behörden anderer Mitgliedstaaten und gegebenenfalls mit den zuständigen Behörden aus Drittstaaten zusammen.

(3) Die Mitgliedstaaten stellen die entsprechenden Elemente der Risikobewertungen durch Mitgliedstaaten den kritischen Einrichtungen, die sie gemäß Artikel 6 ermittelt haben, gegebenenfalls über ihre zentralen Anlaufstellen, zur Verfügung. Die Mitgliedstaaten stellen sicher, dass die den kritischen Einrichtungen zur Verfügung gestellten Informationen ihnen bei der Durchführung ihrer Risikobewertungen gemäß Artikel 12 und beim Ergreifen von Maßnahmen zur Gewährleistung ihrer Resilienz gemäß Artikel 13 unterstützen.

(4) Innerhalb von drei Monaten nach Durchführung einer Risikobewertung durch Mitgliedstaaten übermittelt ein Mitgliedstaat der Kommission entsprechende Informationen über die ermittelten Arten von Risiken und die Ergebnisse dieser Risikobewertungen durch Mitgliedstaaten, aufgeschlüsselt nach den im Anhang genannten Sektoren und Teilsektoren.

(5) Zum Zwecke der Einhaltung des Absatzes 4 arbeitet die Kommission in Zusammenarbeit mit den Mitgliedstaaten ein unverbindliches gemeinsames Berichtsmuster aus.

Stand: 27.12.2022

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!