Artikel 3 NIS2UmsVO – Erhebliche Sicherheitsvorfälle

(1) Ein Sicherheitsvorfall gilt in Bezug auf die betreffenden Einrichtungen als erheblich im Sinne von Artikel 23 Absatz 3 der Richtlinie (EU) 2022/2555, wenn eines oder mehrere der folgenden Kriterien erfüllt sind:

a) der Vorfall hat der betreffenden Einrichtung einen direkten finanziellen Verlust in Höhe von mehr als 500 000 EUR oder 5 % ihres jährlichen Gesamtumsatzes im vorangegangenen Geschäftsjahr – je nachdem, welcher Wert niedriger ist – verursacht oder kann einen solchen Verlust verursachen;
b) der Vorfall hat den Abfluss von Geschäftsgeheimnissen der betreffenden Einrichtung im Sinne von Artikel 2 Nummer 1 der Richtlinie (EU) 2016/943 verursacht oder kann einen solchen Abfluss verursachen;
c) der Vorfall hat den Tod einer natürlichen Person verursacht oder kann einen solchen Tod verursachen;
d) der Vorfall hat eine schwere Schädigung der Gesundheit einer natürlichen Person verursacht oder kann eine solche Schädigung verursachen;
e) es hat einen erfolgreichen, mutmaßlich böswilligen und unbefugten Zugriff auf Netz- und Informationssysteme gegeben, der geeignet ist, schwerwiegende Betriebsstörungen zu verursachen;
f) der Vorfall erfüllt die in Artikel 4 aufgeführten Kriterien;
g) der Vorfall erfüllt eines oder mehrere der in den Artikeln 5 bis 14 aufgeführten Kriterien.

(2) Planmäßige Betriebsunterbrechungen und geplante Folgen planmäßiger Wartungsarbeiten, die von oder im Auftrag der betreffenden Einrichtungen durchgeführt werden, gelten nicht als erhebliche Sicherheitsvorfälle.

(3) Bei der Berechnung der Zahl der von einem Sicherheitsvorfall betroffenen Nutzer für die Zwecke der Artikel 7 und Artikel 9 bis 14 berücksichtigen die betreffenden Einrichtungen Folgendes:

a) die Zahl der Kunden, die mit der betreffenden Einrichtung einen Vertrag geschlossen haben, der ihnen Zugang zu den Netz- und Informationssystemen der betreffenden Einrichtung oder über diese Netz- und Informationssysteme angebotenen oder zugänglichen Diensten verschafft;
b) die Zahl der natürlichen oder juristischen Personen, die mit Geschäftskunden verbunden sind, die Netz- und Informationssysteme der betreffenden Einrichtung oder über diese Netz- und Informationssysteme angebotene oder zugängliche Diensten nutzen.

Stand: 17.10.2024

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!