NIS-2 Durchführungsverordnung

In dieser Verordnung werden in Bezug auf

• DNS-Diensteanbieter,
• TLD-Namenregister,
• Anbieter von Cloud-Computing-Diensten,
• Anbieter von Rechenzentrumsdiensten,
• Betreiber von Inhaltszustellnetzen,
• Anbieter verwalteter Dienste,
• Anbieter verwalteter Sicherheitsdienste,
• Anbieter von Online-Marktplätzen,
• Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und
• Vertrauensdiensteanbieter (im Folgenden „betreffende Einrichtungen“)

die technischen und methodischen Anforderungen der in Artikel 21 Absatz 2 der Richtlinie (EU) 2022/2555 genannten Maßnahmen festgelegt und die Fälle präzisiert, in denen ein Sicherheitsvorfall gemäß Artikel 23 Absatz 3 der Richtlinie (EU) 2022/2555 als erheblich anzusehen ist.

1. Für die betreffenden Einrichtungen sind im Anhang dieser Verordnung die technischen und methodischen Anforderungen der in Artikel 21 Absatz 2 Buchstaben a bis j der Richtlinie (EU) 2022/2555 genannten Risikomanagementmaßnahmen im Bereich der Cybersicherheit festgelegt.

2. Bei der Umsetzung und Anwendung der technischen und methodischen Anforderungen der im Anhang dieser Verordnung festgelegten Risikomanagementmaßnahmen im Bereich der Cybersicherheit gewährleisten die betreffenden Einrichtungen ein den bestehenden Risiken angemessenes Sicherheitsniveau der Netz- und Informationssysteme. Zu diesem Zweck tragen sie dem Ausmaß ihrer Risikoexposition, ihrer Größe und der Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, einschließlich gesellschaftlicher und wirtschaftlicher Auswirkungen, gebührend Rechnung, wenn sie die im Anhang dieser Verordnung festgelegten technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit erfüllen.

   Ist im Anhang dieser Verordnung vorgesehen, dass eine technische oder methodische Anforderung einer Risikomanagementmaßnahmen im Bereich der Cybersicherheit nur anzuwenden ist, soweit dies angemessen, anwendbar oder durchführbar ist, und hält es eine betreffende Einrichtung für nicht angemessen, nicht anwendbar oder nicht durchführbar, bestimmte technische und methodische Anforderungen anzuwenden, so muss die betreffende Einrichtung ihre diesbezügliche Begründung in verständlicher Weise dokumentieren.

1. Ein Sicherheitsvorfall gilt in Bezug auf die betreffenden Einrichtungen als erheblich im Sinne von Artikel 23 Absatz 3 der Richtlinie (EU) 2022/2555, wenn eines oder mehrere der folgenden Kriterien erfüllt sind:

   a) der Vorfall hat der betreffenden Einrichtung einen direkten finanziellen Verlust in Höhe von mehr als 500 000 EUR oder 5 % ihres jährlichen Gesamtumsatzes im vorangegangenen Geschäftsjahr — je nachdem, welcher Wert niedriger ist — verursacht oder kann einen solchen Verlust verursachen;

   b) der Vorfall hat den Abfluss von Geschäftsgeheimnissen der betreffenden Einrichtung im Sinne von Artikel 2 Nummer 1 der Richtlinie (EU) 2016/943 verursacht oder kann einen solchen Abfluss verursachen;

   c) der Vorfall hat den Tod einer natürlichen Person verursacht oder kann einen solchen Tod verursachen;

   d) der Vorfall hat eine schwere Schädigung der Gesundheit einer natürlichen Person verursacht oder kann eine solche Schädigung verursachen;

   e) es hat einen erfolgreichen, mutmaßlich böswilligen und unbefugten Zugriff auf Netz- und Informationssysteme gegeben, der geeignet ist, schwerwiegende Betriebsstörungen zu verursachen;

   f) der Vorfall erfüllt die in Artikel 4 aufgeführten Kriterien;

   g) der Vorfall erfüllt eines oder mehrere der in den Artikeln 5 bis 14 aufgeführten Kriterien.

2. Planmäßige Betriebsunterbrechungen und geplante Folgen planmäßiger Wartungsarbeiten, die von oder im Auftrag der betreffenden Einrichtungen durchgeführt werden, gelten nicht als erhebliche Sicherheitsvorfälle.

3. Bei der Berechnung der Zahl der von einem Sicherheitsvorfall betroffenen Nutzer für die Zwecke der Artikel 7 und Artikel 9 bis 14 berücksichtigen die betreffenden Einrichtungen Folgendes:

   a) die Zahl der Kunden, die mit der betreffenden Einrichtung einen Vertrag geschlossen haben, der ihnen Zugang zu den Netz- und Informationssystemen der betreffenden Einrichtung oder über diese Netz- und Informationssysteme angebotenen oder zugänglichen Diensten verschafft;

   b) die Zahl der natürlichen oder juristischen Personen, die mit Geschäftskunden verbunden sind, die Netz- und Informationssysteme der betreffenden Einrichtung oder über diese Netz- und Informationssysteme angebotene oder zugängliche Diensten nutzen.

Sicherheitsvorfälle, die einzeln betrachtet nach Artikel 3 nicht als erhebliche Sicherheitsvorfälle angesehen werden, gelten zusammengenommen als ein erheblicher Sicherheitsvorfall, wenn sie alle folgenden Kriterien erfüllen:

a) sie sind innerhalb von sechs Monaten mindestens zwei Mal aufgetreten;

b) sie haben dieselbe offensichtliche Ursache;

c) sie erfüllen zusammengenommen die in Artikel 3 Absatz 1 Buchstabe a aufgeführten Kriterien.

Ein Sicherheitsvorfall gilt als erheblich, wenn eines oder mehrere der folgenden Kriterien erfüllt sind:

a) ein rekursiver oder autoritativer Dienst zur Auflösung von Domänennamen ist mehr als 30 Minuten lang vollständig nicht verfügbar;

b) mehr als eine Stunde lang beträgt die durchschnittliche Antwortzeit eines rekursiven oder autoritativen Dienstes zur Auflösung von Domänennamen auf DNS-Anfragen mehr als 10 Sekunden;

c) die Integrität, Vertraulichkeit oder Authentizität der Daten, die im Zusammenhang mit der Bereitstellung des autoritativen Dienstes zur Auflösung von Domänennamen gespeichert, übermittelt oder verarbeitet werden, ist beeinträchtigt, außer falls die Daten von weniger als 1 000 Domänennamen, die von dem DNS-Diensteanbieter verwaltet werden und die höchstens 1 % der von dem DNS-Diensteanbieter verwalteten Domänennamen ausmachen, aufgrund einer Fehlkonfiguration nicht korrekt sind.

Ein Sicherheitsvorfall gilt als erheblich, wenn eines oder mehrere der folgenden Kriterien erfüllt sind:

a) ein autoritativer Dienst zur Auflösung von Domänennamen ist vollständig nicht verfügbar;

b) mehr als eine Stunde lang beträgt die durchschnittliche Antwortzeit eines autoritativen Dienstes zur Auflösung von Domänennamen auf DNS-Anfragen mehr als 10 Sekunden;

c) die Integrität, Vertraulichkeit oder Authentizität der im Zusammenhang mit dem technischen Betrieb der TLD gespeicherten, übermittelten oder verarbeiteten Daten ist beeinträchtigt.

Ein Sicherheitsvorfall gilt als erheblich, wenn eines oder mehrere der folgenden Kriterien erfüllt sind:

a) ein erbrachter Cloud-Computing-Dienst ist mehr als 30 Minuten lang vollständig nicht verfügbar;

b) die Verfügbarkeit eines Cloud-Computing-Dienstes eines Anbieters ist für mehr als 5 % der Nutzer des Cloud-Computing-Dienstes in der Union oder für mehr als 1 Mio. Nutzer des Cloud-Computing-Dienstes in der Union — je nachdem, welche Zahl niedriger ist — für eine Dauer von mehr als einer Stunde eingeschränkt;

c) die Integrität, Vertraulichkeit oder Authentizität der im Zusammenhang mit der Erbringung eines Cloud-Computing-Dienstes gespeicherten, übermittelten oder verarbeiteten Daten ist infolge einer mutmaßlich böswilligen Handlung beeinträchtigt;

d) die Integrität, Vertraulichkeit oder Authentizität der im Zusammenhang mit der Erbringung eines Cloud-Computing-Dienstes gespeicherten, übermittelten oder verarbeiteten Daten ist beeinträchtigt, und dies wirkt sich auf mehr als 5 % der Nutzer des Cloud-Computing-Dienstes in der Union oder auf mehr als 1 Mio. Nutzer des Cloud-Computing-Dienstes in der Union — je nachdem, welche Zahl niedriger ist — aus.

Ein Sicherheitsvorfall gilt als erheblich, wenn eines oder mehrere der folgenden Kriterien erfüllt sind:

a) ein Rechenzentrumsdienst eines vom Anbieter betriebenen Rechenzentrums ist vollständig nicht verfügbar;

b) die Verfügbarkeit eines Rechenzentrumsdienstes eines vom Anbieter betriebenen Rechenzentrums ist für eine Dauer von mehr als einer Stunde eingeschränkt;

c) die Integrität, Vertraulichkeit oder Authentizität der im Zusammenhang mit der Erbringung eines Rechenzentrumsdienstes gespeicherten, übermittelten oder verarbeiteten Daten ist infolge einer mutmaßlich böswilligen Handlung beeinträchtigt;

d) der physische Zugang zu einem von dem Anbieter betriebenen Rechenzentrum ist beeinträchtigt.

Ein Sicherheitsvorfall gilt als erheblich, wenn eines oder mehrere der folgenden Kriterien erfüllt sind:

a) ein Inhaltszustellnetz ist mehr als 30 Minuten lang vollständig nicht verfügbar;

b) die Verfügbarkeit eines Inhaltszustellnetzes ist für mehr als 5 % der Nutzer des Inhaltszustellnetzes in der Union oder für mehr als 1 Mio. Nutzer des Inhaltszustellnetzes in der Union — je nachdem, welche Zahl niedriger ist — für eine Dauer von mehr als einer Stunde eingeschränkt;

c) die Integrität, Vertraulichkeit oder Authentizität der im Zusammenhang mit dem Betrieb eines Inhaltszustellnetzes gespeicherten, übermittelten oder verarbeiteten Daten ist infolge einer mutmaßlich böswilligen Handlung beeinträchtigt;

d) die Integrität, Vertraulichkeit oder Authentizität der im Zusammenhang mit dem Betrieb eines Inhaltszustellnetzes gespeicherten, übermittelten oder verarbeiteten Daten ist beeinträchtigt, und dies wirkt sich auf mehr als 5 % der Nutzer des Inhaltszustellnetzes in der Union oder auf mehr als 1 Mio. Nutzer des Inhaltszustellnetzes in der Union — je nachdem, welche Zahl niedriger ist — aus.

Ein Sicherheitsvorfall gilt als erheblich, wenn eines oder mehrere der folgenden Kriterien erfüllt sind:

a) ein verwalteter Dienst oder ein verwalteter Sicherheitsdienst ist mehr als 30 Minuten lang vollständig nicht verfügbar;

b) die Verfügbarkeit eines verwalteten Dienstes oder verwalteten Sicherheitsdienstes ist für mehr als 5 % der Nutzer des Dienstes in der Union oder für mehr als 1 Mio. Nutzer des Dienstes in der Union — je nachdem, welche Zahl niedriger ist — für eine Dauer von mehr als einer Stunde eingeschränkt;

c) die Integrität, Vertraulichkeit oder Authentizität der im Zusammenhang mit der Erbringung eines verwalteten Dienstes oder verwalteten Sicherheitsdienstes gespeicherten, übermittelten oder verarbeiteten Daten ist infolge einer mutmaßlich böswilligen Handlung beeinträchtigt;

d) die Integrität, Vertraulichkeit oder Authentizität der im Zusammenhang mit der Erbringung eines verwalteten Dienstes oder verwalteten Sicherheitsdienstes gespeicherten, übermittelten oder verarbeiteten Daten ist beeinträchtigt, und dies wirkt sich auf mehr als 5 % der Nutzer des Dienstes in der Union oder auf mehr als 1 Mio. Nutzer des Dienstes in der Union — je nachdem, welche Zahl niedriger ist — aus.

Ein Sicherheitsvorfall gilt als erheblich, wenn eines oder mehrere der folgenden Kriterien erfüllt sind:

a) ein Online-Marktplatz ist für mehr als 5 % der Nutzer des Online-Marktplatzes in der Union oder für mehr als 1 Mio. Nutzer des Online-Marktplatzes in der Union — je nachdem, welche Zahl niedriger ist — vollständig nicht verfügbar;

b) mehr als 5 % der Nutzer eines Online-Marktplatzes in der Union oder mehr als 1 Mio. Nutzer eines Online-Marktplatzes in der Union — je nachdem, welche Zahl niedriger ist — sind von einer eingeschränkten Verfügbarkeit des Online-Marktplatzes betroffen;

c) die Integrität, Vertraulichkeit oder Authentizität der im Zusammenhang mit dem Betrieb eines Online-Marktplatzes gespeicherten, übermittelten oder verarbeiteten Daten ist infolge einer mutmaßlich böswilligen Handlung beeinträchtigt;

d) die Integrität, Vertraulichkeit oder Authentizität der im Zusammenhang mit dem Betrieb eines Online-Marktplatzes gespeicherten, übermittelten oder verarbeiteten Daten ist beeinträchtigt, und dies wirkt sich auf mehr als 5 % der Nutzer des Online-Marktplatzes in der Union oder auf mehr als 1 Mio. Nutzer des Online-Marktplatzes in der Union — je nachdem, welche Zahl niedriger ist — aus.

Ein Sicherheitsvorfall gilt als erheblich, wenn eines oder mehrere der folgenden Kriterien erfüllt sind:

a) eine Online-Suchmaschine ist für mehr als 5 % der Nutzer der Online-Suchmaschine in der Union oder für mehr als 1 Mio. Nutzer der Online-Suchmaschine in der Union — je nachdem, welche Zahl niedriger ist — vollständig nicht verfügbar;

b) mehr als 5 % der Nutzer einer Online-Suchmaschine in der Union oder mehr als 1 Mio. Nutzer einer Online-Suchmaschine in der Union — je nachdem, welche Zahl niedriger ist — sind von einer eingeschränkten Verfügbarkeit der Online-Suchmaschine betroffen;

c) die Integrität, Vertraulichkeit oder Authentizität der im Zusammenhang mit dem Betrieb einer Online-Suchmaschine gespeicherten, übermittelten oder verarbeiteten Daten ist infolge einer mutmaßlich böswilligen Handlung beeinträchtigt;

d) die Integrität, Vertraulichkeit oder Authentizität der im Zusammenhang mit dem Betrieb einer Online-Suchmaschine gespeicherten, übermittelten oder verarbeiteten Daten ist beeinträchtigt, und dies wirkt sich auf mehr als 5 % der Nutzer der Online-Suchmaschine in der Union oder auf mehr als 1 Mio. Nutzer der Online-Suchmaschine in der Union — je nachdem, welche Zahl niedriger ist — aus.

Ein Sicherheitsvorfall gilt als erheblich, wenn eines oder mehrere der folgenden Kriterien erfüllt sind:

a) eine Plattform für Dienste sozialer Netzwerke ist für mehr als 5 % der Nutzer der Plattform für Dienste sozialer Netzwerke in der Union oder für mehr als 1 Mio. Nutzer der Plattform für Dienste sozialer Netzwerke in der Union — je nachdem, welche Zahl niedriger ist — vollständig nicht verfügbar;

b) mehr als 5 % der Nutzer einer Plattform für Dienste sozialer Netzwerke in der Union oder mehr als 1 Mio. Nutzer einer Plattform für Dienste sozialer Netzwerke in der Union — je nachdem, welche Zahl niedriger ist — sind von einer eingeschränkten Verfügbarkeit der Plattform betroffen;

c) die Integrität, Vertraulichkeit oder Authentizität der im Zusammenhang mit dem Betrieb einer Plattform für Dienste sozialer Netzwerke gespeicherten, übermittelten oder verarbeiteten Daten ist infolge einer mutmaßlich böswilligen Handlung beeinträchtigt;

d) die Integrität, Vertraulichkeit oder Authentizität der im Zusammenhang mit dem Betrieb einer Plattform für Dienste sozialer Netzwerke gespeicherten, übermittelten oder verarbeiteten Daten ist beeinträchtigt, und dies wirkt sich auf mehr als 5 % der Nutzer der Plattform in der Union oder auf mehr als 1 Mio. Nutzer der Plattform in der Union — je nachdem, welche Zahl niedriger ist — aus.

Ein Sicherheitsvorfall gilt als erheblich, wenn eines oder mehrere der folgenden Kriterien erfüllt sind:

a) ein Vertrauensdienst ist mehr als 20 Minuten lang vollständig nicht verfügbar;

b) ein Vertrauensdienst ist für Nutzer oder vertrauende Beteiligte im Laufe einer Kalenderwoche mehr als eine Stunde lang nicht verfügbar;

c) mehr als 1 % der Nutzer oder vertrauenden Beteiligten in der Union oder mehr als 200 000 Nutzer oder vertrauende Beteiligte in der Union — je nachdem, welche Zahl niedriger ist — sind von einer eingeschränkten Verfügbarkeit eines Vertrauensdienstes betroffen;

d) der physische Zugang zu einem Bereich, in dem sich Netz- und Informationssysteme befinden und zu dem nur vertrauenswürdiges Personal des Vertrauensdiensteanbieters Zugang hat, oder der Schutz dieses physischen Zugangs ist beeinträchtigt;

e) die Integrität, Vertraulichkeit oder Authentizität der im Zusammenhang mit der Erbringung eines Vertrauensdienstes gespeicherten, übermittelten oder verarbeiteten Daten ist beeinträchtigt, und dies wirkt sich auf mehr als 0,1 % der Nutzer oder vertrauenden Beteiligten oder auf mehr als 100 Nutzer oder vertrauende Beteiligte des Vertrauensdienstes in der Union — je nachdem, welche Zahl niedriger ist — aus.

Die Durchführungsverordnung (EU) 2018/151 der Kommission (4) wird aufgehoben.

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.