Source: OJ L 333, 27.12.2022, pp. 164–198Current language: DE
- Resilience of critical entities
Basic legislative acts
- CER directive
Artikel 14 Zuverlässigkeitsüberprüfungen
Summary What does Article 14 of the CER directive say?
This article establishes the framework for background checks on personnel connected to critical entities, sitting alongside the broader resilience obligations set out in Article 13.
It gives Member States the responsibility to define the conditions under which critical entities may request background checks, covering people in sensitive roles, those with access to premises or control systems, and candidates being considered for such positions.
The article sets clear boundaries on how these checks must be conducted, requiring them to be proportionate, strictly limited to what is necessary, and processed in line with EU data protection law.
It also mandates a minimum standard for what a background check must include, and requires Member States to use the European Criminal Records Information System to obtain criminal record information from other Member States.
Important points:
- Member States are required to define the conditions under which critical entities may submit background check requests, which must be duly reasoned and take into account the Member State risk assessment.
- Background checks must be proportionate, strictly limited to what is necessary, and carried out solely to evaluate a potential security risk to the critical entity concerned.
- Member States must use the European Criminal Records Information System when obtaining criminal record information from other Member States, with central authorities required to respond within 10 working days.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Die Mitgliedstaaten legen die Bedingungen fest, unter denen eine kritische Einrichtung in hinreichend begründeten Fällen und unter Berücksichtigung der Risikobewertung durch Mitgliedstaaten Anträge auf Zuverlässigkeitsüberprüfungen von Personen stellen darf, die
sensible Funktionen in oder zugunsten der kritischen Einrichtung innehaben, insbesondere in Bezug auf die Resilienz der kritischen Einrichtung;
berechtigt sind, über einen direkten Zugriff oder Fernzugriff auf ihre Räumlichkeiten, Informationen oder Kontrollsysteme zu verfügen, auch im Zusammenhang mit der Sicherheit der kritischen Einrichtung;
für die Besetzung von Positionen, die unter die in den Buchstaben a und b festgelegten Kriterien fallen, in Betracht gezogen werden.
Anträge gemäß Absatz 1 des vorliegenden Artikels werden innerhalb eines angemessenen Zeitrahmens geprüft und im Einklang mit dem nationalen Recht und Verfahren sowie dem entsprechenden und geltenden Unionsrecht — einschließlich der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates(37) — bearbeitet. Zuverlässigkeitsüberprüfungen müssen verhältnismäßig und strikt auf das Notwendige beschränkt sein. Sie werden ausschließlich zum Zweck der Bewertung eines potenziellen Sicherheitsrisikos für die betreffende kritische Einrichtung durchgeführt.
Eine in Absatz 1 genannte Zuverlässigkeitsüberprüfung muss mindestens
sich der Identität der Person, die einer Zuverlässigkeitsüberprüfung unterzogen wird, vergewissern;
eine Strafregisterprüfung der Person in Bezug auf Straftaten, die für eine spezifische Position relevant sind, enthalten.
Bei Zuverlässigkeitsüberprüfungen nutzen die Mitgliedstaaten das Europäische Strafregisterinformationssystem gemäß den im Rahmenbeschluss 2009/315/JI und — sofern relevant und anwendbar — in der Verordnung (EU) 2019/816 festgelegten Verfahren zur Einholung von Informationen aus den Strafregistern von anderen Mitgliedstaaten. Die in Artikel 3 Absatz 1 des Rahmenbeschlusses 2009/315/JI und Artikel 3 Nummer 5 der Verordnung (EU) 2019/816 genannten Zentralbehörden beantworten Ersuchen um solche Informationen im Einklang mit Artikel 8 Absatz 1 des Rahmenbeschlusses 2009/315/JI innerhalb von zehn Arbeitstagen nach Eingang des Ersuchens gemäß Artikel 8 Absatz 1 des Rahmenbeschlusses 2009/315/JI.
Relevant recitals
Erwägungsgrund 32 Background checks to mitigate insider threats
Das Risiko, dass Mitarbeiter kritischer Einrichtungen oder ihre Auftragnehmer beispielsweise ihre Zugangsrechte innerhalb der Organisation der kritischen Einrichtung missbrauchen, um Schaden zu verursachen, gibt zunehmend Anlass zur Sorge. Die Mitgliedstaaten sollten daher die Bedingungen präzisieren, unter denen kritische Einrichtungen in hinreichend begründeten Fällen und unter Berücksichtigung der Risikobewertungen durch Mitgliedstaaten Anträge auf Zuverlässigkeitsüberprüfungen von Personen stellen dürfen, die bestimmten Kategorien ihres Personals angehören. Es sollte sichergestellt werden, dass die entsprechenden Behörden die Anträge innerhalb eines angemessenen Zeitrahmens prüfen und im Einklang mit dem nationalen Recht und den Verfahren sowie mit dem entsprechenden geltenden Unionsrecht, auch hinsichtlich des Schutzes personenbezogener Daten, verarbeiten. Um sich der Identität einer Person zu vergewissern, die einer Zuverlässigkeitsüberprüfung unterzogen wird, ist es angezeigt, dass die Mitgliedstaaten im Einklang mit dem geltenden Recht einen Identitätsnachweis wie einen Reisepass, einen nationalen Personalausweis oder eine digitale Form des Identitätsnachweises verlangen.
Solche Zuverlässigkeitsüberprüfungen sollten eine Prüfung des Strafregisters der betreffenden Person einschließen. Mitgliedstaaten sollten das Europäische Strafregisterinformationssystem gemäß den im Rahmenbeschluss 2009/315/JI des Rates(19) und — sofern relevant und anwendbar — in der Verordnung (EU) 2019/816 des Europäischen Parlaments und des Rates(20) festgelegten Verfahren zur Einholung von Informationen aus den Strafregistern von anderen Mitgliedstaaten nutzen. Die Mitgliedstaaten könnten — sofern relevant und anwendbar — auch auf das mit der Verordnung (EU) 2018/1862 des Europäischen Parlaments und des Rates(21) eingerichtete Schengener Informationssystem der zweiten Generation (SIS II), auf Erkenntnisse sowie auf sonstige verfügbare objektive Informationen zurückgreifen, die möglicherweise erforderlich sind, um festzustellen, ob die betreffende Person geeignet ist, in der Position zu arbeiten, für die die kritische Einrichtung eine Zuverlässigkeitsüberprüfung beantragt hat.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Risikobewertung
(En. risk assessment)
Definition
Resilienz
(En. resilience)
Definition
Risiko
(En. risk)
Definition
Sicherheitsvorfall
(En. incident)
Definition
kritische Einrichtung
(En. critical entity)
Footnote 19
Footnote 37
Footnote 20
Footnote 21