Source: OJ L 333, 27.12.2022, pp. 164–198Current language: DE
- Resilience of critical entities
Basic legislative acts
- CER directive
Artikel 15 Meldung von Sicherheitsvorfällen
Summary What does Article 15 of the CER directive say?
This article establishes the incident notification regime for critical entities, sitting naturally alongside the resilience obligations set out in Article 13.
It requires critical entities to report significant incidents to their competent authority, sets out the timeline for doing so, and creates a cascade of information-sharing obligations that flow upward — from critical entity to national authority, from national authority to other affected Member States, and, where an incident spans six or more Member States, from those national authorities to the Commission.
Important points:
- Report significant incidents to your competent authority within 24 hours of becoming aware, followed by a detailed report within one month.
- Competent authorities are required to share incident information with the single points of contact of other affected Member States where cross-border impact is identified.
- Submitting a notification under this article does not expose critical entities to increased liability.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Die Mitgliedstaaten stellen sicher, dass die kritischen Einrichtungen der zuständigen Behörde Sicherheitsvorfälle, die die Erbringung wesentlicher Dienste erheblich stören oder erheblich stören könnten, unverzüglich melden. Die Mitgliedstaaten stellen sicher, dass außer wenn dies in operativer Hinsicht nicht möglich ist, kritische Einrichtungen eine erste Meldung bis spätestens 24 Stunden, nachdem sie sich eines Sicherheitsvorfalls bewusst geworden sind, übermitteln, gegebenenfalls gefolgt von einem ausführlichen Bericht spätestens einen Monat danach. Zur Bestimmung der Erheblichkeit einer Störung werden insbesondere folgende Parameter berücksichtigt:
Anzahl und Anteil der von der Störung betroffenen Nutzer;
Dauer der Störung;
betroffenes geografisches Gebiet der Störung, unter Berücksichtigung des Umstandes, ob das Gebiet geografisch isoliert ist.
Hat ein Sicherheitsvorfall erhebliche Auswirkungen auf die Kontinuität der Erbringung wesentlicher Dienste für oder in sechs oder mehr Mitgliedstaaten oder könnte er solche Auswirkungen haben, so melden die zuständigen Behörden der vom Sicherheitsvorfall betroffenen Mitgliedstaaten diesen Sicherheitsvorfall der Kommission.
Die Meldungen gemäß Absatz 1 Unterabsatz 1 müssen sämtliche verfügbaren Informationen enthalten, die erforderlich sind, damit die zuständige Behörde Art, Ursache und mögliche Folgen des Sicherheitsvorfalls nachvollziehen und ermitteln kann, einschließlich verfügbarer Informationen, die notwendig sind, um zu bestimmen, ob der Sicherheitsvorfall grenzüberschreitende Auswirkungen hat. Solche Meldungen begründen keine höhere Haftung der betreffenden kritischen Einrichtung.
Auf der Grundlage der in einer Meldung gemäß Absatz 1 bereitgestellten Informationen der kritischen Einrichtung unterrichtet die entsprechende zuständige Behörde über die zentrale Anlaufstelle die zentralen Anlaufstellen anderer betroffener Mitgliedstaaten, sofern der Sicherheitsvorfall erhebliche Auswirkungen auf kritische Einrichtungen und die Aufrechterhaltung der Erbringung wesentlicher Dienste an einen oder mehrere andere Mitgliedstaaten oder in einem oder mehreren anderen Mitgliedstaaten hat oder haben könnte.
Zentrale Anlaufstellen, die Informationen gemäß Unterabsatz 1 senden und erhalten, behandeln im Einklang mit dem Unionsrecht oder mit dem nationalen Recht die Informationen so, dass ihre Vertraulichkeit gewahrt und die Sicherheit und die geschäftlichen Interessen der betreffenden kritischen Einrichtung geschützt werden.
So bald wie möglich nach einer Meldung gemäß Absatz 1 übermittelt die betreffende zuständige Behörde der betreffenden kritischen Einrichtung sachdienliche Folgeinformationen, unter anderem Informationen, die die wirksame Reaktion dieser kritischen Einrichtung auf den betreffenden Sicherheitsvorfall unterstützen könnten. Die Mitgliedstaaten informieren die Öffentlichkeit, wenn sie zu der Ansicht gelangen, dass dies im öffentlichen Interesse liegen würde.
Relevant recitals
Erwägungsgrund 33 Incident notification and reporting
Es sollte ein Mechanismus für die Meldung bestimmter Sicherheitsvorfälle eingerichtet werden, um es den zuständigen Behörden zu ermöglichen, rasch und angemessen auf Sicherheitsvorfälle zu reagieren und sich einen umfassenden Überblick über die Auswirkungen, die Art, die Ursache und die möglichen Folgen von Sicherheitsvorfällen, die die kritischen Einrichtungen betreffen, zu verschaffen. Kritische Einrichtungen sollten den zuständigen Behörden unverzüglich Sicherheitsvorfälle melden, die die Erbringung wesentlicher Dienste erheblich stören oder erheblich stören könnten. Außer wenn dies in operativer Hinsicht nicht möglich ist, sollten kritische Einrichtungen spätestens 24 Stunden, nachdem sie Kenntnis von einem Sicherheitsvorfall erhalten haben, eine Erstmeldung übermitteln. Die Erstmeldung sollte nur die Informationen enthalten, die unbedingt erforderlich sind, um die zuständige Behörde über den Sicherheitsvorfall zu unterrichten und es der kritischen Einrichtung zu ermöglichen, bei Bedarf Hilfe in Anspruch zu nehmen. In einer solchen Meldung sollte, soweit möglich, die mutmaßliche Ursache des Sicherheitsvorfalls angegeben werden. Die Mitgliedstaaten sollten sicherstellen, dass durch die Pflicht zur Übermittlung dieser Erstmeldung die Ressourcen der kritischen Einrichtung für Tätigkeiten im Zusammenhang mit der Bewältigung von Sicherheitsvorfällen, die Vorrang haben sollten, nicht beeinträchtigt werden. Der Erstmeldung sollte gegebenenfalls spätestens einen Monat nach dem Sicherheitsvorfall ein ausführlicher Bericht folgen. Der ausführliche Bericht sollte die ursprüngliche Meldung ergänzen und einen vollständigeren Überblick über den Sicherheitsvorfall bieten.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
wesentlicher Dienst
(En. essential service)
Definition
Sicherheitsvorfall
(En. incident)
Definition
kritische Einrichtung
(En. critical entity)