Source: OJ L 333, 27.12.2022, pp. 164–198Current language: DE
- Resilience of critical entities
Basic legislative acts
- CER directive
Artikel 21 Aufsicht und Durchsetzung
Summary What does Article 21 of the CER directive say?
This article establishes the supervisory and enforcement toolkit that competent authorities must have at their disposal to assess whether critical entities are meeting their obligations under the Directive.
It covers the full range of supervisory tools — from on-site inspections and audits to information-gathering powers and remediation orders — and sits closely alongside Article 22, which deals with penalties.
Notably, the article also has a clear cross-directive dimension, requiring competent authorities under this Directive to coordinate with their counterparts under Directive (EU) 2022/2555 (the NIS 2 Directive) whenever a compliance assessment is carried out, reflecting the broader effort to align physical and cybersecurity oversight.
All supervisory powers must be exercised subject to safeguards protecting the rights and legitimate interests of critical entities.
Important points:
- Competent authorities are required to have powers to conduct on-site inspections, order audits, request evidence of resilience measure implementation, and issue remediation orders where infringements are identified.
- Competent authorities must notify and cooperate with their NIS 2 counterparts whenever a compliance assessment is conducted, and can request those authorities to exercise their own supervisory powers.
- Member States must ensure all supervisory powers are exercised in an objective, transparent, and proportionate manner, with critical entities retaining the right to be heard, the right of defence, and the right to an effective remedy before an independent court.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Im Hinblick auf die Beurteilung, ob die Einrichtungen, die die Mitgliedstaaten gemäß Artikel 6 Absatz 1 als kritische Einrichtungen eingestuft haben, die in dieser Richtlinie festgelegten Verpflichtungen erfüllen, stellen die Mitgliedstaaten sicher, dass die zuständigen Behörden über die Befugnisse und Mittel verfügen, um
Vor-Ort-Kontrollen der kritischen Infrastruktur und der Räumlichkeiten, die die kritische Einrichtung für die Erbringung ihrer wesentlichen Dienste nutzt, und externe Aufsichtsmaßnahmen bezüglich der von kritischen Einrichtungen ergriffenen Maßnahmen gemäß Artikel 13 durchzuführen;
Audits bei kritischen Einrichtungen durchzuführen oder anzuordnen.
Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden über die Befugnisse und Mittel verfügen, von den Einrichtungen gemäß der Richtlinie (EU) 2022/2555, die die Mitgliedstaaten gemäß dieser Richtlinie als kritische Einrichtungen eingestuft haben, — wenn dies für die Wahrnehmung ihrer Aufgaben gemäß dieser Richtlinie erforderlich ist — zu verlangen, dass sie innerhalb einer von diesen Behörden festgelegten angemessenen Frist Folgendes übermitteln:
die Informationen, die erforderlich sind, um beurteilen zu können, ob die Maßnahmen, die diese Einrichtungen zur Gewährleistung ihrer Resilienz ergriffen haben, die Anforderungen gemäß Artikel 13 erfüllen;
Nachweise der wirksamen Umsetzung dieser Maßnahmen, einschließlich der Ergebnisse eines Audits, das von einem unabhängigen und qualifizierten von der betreffenden Einrichtung ausgewählten Prüfer auf Kosten der betreffenden Einrichtung durchgeführt wurde.
Bei der Anforderung dieser Informationen nennen die zuständigen Behörden den Zweck und geben an, welche Informationen verlangt werden.
Unbeschadet der Möglichkeit, Sanktionen gemäß Artikel 22 zu verhängen, können die zuständigen Behörden im Anschluss an die in Absatz 1 des vorliegenden Artikels genannten Aufsichtsmaßnahmen oder die Prüfung der in Absatz 2 des vorliegenden Artikels genannten Informationen die betreffenden kritischen Einrichtungen anweisen, erforderliche und verhältnismäßige Maßnahmen zu ergreifen, um festgestellte Verstöße gegen diese Richtlinie innerhalb einer von diesen Behörden gesetzten angemessenen Frist zu beheben, und diesen Behörden Informationen über die ergriffenen Maßnahmen zu übermitteln. Diese Anweisungen tragen insbesondere der Schwere des Verstoßes Rechnung.
Die Mitgliedstaaten stellen sicher, dass die in den Absätzen 1, 2 und 3 vorgesehenen Befugnisse nur vorbehaltlich angemessener Garantien ausgeübt werden können. Diese Garantien gewährleisten insbesondere, dass die Befugnisse auf objektive, transparente und verhältnismäßige Weise ausgeübt werden und dass die Rechte und berechtigten Interessen der betreffenden kritischen Einrichtungen — wie der Schutz von Handels- und Geschäftsgeheimnissen — ordnungsgemäß gewahrt werden, einschließlich ihres Rechts auf Anhörung, Verteidigung und eines wirksamen Rechtsbehelfs vor einem unabhängigen Gericht.
Die Mitgliedstaaten stellen sicher, dass eine nach dieser Richtlinie zuständige Behörde, wenn sie die Erfüllung der Verpflichtungen einer kritischen Einrichtung gemäß diesem Artikel bewertet, dies den gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörden der betreffenden Mitgliedstaaten mitteilt. Zu diesem Zweck stellen die Mitgliedstaaten sicher, dass nach dieser Richtlinie zuständige Behörden die zuständigen Behörden gemäß der Richtlinie (EU) 2022/2555 ersuchen können, ihre Aufsichts- und Durchsetzungsbefugnisse in Bezug auf eine in den Anwendungsbereich dieser Richtlinie fallende Einrichtung auszuüben, die gemäß der vorliegenden Richtlinie als kritische Einrichtung eingestuft wurde. Zu diesem Zweck stellen die Mitgliedstaaten sicher, dass die nach dieser Richtlinie zuständigen Behörden mit den zuständigen Behörden gemäß der Richtlinie (EU) 2022/2555 zusammenarbeiten und Informationen austauschen.
Relevant recitals
Erwägungsgrund 12 Confidentiality
Um die nationale Sicherheit bzw. die Sicherheit und die geschäftlichen Interessen kritischer Einrichtungen nicht zu gefährden, sollte der Zugang zu sensiblen Informationen, ihr Austausch und der Umgang mit ihnen umsichtig und mit besonderem Augenmerk auf die verwendeten Übertragungskanäle und Speicherkapazitäten erfolgen.
Erwägungsgrund 24 Relation to requirements and competent authorities under the NIS 2 directive
Die gemäß der vorliegenden Richtlinie und gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörden sollten in Bezug auf Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfälle sowie nicht cyberbezogene Risiken, Bedrohungen und Sicherheitsvorfälle, die kritische Einrichtungen betreffen, und in Bezug auf entsprechende Maßnahmen, die von gemäß der vorliegenden Richtlinie und der Richtlinie 2022/2555 zuständigen Behörden ergriffen werden, zusammenarbeiten und Informationen austauschen. Es ist wichtig, dass die Mitgliedstaaten sicherstellen, dass die Anforderungen nach der vorliegenden Richtlinie und der Richtlinie (EU) 2022/2555 komplementär umgesetzt werden und dass kritische Einrichtungen keinem Verwaltungsaufwand ausgesetzt sind, der über das zur Erreichung der Ziele dieser und jener Richtlinie erforderliche Maß hinausgeht.
Erwägungsgrund 27 Relation to overlapping EU or national law in supervision
Sind kritische Einrichtungen aufgrund von Bestimmungen des Unionsrechts oder des nationalen Rechts verpflichtet, für die Zwecke dieser Richtlinie relevante Risiken zu bewerten und Maßnahmen zur Gewährleistung ihrer eigenen Resilienz zu ergreifen, so sollten diese Anforderungen angemessen berücksichtigt werden, wenn es darum geht zu überwachen, ob kritische Einrichtungen diese Richtlinie einhalten.
Erwägungsgrund 40 Powers of the competent authorities
Die Mitgliedstaaten sollten dafür sorgen, dass ihre zuständigen Behörden über bestimmte spezifische Befugnisse für die ordnungsgemäße Anwendung und Durchsetzung dieser Richtlinie in Bezug auf kritische Einrichtungen verfügen, die gemäß dieser Richtlinie ihrer rechtlichen Zuständigkeit unterliegen. Diese Befugnisse sollten insbesondere die Möglichkeit umfassen, Inspektionen und Audits durchzuführen, Aufsichtsmaßnahmen durchzuführen, kritische Einrichtungen dazu zu verpflichten, Informationen und Nachweise über die Maßnahmen vorzulegen, die sie zur Erfüllung ihrer Verpflichtungen ergriffen haben, und erforderlichenfalls Anordnungen zur Behebung festgestellter Verstöße zu erlassen. Beim Erlass solcher Anordnungen sollten die Mitgliedstaaten keine Maßnahmen vorschreiben, die über das hinausgehen, was erforderlich und verhältnismäßig ist, um die Erfüllung der jeweiligen Verpflichtung durch die betreffende kritische Einrichtung sicherzustellen, wobei insbesondere der Schwere des Verstoßes und der wirtschaftlichen Leistungsfähigkeit der betreffenden kritischen Einrichtung Rechnung zu tragen ist. Generell sollten diese Befugnisse mit angemessenen und wirksamen Garantien einhergehen, die im nationalen Recht im Einklang mit der Charta der Grundrechte der Europäischen Union festzulegen sind. Im Zuge der Bewertung, ob eine kritische Einrichtung ihre, in dieser Richtlinie festgelegten Verpflichtungen erfüllt, sollten die nach der vorliegenden Richtlinie zuständigen Behörden die gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörden ersuchen können, ihre Aufsichts- und Durchsetzungsbefugnisse in Bezug auf eine in den Anwendungsbereich jener Richtlinie fallende Einrichtung auszuüben, die gemäß der vorliegenden Richtlinie als eine kritische Einrichtung eingestuft wurde. Die gemäß der vorliegenden Richtlinie zuständigen Behörden und die gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörden sollten zu diesem Zweck zusammenarbeiten und Informationen austauschen.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Resilienz
(En. resilience)
Definition
Sicherheitsvorfall
(En. incident)
Definition
kritische Einrichtung
(En. critical entity)