Source: OJ L 333, 27.12.2022, pp. 164–198

Artikel 5 Risikobewertung durch die Mitgliedstaaten

Summary What does Article 5 of the CER directive say?

This article establishes the framework for Member State risk assessments, which are a critical upstream step that feeds directly into the identification of critical entities under Article 6 and the resilience measures required under Article 13.

The Commission is tasked with producing a non-exhaustive list of essential services to guide these assessments, and Member States must then conduct their own risk assessments on that basis, covering a broad spectrum of threats ranging from natural disasters and public health emergencies to hybrid and terrorist threats.

The article also sets out what inputs Member States must draw upon when conducting their assessments, including existing sector-specific risk assessments under other Union legal acts, and requires Member States to share relevant outcomes both with identified critical entities and with the Commission.

Important points:

Competent authorities are required to conduct Member State risk assessments by 17 January 2026, and at least every four years thereafter, using the Commission's list of essential services as a basis.
Member States must share relevant elements of their risk assessments with identified critical entities to assist them in conducting their own risk assessments and taking resilience measures.
Member States are required to provide the Commission with information on the types of risks identified and the outcomes of each risk assessment, broken down by sector and subsector, within three months of completing the assessment.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Der Kommission wird die Befugnis übertragen, bis zum 17. November 2023 delegierte Rechtsakte nach Artikel 23 zu erlassen, um diese Richtlinie durch eine nicht erschöpfende Liste wesentlicher Dienste in den im Anhang genannten Sektoren und Teilsektoren zu ergänzen. Die zuständigen Behörden verwenden jene Liste wesentlicher Dienste für die Zwecke einer Risikobewertung (im Folgenden „Risikobewertung durch Mitgliedstaaten“), die bis zum 17. Januar 2026 je nach Bedarf, mindestens aber alle vier Jahre, durchgeführt wird. Die zuständigen Behörden verwenden Risikobewertungen durch Mitgliedstaaten, um kritische Einrichtungen gemäß Artikel 6 zu ermitteln und diese bei der Ergreifung von Maßnahmen gemäß Artikel 13 zu unterstützen.
2. Bei Risikobewertungen durch Mitgliedstaaten werden die entsprechenden natürlichen und vom Menschen verursachten Risiken berücksichtigt, darunter solche sektorübergreifender oder grenzüberschreitender Art, Unfälle, Naturkatastrophen, gesundheitliche Notlagen, sowie hybride Bedrohungen oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten gemäß der Richtlinie (EU) 2017/541 des Europäischen Parlaments und des Rates(³²).
1. Bei der Durchführung von Risikobewertungen durch Mitgliedstaaten berücksichtigen die Mitgliedstaaten mindestens
  1. die nach Artikel 6 Absatz 1 des Beschlusses Nr. 1313/2013/EU vorgenommene allgemeine Risikobewertung;
  2. sonstige entsprechende Risikobewertungen, die im Einklang mit den Anforderungen der entsprechenden sektorspezifischen Rechtsakte der Union, einschließlich der Verordnungen (EU) 2017/1938(³³) und (EU) 2019/941(³⁴) des Europäischen Parlaments und des Rates sowie der Richtlinien 2007/60/EG(³⁵) und 2012/18/EU(³⁶) des Europäischen Parlaments und des Rates, durchgeführt werden;
  3. die entsprechenden Risiken, die sich aus dem Ausmaß der Abhängigkeit zwischen den im Anhang genannten Sektoren, einschließlich dem Ausmaß der Abhängigkeit gegenüber in anderen Mitgliedstaaten und Drittstaaten ansässigen Einrichtungen, ergeben, sowie die Auswirkungen, die eine in einem Sektor auftretende erhebliche Störung auf andere Sektoren haben kann, darunter alle wesentlichen Risiken für die Bürger und Bürgerinnen und den Binnenmarkt;
  4. sämtliche gemäß Artikel 15 gemeldeten Informationen über Sicherheitsvorfälle.
2. Für die Zwecke von Unterabsatz 1 Buchstabe c arbeiten die Mitgliedstaaten mit den zuständigen Behörden anderer Mitgliedstaaten und gegebenenfalls mit den zuständigen Behörden aus Drittstaaten zusammen.
1. Die Mitgliedstaaten stellen die entsprechenden Elemente der Risikobewertungen durch Mitgliedstaaten den kritischen Einrichtungen, die sie gemäß Artikel 6 ermittelt haben, gegebenenfalls über ihre zentralen Anlaufstellen, zur Verfügung. Die Mitgliedstaaten stellen sicher, dass die den kritischen Einrichtungen zur Verfügung gestellten Informationen ihnen bei der Durchführung ihrer Risikobewertungen gemäß Artikel 12 und beim Ergreifen von Maßnahmen zur Gewährleistung ihrer Resilienz gemäß Artikel 13 unterstützen.
1. Innerhalb von drei Monaten nach Durchführung einer Risikobewertung durch Mitgliedstaaten übermittelt ein Mitgliedstaat der Kommission entsprechende Informationen über die ermittelten Arten von Risiken und die Ergebnisse dieser Risikobewertungen durch Mitgliedstaaten, aufgeschlüsselt nach den im Anhang genannten Sektoren und Teilsektoren.
1. Zum Zwecke der Einhaltung des Absatzes 4 arbeitet die Kommission in Zusammenarbeit mit den Mitgliedstaaten ein unverbindliches gemeinsames Berichtsmuster aus.

Relevant recitals

Erwägungsgrund 15 Member State risk assessments

Die Maßnahmen der Mitgliedstaaten zur Ermittlung der kritischen Einrichtungen und zur Gewährleistung ihrer Resilienz sollten einem risikobasierten Ansatz folgen, bei dem diejenigen Einrichtungen im Fokus stehen, die für die Erfüllung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten am bedeutendsten sind. Um einen solchen gezielten Ansatz zu ermöglichen, sollte jeder Mitgliedstaat innerhalb eines harmonisierten Rahmens eine Bewertung der entsprechenden natürlichen und vom Menschen verursachten Risiken — einschließlich Risiken grenzüberschreitender oder sektorübergreifender Art — vornehmen, die sich auf die Erbringung wesentlicher Dienste auswirken könnten, wie Unfälle, Naturkatastrophen, gesundheitliche Notlagen wie etwa Pandemien und hybride Bedrohungen oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten, krimineller Unterwanderung und Sabotage (im Folgenden „Risikobewertung durch Mitgliedstaaten“). Bei der Durchführung von Risikobewertungen durch Mitgliedstaaten sollten die Mitgliedstaaten andere allgemeine oder sektorspezifische Risikobewertungen berücksichtigen, die gemäß anderen Unionsrechtsakten durchgeführt werden, und das Ausmaß der Abhängigkeit zwischen Sektoren, auch in Bezug auf Sektoren in anderen Mitgliedstaaten und Drittländern, Rechnung tragen. Die Ergebnisse der Risikobewertungen durch Mitgliedstaaten sollten bei der Ermittlung kritischer Einrichtungen verwendet werden sowie dazu, diese bei der Erfüllung ihrer Resilienzanforderungen zu unterstützen. Diese Richtlinie gilt nur für die Mitgliedstaaten und für die kritischen Einrichtungen, die in der Union tätig sind. Dennoch könnten die Fachkenntnisse und das Wissen, die von den zuständigen Behörden, insbesondere durch Risikobewertungen, sowie von der Kommission, insbesondere durch verschiedene Formen der Unterstützung und Zusammenarbeit, gewonnen werden, gegebenenfalls und im Einklang mit den geltenden Rechtsinstrumenten zugunsten von Drittländern — insbesondere derjenigen in der unmittelbaren Nachbarschaft der Union — genutzt werden, indem sie in die bestehende Zusammenarbeit im Bereich der Resilienz einfließen.

Erwägungsgrund 17 List of essential services

Die Mitgliedstaaten sollten der Kommission in einer Form, die die Ziele dieser Richtlinie erfüllt, eine Liste der wesentlichen Dienste, die Anzahl der für jeden der im Anhang genannten Sektoren und Teilsektoren ermittelten kritischen Einrichtungen und für den bzw. die von jeder Einrichtung geleisteten wesentlichen Dienst bzw. Dienste sowie die gegebenenfalls angewandten Schwellenwerte übermitteln. Schwellenwerte sollten als solche oder in aggregierter Form dargestellt werden können, d. h. die Informationen können gemittelt nach geografischem Gebiet, Jahr, Sektor, Teilsektor oder nach anderen Kriterien angegeben werden und Informationen über die Bandbreite der angegebenen Indikatoren enthalten.

Erwägungsgrund 19 Foreign ownership of critical infrastructure

Im Einklang mit geltendem Unionsrecht und nationalem Recht, einschließlich der Verordnung (EU) 2019/452 des Europäischen Parlaments und des Rates(⁷), mit der ein Rahmen für die Überprüfung ausländischer Direktinvestitionen in der Union geschaffen wurde, muss die potenzielle Bedrohung durch ausländische Beteiligungen an kritischen Infrastrukturen in der Union anerkannt werden, da Dienste, die Wirtschaft, die Freizügigkeit und die Sicherheit der Unionsbürgerinnen und Unionsbürger vom ordnungsgemäßen Funktionieren der kritischen Infrastrukturen abhängen.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.