Source: OJ L 333, 27.12.2022, pp. 164–198Current language: DE
- Resilience of critical entities
Basic legislative acts
- CER directive
Artikel 6 Ermittlung kritischer Einrichtungen
Summary What does Article 6 of the CER directive say?
This is a central procedural article that establishes how Member States must identify critical entities within their territory.
It is the engine of the entire directive, as the identification process it sets out is what triggers the obligations placed on entities under the rest of the act.
Member States must apply a defined set of cumulative criteria — drawing on their risk assessments and national strategies — to determine which entities qualify as critical, compile a formal list, and notify those entities accordingly.
The article also establishes a link to the cybersecurity framework by requiring national competent authorities to share the list of identified critical entities with their counterparts under Directive (EU) 2022/2555.
The list is not static; Member States must review and update it at least every four years.
Important points:
- Member States are required to identify and formally notify critical entities by 17 July 2026, with Chapter III obligations applying to those entities 10 months after notification.
- Three cumulative criteria must all be met for an entity to be identified as critical: it provides an essential service, it operates on the territory of that Member State, and a disruption would have significant effects on essential service provision.
- Member States are required to review the list of critical entities at least every four years, and competent authorities must notify their counterparts under Directive (EU) 2022/2555 of all identified critical entities within one month of identification.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Bis zum 17. Juli 2026 ermittelt jeder Mitgliedstaat die kritischen Einrichtungen für die im Anhang festgelegten Sektoren und Teilsektoren.
Wenn ein Mitgliedstaat kritische Einrichtungen gemäß Absatz 1 ermittelt, berücksichtigt er die Ergebnisse seiner Risikobewertung durch Mitgliedstaaten und seine Strategie und wendet alle folgenden Kriterien an:
Die Einrichtung erbringt einen oder mehrere wesentliche Dienste,
die Einrichtung ist im Hoheitsgebiet dieses Mitgliedstaats tätig und ihre kritische Infrastruktur befinden sich dort, und
ein Sicherheitsvorfall würde eine erhebliche Störung im Sinne von Artikel 7 Absatz 1 bei der Erbringung eines oder mehrerer wesentlichen Dienste durch die Einrichtung, oder bei der Erbringung von anderen wesentlichen Diensten in den im Anhang genannten Sektoren, die von diesem oder diesen wesentlichen Diensten abhängen, bewirken.
Jeder Mitgliedstaat erstellt eine Liste der gemäß Absatz 2 ermittelten kritischen Einrichtungen und stellt sicher, dass diesen kritischen Einrichtungen innerhalb eines Monats nach der entsprechenden Ermittlung ihre Einstufung als kritische Einrichtung mitgeteilt wird. Unbeschadet des Artikels 8 informieren die Mitgliedstaaten diese kritischen Einrichtungen über ihre Verpflichtungen nach Kapiteln III und IV sowie über den Zeitpunkt, ab dem diese Verpflichtungen auf sie Anwendung finden. Die Mitgliedstaaten informieren die kritischen Einrichtungen in den in den Nummern 3, 4 und 8 der Tabelle des Anhangs genannten Sektoren darüber, dass sie keine Verpflichtungen nach Kapiteln III und IV haben, es sei denn, in den nationalen Maßnahmen ist etwas anderes bestimmt.
Für die betreffenden kritischen Einrichtungen gilt Kapitel III nach Ablauf von zehn Monaten ab dem Zeitpunkt der in Unterabsatz 1 des vorliegenden Absatzes genannten Mitteilung.
Die Mitgliedstaaten stellen sicher, dass ihre nach dieser Richtlinie zuständigen Behörden den zuständigen Behörden gemäß der Richtlinie (EU) 2022/2555 innerhalb eines Monats nach der entsprechenden Einstufung die Identität der kritischen Einrichtungen mitteilen, die sie gemäß diesem Artikel ermittelt haben. In dieser Mitteilung wird gegebenenfalls angegeben, dass es sich bei den betreffenden kritischen Einrichtungen um Einrichtungen in den in den Nummern 3, 4 und 8 der Tabelle des Anhangs der vorliegenden Richtlinie genannten Sektoren handelt und dass sie keine Verpflichtungen nach den Kapiteln III und IV haben.
Die Mitgliedstaaten überprüfen die in Absatz 3 genannten Liste der ermittelten kritischen Einrichtungen im Bedarfsfall, mindestens jedoch alle vier Jahre, und aktualisieren sie gegebenenfalls. Führen diese Aktualisierungen zur Ermittlung weiterer kritischer Einrichtungen, so gelten die Absätze 3 und 4 für diese zusätzlichen kritischen Einrichtungen. Darüber hinaus stellen die Mitgliedstaaten sicher, dass Einrichtungen, die nach einer solchen Aktualisierung nicht mehr als kritische Einrichtung eingestuft werden, hiervon rechtzeitig in Kenntnis gesetzt und darüber informiert werden, dass sie ab dem Tag des Erhalts dieser Mitteilung nicht mehr den Verpflichtungen nach Kapitel III unterliegen.
Die Kommission arbeitet in Zusammenarbeit mit den Mitgliedstaaten Empfehlungen und unverbindliche Leitlinien aus, um die Mitgliedstaaten bei der Ermittlung kritischer Einrichtungen zu unterstützen.
Relevant recitals
Erwägungsgrund 8 Member States to identify critical entities
Um ein hohes Resilienzniveau zu erreichen, sollten die Mitgliedstaaten kritische Einrichtungen ermitteln, die einerseits besonderen Anforderungen und einer spezifischen Aufsicht unterliegen werden, und die andererseits gegenüber allen entsprechenden Risiken in besonderem Maße unterstützt und mit Leitfäden ausgestattet werden sollen.
Erwägungsgrund 16 Consistent identification of critical entities
Um sicherzustellen, dass alle entsprechenden Einrichtungen den Resilienzanforderungen dieser Richtlinie unterliegen, und um diesbezügliche Unterschiede zu verringern, ist es wichtig, harmonisierte Vorschriften festzulegen, die eine einheitliche Ermittlung kritischer Einrichtungen in der gesamten Union ermöglichen und die es den Mitgliedstaaten dennoch auch erlauben, den Aufgaben und der Bedeutung dieser Einrichtungen auf nationaler Ebene angemessen Rechnung zu tragen. Unter Anwendung der in dieser Richtlinie festgelegten Kriterien sollte jeder Mitgliedstaat Einrichtungen ermitteln, die einen oder mehrere wesentliche Dienste erbringen und die in seinem Hoheitsgebiet tätig sind und ihre kritischen Infrastrukturen befinden sich dort. Es sollte davon ausgegangen werden, dass eine Einrichtung im Hoheitsgebiet des Mitgliedstaats tätig ist, in dem sie Tätigkeiten ausübt, die für den betreffenden wesentlichen Dienst bzw. für die betreffenden wesentlichen Dienste erforderlich sind, und in dem sich die kritische Infrastruktur dieser Einrichtung, die zur Erbringung dieses Dienstes bzw. dieser Dienste genutzt wird, befindet. Wenn es in einem Mitgliedstaat keine Einrichtung gibt, die diese Kriterien erfüllt, sollte dieser Mitgliedstaat nicht verpflichtet sein, eine kritische Einrichtung in dem entsprechenden Sektor oder Teilsektor zu ermitteln. Im Interesse der Wirksamkeit, Effizienz, Kohärenz und Rechtssicherheit sollten geeignete Vorschriften festgelegt werden, um Einrichtungen mitzuteilen, dass sie als kritische Einrichtungen eingestuft wurden.
Erwägungsgrund 17 List of essential services
Die Mitgliedstaaten sollten der Kommission in einer Form, die die Ziele dieser Richtlinie erfüllt, eine Liste der wesentlichen Dienste, die Anzahl der für jeden der im Anhang genannten Sektoren und Teilsektoren ermittelten kritischen Einrichtungen und für den bzw. die von jeder Einrichtung geleisteten wesentlichen Dienst bzw. Dienste sowie die gegebenenfalls angewandten Schwellenwerte übermitteln. Schwellenwerte sollten als solche oder in aggregierter Form dargestellt werden können, d. h. die Informationen können gemittelt nach geografischem Gebiet, Jahr, Sektor, Teilsektor oder nach anderen Kriterien angegeben werden und Informationen über die Bandbreite der angegebenen Indikatoren enthalten.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Risikobewertung
(En. risk assessment)
Definition
Risiko
(En. risk)
Definition
kritische Infrastrukturen
(En. critical infrastructure)
Definition
Sicherheitsvorfall
(En. incident)
Definition
kritische Einrichtung
(En. critical entity)