Artikel 8 Kritische Einrichtungen in den Sektoren Banken, Finanzmarktinfrastruktur und digitale Infrastruktur

Mit der Richtlinie (EU) 2022/2555 werden Einrichtungen im Bereich digitale Infrastruktur, die für eine Einstufung als kritische Einrichtungen im Sinne dieser Richtlinie in Frage kommen könnten, verpflichtet, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit von Netz- und Informationssystemen zu beherrschen, und erhebliche Sicherheitsvorfälle und Cyberbedrohungen zu melden. Da Gefahren für die Sicherheit von Netz- und Informationssystemen unterschiedliche Ursachen haben können, wird in der Richtlinie (EU) 2022/2555 ein „gefahrenübergreifender“ Ansatz angewandt, der die Resilienz von Netz- und Informationssystemen sowie die physischen Komponenten und das physische Umfeld dieser Systeme umfasst.

Da die in der Richtlinie (EU) 2022/2555 diesbezüglich festgelegten Anforderungen den entsprechenden Verpflichtungen aus dieser Richtlinie zumindest gleichwertig sind, sollten die in Artikel 11 und in Kapitel III, IV und VI dieser Richtlinie festgelegten Verpflichtungen für Einrichtungen im Bereich digitale Infrastruktursektor nicht gelten, damit Doppelarbeit und unnötiger Verwaltungsaufwand vermieden werden. Angesichts dessen, dass die von Einrichtungen im Bereich digitale Infrastruktur erbrachten Dienste für kritische Einrichtungen aller anderen Wirtschaftssektoren sehr wichtig sind, sollten die Mitgliedstaaten jedoch auf der Grundlage der in der vorliegenden Richtlinie vorgesehenen Kriterien und Verfahren auch Einrichtungen im Bereich digitale Infrastruktur als kritische Einrichtungen ermitteln. Folglich sollten die Strategien, die Risikobewertungen durch Mitgliedstaaten und die Unterstützungsmaßnahmen gemäß Kapitel II dieser Richtlinie Anwendung finden. Die Mitgliedstaaten sollten in der Lage sein, nationale Vorschriften zu erlassen oder beizubehalten, um ein höheres Maß an Resilienz für diese kritischen Einrichtungen zu erreichen, sofern diese Vorschriften mit dem geltenden Unionsrecht vereinbar sind.

Die Rechtsvorschriften der Union für Finanzdienstleistungen enthalten umfassende Anforderungen für Finanzunternehmen in Bezug auf die Steuerung aller ihrer Risiken, einschließlich der operationellen Risiken, und die Aufrechterhaltung des Betriebs. Diese Rechtsvorschriften umfassen die Verordnungen (EU) Nr. 648/2012(⁸) (EU) Nr. 575/2013(⁹) und (EU) Nr. 600/2014(¹⁰) des Europäischen Parlaments und des Rates und die Richtlinien 2013/36/EU(¹¹) und 2014/65/EU(¹²) des Europäischen Parlaments und des Rates. Dieser Rechtsrahmen wird durch die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates(¹³) ergänzt, in der Anforderungen an Finanzunternehmen in Bezug auf den Umgang mit Risiken der Informations- und Kommunikationstechnologie (IKT) und einschließlich hinsichtlich des Schutzes physischer IKT-Infrastrukturen festgelegt sind. Da die Resilienz dieser Einrichtungen daher umfassend abgedeckt wird, sollten Artikel 11 und die Kapitel III, IV und VI dieser Richtlinie nicht für diese Einrichtungen gelten, damit Doppelarbeit und unnötiger Verwaltungsaufwand vermieden werden.

In Anbetracht dessen, dass die von Einrichtungen im Finanzsektor erbrachten Dienste für kritische Einrichtungen aller anderen Wirtschaftssektoren sehr wichtig sind, sollten die Mitgliedstaaten jedoch auf der Grundlage der in der vorliegenden Richtlinie vorgesehenen Kriterien und Verfahren auch im Finanzsektor tätige Einrichtungen als kritische Einrichtungen ermitteln. Folglich sollten die Strategien, die Risikobewertungen durch Mitgliedstaaten und die Unterstützungsmaßnahmen gemäß Kapitel II dieser Richtlinie Anwendung finden. Die Mitgliedstaaten sollten in der Lage sein, nationale Rechtsvorschriften zu erlassen oder beizubehalten, um ein höheres Maß an Resilienz für diese kritischen Einrichtungen zu erreichen, sofern diese Vorschriften mit dem geltenden Unionsrecht vereinbar sind.