Source: OJ L 333, 27.12.2022, p. 80–152Current language: DE
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Artikel 24 Nutzung der europäischen Schemata für die Cybersicherheitszertifizierung
Summary What does Article 24 of the NIS 2 directive say?
This article sits alongside Article 21, which sets out the core cybersecurity risk-management obligations for essential and important entities.
Article 24 introduces a certification dimension to those obligations, establishing a mechanism by which compliance with Article 21 can be demonstrated through the use of certified ICT products, services, and processes.
It operates on two levels: Member States can require entities to use certified ICT tools, and the Commission holds a broader power to mandate specific certification requirements across categories of entities where cybersecurity levels are found to be insufficient.
Important points:
- Member States may require essential and important entities to use ICT products, services, and processes certified under European cybersecurity certification schemes as a means of demonstrating compliance with Article 21.
- The Commission is empowered to adopt delegated acts specifying which categories of essential and important entities must use certified ICT products, services, and processes — but only where insufficient levels of cybersecurity have been identified, and an impact assessment must be carried out beforehand.
- Where no suitable European cybersecurity certification scheme exists, the Commission may request ENISA to prepare a candidate scheme, after consulting the Cooperation Group and the European Cybersecurity Certification Group.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Die Mitgliedstaaten können wesentliche und wichtige Einrichtungen dazu verpflichten, spezielle IKT-Produkte, -Dienste und -Prozesse zu verwenden, die von der wesentlichen oder wichtigen Einrichtung entwickelt oder von Dritten beschafft werden und die im Rahmen europäischer Schemata für die Cybersicherheitszertifizierung, die gemäß Artikel 49 der Verordnung (EU) 2019/881 angenommen wurden, zertifiziert sind, um die Erfüllung bestimmter in Artikel 21 genannter Anforderungen nachzuweisen. Darüber hinaus fördern die Mitgliedstaaten, dass wesentliche und wichtige Einrichtungen qualifizierte Vertrauensdienste nutzen.
Die Kommission ist befugt, gemäß Artikel 38 delegierte Rechtsakte zu erlassen, um diese Richtlinie dadurch zu ergänzen, dass ausgeführt wird, welche Kategorien wesentlicher und wichtiger Einrichtungen verpflichtet sind, bestimmte zertifizierte IKT-Produkte, -Dienste und -Prozesse zu nutzen oder ein Zertifikat im Rahmen eines gemäß Artikel 49 der Verordnung (EU) 2019/881 erlassenen europäischen Schemas für die Cybersicherheitszertifizierung zu erlangen. Diese delegierten Rechtsakte werden erlassen, wenn ein unzureichendes Niveau der Cybersicherheit festgestellt wurde, und umfassen eine Umsetzungsfrist.
Vor dem Erlass solcher delegierten Rechtsakte nimmt die Kommission eine Folgenabschätzung vor und führt Konsultationen gemäß Artikel 56 der Verordnung (EU) 2019/881 durch.
Steht kein geeignetes europäisches Schema für die Cybersicherheitszertifizierung für die Zwecke des Absatzes 2 dieses Artikels zur Verfügung, kann die Kommission nach Anhörung der Kooperationsgruppe und der Europäischen Gruppe für die Cybersicherheitszertifizierung die ENISA auffordern, ein mögliches Schema gemäß Artikel 48 Absatz 2 der Verordnung (EU) 2019/881 auszuarbeiten.
Relevant recitals
Erwägungsgrund 138 Delegated acts on obligations to obtain certificates
Um auf der Grundlage dieser Richtlinie ein hohes gemeinsames Cybersicherheitsniveau in der Union zu gewährleisten, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 AEUV Rechtsakte zur Ergänzung dieser Richtlinie zu erlassen, in denen festgelegt wird, welche Kategorien wesentlicher und wichtiger Einrichtungen zur Verwendung bestimmter zertifizierter IKT-Produkte, -Dienste und -Prozesse oder zur Erlangung eines Zertifikats im Rahmen eines europäischen Schemas für die Cybersicherheitszertifizierung verpflichtet sind. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt, die mit den Grundsätzen in Einklang stehen, die in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung(22) niedergelegt wurden. Um insbesondere für eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte zu sorgen, erhalten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen haben systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission, die mit der Vorbereitung der delegierten Rechtsakte befasst sind.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Cybersicherheit
(En. cybersecurity)
Definition
IKT-Produkt
(En. ICT product)
Definition
Einrichtung
(En. entity)
Definition
Vertrauensdienst
(En. trust service)
Footnote 22