Source: OJ L 333, 27.12.2022, p. 80–152Current language: DE
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Artikel 26 Zuständigkeit und Territorialität
Summary What does Article 26 of the NIS 2 directive say?
This article establishes the jurisdictional rules that determine which Member State has oversight over entities covered by the Directive.
The general rule is straightforward: an entity falls under the jurisdiction of the Member State where it is established.
However, the article carves out important exceptions for specific entity types, such as digital infrastructure providers (cloud, managed services, CDN, etc.), communications providers, and public administration bodies, each of which follows its own jurisdictional logic.
The article also addresses the situation where relevant entities operate in the EU without being established here, requiring them to designate a Union-based representative — a mechanism that connects directly to the supervisory and enforcement framework set out in Articles 32 and 33.
Important points:
- Entities such as DNS service providers, cloud computing service providers, managed service providers, and online platform providers fall under the jurisdiction of the Member State where they have their main establishment, determined primarily by where cybersecurity risk-management decisions are taken.
- If your entity is not established in the Union but offers services within it, designate a Union-based representative in one of the Member States where services are offered, as that Member State will hold jurisdiction — and appointing a representative does not shield the entity itself from legal action.
- Member States receiving a mutual assistance request in relation to the entities listed in this article may take supervisory and enforcement measures against those entities operating or holding network and information systems on their territory.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Einrichtungen, die in den Anwendungsbereich dieser Richtlinie fallen, gelten als der Zuständigkeit des Mitgliedstaats unterliegend, in dem sie niedergelassen sind, außer in folgenden Fällen:
Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste, die als der Zuständigkeit des Mitgliedstaats unterliegend betrachtet werden, in dem sie ihre Dienste erbringen;
DNS-Diensteanbieter, TLD-Namenregister, Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke, die als der Zuständigkeit des Mitgliedstaats unterliegend betrachtet werden, in dem sie gemäß Absatz 2 ihre Hauptniederlassung in der Union haben;
Einrichtungen der öffentlichen Verwaltung, die als der Zuständigkeit des Mitgliedstaats unterliegend betrachtet werden, der sie gegründet hat.
Für die Zwecke dieser Richtlinie wird davon ausgegangen, dass als Hauptniederlassung in der Union einer in Absatz 1 Buchstabe b genannten Einrichtung jeweils die Niederlassung in demjenigen Mitgliedstaat betrachtet wird, in dem die Entscheidungen im Zusammenhang mit den Maßnahmen zum Cybersicherheitsrisikomanagement vorwiegend getroffen werden. Kann ein solcher Mitgliedstaat nicht bestimmt werden oder werden solche Entscheidungen nicht in der Union getroffen, so gilt als Hauptniederlassung der Mitgliedstaat, in dem die Cybersicherheitsmaßnahmen durchgeführt werden. Kann ein solcher Mitgliedstaat nicht bestimmt werden, so gilt als Hauptniederlassung der Mitgliedstaat, in dem die betreffende Einrichtung die Niederlassung mit der höchsten Beschäftigtenzahl in der Union hat.
Hat eine in Absatz 1 Buchstabe b genannte Einrichtung keine Niederlassung in der Union, bietet aber Dienste innerhalb der Union an, muss sie einen Vertreter in der Union benennen. Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die Dienste angeboten werden. Es wird davon ausgegangen, dass eine solche Einrichtung der Zuständigkeit des Mitgliedstaats unterliegt, in dem der Vertreter niedergelassen ist. Wurde in der Union kein Vertreter im Sinne dieses Absatzes benannt, kann jeder Mitgliedstaat, in dem die Einrichtung Dienste erbringt, gegen die Einrichtung rechtliche Schritte wegen des Verstoßes gegen diese Richtlinie einleiten.
Die Benennung eines Vertreters durch eine in Absatz 1 Buchstabe b genannte Einrichtung lässt rechtliche Schritte, die gegen die Einrichtung selbst eingeleitet werden könnten, unberührt.
Mitgliedstaaten, die ein Rechtshilfeersuchen zu einer in Absatz 1 Buchstabe b genannten Einrichtung erhalten haben, können innerhalb der Grenzen dieses Ersuchens geeignete Aufsichts- und Durchsetzungsmaßnahmen in Bezug auf die betreffende Einrichtung ergreifen, die in ihrem Hoheitsgebiet Dienste anbietet oder ein Netz- und Informationssystem betreibt.
Relevant recitals
Erwägungsgrund 113 Jurisdiction
Einrichtungen, die unter diese Richtlinie fallen, sollten der Zuständigkeit des Mitgliedstaats unterliegen, in dem sie niedergelassen sind. Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste sollten jedoch als der Zuständigkeit des Mitgliedstaats unterliegend betrachtet werden, in dem sie ihre Dienste erbringen; DNS-Diensteanbieter, TLD-Namenregister, Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, Anbieter von Online-Suchmaschinen oder Anbieter von Plattformen für Dienste sozialer Netzwerke sollten als der Zuständigkeit des Mitgliedstaats unterliegend betrachtet werden, in dem sie ihre Hauptniederlassung in der Union haben. Einrichtungen der öffentlichen Verwaltung sollten als der Zuständigkeit des Mitgliedstaats unterliegend betrachtet werden, in dem sie niedergelassen sind. Erbringt die Einrichtung Dienste in mehreren Mitgliedstaaten oder hat sie Niederlassungen in mehreren Mitgliedstaaten, so sollte sie unter die getrennte und parallele Zuständigkeit der betreffenden Mitgliedstaaten fallen. Die zuständigen Behörden dieser Mitgliedstaaten sollten zusammenarbeiten, einander Amtshilfe leisten und gegebenenfalls gemeinsame Aufsichtstätigkeiten durchführen. Wenn die Mitgliedstaaten ihre Zuständigkeit ausüben, sollten sie gemäß dem Grundsatz „ne bis in idem“ keine Durchsetzungsmaßnahmen oder Sanktionen mehr als einmal für ein und dasselbe Verhalten verhängen.
Erwägungsgrund 114 Jurisdiction for cross-border services
Da die Dienste und Tätigkeiten, die von DNS-Diensteanbietern, TLD-Namenregistern, Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, Anbietern von Cloud-Computing-Diensten, Anbietern von Rechenzentrumsdiensten, Betreibern von Inhaltszustellnetzen, Anbietern von verwalteten Diensten, Anbietern von verwalteten Sicherheitsdiensten, Anbietern von Online-Marktplätzen, Anbietern von Online-Suchmaschinen sowie Anbieter von Plattformen für Dienste sozialer Netzwerke grenzübergreifenden Charakter haben, sollte jeweils immer nur ein Mitgliedstaat für diese Einrichtungen zuständig sein. Die Zuständigkeit sollte bei dem Mitgliedstaat liegen, in dem die betreffende Einrichtung ihre Hauptniederlassung in der Union hat. Das Kriterium der Niederlassung im Sinne dieser Richtlinie setzt die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei unerheblich. Dieses Kriterium sollte nicht davon abhängen, ob die Netz- und Informationssysteme an einem bestimmten Ort physisch untergebracht sind; die Existenz und die Nutzung derartiger Systeme stellen an sich keine derartige Hauptniederlassung dar und sind daher kein ausschlaggebendes Kriterium für die Bestimmung der Hauptniederlassung. Die Hauptniederlassung sollte als in dem Mitgliedstaat angesehen sein, an dem in der Union über Maßnahmen zum Cybersicherheitsrisikomanagement vorwiegend entschieden wird. In der Regel entspricht dies dem Ort, an dem sich die Hauptverwaltung der Einrichtungen in der Union befindet. Kann ein solcher Mitgliedstaat nicht bestimmt werden oder werden solche Entscheidungen nicht in der Union getroffen, so gilt als Hauptniederlassung der Mitgliedstaat, in dem die Cybersicherheitsmaßnahmen durchgeführt werden. Werden solche Entscheidungen nicht in der Union getroffen, ist davon auszugehen, dass sich die Hauptniederlassung in dem Mitgliedstaat befindet, in dem die Einrichtung über eine Niederlassung mit der unionsweit höchsten Beschäftigtenzahl verfügt. Werden die Dienste von einer Unternehmensgruppe ausgeführt, so sollte die Hauptniederlassung des herrschenden Unternehmens als Hauptniederlassung der Unternehmensgruppe gelten.
Erwägungsgrund 115 Jurisdiction for DNS services
Wenn ein Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste einen öffentlich zugänglichen rekursiven DNS-Dienst nur als Teil des Internetzugangsdienstes anbietet, so sollte davon ausgegangen werden, dass die Einrichtung der Zuständigkeit aller Mitgliedstaaten unterliegt, in denen sie ihre Dienste erbringt.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
DNS-Diensteanbieter
(En. DNS service provider)
- für Internet-Endnutzer öffentlich verfügbare rekursive Dienste zur Auflösung von Domänennamen anbietet oder
- autoritative Dienste zur Auflösung von Domänennamen zur Nutzung durch Dritte, mit Ausnahme von Root-Namenservern, anbietet;
Definition
Rechenzentrumsdienst
(En. data centre service)
Definition
Online-Marktplatz
(En. online marketplace)
Definition
TLD-Namenregister
(En. top-level domain name registry)
Definition
Plattform für Dienste sozialer Netzwerke
(En. social networking services platform)
Definition
Online-Suchmaschine
(En. online search engine)
Definition
Vertreter
(En. representative)
Definition
Inhaltszustellnetz
(En. content delivery network)
Definition
Cybersicherheit
(En. cybersecurity)
Definition
Einrichtung der öffentlichen Verwaltung
(En. public administration entity)
- sie wurde zu dem Zweck gegründet, im allgemeinen Interesse liegende Aufgaben zu erfüllen, und hat keinen gewerblichen oder kommerziellen Charakter,
- sie besitzt Rechtspersönlichkeit oder ist gesetzlich dazu befugt, im Namen einer anderen Einrichtung mit eigener Rechtspersönlichkeit zu handeln,
- sie wird überwiegend vom Staat, Gebietskörperschaften oder von anderen Körperschaften des öffentlichen Rechts finanziert, untersteht hinsichtlich ihrer Leitung der Aufsicht dieser Körperschaften oder verfügt über ein Verwaltungs-, Leitungs- bzw. Aufsichtsorgan, das mehrheitlich aus Mitgliedern besteht, die vom Staat, von Gebietskörperschaften oder von anderen Körperschaften des öffentlichen Rechts eingesetzt worden sind,
- sie ist befugt, an natürliche oder juristische Personen Verwaltungs- oder Regulierungsentscheidungen zu richten, die deren Rechte im grenzüberschreitenden Personen-, Waren-, Dienstleistungs- oder Kapitalverkehr berühren;
Definition
Anbieter verwalteter Dienste
(En. managed service provider)
Definition
Cloud-Computing-Dienst
(En. cloud computing service)
Definition
IKT-Produkt
(En. ICT product)
Definition
Einrichtung
(En. entity)
Definition
Anbieter verwalteter Sicherheitsdienste
(En. managed security service provider)
Definition
Netz- und Informationssystem
(En. network and information system)
- ein elektronisches Kommunikationsnetz im Sinne des Artikels 2 Nummer 1 der Richtlinie (EU) 2018/1972,
- ein Gerät oder eine Gruppe miteinander verbundener oder zusammenhängender Geräte, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung digitaler Daten durchführen, oder
- digitale Daten, die von den — in den Buchstaben a und b genannten — Elementen zum Zwecke ihres Betriebs, ihrer Nutzung, ihres Schutzes und ihrer Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden;
Definition
Einrichtung, die Domänennamen-Registrierungsdienste erbringt
(En. entity providing domain name registration services)
Definition
elektronischer Kommunikationsdienst
(En. electronic communications service)