Source: OJ L 333, 27.12.2022, p. 80–152Current language: DE
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Artikel 29 Vereinbarungen über den Austausch von Informationen zur Cybersicherheit
Summary What does Article 29 of the NIS 2 directive say?
This article establishes the framework for voluntary cybersecurity information sharing among entities covered by the Directive, and notably also opens the door to entities outside its scope.
It sits alongside the mandatory reporting obligations found in Article 23, but operates on a purely voluntary basis.
The article sets out the types of information that can be shared — such as cyber threat intelligence, vulnerabilities, indicators of compromise, and adversarial tactics — and conditions this sharing on it serving a clear cybersecurity purpose, such as preventing or recovering from incidents or enhancing collective defences.
Member States are tasked with facilitating the practical arrangements that make this sharing possible, including through dedicated ICT platforms and automation tools, while ENISA is called upon to support the process by providing guidance and best practices.
Important points:
- Participate in voluntary cybersecurity information-sharing arrangements and notify competent authorities when joining or withdrawing from them.
- Member States are required to facilitate the establishment of information-sharing arrangements, and may impose conditions on information made available by competent authorities or CSIRTs within those arrangements.
- ENISA is required to support the establishment of these arrangements by exchanging best practices and providing guidance.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Die Mitgliedstaaten stellen sicher, dass in den Anwendungsbereich dieser Richtlinie fallende Einrichtungen und gegebenenfalls andere Einrichtungen, die nicht in den Anwendungsbereich dieser Richtlinie fallen, auf freiwilliger Basis relevante Cybersicherheitsinformationen untereinander austauschen können, einschließlich Informationen über Cyberbedrohungen, Beinahe-Vorfälle, Schwachstellen, Techniken und Verfahren, Kompromittierungsindikatoren, gegnerische Taktiken, bedrohungsspezifische Informationen, Cybersicherheitswarnungen und Empfehlungen für die Konfiguration von Cybersicherheitsinstrumenten zur Aufdeckung von Cyberangriffen, sofern
dieser Informationsaustausch darauf abzielt, Sicherheitsvorfälle zu verhindern, aufzudecken, darauf zu reagieren oder sich von ihnen zu erholen oder ihre Folgen einzudämmen;
durch diesen Informationsaustausch das Cybersicherheitsniveau erhöht wird, insbesondere indem Aufklärungsarbeit über Cyberbedrohungen geleistet wird, die Fähigkeit solcher Bedrohungen, sich zu verbreiten eingedämmt bzw. verhindert wird und eine Reihe von Abwehrkapazitäten, die Beseitigung und Offenlegung von Schwachstellen, Techniken zur Erkennung, Eindämmung und Verhütung von Bedrohungen, Eindämmungsstrategien, Reaktions- und Wiederherstellungsphasen unterstützt werden oder indem die gemeinsame Forschung im Bereich Cyberbedrohung zwischen öffentlichen und privaten Einrichtungen gefördert wird.
Die Mitgliedstaaten stellen sicher, dass der Informationsaustausch innerhalb Gemeinschaften wesentlicher und wichtiger Einrichtungen und gegebenenfalls ihrer Lieferanten oder Dienstleister stattfindet. Dieser Austausch muss im Wege von Vereinbarungen über den Informationsaustausch im Bereich der Cybersicherheit unter Beachtung des potenziell sensiblen Charakters der ausgetauschten Informationen erfolgen.
Die Mitgliedstaaten erleichtern die Festlegung von Vereinbarungen über den Austausch von Informationen im Bereich der Cybersicherheit gemäß Absatz 2 dieses Artikels. In solchen Vereinbarungen können operative Elemente, einschließlich der Nutzung spezieller IKT-Plattformen und Automatisierungsinstrumente, der Inhalt und die Bedingungen der Vereinbarungen über den Informationsaustausch bestimmt werden. Bei der Festlegung der Einzelheiten der Beteiligung von Behörden an solchen Vereinbarungen können die Mitgliedstaaten Bedingungen für die von den zuständigen Behörden oder CSIRTs bereitgestellten Informationen festlegen. Die Mitgliedstaaten bieten Unterstützung bei der Anwendung solcher Vereinbarungen im Einklang mit ihren in Artikel 7 Absatz 2 Buchstabe h genannten Konzepten.
Die Mitgliedstaaten stellen sicher, dass wesentliche und wichtige Einrichtungen die zuständigen Behörden beim Abschluss von in Absatz 2 genannten Vereinbarungen über den Informationsaustausch im Bereich der Cybersicherheit oder gegebenenfalls über ihren Rücktritt von solchen Vereinbarungen unterrichten, sobald dieser wirksam wird.
Die ENISA unterstützt den Abschluss von Vereinbarungen über den Austausch von Informationen im Bereich der Cybersicherheit gemäß Absatz 2, indem sie bewährte Verfahren austauscht und Orientierungshilfen zur Verfügung stellt.
Relevant recitals
Erwägungsgrund 119 Obstacles to information sharing
Da Cyberbedrohungen komplexer und technisch ausgereifter werden, hängen eine gute Erkennung dieser Bedrohungen und entsprechende Präventionsmaßnahmen in hohem Maße von einem regelmäßigen Informationsaustausch zwischen den Einrichtungen über Bedrohungen und Schwachstellen ab. Ein Informationsaustausch trägt dazu bei, das Bewusstsein für Cyberbedrohungen zu schärfen, wodurch Einrichtungen Bedrohungen abwehren können, bevor diese in Sicherheitsvorfälle münden, und in der Lage sind, die Auswirkungen von Sicherheitsvorfällen besser einzudämmen und effizienter zu reagieren. In Ermangelung von Leitlinien auf Unionsebene scheinen unterschiedliche Faktoren einen solchen Wissensaustausch verhindert zu haben, insbesondere die nicht geklärte Vereinbarkeit mit den Wettbewerbs- und Haftungsvorschriften.
Erwägungsgrund 120 Encouragement of information sharing
Die Einrichtungen sollten ermutigt und von den Mitgliedstaaten dabei unterstützt werden, ihre individuellen Kenntnisse und praktischen Erfahrungen auf strategischer, taktischer und operativer Ebene gemeinsam zu nutzen, damit sich ihre Fähigkeit verbessert, Sicherheitsvorfälle angemessen zu verhindern, zu erkennen, auf sie zu reagieren, sie zu bewältigen oder in ihrer Wirkung zu begrenzen. Daher muss dafür gesorgt werden, dass auf Unionsebene Vereinbarungen über den freiwilligen Informationsaustausch getroffen werden können. Zu diesem Zweck sollten die Mitgliedstaaten Einrichtungen, wie jene, die Cybersicherheitsdienste und -forschung anbieten, sowie einschlägige Einrichtungen, die nicht unter diese Richtlinie fallen, aktiv unterstützen und dazu anhalten, sich an solchen Vereinbarungen zum Austausch von Informationen über Cybersicherheit zu beteiligen. Diese Vereinbarungen sollten in Einklang mit den Wettbewerbsvorschriften der Union und dem Datenschutzrecht der Union getroffen werden.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Cyberbedrohung
(En. cyber threat)
Definition
IKT-Dienst
(En. ICT service)
Definition
Cybersicherheit
(En. cybersecurity)
Definition
Schwachstelle
(En. vulnerability)
Definition
IKT-Produkt
(En. ICT product)
Definition
Einrichtung
(En. entity)