Source: OJ L 333, 27.12.2022, p. 80–152Current language: DE
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Artikel 30 Freiwillige Meldung relevanter Informationen
Summary What does Article 30 of the NIS 2 directive say?
This article sits alongside the mandatory reporting framework established under Article 23, creating a parallel voluntary notification channel.
It opens up the ability for both in-scope and out-of-scope entities to report incidents, cyber threats, and near misses to CSIRTs or competent authorities on a voluntary basis.
Importantly, the article includes a protection for those who choose to report voluntarily, ensuring they do not take on any additional obligations simply by virtue of having reported.
Important points:
- Essential and important entities, as well as any other entities regardless of whether they fall within the scope of this Directive, can voluntarily notify CSIRTs or competent authorities of incidents, cyber threats, and near misses.
- Member States may prioritise the processing of mandatory notifications over voluntary ones.
- Voluntary reporting shall not result in any additional obligations being imposed on the notifying entity that would not have applied had it not submitted the notification.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Die Mitgliedstaaten stellen sicher, dass zusätzlich zu der Berichtspflicht nach Artikel 23 Meldungen den CSIRTs oder gegebenenfalls den zuständigen Behörden auf freiwilliger Basis übermittelt werden können, und zwar durch:
wesentliche und wichtige Einrichtungen in Bezug auf Sicherheitsvorfälle, Cyberbedrohungen und Beinahe-Vorfälle;
andere als die in Buchstabe a genannten Einrichtungen, unabhängig davon, ob sie in den Anwendungsbereich dieser Richtlinie fallen, in Bezug auf erhebliche Sicherheitsvorfälle, Cyberbedrohungen und Beinahe-Vorfälle.
Die Mitgliedstaaten bearbeiten die in Absatz 1 des vorliegenden Artikels genannten Meldungen nach dem in Artikel 23 vorgesehenen Verfahren. Die Mitgliedstaaten können Pflichtmeldungen vorrangig vor freiwilligen Meldungen bearbeiten.
Erforderlichenfalls übermitteln die CSIRTs und gegebenenfalls die zuständigen Behörden den zentralen Anlaufstellen die Informationen über die gemäß diesem Artikel eingegangenen Meldungen, wobei sie die Vertraulichkeit und den angemessenen Schutz der von der meldenden Einrichtung übermittelten Informationen sicherstellen. Unbeschadet der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten dürfen die freiwilligen Meldungen nicht dazu führen, dass der meldenden Einrichtung zusätzliche Verpflichtungen auferlegt werden, die nicht für sie gegolten hätten, wenn sie die Meldung nicht übermittelt hätte.
Relevant recitals
Erwägungsgrund 105 Voluntary reporting of cyber threats
Ein proaktiver Ansatz gegen Cyberbedrohungen ist ein wesentlicher Bestandteil von Risikomanagement im Bereich der Cybersicherheit und sollte den zuständigen Behörden ermöglichen, wirksam zu verhindern, dass Cyberbedrohungen in Sicherheitsvorfälle münden, die erhebliche materielle oder immaterielle Schäden verursachen können. Zu diesem Zweck ist die Meldung von Cyberbedrohungen von zentraler Bedeutung. Zu diesem Zweck wird den Einrichtungen nahegelegt, Cyberbedrohungen auf freiwilliger Basis zu melden.
Erwägungsgrund 119 Obstacles to information sharing
Da Cyberbedrohungen komplexer und technisch ausgereifter werden, hängen eine gute Erkennung dieser Bedrohungen und entsprechende Präventionsmaßnahmen in hohem Maße von einem regelmäßigen Informationsaustausch zwischen den Einrichtungen über Bedrohungen und Schwachstellen ab. Ein Informationsaustausch trägt dazu bei, das Bewusstsein für Cyberbedrohungen zu schärfen, wodurch Einrichtungen Bedrohungen abwehren können, bevor diese in Sicherheitsvorfälle münden, und in der Lage sind, die Auswirkungen von Sicherheitsvorfällen besser einzudämmen und effizienter zu reagieren. In Ermangelung von Leitlinien auf Unionsebene scheinen unterschiedliche Faktoren einen solchen Wissensaustausch verhindert zu haben, insbesondere die nicht geklärte Vereinbarkeit mit den Wettbewerbs- und Haftungsvorschriften.
Erwägungsgrund 120 Encouragement of information sharing
Die Einrichtungen sollten ermutigt und von den Mitgliedstaaten dabei unterstützt werden, ihre individuellen Kenntnisse und praktischen Erfahrungen auf strategischer, taktischer und operativer Ebene gemeinsam zu nutzen, damit sich ihre Fähigkeit verbessert, Sicherheitsvorfälle angemessen zu verhindern, zu erkennen, auf sie zu reagieren, sie zu bewältigen oder in ihrer Wirkung zu begrenzen. Daher muss dafür gesorgt werden, dass auf Unionsebene Vereinbarungen über den freiwilligen Informationsaustausch getroffen werden können. Zu diesem Zweck sollten die Mitgliedstaaten Einrichtungen, wie jene, die Cybersicherheitsdienste und -forschung anbieten, sowie einschlägige Einrichtungen, die nicht unter diese Richtlinie fallen, aktiv unterstützen und dazu anhalten, sich an solchen Vereinbarungen zum Austausch von Informationen über Cybersicherheit zu beteiligen. Diese Vereinbarungen sollten in Einklang mit den Wettbewerbsvorschriften der Union und dem Datenschutzrecht der Union getroffen werden.
Erwägungsgrund 139 Implementing acts on the Cooperation Group, measures and reporting
Um einheitliche Bedingungen für die Durchführung dieser Richtlinie zu gewährleisten, sollten der Kommission Durchführungsbefugnisse übertragen werden, um die für die Arbeitsweise der Kooperationsgruppe erforderlichen Verfahrensregelungen und die technischen und methodischen sowie sektorspezifischen Anforderungen an die Risikomanagementmaßnahmen im Bereich der Cybersicherheit festzulegen und die Art der Informationen, das Format und das Verfahren von Sicherheitsvorfällen, Cyberbedrohungen und Meldungen über Beinahe-Vorfälle und erhebliche Cyberbedrohungen sowie Fälle, in denen ein Sicherheitsvorfall als erheblich anzusehen ist, näher zu bestimmen. Diese Befugnisse sollten im Einklang mit der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates(23) ausgeübt werden.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Cyberbedrohung
(En. cyber threat)
Definition
Sicherheitsvorfall
(En. incident)
Definition
erhebliche Cyberbedrohung
(En. significant cyber threat)
Definition
IKT-Dienst
(En. ICT service)
Definition
Cybersicherheit
(En. cybersecurity)
Definition
Schwachstelle
(En. vulnerability)
Definition
IKT-Produkt
(En. ICT product)
Definition
Einrichtung
(En. entity)
Definition
Netz- und Informationssystem
(En. network and information system)
- ein elektronisches Kommunikationsnetz im Sinne des Artikels 2 Nummer 1 der Richtlinie (EU) 2018/1972,
- ein Gerät oder eine Gruppe miteinander verbundener oder zusammenhängender Geräte, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung digitaler Daten durchführen, oder
- digitale Daten, die von den — in den Buchstaben a und b genannten — Elementen zum Zwecke ihres Betriebs, ihrer Nutzung, ihres Schutzes und ihrer Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden;
Footnote 23