Source: OJ L 333, 27.12.2022, p. 80–152Current language: DE
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Artikel 40 Überprüfung
Summary What does Article 40 of the NIS 2 directive say?
This is a review clause that places an obligation on the Commission to periodically assess how the Directive is functioning in practice.
The focus of the review is notably specific: rather than a general health-check, it targets whether the scoping criteria — entity size, sectors, subsectors, and types of entity — remain appropriate for the economy and society from a cybersecurity perspective.
To inform this assessment, the Commission must draw on the outputs of the Cooperation Group and the CSIRTs network, connecting this article directly to those cooperative bodies established elsewhere in the Directive.
Important points:
- The Commission is required to conduct a review by 17 October 2027 and every 36 months after that, reporting to the European Parliament and the Council.
- The review must specifically assess whether the size thresholds and sectoral scope set out in Annexes I and II remain fit for purpose in relation to cybersecurity.
- The report may be accompanied by a legislative proposal, meaning the Directive's scope could be revised as a result of the review.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Bis zum 17. Oktober 2027 und danach alle 36 Monate überprüft die Kommission die Anwendung dieser Richtlinie und erstattet dem Europäischen Parlament und dem Rat Bericht. In dem Bericht wird insbesondere die Relevanz der Größe der betreffenden Einrichtungen, und der Sektoren, der Teilsektoren und der Arten der in den Anhängen I und II genannten Einrichtung für das Funktionieren der Wirtschaft und Gesellschaft in Bezug auf die Cybersicherheit bewertet. Zu diesem Zweck berücksichtigt die Kommission im Hinblick auf die weitere Förderung der strategischen und operativen Zusammenarbeit die Berichte der Kooperationsgruppe und des CSIRTs-Netzwerks über die auf strategischer und operativer Ebene gemachten Erfahrungen. Dem Bericht ist erforderlichenfalls ein Gesetzgebungsvorschlag beizufügen.
Relevant recitals
Erwägungsgrund 140 Periodic review of this Directive
Die Kommission sollte diese Richtlinie regelmäßig nach Abstimmung mit den Interessenträgern überprüfen, insbesondere um festzustellen, ob angesichts veränderter gesellschaftlicher, politischer oder technischer Bedingungen oder veränderter Marktbedingungen Änderungen vorgeschlagen werden sollten. Im Rahmen dieser Überprüfungen sollte die Kommission die Bedeutung der Größe der betreffenden Einrichtungen und der in den Anhängen dieser Richtlinie genannten Sektoren, Teilsektoren und Arten von Einrichtungen für das Funktionieren von Wirtschaft und Gesellschaft in Bezug auf die Cybersicherheit bewerten. Die Kommission sollte unter anderem prüfen, ob Anbieter die in den Anwendungsbereich dieser Richtlinie fallen und die als sehr große Online-Plattformen im Sinne des Artikels 33 der Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates(24) benannt sind, als wesentliche Einrichtungen im Sinne dieser Richtlinie ermittelt werden könnten.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Cybersicherheit
(En. cybersecurity)
Definition
Einrichtung
(En. entity)
Footnote 24