Source: OJ L 333, 27.12.2022, p. 80–152Current language: DE
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Artikel 9 Nationale Rahmen für das Cyberkrisenmanagement
Summary What does Article 9 of the NIS 2 directive say?
This article deals with how Member States must organise themselves to handle large-scale cybersecurity incidents and crises at a national level.
It requires each Member State to designate or establish dedicated cyber crisis management authorities, ensure they are adequately resourced, and align their operation with existing national crisis management frameworks.
The article also mandates that each Member State produce a formal national response plan covering preparedness, roles, procedures, and coordination at Union level — effectively building the national infrastructure needed to feed into the broader EU-level crisis coordination mechanisms, such as EU-CyCLONe, which is established under Article 16.
Important points:
- Member States are required to designate at least one cyber crisis management authority and, where multiple are designated, must clearly identify which one serves as the lead coordinator.
- Adopt a national large-scale cybersecurity incident and crisis response plan that covers preparedness objectives, authority responsibilities, crisis procedures, training activities, and arrangements for Union-level coordination.
- Member States must notify the Commission of their designated authority within three months of its establishment, and submit relevant details of their response plans to both the Commission and EU-CyCLONe within three months of those plans being adopted.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Jeder Mitgliedstaat benennt eine oder mehrere für das Management von Cybersicherheitsvorfällen großen Ausmaßes und Krisen zuständige Behörden (Behörden für das Cyberkrisenmanagement) oder richtet sie ein. Die Mitgliedstaaten stellen sicher, dass diese Behörden über angemessene Ressourcen verfügen, um die ihnen übertragenen Aufgaben wirksam und effizient ausführen zu können. Sie gewährleisten die Kohärenz mit den geltenden Rahmen für das allgemeine nationale Krisenmanagement.
Benennt ein Mitgliedstaat mehr als eine Behörde für das Cyberkrisenmanagement im Sinne von Absatz 1 oder richtet mehr als eine solche zuständige Behörde ein, so gibt er eindeutig an, welche dieser zuständigen Behörden als Koordinator für das Management von Cybersicherheitsvorfällen großen Ausmaßes und Krisen fungiert.
Jeder Mitgliedstaat ermittelt die Kapazitäten, Mittel und Verfahren, die im Fall einer Krise für die Zwecke dieser Richtlinie eingesetzt werden können.
Jeder Mitgliedstaat verabschiedet einen nationalen Plan für die Reaktion auf Cybersicherheitsvorfälle großen Ausmaßes und Krisen, in dem die Ziele und Modalitäten für das Management von Cybersicherheitsvorfällen großen Ausmaßes und Krisen festgelegt sind. In diesem Plan wird insbesondere Folgendes festgelegt:
die Ziele der nationalen Vorsorgenmaßnahmen und -tätigkeiten;
die Aufgaben und Zuständigkeiten der Behörden für das Cyberkrisenmanagement;
die Verfahren für das Cyberkrisenmanagement, einschließlich deren Integration in den nationalen Rahmen für das allgemeine Krisenmanagement, und die Kanäle für den Informationsaustausch;
die nationalen Vorsorgemaßnahmen, einschließlich Übungen und Ausbildungsmaßnahmen;
die einschlägigen öffentlichen und privaten Interessenträger und die betroffene Infrastruktur,
die zwischen den einschlägigen nationalen Behörden und Stellen vereinbarten nationalen Verfahren und Regelungen, die gewährleisten sollen, dass sich der Mitgliedstaat wirksam am koordinierten Management von Cybersicherheitsvorfällen großen Ausmaßes und Krisen auf Unionsebene beteiligen und dieses unterstützen kann.
Spätestens drei Monate nach der Benennung oder Einrichtung der in Absatz 1 genannten Behörde für das Cyberkrisenmanagement meldet jeder Mitgliedstaat der Kommission die Identität seiner Behörde und eventueller späterer Änderungen daran. Die Mitgliedstaaten übermitteln der Kommission und dem Europäischen Netzwerk der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe) einschlägige die Anforderungen nach Absatz 4 betreffende Informationen über ihre nationalen Pläne für die Reaktion auf Cybersicherheitsvorfälle großen Ausmaßes und Krisen innerhalb von drei Monaten nach dem Erlass dieser Pläne. Die Mitgliedstaaten können Informationen ausnehmen, wenn und soweit dies für ihre nationale Sicherheit erforderlich ist.
Relevant recitals
Erwägungsgrund 68 Crisis management
Die Mitgliedstaaten sollten über die bestehenden Kooperationsnetzwerke — insbesondere dem Europäischen Netzwerk der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe), das CSIRTs-Netzwerk und die Kooperationsgruppe — zur Schaffung des EU-Rahmens für die Reaktion auf Cybersicherheitskrisen gemäß der Empfehlung (EU) 2017/1584 der Kommission(15) beitragen. EU-CyCLONe und das CSIRTs-Netzwerk sollten auf der Grundlage von verfahrenstechnischen Vereinbarungen zusammenarbeiten, in denen die Einzelheiten dieser Zusammenarbeit festgelegt werden, und jegliche Doppelarbeit vermeiden. In der Geschäftsordnung von EU-CyCLONe sollten die Regelungen für das Funktionieren des Netzwerks genauer festgelegt werden, einschließlich der Funktion und Aufgaben des Netzwerks, Formen der Zusammenarbeit, Interaktionen mit anderen relevanten Akteuren und Vorlagen für den Informationsaustausch sowie Kommunikationsmittel. Für das Krisenmanagement auf Unionsebene sollten sich die relevanten Parteien auf die Integrierte Regelung für die politische Reaktion auf Krisen gemäß dem Durchführungsbeschluss (EU) 2018/1993 des Rates(16) (IPCR-Regelung) stützen. Die Kommission sollte zu diesem Zweck auf den sektorübergreifenden Krisenkoordinierungsprozess auf hoher Ebene, ARGUS, zurückgreifen. Berührt die Krise eine wichtige externe Dimension oder eine Dimension der Gemeinsamen Sicherheits- und Verteidigungspolitik, so sollte der Krisenreaktionsmechanismus des Europäischen Auswärtigen Dienstes ausgelöst werden.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Einrichtung
(En. entity)
Footnote 16
Footnote 15