Artikel 13a RL 2002/21/EG

(1) Die Mitgliedstaaten stellen sicher, dass Unternehmen, die öffentliche Kommunikationsnetze oder öffentlich zugängliche elektronische Kommunikationsdienste bereitstellen, angemessene technische und organisatorische Maßnahmen zur angemessenen Beherrschung der Risiken für die Sicherheit von Netzen und Diensten ergreifen. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik ein Sicherheitsniveau gewährleisten, das angesichts des bestehenden Risikos angemessen ist. Insbesondere sind Maßnahmen zu ergreifen, um Auswirkungen von Sicherheitsverletzungen für Nutzer und zusammengeschaltete Netze zu vermeiden und so gering wie möglich zu halten.

(2) Die Mitgliedstaaten stellen sicher, dass Unternehmen, die öffentliche Kommunikationsnetze bereitstellen, alle geeigneten Maßnahmen ergreifen, um die Integrität ihrer Netze zu gewährleisten und dadurch die fortlaufende Verfügbarkeit der über diese Netze erbrachten Dienste sicherzustellen.

(3) Die Mitgliedstaaten stellen sicher, dass Unternehmen, die öffentliche Kommunikationsnetze oder öffentlich zugängliche elektronische Kommunikationsdienste bereitstellen, der zuständigen nationalen Regulierungsbehörde eine Verletzung der Sicherheit oder einen Verlust der Integrität mitteilen, die bzw. der beträchtliche Auswirkungen auf den Betrieb der Netze oder die Bereitstellung der Dienste hatte.

Gegebenenfalls unterrichtet die betroffene nationale Regulierungsbehörde die nationalen Regulierungsbehörden der anderen Mitgliedstaaten und die Europäische Agentur für Netz- und Informationssicherheit (ENISA). Die betroffene nationale Regulierungsbehörde kann die Öffentlichkeit unterrichten oder die Unternehmen zu dieser Unterrichtung verpflichten, wenn sie zu dem Schluss gelangt, dass die Bekanntgabe der Verletzung im öffentlichen Interesse liegt.

Einmal pro Jahr legt die betroffene nationale Regulierungsbehörde der Kommission und der ENISA einen zusammenfassenden Bericht über die eingegangenen Mitteilungen und die gemäß diesem Absatz ergriffenen Maßnahmen vor.

(4) Die Kommission kann geeignete technische Durchführungsmaßnahmen zur Harmonisierung der in den Absätzen 1, 2 und 3 genannten Maßnahmen beschließen, einschließlich solcher Maßnahmen, mit denen Umstände, Form und Verfahren der vorgeschriebenen Mitteilungen festgelegt werden, wobei sie weitestgehend die Stellungnahme der ENISA berücksichtigt. Diese technischen Durchführungsmaßnahmen werden so weit wie möglich auf europäische und internationale Normen gestützt; durch diese Maßnahmen werden die Mitgliedstaaten nicht daran gehindert, zusätzliche Anforderungen festzulegen, um die in den Absätzen 1 und 2 dargelegten Ziele zu erreichen.

Diese Durchführungsmaßnahmen zur Änderung nicht wesentlicher Bestimmungen dieser Richtlinie durch Ergänzung werden nach dem in Artikel 22 Absatz 3 genannten Regelungsverfahren mit Kontrolle erlassen.