Artikel 1 VO (EU) 2019/796

(1) Diese Verordnung gilt für Cyberangriffe mit erheblichen Auswirkungen, einschließlich versuchter Cyberangriffe mit potenziell erheblichen Auswirkungen, die eine äußere Bedrohung für die Union oder ihre Mitgliedstaaten darstellen.

(2) Zu Cyberangriffen, die eine äußere Bedrohung darstellen, zählen Cyberangriffe, die

a)

ihren Ausgang außerhalb der Union haben oder von dort durchgeführt werden,

b)

außerhalb der Union befindliche Infrastrukturen nutzen,

c)

von natürlichen oder juristischen Personen, Organisationen oder Einrichtungen, die außerhalb der Union ansässig oder tätig sind, durchgeführt werden oder

d)

mit Unterstützung, auf Anweisung oder unter der Kontrolle von natürlichen oder juristischen Personen, Organisationen oder Einrichtungen, die außerhalb der Union tätig sind, durchgeführt werden.

(3) Zu diesem Zweck sind Cyberangriffe Handlungen, die

a)

den Zugang zu Informationssystemen,

b)

den Eingriff in Informationssysteme,

c)

den Eingriff in Daten oder

d)

das Abfangen von Daten

umfassen, wenn diese Handlungen vom Eigentümer oder einem anderen Rechtsinhaber des Systems oder der Daten oder eines Teils des Systems oder der Daten nicht ordnungsgemäß gestattet wurden oder nach dem Recht der Union oder des betreffenden Mitgliedstaats nicht zulässig sind.

(4) Zu Cyberangriffen, die eine Bedrohung für die Mitgliedstaaten darstellen, zählen Cyberangriffe auf Informationssysteme, u. a. in den folgenden Bereichen:

a)

kritische Infrastrukturen, einschließlich Seekabel und in den Weltraum gestarteter Gegenstände, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind;

b)

Dienstleistungen, die für die Aufrechterhaltung wesentlicher sozialer und/oder wirtschaftlicher Tätigkeiten erforderlich sind, insbesondere in den Sektoren: Energie (Elektrizität, Öl und Gas), Verkehr (Luft, Schiene, Wasser und Straße), Bankenwesen, Finanzmarktinfrastrukturen, Gesundheitswesen (Gesundheitsdienstleister, Krankenhäuser und Privatkliniken), Trinkwasserlieferung und -versorgung oder digitale Infrastruktur und in anderen Sektoren, die für den betreffenden Mitgliedstaat von wesentlicher Bedeutung sind;

c)

kritische staatliche Funktionen, insbesondere in den Bereichen Verteidigung, Staatsführung und Funktionieren der Institutionen, u. a. im Zusammenhang mit Wahlen oder dem Wahlvorgang, Funktionieren der wirtschaftlichen und der zivilen Infrastruktur, innere Sicherheit sowie Außenbeziehungen, einschließlich mittels diplomatischer Missionen;

d)

Speicherung oder Verarbeitung von Verschlusssachen oder

e)

Katastrophenstäbe der Regierungen.

(5) Zu Cyberangriffen, die eine Bedrohung für die Union darstellen, zählen Cyberangriffe, die gegen ihre Organe, Einrichtungen und sonstigen Stellen, ihre Delegationen in Drittstaaten oder bei internationalen Organisationen, ihre Operationen und Missionen im Bereich der Gemeinsame Sicherheits- und Verteidigungspolitik (GSVP) und ihre Sonderbeauftragten geführt werden.

(6) Sofern dies für notwendig erachtet wird, um die in den einschlägigen Bestimmungen des Artikels 21 des Vertrags über die Europäische Union festgelegten Ziele der Gemeinsamen Außen- und Sicherheitspolitik (GASP) zu erreichen, können restriktive Maßnahmen gemäß dieser Verordnung auch zur Reaktion auf gegen Drittstaaten oder internationale Organisationen gerichtete Cyberangriffe mit erheblichen Auswirkungen angewandt werden.

(7) Für die Zwecke dieser Verordnung bezeichnet der Ausdruck

a)

„Informationssysteme” eine Vorrichtung oder eine Gruppe miteinander verbundener oder zusammenhängender Vorrichtungen, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung von digitalen Daten durchführen, sowie die von ihr oder ihnen zum Zwecke des Betriebs, der Nutzung, des Schutzes und der Pflege gespeicherten, verarbeiteten, abgerufenen oder übertragenen digitalen Daten;

b)

„Eingriff in Informationssysteme” eine Behinderung oder Störung des Betriebs eines Informationssystems durch Eingeben von digitalen Daten, durch Übermitteln, Beschädigen, Löschen, Beeinträchtigen, Verändern oder Unterdrücken von digitalen Daten oder durch Unzugänglichmachen von digitalen Daten;

c)

„Eingriff in Daten” das Löschen, Beschädigen, Beeinträchtigen, Verändern, Unterdrücken oder Unzugänglichmachen von digitalen Daten eines Informationssystems; hierunter fällt auch der Diebstahl von Daten, Geldern, wirtschaftlichen Ressourcen oder geistigem Eigentum;

d)

„Abfangen von Daten” das mit technischen Hilfsmitteln bewirkte Abfangen nichtöffentlicher digitaler Datenübermittlungen an ein Informationssystem, aus einem Informationssystem oder innerhalb eines Informationssystems, einschließlich elektromagnetischer Abstrahlungen aus einem Informationssystem, das Träger solcher digitaler Daten ist.

(8) Zusätzlich zu den vorstehenden Begriffsbestimmungen bezeichnet für die Zwecke dieser Verordnung der Ausdruck

a)

„Anspruch” jede vor oder nach Inkrafttreten dieser Verordnung erhobene Forderung, die mit der Durchführung eines Vertrags oder einer Transaktion im Zusammenhang steht, unabhängig davon, ob sie gerichtlich geltend gemacht wird oder wurde, und umfasst insbesondere

i)

Ansprüche auf Erfüllung einer Verpflichtung aus oder in Verbindung mit einem Vertrag oder einer Transaktion,

ii)

Ansprüche auf Verlängerung oder Zahlung einer finanziellen Garantie oder Gegengarantie in jeder Form,

iii)

Ansprüche auf Schadensersatz in Verbindung mit einem Vertrag oder einer Transaktion,

iv)

Gegenansprüche,

v)

Ansprüche auf Anerkennung oder Vollstreckung – auch im Wege der Zwangsvollstreckung – von Gerichtsurteilen, Schiedssprüchen oder gleichwertigen Entscheidungen, ungeachtet des Ortes, an dem sie ergangen sind;

b)

„Vertrag oder Transaktion” jede Transaktion, ungeachtet der Form und des anwendbaren Rechts, bei dem dieselben oder verschiedene Parteien einen oder mehrere Verträge abschließen oder vergleichbare Verpflichtungen eingehen; als „Vertrag” gelten auch alle Garantien, insbesondere finanzielle Garantien und Gegengarantien, sowie Kredite, rechtlich unabhängig oder nicht, ebenso alle Nebenvereinbarungen, die auf einem solchen Geschäft beruhen oder mit diesem im Zusammenhang stehen;

c)

„zuständige Behörden” die auf den in Anhang II aufgeführten Internetseiten angegebenen zuständigen Behörden der Mitgliedstaaten;

d)

„wirtschaftliche Ressourcen” Vermögenswerte jeder Art, unabhängig davon, ob sie materiell oder immateriell, beweglich oder unbeweglich sind, bei denen es sich nicht um Gelder handelt, die aber für den Erwerb von Geldern, Waren oder Dienstleistungen verwendet werden können;

e)

„Einfrieren von wirtschaftlichen Ressourcen” die Verhinderung jeder Art von Verwendung wirtschaftlicher Ressourcen für den Erwerb von Geldern, Waren oder Dienstleistungen, die auch den Verkauf, das Vermieten oder das Verpfänden dieser Ressourcen einschließt, sich aber nicht darauf beschränkt;

f)

„Einfrieren von Geldern” die Verhinderung jeglicher Form der Bewegung, des Transfers, der Veränderung und der Verwendung von Geldern sowie des Zugangs zu ihnen oder ihres Einsatzes, wodurch das Volumen, die Höhe, die Belegenheit, das Eigentum, der Besitz, die Eigenschaften oder die Zweckbestimmung der Gelder verändert oder jegliche sonstigen Veränderungen bewirkt werden, die eine Nutzung der Gelder einschließlich der Vermögensverwaltung ermöglichen;

g)

„Gelder” finanzielle Vermögenswerte und Vorteile jeder Art, die Folgendes einschließen, aber nicht darauf beschränkt sind:

i)

Bargeld, Schecks, Geldforderungen, Wechsel, Zahlungsanweisungen und andere Zahlungsmittel,

ii)

Einlagen bei Finanzinstituten oder anderen Einrichtungen, Guthaben auf Konten, Zahlungsansprüche und verbriefte Forderungen,

iii)

öffentlich und privat gehandelte Wertpapiere und Schuldtitel einschließlich Aktien und Anteilen, Wertpapierzertifikate, Obligationen, Schuldscheine, Optionsscheine, Pfandbriefe und Derivate,

iv)

Zinserträge, Dividenden oder andere Einkünfte oder Wertzuwächse aus Vermögenswerten,

v)

Kredite, Rechte auf Verrechnung, Bürgschaften, Vertragserfüllungsgarantien und andere finanzielle Ansprüche,

vi)

Akkreditive, Konnossemente und Übereignungsurkunden sowie

vii)

Dokumente zur Verbriefung von Anteilen an Fondsvermögen oder anderen Finanzressourcen;

h)

„Gebiet der Union” die Hoheitsgebiete der Mitgliedstaaten, in denen der Vertrag Anwendung findet, nach Maßgabe der im Vertrag festgelegten Bedingungen, einschließlich ihres Luftraums.