Artikel 24 VO (EU) 2024/1366

(1) Jede zuständige Behörde ermittelt anhand des ECII und der Schwellenwerte für erhebliche und kritische Auswirkungen, die im Bericht über die unionsweite Bewertung des Cybersicherheitsrisikos gemäß Artikel 19 Absatz 3 Buchstabe b enthalten sind, die Einrichtungen mit erheblichen oder kritischen Auswirkungen in ihrem Mitgliedstaat, die an unionsweiten Prozessen mit erheblichen bzw. kritischen Auswirkungen beteiligt sind. Die zuständigen Behörden können von einer Einrichtung in ihrem Mitgliedstaat Informationen anfordern, um die ECII-Werte für diese Einrichtung zu bestimmen. Liegt der ermittelte ECII einer Einrichtung über dem Schwellenwert für erhebliche oder kritische Auswirkungen, wird die ermittelte Einrichtung in dem in Artikel 20 Absatz 2 genannten Bericht über die Bewertung des Cybersicherheitsrisikos des Mitgliedstaats aufgeführt.

(2) Jede zuständige Behörde ermittelt anhand des ECII und der Schwellenwerte für erhebliche und kritische Auswirkungen aus dem Bericht über die unionsweite Bewertung des Cybersicherheitsrisikos gemäß Artikel 19 Absatz 3 Buchstabe b die nicht in der Union niedergelassenen Einrichtungen mit erheblichen oder kritischen Auswirkungen, soweit sie in der Union tätig sind. Die zuständige Behörde kann von einer nicht in der Union niedergelassenen Einrichtung Informationen anfordern, um die ECII-Werte für die Einrichtung zu bestimmen.

(3) Jede zuständige Behörde kann weitere Einrichtungen in ihrem Mitgliedstaat als Einrichtungen mit erheblichen oder kritischen Auswirkungen einstufen, wenn die folgenden Kriterien erfüllt sind:

a)

Die Einrichtung ist Teil einer Gruppe von Einrichtungen, für die ein erhebliches Risiko besteht, dass sie zeitgleich Ziel eines Cyberangriffs sein könnten;

b)

der über die Gruppe von Einrichtungen aggregierte ECII liegt über dem Schwellenwert für erhebliche oder kritische Auswirkungen.

(4) Ermittelt eine zuständige Behörde gemäß Absatz 3 zusätzliche Einrichtungen, so gelten alle Prozesse dieser Einrichtungen, deren über die Gruppe aggregierter ECII über dem Schwellenwert für erhebliche Auswirkungen liegt, als Prozesse mit erheblichen Auswirkungen, und alle Prozesse, deren über die Gruppe aggregierter ECII über den Schwellenwerten für kritische Auswirkungen liegt, gelten als Prozesse mit kritischen Auswirkungen.

(5) Ermittelt eine zuständige Behörde Einrichtungen gemäß Absatz 3 Buchstabe a in mehr als einem Mitgliedstaat, so unterrichtet sie die anderen zuständigen Behörden, ENTSO-E und die EU-VNBO. ENTSO-E übermittelt den zuständigen Behörden in Zusammenarbeit mit der EU-VNBO auf der Grundlage der von allen zuständigen Behörden übermittelten Informationen eine Analyse der Aggregierung von Einrichtungen in mehr als einem Mitgliedstaat, die zu einer von verschiedenen Punkten ausgehenden Störung der grenzüberschreitenden Stromflüsse führen und einen Cyberangriff nach sich ziehen können. Wird eine Gruppe von Einrichtungen in mehreren Mitgliedstaaten als Aggregierung ermittelt, deren ECII über dem Schwellenwert für erhebliche oder kritische Auswirkungen liegt, so stufen alle betroffenen zuständigen Behörden die Einrichtungen in dieser Gruppe für ihren jeweiligen Mitgliedstaat auf der Grundlage des aggregierten ECII für die Gruppe der Einrichtungen als Einrichtungen mit erheblichen bzw. kritischen Auswirkungen ein, und die ermittelten Einrichtungen werden in den Bericht über die unionsweite Bewertung des Cybersicherheitsrisikos aufgenommen.

(6) Jede zuständige Behörde unterrichtet innerhalb von neun Monaten, nachdem ENTSO-E und die EU-VNBO den Bericht über die unionsweite Bewertung des Cybersicherheitsrisikos gemäß Artikel 19 Absatz 5 übermittelt haben, spätestens jedoch bis zum 13 Juni 2028, die in der Liste aufgeführten Einrichtungen, dass sie in ihrem Mitgliedstaat als Einrichtungen mit erheblichen oder kritischen Auswirkungen eingestuft wurden.

(7) Wird einer zuständigen Behörde ein Diensteanbieter als Anbieter kritischer IKT-Dienste gemäß Artikel 27 Buchstabe c gemeldet, so teilt sie dies den zuständigen Behörden der Mitgliedstaaten mit, in deren Hoheitsgebiet sich der Sitz oder der Vertreter befindet. Die letztgenannte zuständige Behörde teilt dem Diensteanbieter mit, dass er als Anbieter kritischer Dienste eingestuft wurde.