Artikel 3 VO (EU) 2024/1366

Es gelten die folgenden Begriffsbestimmungen:

1.

„Vermögenswert” bezeichnet alle Informationen sowie jede Software oder Hardware, gleich ob materieller oder immaterieller Art, in Netz- und Informationssystemen, die für eine natürliche Person, eine Organisation oder eine Regierung von Wert sind;

2.

„für die Risikovorsorge zuständige Behörde” bezeichnet die gemäß Artikel 3 der Verordnung (EU) 2019/941 benannte zuständige Behörde;

3.

„Computer-Notfallteam” bezeichnet ein gemäß Artikel 10 der Richtlinie (EU) 2022/2555 für die Bewältigung von Risiken und Sicherheitsvorfällen zuständiges Team;

4.

„Vermögenswert mit kritischen Auswirkungen” bezeichnet einen Vermögenswert, der für die Durchführung eines Prozesses mit kritischen Auswirkungen erforderlich ist;

5.

„Einrichtung mit kritischen Auswirkungen” bezeichnet eine Einrichtung, die einen Prozess mit kritischen Auswirkungen durchführt und von den zuständigen Behörden gemäß Artikel 24 bestimmt wird;

6.

„Perimeter mit kritischen Auswirkungen” bezeichnet einen von einer in Artikel 2 Absatz 1 genannten Einrichtung definierten Perimeter, der alle Vermögenswerte mit kritischen Auswirkungen umfasst und in dem der Zugang zu diesen Vermögenswerten kontrolliert werden kann und der den Anwendungsbereich bestimmt, in dem die erweiterten Cybersicherheitskontrollen anzuwenden sind;

7.

„Prozess mit kritischen Auswirkungen” bezeichnet einen Geschäftsprozess einer Einrichtung, dessen Indizes für die Auswirkungen auf die Cybersicherheit im Elektrizitätssektor über dem Schwellenwert für kritische Auswirkungen liegen;

8.

„Schwellenwert für kritische Auswirkungen” bezeichnet die Werte der in Artikel 19 Absatz 3 Buchstabe b genannten Indizes für die Auswirkungen auf die Cybersicherheit im Elektrizitätssektor, bei deren Überschreitung ein Cyberangriff auf einen Geschäftsprozess zu einer kritischen Störung grenzüberschreitender Stromflüsse führt;

9.

„Anbieter kritischer IKT-Dienste” bezeichnet eine Einrichtung, die einen IKT-Dienst oder einen IKT-Prozess bereitstellt, der für einen Prozess mit kritischen oder erheblichen Auswirkungen, der sich auf Cybersicherheitsaspekte grenzüberschreitender Stromflüsse auswirkt, erforderlich ist und bei dessen Kompromittierung ein Cyberangriff erfolgen könnte, dessen Auswirkungen den Schwellenwert für kritische oder erhebliche Auswirkungen überschreiten;

10.

„grenzüberschreitender Stromfluss” bezeichnet einen grenzüberschreitenden Stromfluss im Sinne des Artikels 2 Nummer 3 der Verordnung (EU) 2019/943;

11.

„Cyberangriff” bezeichnet einen Vorfall im Sinne des Artikels 3 Nummer 14 der Verordnung (EU) 2022/2554;

12.

„Cybersicherheit” bezeichnet Cybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881;

13.

„Cybersicherheitskontrolle” bezeichnet die zur Vermeidung, Erkennung, Bekämpfung oder Minimierung von Cybersicherheitsrisiken durchgeführten Maßnahmen oder Verfahren;

14.

„Cybersicherheitsvorfall” bezeichnet einen Vorfall im Sinne des Artikels 6 Nummer 6 der Richtlinie (EU) 2022/2555;

15.

„Cybersicherheitsmanagementsystem” bezeichnet die Konzepte, Verfahren, Leitlinien sowie die damit verbundenen Ressourcen und Tätigkeiten, die von einer Einrichtung insgesamt verwaltet werden, um ihre Informationsressourcen vor Cyberbedrohungen zu schützen, wobei die Sicherheit der Netz- und Informationssysteme einer Organisation systematisch bestimmt, umgesetzt, betrieben, überwacht, überprüft, aufrechterhalten und verbessert wird;

16.

„Betriebszentrum für Cybersicherheit” bezeichnet ein spezielles Zentrum, in dem ein aus einem oder mehreren Sachverständigen bestehendes technisches Team mithilfe von IT-Systemen für Cybersicherheit sicherheitsbezogene Aufgaben (Dienste von Cybersicherheits-Betriebszentren, CSOC-Dienste) wahrnimmt, wie z. B. den Umgang mit Cyberangriffen und Fehlern bei der Sicherheitskonfiguration, Sicherheitsüberwachung, Protokollanalyse und die Erkennung von Cyberangriffen;

17.

„Cyberbedrohung” bezeichnet eine Cyberbedrohung im Sinne des Artikels 2 Nummer 8 der Verordnung (EU) 2019/881;

18.

„Schwachstellenmanagement im Bereich der Cybersicherheit” bezeichnet die Praxis, Schwachstellen zu ermitteln und zu beheben;

19.

„Einrichtung” bezeichnet eine Einrichtung im Sinne des Artikels 6 Nummer 38 der Richtlinie (EU) 2022/2555;

20.

„Frühwarnung” bezeichnet die erforderliche Unterrichtung, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte;

21.

„Index für die Auswirkungen auf die Cybersicherheit im Elektrizitätssektor” (ECII) bezeichnet einen Index oder eine Klassifizierungsskala, mit dem/der die möglichen Folgen von Cyberangriffen auf Geschäftsprozesse im Zusammenhang mit grenzüberschreitenden Stromflüssen eingestuft werden;

22.

„europäisches Schema für die Cybersicherheitszertifizierung” bezeichnet ein Schema im Sinne des Artikels 2 Nummer 9 der Verordnung (EU) 2019/881;

23.

„Einrichtung mit erheblichen Auswirkungen” bezeichnet eine Einrichtung, die einen Prozess mit erheblichen Auswirkungen durchführt und von den zuständigen Behörden gemäß Artikel 24 ermittelt wird;

24.

„Prozess mit erheblichen Auswirkungen” bezeichnet jeden Geschäftsprozess einer Einrichtung, dessen Indizes für die Auswirkungen von Cybersicherheitsvorfällen im Elektrizitätssektor über den Schwellenwerten für erhebliche Auswirkungen liegen;

25.

„Vermögenswert mit erheblichen Auswirkungen” bezeichnet einen Vermögenswert, der für die Durchführung eines Prozesses mit erheblichen Auswirkungen erforderlich ist;

26.

„Schwellenwert für erhebliche Auswirkungen” bezeichnet die Werte der in Artikel 19 Absatz 3 Buchstabe b genannten Indizes für die Auswirkungen von Cybersicherheitsvorfällen im Elektrizitätssektor, bei deren Überschreitung ein erfolgreich durchgeführter Cyberangriff auf einen Prozess zu einer erheblichen Störung grenzüberschreitender Stromflüsse führt;

27.

„Perimeter mit erheblichen Auswirkungen” bezeichnet einen von einer der in Artikel 2 Absatz 1 aufgeführten Einrichtungen definierten Perimeter, der alle Vermögenswerte mit erheblichen Auswirkungen umfasst und in dem der Zugang zu diesen Vermögenswerten kontrolliert werden kann und der den Anwendungsbereich bestimmt, in dem die Mindestsicherheitskontrollen anzuwenden sind;

28.

„IKT-Produkt” bezeichnet ein IKT-Produkt im Sinne des Artikels 2 Nummer 12 der Verordnung (EU) 2019/881;

29.

„IKT-Dienst” bezeichnet einen IKT-Dienst im Sinne des Artikels 2 Nummer 13 der Verordnung (EU) 2019/881;

30.

„IKT-Prozess” bezeichnet einen IKT-Prozess im Sinne des Artikels 2 Nummer 14 der Verordnung (EU) 2019/881;

31.

„Altsystem” bezeichnet ein IKT-Altsystem im Sinne des Artikels 3 Nummer 3 der Verordnung (EU) 2022/2554;

32.

„nationale zentrale Anlaufstelle” bezeichnet die von jedem Mitgliedstaat gemäß Artikel 8 Absatz 3 der Richtlinie (EU) 2022/2555 benannte oder eingerichtete zentrale Anlaufstelle;

33.

„NIS-Behörden für das Cyberkrisenmanagement” bezeichnet die gemäß Artikel 9 Absatz 1 der Richtlinie (EU) 2022/2555 benannten oder eingerichteten Behörden;

34.

„Urheber” bezeichnet eine Einrichtung, die einen Informationsaustausch, eine Informationsübermittlung oder die Speicherung von Informationen einleitet;

35.

„Spezifikationen für die Auftragsvergabe” bezeichnet die von Einrichtungen für die Beschaffung neuer oder aktualisierter IKT-Produkte, -Prozesse oder -Dienste festgelegten Spezifikationen;

36.

„Vertreter” bezeichnet eine in der Union niedergelassene natürliche oder juristische Person, die ausdrücklich dafür benannt wurde, im Namen einer Einrichtung mit erheblichen oder kritischen Auswirkungen, die nicht in der Union niedergelassen ist, aber Dienstleistungen für Einrichtungen in der Union erbringt, zu handeln, und an die sich eine zuständige Behörde oder ein CSIRT — statt an die Einrichtung mit erheblichen oder kritischen Auswirkungen — in Bezug auf die in dieser Verordnung festgelegten Verpflichtungen dieser Einrichtung wenden kann;

37.

„Risiko” bezeichnet ein Risiko im Sinne des Artikels 6 Nummer 9 der Richtlinie (EU) 2022/2555;

38.

„Risiko-Auswirkungs-Matrix” bezeichnet eine Matrix, die bei der Risikobewertung genutzt wird, um für jedes bewertete Risiko die mit ihm verbundenen Auswirkungen zu bestimmen;

39.

„zeitgleich auftretende Stromversorgungskrise” bezeichnet eine Stromversorgungskrise im Sinne des Artikels 2 Nummer 10 der Verordnung (EU) 2019/941;

40.

„zentrale Anlaufstelle auf Ebene der Einrichtung” bezeichnet eine zentrale Anlaufstelle bei der Einrichtung gemäß Artikel 38 Absatz 1 Buchstabe c;

41.

„Interessenträger” bezeichnet jede Partei, die am Erfolg und laufenden Betrieb einer Organisation oder eines Prozesses beteiligt ist, wie z. B. Beschäftigte, Direktoren, Anteilseigner, Regulierungsbehörden, Verbände, Lieferanten und Kunden;

42.

„Norm” bezeichnet eine Norm im Sinne des Artikels 2 Nummer 1 Buchstabe c der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates⁽¹⁾;

43.

„Netzbetriebsregion” bezeichnet die gemäß Artikel 36 der Verordnung (EU) 2019/943 festgelegten Netzbetriebsregionen, die in Anhang I der Entscheidung 05-2022 der ACER über die Definition der Netzbetriebsregionen bestimmt wurden;

44.

„Netzbetreiber” bezeichnet „Verteilernetzbetreiber” (VNB) und „Übertragungsnetzbetreiber” (ÜNB) im Sinne des Artikels 2 Nummer 29 bzw. Nummer 35 der Richtlinie (EU) 2019/944;

45.

„unionsweiter Prozess mit kritischen Auswirkungen” bezeichnet jeden Prozess im Elektrizitätssektor, an dem mehrere Einrichtungen beteiligt sein können und bei dem die möglichen Auswirkungen eines Cyberangriffs bei der Durchführung der unionsweiten Bewertung des Cybersicherheitsrisikos für kritisch erachtet werden können;

46.

„unionsweiter Prozess mit erheblichen Auswirkungen” bezeichnet jeden Prozess im Elektrizitätssektor, an dem mehrere Einrichtungen beteiligt sein können und bei dem die möglichen Auswirkungen eines Cyberangriffs bei der Durchführung der unionsweiten Bewertung des Cybersicherheitsrisikos für erheblich erachtet werden können;

47.

„aktiv ausgenutzte Schwachstelle ohne Patch” bezeichnet eine noch nicht öffentlich bekannt gegebene und noch nicht mit einem Patch versehene Schwachstelle, in Bezug auf die verlässliche Nachweise dafür vorliegen, dass ein Akteur ohne Zustimmung des Systemeigners einen schädlichen Programmcode in einem System ausgeführt hat;

48.

„Schwachstelle” bezeichnet eine Schwachstelle im Sinne des Artikels 6 Nummer 15 der Richtlinie (EU) 2022/2555.