Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit)

(Text von Bedeutung für den EWR) (ABl. L 151 S. 15) CELEX 3 2019 R 0881 DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION – gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 114, auf Vorschlag der Europäischen Kommission, nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente, nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses zur Fussnote 1, nach Stellungnahme des Ausschusses der Regionen zur Fussnote 2, gemäß dem ordentlichen Gesetzgebungsverfahren zur Fussnote 3, in Erwägung nachstehender Gründe: (1) Netz- und Informationssysteme sowie elektronische Kommunikationsnetze und -dienste spielen eine lebenswichtige Rolle in der Gesellschaft und sind mittlerweile zum Hauptmotor des Wirtschaftswachstums geworden. Die Informations- und Kommunikationstechnologien (IKT) bilden das Rückgrat der komplexen Systeme, die alltägliche gesellschaftliche Tätigkeiten unterstützen und unsere Volkswirtschaften in Schlüsselsektoren wie Gesundheit, Energie, Finanzen und Verkehr aufrechterhalten und die insbesondere dafür sorgen, dass der Binnenmarkt reibungslos funktioniert. (2) Die Nutzung von Netz- und Informationssystemen durch Bürger, Organisationen und Unternehmen ist mittlerweile in der Union allgegenwärtig. Digitalisierung und Konnektivität entwickeln sich zu Kernmerkmalen einer ständig steigenden Zahl von Produkten und Dienstleistungen; mit dem Aufkommen des Internets der Dinge dürften in den nächsten Jahrzehnten eine extrem hohe Zahl vernetzte digitale Geräte unionsweit Verbreitung finden. Zwar sind immer mehr Geräte mit dem Internet vernetzt, doch verfügen sie über eine nur unzureichende Cybersicherheit, da die Sicherheit und Abwehrfähigkeit dieser Geräte schon bei der Konzeption nicht ausreichend berücksichtigt wurden. In diesem Zusammenhang führt das geringe Maß an Zertifizierung dazu, dass Personen, Organisationen und Unternehmen die IKT-Produkte, -Dienste und -prozesse nutzen, nur unzureichend über deren Cybersicherheitsmerkmale informiert werden, wodurch das Vertrauen in digitale Lösungen untergraben wird. Netz- und Informationssysteme können uns das Leben in jeder Hinsicht erleichtern und das Wirtschaftswachstum der Union anzukurbeln. Sie spielen eine tragende Rolle bei der Verwirklichung des digitalen Binnenmarkts. (3) Mit der zunehmenden Digitalisierung und Vernetzung steigen auch die Cybersicherheitsrisiken, wodurch die Gesellschaft insgesamt anfälliger für Cyberbedrohungen wird und die Gefahren zunehmen, denen Privatpersonen und insbesondere schutzbedürftige Personen wie Kinder ausgesetzt sind. Um diesen Gefahren zu begegnen, gilt es, alle für die Erhöhung der Cybersicherheit in der Union notwendigen Maßnahmen zu ergreifen, damit die Netz- und Informationssysteme, die Kommunikationsnetze und die digitalen Produkte, Dienste und Geräte, die von Bürgern, Organisationen und Unternehmen – von kleinen und mittleren Unternehmen (KMU) im Sinne der Empfehlung 2003/361/EG der Kommission zur Fussnote 4 bis zu Betreibern kritischer Infrastrukturen – genutzt werden, besser vor Cyberbedrohungen geschützt sind. (4) Durch das Zurverfügungstellung einschlägiger Informationen für die Öffentlichkeit trägt die mit der Verordnung (EU) Nr. 526/2013 des Europäischen Parlaments und des Rates zur Fussnote 5 errichtete Agentur der Europäischen Union für Netz- und Informationssicherheit (im Folgenden „ENISA“) zur Entwicklung der Cybersicherheitsbranche in der Union, insbesondere von KMU und Start-ups, bei. Die ENISA sollte sich um eine engere Zusammenarbeit mit Universitäten und Forschungseinrichtungen bemühen, um einen Beitrag zur Verringerung der Abhängigkeit von Cybersicherheitsprodukten und -diensten von außerhalb der Union zu leisten und die Lieferketten innerhalb der Union zu stärken. (5) Cyberangriffe nehmen zu und eine Wirtschaft und Gesellschaft, die durch ihre Vernetzung anfälliger für Cyberbedrohungen und -angriffe ist, benötigt daher einen stärkeren Schutz. Obwohl jedoch die Cyberangriffe häufig grenzüberschreitend sind, sind die Zuständigkeiten und Reaktionen der für die Cybersicherheit und für die Strafverfolgung zuständigen Behörden vor allem national. Sicherheitsvorfälle großen Ausmaßes könnten die Bereitstellung wesentlicher Dienste in der gesamten Union empfindlich stören. Notwendig sind daher effektive und koordinierte Maßnahmen sowie ein Krisenmanagement auf Unionsebene, gestützt auf gezielte Strategien, sowie ein breiter angelegtes Instrumentarium für europäische Solidarität und gegenseitige Hilfe. Zudem sind daher eine auf zuverlässigen Daten der Union basierende regelmäßige Überprüfung des Stands der Cybersicherheit und der Abwehrfähigkeit in der Union sowie eine systematische Prognose künftiger Entwicklungen, Herausforderungen und Bedrohungen – auf Unionsebene und auf globaler Ebene – für die Entscheidungsträger, die Branche und die Nutzer gleichermaßen wichtig. (6) Angesichts immer größerer Herausforderungen, die sich der Union im Bereich der Cybersicherheit stellen, bedarf es eines umfassenden Maßnahmenpakets, das auf den bisherigen Maßnahmen der Union aufbauen und sich wechselseitig