Art. 21 REG_2023_2841 – Berichterstattungspflichten

(1)Ein Sicherheitsvorfall gilt als erheblich, wenn a) er eine schwerwiegende Störung des Betriebs der betreffenden Einrichtung der Union oder einen finanziellen Verlust für sie verursacht hat oder verursachen kann, b) er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.

(2)Die Einrichtungen der Union übermitteln dem CERT-EU: a) unverzüglich und in jedem Fall spätestens 24 Stunden, nachdem sie von dem erheblichen Sicherheitsvorfall Kenntnis erlangt haben, eine Frühwarnung, in der gegebenenfalls angegeben wird, dass der erhebliche Sicherheitsvorfall vermutlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist bzw. sich einrichtungs- oder auch grenzübergreifend auswirken könnte, b) unverzüglich, in jedem Fall aber spätestens 72 Stunden, nachdem sie von dem erheblichen Sicherheitsvorfall Kenntnis erlangt haben, eine Meldung des Sicherheitsvorfall, in dem gegebenenfalls die unter Buchstabe a genannten Informationen aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie, soweit verfügbar, die Kompromittierungssindikatoren angegeben werden, c) auf Ersuchen des CERT-EU einen Zwischenbericht über relevante Statusaktualisierungen, d) spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Buchstabe b einen Abschlussbericht, der Folgendes enthält: i) eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, ii) Angaben zur Art der Bedrohung bzw. zugrunde liegenden Ursache, die den Sicherheitsvorfall wahrscheinlich ausgelöst hat, iii) Angaben zu den getroffenen und laufenden Abhilfemaßnahmen, iv) gegebenenfalls die grenz- bzw. einrichtungsübergreifenden Auswirkungen des Sicherheitsvorfalls, e) im Falle eines zum Zeitpunkt der Vorlage des Abschlussberichts gemäß Buchstabe d andauernden Sicherheitsvorfalls einen Fortschrittsbericht zu diesem Zeitpunkt und innerhalb eines Monats nach Behandlung des Vorfalls einen Abschlussbericht.

(3)Eine Einrichtung der Union unterrichtet unverzüglich, in jedem Fall aber innerhalb von 24 Stunden, nachdem sie Kenntnis von einem erheblichen Sicherheitsvorfall erlangt hat, alle in Artikel 17 Absatz 1 genannten einschlägigen entsprechenden mitgliedstaatlichen Stellen in dem Mitgliedstaat, in dem sie angesiedelt ist, darüber, dass ein erheblicher Sicherheitsvorfall aufgetreten ist.

(4)Die Einrichtungen der Union melden unter anderem sämtliche Informationen, die das CERT-EU in die Lage versetzen, die Auswirkungen eines erheblichen Sicherheitsvorfalls auf andere Einrichtungen und auf den Aufnahmemitgliedstaat bzw. seine grenzübergreifenden Auswirkungen zu ermitteln.

Unbeschadet des Artikels 12 wird mit der bloßen Meldung keine höhere Haftung der Einrichtung der Union begründet.

(5)Gegebenenfalls teilen die Einrichtungen der Union den Nutzern der betroffenen Netz- und Informationssysteme oder anderer Komponenten des IKT-Umgebung, die potenziell von einem erheblichen Sicherheitsvorfall oder einer erheblichen Cyberbedrohung betroffen sind und gegebenenfalls Abhilfemaßnahmen treffen müssen, unverzüglich alle Maßnahmen oder Abhilfemaßnahmen mit, die sie als Reaktion auf diesen Sicherheitsvorfall bzw. diese Cyberbedrohung ergreifen können.

Erforderlichenfalls informieren die Einrichtungen der Union diese Nutzer über die erhebliche Cyberbedrohung selbst.

(6)Betrifft ein erheblicher Sicherheitsvorfall oder eine erhebliche Cyberbedrohung ein Netz- und Informationssystem oder eine Komponente der IKT-Umgebung einer Einrichtung der Union, von der bekannt ist, dass sie mit der IKT-Umgebung einer anderen Einrichtung der Union verbunden ist, gibt das CERT-EU unverzüglich eine entsprechende Cybersicherheitswarnung aus.

(7)Die Einrichtungen der Union übermitteln dem CERT-EU auf dessen Anfrage unverzüglich die digitalen Informationen, die bei der Nutzung von den an den jeweiligen Sicherheitsvorfällen beteiligten Geräten erzeugt wurden.

Das CERT-EU kann weitere Angaben zu den Arten von Informationen machen, die es für die Lageerfassung und die Reaktion auf den Sicherheitsvorfall benötigt.

(8)Das CERT-EU übermittelt dem IICB, der ENISA, dem EU INTCEN und dem CSIRTs-Netz alle drei Monate einen zusammenfassenden Bericht mit anonymisierten und aggregierten Daten zu erheblichen Sicherheitsvorfällen, Sicherheitsvorfällen, Cyberbedrohungen, Beinahe-Vorfällen und Schwachstellen gemäß Artikel 20 sowie zu erheblichen Sicherheitsvorfällen, die gemäß Absatz 2 dieses Artikels gemeldet wurden.

Der zusammenfassende Bericht bildet einen Beitrag zum Zweijahresbericht über den Stand der Cybersicherheit in der Union, der gemäß Artikel 18 der Richtlinie (EU) 2022/2555 angenommen wird.

(9)Der IICB gibt bis zum 8.

Juli 2024 Leitlinien oder Empfehlungen heraus, in denen die Modalitäten, das Format und der Inhalt der Berichterstattung gemäß diesem Artikel näher festgelegt werden.

Bei der Ausarbeitung solcher Leitlinien oder Empfehlungen berücksichtigt der IICB alle gemäß Artikel 23 Absatz 11 der Richtlinie (EU) 2022/2555 erlassenen Durchführungsrechtsakte, in denen die Art der Angaben, das Format und das Verfahren der Meldungen festgelegt werden.

Das CERT-EU verbreitet die sachdienlichen technischen Einzelheiten, um eine proaktive Erkennung und Reaktion oder Abhilfemaßnahmen durch die Einrichtungen der Union zu ermöglichen.

(10)Die in diesem Artikel festgelegten Berichterstattungspflichten erstrecken sich nicht auf a) EU-VS, b) Informationen, deren Weiterverbreitung durch eine sichtbare Kennzeichnung ausgeschlossen wurde, es sei denn, ihre Weitergabe an das CERT-EU wurde ausdrücklich gestattet.

Diese Seite zeigt die aktuelle Fassung (Quelle: © Europäische Union, https://eur-lex.europa.eu). Für tagesaktuelle, zitiersichere Abfragen lässt sich Art. 21 REG_2023_2841 und jede andere deutsche oder europäische Rechtsquelle live per Lawbster-MCP abrufen.

Kann ich Art. 21 REG_2023_2841 direkt in ChatGPT oder Claude abfragen?

Ja. Über Lawbster (MCP-Server) greifen KI-Assistenten wie Claude, ChatGPT, Cursor und Copilot Studio — oder eigene Anwendungen per REST-API — direkt auf den tagesaktuellen Volltext deutscher und europäischer Gesetze, Verordnungen und Gerichtsentscheidungen zu. Free-Tier verfügbar.

Diese Norm ist Teil von Lawbster — verifizierte deutsche und europäische Gesetze, Verordnungen und Gerichtsentscheidungen, live in jedem KI-Assistenten per MCP (Claude, ChatGPT, Cursor, Copilot Studio u. a.) oder über die REST-API. API-Key holen.