Art. 16 REG_2025_38 – Umsetzung der Unterstützung aus der EU-Cybersicherheitsreserve

(1)Im Falle von Anträgen von in Artikel 14 Absatz 3 Buchstaben a und b genannten Nutzern werden Anträge auf Unterstützung aus der EU-Cybersicherheitsreserve vom öffentlichen Auftraggeber geprüft.

Eine Antwort wird den in Artikel 14 Absatz 3 Buchstaben a und b genannten Nutzern unverzüglich und in jedem Fall spätestens 48 Stunden nach Einreichung des Antrags übermittelt, damit die Wirksamkeit der Unterstützung sichergestellt ist.

Der öffentliche Auftraggeber unterrichtet den Rat und die Kommission über die Ergebnisse des Verfahrens.

(2)In Bezug auf im Zuge der Beantragung und Bereitstellung der Dienste der EU-Cybersicherheitsreserve weitergegebene Informationen sind alle an der Anwendung der vorliegenden Verordnung beteiligten Parteien verpflichtet, a) die Verwendung und Weitergabe dieser Informationen auf das zur Erfüllung ihrer Pflichten oder Aufgaben im Rahmen der vorliegenden Verordnung erforderliche Maß zu beschränken, b) Informationen, die gemäß Unionsrecht und nationalem Recht vertraulich oder als Verschlusssache eingestuft sind, nur gemäß diesem Recht zu verwenden und weiterzugeben und c) einen wirksamen, effizienten und sicheren Informationsaustausch, gegebenenfalls durch Verwendung und Einhaltung der einschlägigen Protokolle für die Weitergabe von Informationen, einschließlich des Traffic Light Protocol.

(3)Bei der Prüfung einzelner Anträge gemäß Artikel 16 Absatz 1 und Artikel 19 Absatz 10 prüft der öffentliche Auftraggeber bzw. die Kommission zunächst, ob die in Artikel 15 Absätze 1 und 2 genannten Kriterien erfüllt sind.

Ist dies der Fall, prüft er bzw. sie die angemessene Dauer und die angemessene Art der Unterstützung unter Berücksichtigung des in Artikel 1 Absatz 3 Buchstabe b genannten Ziels und gegebenenfalls der im Folgenden genannten Kriterien: a) Ausmaß und Schwere des Sicherheitsvorfalls, b) Art der betroffenen Einrichtung, wobei Sicherheitsvorfälle, die wesentliche Einrichtungen gemäß Artikels 3 Absatz 1 der Richtlinie (EU) 2022/2555 betreffen, eine höhere Priorität haben; c) potenzielle Auswirkungen des Sicherheitsvorfalls auf betroffene Mitgliedstaaten, Organe, Einrichtungen oder sonstige Stellen der Union oder mit dem Programm „Digitales Europa“ assoziierte Drittländer; d) potenziell grenzüberschreitender Charakter des Sicherheitsvorfalls und Risiko einer Ausbreitung auf andere Mitgliedstaaten, Organe, Einrichtungen oder sonstige Stellen der Union oder mit dem Programm „Digitales Europa“ assoziierte Drittländer; e) vom Nutzer ergriffene Maßnahmen zur Unterstützung der Reaktion und Bemühungen zur anfänglichen Wiederherstellung gemäß Artikel 15 Absatz 2.

(4)Im Falle mehrerer gleichzeitig eingehender Anträge von in Artikel 14 Absatz 3 genannten Nutzern werden — unbeschadet des Grundsatzes der loyalen Zusammenarbeit zwischen den Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen der Union — die in Absatz 3 des vorliegenden Artikels genannten Kriterien berücksichtigt, sofern sie relevant sind.

Dabei wird Anträgen von Nutzern aus den Mitgliedstaaten eine höhere Priorität eingeräumt, wenn zwei oder mehr Anträge auf der Grundlage dieser Kriterien als gleichwertig eingestuft werden.

Wurde gemäß Artikel 14 Absatz 5 die ENISA ganz oder teilweise mit dem Betrieb und der Verwaltung der EU-Cybersicherheitsreserve betraut, arbeiten die ENISA und die Kommission eng zusammen, um Anträge gemäß dem vorliegenden Absatz zu priorisieren.

(5)Die Bereitstellung der Dienste im Rahmen der EU-Cybersicherheitsreserve erfolgt nach besonderen Vereinbarungen zwischen dem vertrauenswürdigen Anbieter verwalteter Sicherheitsdienste und dem Nutzer, dem die Unterstützung aus der EU-Cybersicherheitsreserve gewährt wird.

Die Bereitstellung dieser Dienste kann nach besonderen Vereinbarungen zwischen dem vertrauenswürdigen Anbieter verwalteter Sicherheitsdienste, dem Nutzer und der betroffenen Einrichtung erfolgen.

Alle in dem vorliegenden Absatz genannten Vereinbarungen enthalten unter anderem Haftungsbedingungen.

(6)Die in Absatz 5 genannten Vereinbarungen beruhen auf Mustern, die von der ENISA nach Konsultation der Mitgliedstaaten und gegebenenfalls anderer Nutzer der EU-Cybersicherheitsreserve erstellt werden.

(7)Die Kommission, die ENISA und die Nutzer der EU-Cybersicherheitsreserve übernehmen keine vertragliche Haftung für Schäden, die Dritten durch die im Rahmen der Umsetzung der EU-Cybersicherheitsreserve bereitgestellten Dienste entstehen.

(8)Nutzer dürfen die auf Antrag gemäß Artikel 15 Absatz 1 bereitgestellten Dienste im Rahmen der EU-Cybersicherheitsreserve nur in Anspruch nehmen, um die Reaktion auf schwerwiegende Cybersicherheitsvorfälle, Cybersicherheitsvorfälle großen Ausmaßes und einem Cybersicherheitsvorfall großen Ausmaßes gleichwertige Sicherheitsvorfälle zu unterstützen und die anschließende Wiederherstellung einzuleiten.

Sie dürfen diese Dienste nur für in Bezug auf folgende Akteure in Anspruch nehmen: a) in Sektoren mit hoher Kritikalität tätige Einrichtungen oder in sonstigen kritischen Sektoren tätige Einrichtungen im Falle von in Artikel 14 Absatz 3 Buchstabe a der vorliegenden Verordnung genannten Nutzern und gleichwertige Einrichtungen im Falle von in Artikel 14 Absatz 3 Buchstabe c der vorliegenden Verordnung genannten Nutzern und b) Organe, Einrichtungen und sonstige Stellen der Union im Falle des in Artikel 14 Absatz 3 Buchstabe b genannten Nutzers.

(9)Binnen zwei Monaten nach Abschluss einer Unterstützung müssen die Nutzer, denen Unterstützung bereitgestellt wurde, einen zusammenfassenden Bericht über den erbrachten Dienst, die erzielten Ergebnisse und gewonnene Erkenntnisse vorlegen, und zwar: a) der Kommission, der ENISA, dem CSIRTs-Netz und dem EU-CyCLONe im Falle der in Artikel 14 Absatz 3 Buchstabe a genannten Nutzern. b) der Kommission, der ENISA und dem Interinstitutionellen Cybersicherheitsbeirat im Falle des in Artikel 14 Absatz 3 Buchstabe b genannten Nutzers. c) der Kommission im Falle der in Artikel 14 Absatz 3 Buchstabe c genannten Nutzer.

Die Kommission leitet alle zusammenfassenden Berichte, die sie gemäß Unterabsatz 1 Buchstabe c des vorliegenden Absatzes von den in Artikel 14 Absatz 3 Buchstabe c genannten Nutzern erhält, an den Rat und den Hohen Vertreter weiter.

(10)Wurde gemäß Artikel 14 Absatz 5 der vorliegenden Verordnung die ENISA ganz oder teilweise mit dem Betrieb und der Verwaltung der EU-Cybersicherheitsreserve betraut, erstattet die ENISA der Kommission diesbezüglich regelmäßig Bericht und konsultiert sie.

In diesem Zusammenhang leitet die ENISA der Kommission unverzüglich sämtliche Anträge, die sie von in Artikel 14 Absatz 3 Buchstabe c der vorliegenden Verordnung genannten Nutzern erhält, sowie, sofern dies für die Zwecke der Priorisierung gemäß dem vorliegenden Artikel erforderlich ist, sämtliche Anträge, die sie von in Artikel 14 Absatz 3 Buchstabe a oder b der vorliegenden Verordnung genannten Nutzern erhält, weiter.

Die Verpflichtungen nach dem vorliegenden Absatz lassen Artikel 14 der Verordnung (EU) 2019/881 unbeschadet.

(11)Im Falle von in Artikel 14 Absatz 3 Buchstabe a oder b genannten Nutzern erstattet der öffentliche Auftraggeber der NIS-Kooperationsgruppe regelmäßig, mindestens jedoch zweimal jährlich, Bericht über die Inanspruchnahme und die Ergebnisse der Unterstützung.

(12)Im Falle des in Artikel 14 Absatz 3 Buchstabe c genannten Nutzers erstattet die Kommission dem Rat Bericht über die Inanspruchnahme und die Ergebnisse der Unterstützung und setzt den Hohen Vertreter darüber in Kenntnis; diese Berichterstattung und Inkenntnissetzung erfolgt regelmäßig, mindestens jedoch zweimal jährlich.

Diese Seite zeigt die aktuelle Fassung (Quelle: © Europäische Union, https://eur-lex.europa.eu). Für tagesaktuelle, zitiersichere Abfragen lässt sich Art. 16 REG_2025_38 und jede andere deutsche oder europäische Rechtsquelle live per Lawbster-MCP abrufen.

Kann ich Art. 16 REG_2025_38 direkt in ChatGPT oder Claude abfragen?

Ja. Über Lawbster (MCP-Server) greifen KI-Assistenten wie Claude, ChatGPT, Cursor und Copilot Studio — oder eigene Anwendungen per REST-API — direkt auf den tagesaktuellen Volltext deutscher und europäischer Gesetze, Verordnungen und Gerichtsentscheidungen zu. Free-Tier verfügbar.

Diese Norm ist Teil von Lawbster — verifizierte deutsche und europäische Gesetze, Verordnungen und Gerichtsentscheidungen, live in jedem KI-Assistenten per MCP (Claude, ChatGPT, Cursor, Copilot Studio u. a.) oder über die REST-API. API-Key holen.