Читать книгу Handbuch des Verwaltungsrechts - Группа авторов - Страница 220

49

Flankierende Regelungen

Weisen die Verträge der Union die Kompetenz zur Regelung bestimmter Materien des besonderen Verwaltungsrechts (z. B. Art. 114 oder 192 AEUV) zu, so kann der Sekundärrechtsgeber, gestützt auf diese Sachkompetenzen, grundsätzlich auch flankierende Regelungen zur administrativen Durchführung des Unionsrechts durch die Mitgliedstaaten erlassen (implied powers bzw. Annexkompetenz).[92] Ein genereller Rückgriff auf diese sehr weiten Rechtsgrundlagen zur Angleichung des nationalen Verwaltungsverfahrensrechts ist jedoch in der Rechtsprechung des EuGH explizit ausgeschlossen worden.[93] Als Beispiel für flankierende sekundärrechtliche Regelungen im obigen Sinne kann das Internetsicherheitsrecht (Cybersecurity) dienen, das den Mitgliedstaaten an verschiedenen Stellen Vorgaben hinsichtlich der Organisation ihrer Verwaltung macht.[94] So sind die Mitgliedstaaten infolge der auf die Binnenmarktkompetenz des Art. 114 AEUV gestützten NIS-Richtlinie[95] verpflichtet, eine für die Sicherheit von Netz- und Informationssystemen zuständige nationale zentrale Anlaufstelle (Art. 8 Abs. 3 NIS-Richtlinie) und Computer-Notfallteams (Art. 9 Abs. 1 NIS-Richtlinie) einzurichten, die in ein Netzwerk mit den Notfallteams aus den anderen Mitgliedstaaten eingebunden werden (Art. 12 Abs. 1 NIS-Richtlinie).[96]

50

Rahmenregelungen und Mindeststandards

Der Erlass flankierender sekundärrechtlicher Regelungen zur administrativen Durchführung des Unionsrechts durch die Mitgliedstaaten unterliegt den allgemeinen Regeln der Subsidiarität und Verhältnismäßigkeit. In diesem Zusammenhang kommt dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten abermals herausragende Bedeutung zu. Konkret bedeutet dies, dass die Union den Mitgliedstaaten zwar allgemeine Vorgaben hinsichtlich ihrer Verwaltungsorganisation machen kann, den Spielraum der Mitgliedstaaten in inhaltlicher Sicht, d. h. was Regelungsbreite und -tiefe[97] anbelangt, aber so wenig wie möglich einzuschränken und sich, soweit möglich, auf Rahmenregelungen und Mindeststandards zu beschränken hat. In der NIS-Richtlinie kommen diese Anforderungen etwa dadurch zum Ausdruck, dass die Mitgliedstaaten die Funktion einer nationalen zentralen Anlaufstelle auch einer bereits bestehenden Behörde zuweisen können (Art. 8 Abs. 3 NIS-Richtlinie) und die einzurichtenden Computer-Notfallteams mindestens die im Anhang der Richtlinie aufgezählten Dienste abdecken müssen, jedoch auch darüber hinausgehen können (Art. 9 Abs. 1 NIS-Richtlinie). Zudem haben die Mitgliedstaaten sicherzustellen, dass die Notfallteams in dem bereits erwähnten Netzwerk mit den Notfallteams aus den anderen Mitgliedstaaten „wirksam, effizient und sicher zusammenarbeiten“ (Art. 9 Abs. 2 UAbs. 2 NIS-Richtlinie); die Regelung der Einzelheiten dieser Zusammenarbeit ist indes den Mitgliedstaaten überlassen. Ob diese mitgliedstaatliche Kompetenzen schonende Regulierung mit Blick auf die Bedeutung der Aufgabe in allen Bereichen effektiv ist, muss bezweifelt werden. Hinzu kommt, dass in vielen Bereichen, wie etwa der Cybersicherheit im Finanzsektor, diese vertikalen Kooperations- und Verbundstrukturen durch horizontale Kooperationsstrukturen mit den relevanten privaten Akteuren zu ergänzen sind.[98]