Cybersecurity measures and significant incidents for relevant entities

Bezüglich der Umsetzung und Anwendung der technischen und methodischen Anforderungen der im Anhang dieser Verordnung festgelegten Risikomanagementmaßnahmen im Bereich der Cybersicherheit sollten — im Einklang mit dem Grundsatz der Verhältnismäßigkeit — die unterschiedlichen Risikoexpositionen der betreffenden Einrichtungen wie Kritikalität der betreffenden Einrichtung, Risiken, denen sie ausgesetzt sind, Größe und Struktur der betreffenden Einrichtung sowie Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen, bei der Einhaltung der im Anhang dieser Verordnung festgelegten technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit gebührend berücksichtigt werden.

Können die betreffenden Einrichtungen einige der technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit wegen ihrer Größe nicht umsetzen, so sollten sie — im Einklang mit dem Grundsatz der Verhältnismäßigkeit — die Möglichkeit haben, andere Ausgleichsmaßnahmen zu ergreifen, die geeignet sind, den Zweck dieser Anforderungen zu erreichen. Bei der Festlegung der Rollen, Verantwortlichkeiten und Weisungsbefugnisse in Bezug auf die Sicherheit der Netz- und Informationssysteme innerhalb der betreffenden Einrichtung könnte es für Kleinstunternehmen schwierig sein, widerstrebende Pflichten und sich widersprechende Verantwortlichkeitsbereiche zu trennen. Solche Einrichtungen sollten Ausgleichsmaßnahmen wie eine gezielte Beaufsichtigung durch ihr Management oder eine verstärkte Überwachung und Protokollierung in Betracht ziehen können.

Bestimmte technische und methodische Anforderungen, die im Anhang dieser Verordnung festgelegt sind, sollten von den betreffenden Einrichtungen angewandt werden, soweit dies angemessen, anwendbar oder durchführbar ist. Hält es eine betreffende Einrichtung es für nicht angemessen, nicht anwendbar oder nicht durchführbar, bestimmte technische und methodische Anforderungen, die im Anhang dieser Verordnung festgelegt sind, anzuwenden, sollte sie ihre diesbezügliche Begründung in verständlicher Weise dokumentieren. Die zuständigen nationalen Behörden können bei der Beaufsichtigung eine angemessene Frist berücksichtigen, die betreffende Einrichtungen benötigen, um die technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit umzusetzen.

Die ENISA oder die gemäß der Richtlinie (EU) 2022/2555 zuständigen nationalen Behörden können die betreffenden Einrichtungen bei der Ermittlung, Analyse und Bewertung von Risiken zwecks Umsetzung der technischen und methodischen Anforderungen an die Einrichtung und Aufrechterhaltung eines geeigneten Risikomanagementrahmens anleitend unterstützen. Eine solche Anleitung kann sich insbesondere auf nationale und sektorale Risikobewertungen sowie spezifische Risikobewertungen für eine bestimmte Art von Einrichtung beziehen. Die Anleitung kann auch Instrumente oder Vorlagen für die Entwicklung eines Risikomanagementrahmens auf der Ebene der betreffenden Einrichtungen umfassen. Die betreffenden Einrichtungen können auch mit Rahmen, Anleitungen oder anderen Mechanismen, die im nationalen Recht der Mitgliedstaaten vorgesehen sind, sowie mit einschlägigen europäischen und internationalen Normen beim Nachweis der Einhaltung dieser Durchführungsverordnung unterstützt werden. Darüber hinaus können die ENISA oder die gemäß der Richtlinie (EU) 2022/2555 zuständigen nationalen Behörden die betreffenden Einrichtungen dabei unterstützen, geeignete Lösungen für den Umgang mit den bei solchen Risikobewertungen ermittelten Risiken zu finden und umzusetzen. Eine solche Anleitung sollte die Pflicht der betreffenden Einrichtungen, die bestehenden Risiken für die Sicherheit von Netz- und Informationssystemen zu ermitteln und zu dokumentieren, sowie die Pflicht der betreffenden Einrichtungen, die technischen und methodischen Anforderungen der im Anhang dieser Verordnung festgelegten Risikomanagementmaßnahmen im Bereich der Cybersicherheit entsprechend ihren Bedürfnissen und Ressourcen umzusetzen, unberührt lassen.

Netzsicherheitsmaßnahmen in Bezug auf i) den Übergang zur neuesten Generation der Kommunikationsprotokolle für die Netzwerkschicht, ii) die Einführung international vereinbarter und interoperabler moderner E-Mail-Kommunikationsnormen und iii) die Anwendung der bewährten Verfahren für die DNS-Sicherheit wie auch die Sicherheit und Hygiene des Internet-Routings bringen besondere Herausforderungen hinsichtlich der Ermittlung der jeweils besten bestehenden Normen und Einführungstechniken mit sich. Um so bald wie möglich ein hohes gemeinsames Cybersicherheitsniveau in allen Netzen zu erreichen, sollte die Kommission mit Unterstützung der Agentur der Europäischen Union für Cybersicherheit (ENISA) und in Zusammenarbeit mit den zuständigen Behörden, mit der Wirtschaft — einschließlich der Telekommunikationsbranche — und anderen Interessenträgern die Entwicklung eines Multi-Stakeholder-Forums unterstützen, dessen Aufgabe es wäre, diese besten bestehenden Normen und Einführungstechniken zu ermitteln. Die Pflicht der betreffenden Einrichtungen zur Umsetzung der technischen und methodischen Anforderungen der im Anhang dieser Verordnung festgelegten Risikomanagementmaßnahmen im Bereich der Cybersicherheit sollte von solchen Empfehlungen des Multi-Stakeholder-Forums jedoch unberührt bleiben.

Gemäß Artikel 21 Absatz 2 Buchstabe a der Richtlinie (EU) 2022/2555 sollten wesentliche und wichtige Einrichtungen nicht nur über Konzepte für die Risikoanalyse, sondern auch über Konzepte für die Sicherheit der Informationssysteme verfügen. Zu diesem Zweck sollten die betreffenden Einrichtungen ein Konzept für die Sicherheit von Netz- und Informationssystemen sowie themenspezifische Konzepte, wie z. B. für die Zugangs- bzw. Zugriffskontrolle, festlegen, die mit dem Konzept für die Sicherheit von Netz- und Informationssystemen vereinbar sein sollten. Das Konzept für die Sicherheit von Netz- und Informationssystemen sollte die übergeordnete allgemeine Unterlage sein, in der der Gesamtansatz der betreffenden Einrichtungen für die Sicherheit ihrer Netz- und Informationssysteme dargelegt wird, und sollte von den Leitungsorganen der betreffenden Einrichtungen genehmigt werden. Die themenspezifischen Konzepte sollten von einer geeigneten Leitungsebene genehmigt werden. In dem Konzept sollten Indikatoren und Maßnahmen zur Überwachung seiner Umsetzung und des aktuellen Reifegrads der Netz- und Informationssicherheit in den betreffenden Einrichtungen festgelegt werden, um insbesondere die Beaufsichtigung der Umsetzung der Risikomanagementmaßnahmen im Bereich der Cybersicherheit durch die Leitungsorgane zu erleichtern.

Für die Zwecke der technischen und methodischen Anforderungen im Anhang dieser Verordnung sollte der Begriff „Nutzer“ alle juristischen und natürlichen Personen erfassen, die Zugang zu den Netz- und Informationssystemen der Einrichtung haben.

Um die bestehenden Risiken für die Sicherheit von Netz- und Informationssystemen zu ermitteln und anzugehen, sollten die betreffenden Einrichtungen einen geeigneten Risikomanagementrahmen einführen und aufrechterhalten. Als Teil dieses Risikomanagementrahmens sollten die betreffenden Einrichtungen einen Risikobehandlungsplan aufstellen, umsetzen und überwachen. Die betreffenden Einrichtungen können den Risikobehandlungsplan zur Bestimmung und Priorisierung von Optionen und Maßnahmen für die Behandlung von Risiken benutzen. Zu den Risikobehandlungsoptionen gehören insbesondere die Vermeidung, die Verringerung oder — in Ausnahmefällen — das Akzeptieren des Risikos. Die gewählten Risikobehandlungsoptionen sollten den Ergebnissen der von der betreffenden Einrichtung durchgeführten Risikobewertung entsprechen und mit dem Konzept der betreffenden Einrichtung für die Sicherheit von Netz- und Informationssystemen im Einklang stehen. Um den gewählten Risikobehandlungsoptionen Wirkung zu verleihen, sollten die betreffenden Einrichtungen geeignete Risikobehandlungsmaßnahmen ergreifen.

Um Ereignisse, Beinahe-Vorfälle und Sicherheitsvorfälle zu erkennen, sollten die betreffenden Einrichtungen ihre Netz- und Informationssysteme überwachen und Maßnahmen zur Bewertung von Ereignissen, Beinahe-Vorfällen und Sicherheitsvorfällen treffen. Solche Maßnahmen sollten es ermöglichen, netzgestützte Angriffe auf der Grundlage anomaler Muster des eingehenden oder ausgehenden Verkehrs sowie Denial-of-Service-Angriffe zeitnah zu erkennen.

Die betreffenden Einrichtungen werden dazu ermuntert, im Zuge der Durchführung einer Analyse der betrieblichen Auswirkungen (BIA) auch eine umfassende Analyse vorzunehmen, in der sie — soweit angemessen — maximal tolerierbare Ausfallzeiten, Vorgaben für Wiederherstellungszeiten und Wiederherstellungspunkte und Zielvorgaben für die Erbringung der Dienste erfassen.

Zur Minderung der Risiken, die sich aus der Lieferkette einer betreffenden Einrichtung und ihren Beziehungen zu ihren Anbietern bzw. Lieferanten ergeben, sollten die betreffenden Einrichtungen ein Konzept für die Sicherheit der Lieferkette festlegen, das ihre Beziehungen zu ihren direkten Anbietern und Diensteanbietern regelt. Diese Einrichtungen sollten in die Verträge mit ihren direkten Anbietern oder Diensteanbietern angemessene Sicherheitsklauseln aufnehmen, in denen sie beispielsweise — soweit angemessen — Risikomanagementmaßnahmen im Bereich der Cybersicherheit gemäß Artikel 21 Absatz 2 der Richtlinie (EU) 2022/2555 oder anderer ähnlicher rechtlicher Anforderungen festlegen.

Die betreffenden Einrichtungen sollten regelmäßig Sicherheitstests auf der Grundlage spezieller Konzepte und Verfahren durchführen, um zu überprüfen, ob die Risikomanagementmaßnahmen im Bereich der Cybersicherheit umgesetzt wurden und ordnungsgemäß funktionieren. Sicherheitstests können in bestimmten Netz- und Informationssystemen oder in der betreffenden Einrichtung in ihrer Gesamtheit durchgeführt werden und automatische oder manuelle Tests, Penetrationstests, eine Schwachstellensuche, statische und dynamische Prüfungen der Sicherheit von Anwendungen, Konfigurationstests oder Sicherheitsaudits umfassen. Die betreffenden Einrichtungen können Sicherheitstests in ihren Netz- und Informationssystemen bei deren Einrichtung, nach Aufrüstungen der Infrastruktur oder von Anwendungen oder nach Änderungen, die sie für erheblich halten, oder nach einer Wartung durchführen. Die Ergebnisse der Sicherheitstests sollten in die Konzepte und Verfahren der betreffenden Einrichtungen für die Bewertung der Wirksamkeit der Risikomanagementmaßnahmen im Bereich der Cybersicherheit sowie in unabhängige Überprüfungen ihrer Konzepte für die Sicherheit von Netz- und Informationssystemen einfließen.

Zur Vermeidung erheblicher Störungen und Schäden, die durch die Ausnutzung nicht behobener Schwachstellen in Netz- und Informationssystemen verursacht werden, sollten die betreffenden Einrichtungen geeignete Sicherheitspatch-Managementverfahren festlegen und anwenden, die mit den Änderungs-, Schwachstellen- und Risikomanagementverfahren sowie anderen einschlägigen Verfahren der betreffenden Einrichtungen im Einklang stehen. Die betreffenden Einrichtungen sollten Maßnahmen ergreifen, die in einem angemessenen Verhältnis zu ihrer Mittelausstattung stehen, um sicherzustellen, dass durch Sicherheitspatches keine zusätzlichen Schwachstellen oder Instabilitäten eingebracht werden. Im Falle einer geplanten Nichtverfügbarkeit des Dienstes, die durch die Anwendung von Sicherheitspatches verursacht wird, sollen die betreffenden Einrichtungen ihre Kunden im Voraus angemessen hierüber informieren.

Die betreffenden Einrichtungen sollten die Risiken managen, die sich aus dem Erwerb von IKT-Produkten oder -Diensten von Anbietern oder Diensteanbietern ergeben, und sich vergewissern, dass die zu erwerbenden IKT-Produkte oder -Dienste ein bestimmtes Schutzniveau in Bezug auf die Cybersicherheit erreichen, z. B. anhand europäischer Cybersicherheitszertifikate und EU-Konformitätserklärungen für IKT-Produkte oder -Dienste, die im Rahmen eines gemäß Artikel 49 der Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates(²)Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (ABl. L 151 vom 7.6.2019, S. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj). angenommenen europäischen Systems für die Cybersicherheitszertifizierung ausgestellt wurden. Wenn die betreffenden Einrichtungen Sicherheitsanforderungen für die zu erwerbenden IKT-Produkte festlegen, sollten sie die grundlegenden Cybersicherheitsanforderungen berücksichtigen, die in der Verordnung des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen an Produkte mit digitalen Elementen festgelegt sind.

Zum Schutz vor Cyberbedrohungen und zur Unterstützung der Prävention und Eindämmung von Datenschutzverletzungen sollten die betreffenden Einrichtungen Netzsicherheitslösungen umsetzen. Typische Netzsicherheitslösungen wären der Einsatz von Firewalls zum Schutz der internen Netze der betreffenden Einrichtungen, die Beschränkung der Verbindungen und des Zugangs zu Diensten, soweit solche Verbindungen und Zugriffe unbedingt notwendig sind, aber auch die Verwendung virtueller privater Netze für den Fernzugriff und das Zulassen von Verbindungen von Diensteanbietern nur nach einem Genehmigungsantrag und für einen bestimmten Zeitraum, z. B. für die Dauer von Wartungsarbeiten.

Zum Schutz der Netze der betreffenden Einrichtungen und ihrer Informationssysteme vor Schadsoftware und nicht genehmigter Software sollten diese Einrichtungen Kontrollen durchführen, um die Verwendung nicht genehmigter Software zu verhindern oder zu erkennen, und sollten — soweit angemessen — Erkennungs- und Reaktionssoftware einsetzen. Ferner sollten die betreffenden Einrichtungen Vorkehrungen in Erwägung ziehen, um ihre Angriffsfläche zu minimieren, Schwachstellen, die durch Angreifer ausgenutzt werden können, zu verringern, die Ausführung von Anwendungen auf Endgeräten zu kontrollieren, und sie sollten E-Mail- und Web-Anwendungsfilter einsetzen, um ihre Exposition gegenüber böswilligen Inhalten zu verringern.

Gemäß Artikel 21 Absatz 2 Buchstabe g der Richtlinie (EU) 2022/2555 sollen die Mitgliedstaaten sicherstellen, dass grundlegende Verfahren im Bereich der Cyberhygiene angewandt und Schulungen im Bereich der Cybersicherheit durchgeführt werden. Zu den grundlegenden Verfahren der Cyberhygiene gehören beispielsweise Zero-Trust-Grundsätze, Software-Updates, Gerätekonfiguration, Netzwerksegmentierung, Identitäts- und Zugriffsmanagement oder Sensibilisierung der Nutzer, das Organisieren von Schulungen für die Mitarbeitenden und das Schärfen des Bewusstseins für Cyberbedrohungen, Phishing oder Social-Engineering-Techniken. Die Verfahren der Cyberhygiene sind Teil verschiedener technischer und methodischer Anforderungen der im Anhang dieser Verordnung festgelegten Risikomanagementmaßnahmen im Bereich der Cybersicherheit. In Bezug auf grundlegende Verfahren der Cyberhygiene für Nutzer sollten die betreffenden Einrichtungen beispielsweise die Vorgabe eines „leeren Schreibtischs“ und eines „leeren Bildschirms“, die Verwendung der Multi-Faktor-Authentifizierung und anderer Authentifizierungsmittel, einen sicheren Umgang mit E-Mails und ein sicheres Web-Browsen, den Schutz vor Phishing und Social Engineering und sichere Verfahren der Telearbeit in Betracht ziehen.

Um einen unbefugten Zugang zu den Anlagen und Werten der betreffenden Einrichtungen zu verhindern, sollten die betreffenden Einrichtungen ein themenspezifisches Konzept für den Zugang von Personen und von Netz- und Informationssystemen, wie z. B. zu Anwendungen, festlegen und umsetzen.

Um zu verhindern, dass Mitarbeitende beispielsweise ihre Zugangs- und Zugriffsrechte innerhalb der betreffenden Einrichtung missbrauchen können, um Schaden anzurichten, sollten die betreffenden Einrichtungen angemessene Maßnahmen für das Sicherheitsmanagement hinsichtlich ihrer Mitarbeitenden in Erwägung ziehen und ihr Personal für solche Risiken sensibilisieren. Die betreffenden Einrichtungen sollten für den Umgang mit Verstößen gegen ihre Konzepte für die Sicherheit von Netz- und Informationssystemen ein Disziplinarverfahren einführen, bekannt machen und aufrechterhalten, das in andere Disziplinarverfahren der betreffenden Einrichtung eingebettet sein kann. Zuverlässigkeitsüberprüfungen der Mitarbeitenden und — soweit anwendbar — der direkten Anbieter und Diensteanbieter der betreffenden Einrichtungen sollten dem Ziel der Sicherheit des Personals in den betreffenden Einrichtungen dienen und können Maßnahmen wie die Abfrage des Strafregistereintrags einer Person oder die Prüfung der bisherigen Erfüllung ihrer beruflichen Pflichten umfassen, soweit dies für die Aufgaben der Person in der betreffenden Einrichtung angemessen ist und mit dem Konzept der betreffenden Einrichtung für die Sicherheit von Netz- und Informationssystemen im Einklang steht.

Die Multifaktor-Authentifizierung kann die Cybersicherheit der Einrichtungen verbessern und sollte von den Einrichtungen insbesondere dann in Betracht gezogen werden, wenn Nutzer aus der Ferne auf ihre Netz- und Informationssysteme zugreifen oder wenn sie auf sensible Informationen oder privilegierte Konten und Systemverwaltungskonten zugreifen. Die Multifaktor-Authentifizierung kann mit anderen Techniken kombiniert werden, um unter bestimmten Umständen zusätzliche Faktoren zu verlangen, die auf vorab festgelegten Regeln und Mustern beruhen, z. B. beim Zugriff von einem ungewöhnlichen Standort aus, mit einem ungewöhnlichen Gerät oder zu einer ungewöhnlichen Zeit.

Die betreffenden Einrichtungen sollten ihre wichtigen Anlagen und Werte mit einem soliden Anlagen- und Wertemanagement verwalten und schützen, das auch als Grundlage für die Risikoanalyse und das Betriebskontinuitätsmanagement dienen sollte. Die betreffenden Einrichtungen sollten sowohl materielle Anlagen als auch immaterielle Werte verwalten und ein entsprechendes Anlagen- und Werteinventar erstellen, ihre Anlagen und Werte mit einer festgelegten Klassifizierung versehen, sie entsprechend behandeln und verfolgen und während ihres gesamten Lebenszyklus Maßnahmen zu ihrem Schutz treffen.

Das Anlagen- und Wertemanagement sollte eine Klassifizierung der Anlagen und Werte nach Art, Sensibilität, Risikoniveau und Sicherheitsanforderungen sowie die Durchführung geeigneter Maßnahmen und Kontrollen zur Gewährleistung ihrer Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität einschließen. Durch die Klassifizierung der Anlagen und Werte nach Risikoniveau sollten die betreffenden Einrichtungen in die Lage versetzt werden, geeignete Sicherheitsmaßnahmen anzuwenden und Sicherheitskontrollen durchzuführen, um Systeme für Verschlüsselung, Zugangs- bzw. Zugriffskontrolle (einschließlich der Kontrolle des Perimeters und einer physischen und logischen Zugangskontrolle), Sicherungskopien, Protokollierung und Überwachung, Aufbewahrung und Entsorgung zu schützen. Bei der Durchführung einer Analyse der betrieblichen Auswirkungen (BIA) können die betreffenden Einrichtungen die jeweilige Klassifizierungsstufe auf der Grundlage der Folgen einer Störung der Anlagen für die Einrichtungen bestimmen. Alle Mitarbeitenden der Einrichtungen, die Anlagen und Werte verwalten, sollten mit den dafür geltenden Konzepten und Anweisungen vertraut sein.

Die Granularität des Anlagen- und Werteinventars sollte den Bedürfnissen der betreffenden Einrichtungen entsprechen. Ein umfassendes Anlagen- und Werteinventar könnte für jede Anlage bzw. jeden Wert mindestens eine eindeutige Kennung, den jeweiligen Eigentümer, eine Beschreibung, den Standort, die Art der Anlage bzw. des Wertes, die Art und Klassifizierung der damit verarbeiteten Informationen, das Datum der letzten Aktualisierung oder des letzten Patches, die bei der Risikobewertung vergebene Klassifizierung und das Ende der Lebensdauer enthalten. Bei der Identifizierung des Eigentümers einer Anlage bzw. eines Werts sollten die betreffenden Einrichtungen auch die Person angeben, die für den Schutz dieser Anlage bzw. dieses Werts verantwortlich ist.

Mit der Zuweisung und Organisation von Rollen, Verantwortlichkeiten und Weisungsbefugnissen im Bereich der Cybersicherheit sollte eine kohärente Struktur für die Governance und Umsetzung der Cybersicherheit innerhalb der betreffenden Einrichtungen geschaffen und eine wirksame Kommunikation im Falle von Sicherheitsvorfällen sichergestellt werden. Bei der Festlegung und Zuweisung von Verantwortlichkeiten für bestimmte Aufgaben sollten die betreffenden Einrichtungen bestimmte Rollen wie die des leitenden Beauftragten für die Informationssicherheit, des Beauftragten für die Informationssicherheit, des Beauftragten für die Bewältigung von Sicherheitsvorfällen, des Prüfers oder vergleichbare Funktionen berücksichtigen. Die betreffenden Einrichtungen können bestimmte Rollen und Verantwortlichkeiten auch externen Dritten wie IKT-Diensteanbietern übertragen.

Gemäß Artikel 21 Absatz 2 der Richtlinie (EU) 2022/2555 sollten Risikomanagementmaßnahmen im Bereich der Cybersicherheit auf einem gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, Netz- und Informationssysteme und ihr physisches Umfeld vor Ereignissen wie Diebstahl, Feuer, Überschwemmungen und Telekommunikations- oder Stromausfällen oder vor unbefugtem physischen Zugang zu Informationen und Datenverarbeitungsanlagen einer wesentlichen oder wichtigen Einrichtung und vor der Schädigung solcher Informationen und Betriebsstätten und entsprechenden Eingriffen zu schützen, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können. In den technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit sollten daher auch die physische Sicherheit der Netz- und Informationssysteme und die Sicherheit ihres Umfelds berücksichtigt werden, indem Maßnahmen zum Schutz dieser Systeme vor Systemfehlern, menschlichen Fehlern, böswilligen Handlungen oder natürlichen Phänomenen darin einbezogen werden. Weitere physische Bedrohungen und Bedrohungen des Umfelds ergeben sich z. B. aus Erdbeben, Explosionen, Sabotage, Insider-Bedrohungen, Unruhen, giftigen Abfällen und Umweltemissionen. Die Verhinderung von Verlusten, Beschädigungen oder Beeinträchtigungen von Netz- und Informationssystemen oder von Betriebsunterbrechungen infolge des Ausfalls und der Störung unterstützender Versorgungsleistungen sollte ebenfalls zur angestrebten Betriebskontinuität in den betreffenden Einrichtungen beitragen. Darüber hinaus sollte sich durch den Schutz vor physischen Bedrohungen und Bedrohungen des Umfelds auch die Sicherheit bei der Wartung von Netz- und Informationssystemen in den betreffenden Einrichtungen erhöhen.

Die betreffenden Einrichtungen sollten Maßnahmen zum Schutz vor physischen Bedrohungen und Bedrohungen des Umfelds konzipieren und umsetzen, Mindest- und Höchstkontrollwerte für solche Bedrohungen festlegen und Umweltparameter überwachen. So sollten sie beispielsweise die Installation von Früherkennungssystemen für die Überschwemmung von Gebieten, in denen sich Netz- und Informationssysteme befinden, in Erwägung ziehen. In Bezug auf Brandgefahren sollten die betreffenden Einrichtungen insbesondere die Schaffung eines separaten Brandabschnitts für das Rechenzentrum, den Einsatz feuerbeständiger Materialien, die Anbringung von Sensoren zur Überwachung von Temperatur und Feuchtigkeit, den Anschluss des Gebäudes an eine Brandmeldeanlage mit automatischer Benachrichtigung der örtlichen Feuerwehr sowie Brandfrüherkennungs- und Feuerlöschanlagen in Erwägung ziehen. Überdies sollten die betreffenden Einrichtungen regelmäßig Brandschutzübungen und Brandschutzinspektionen durchführen. Um ihre Stromversorgung sicherzustellen, sollten die betreffenden Einrichtungen außerdem einen Überspannungsschutz und eine entsprechende Notstromversorgung nach den einschlägigen Normen in Erwägung ziehen. Da Überhitzung eine Gefahr für die Verfügbarkeit von Netz- und Informationssystemen darstellt, könnten die betreffenden Einrichtungen, insbesondere Anbieter von Rechenzentrumsdiensten, auch den Einbau angemessener, kontinuierlicher und redundanter Klimaanlagen in Erwägung ziehen.

Ferner soll in dieser Verordnung präzisiert werden, in welchen Fällen ein Sicherheitsvorfall für die Zwecke des Artikels 23 Absatz 3 der Richtlinie (EU) 2022/2555 als erheblich angesehen werden sollte. Die Kriterien sollten so gestaltet sein, dass die betreffenden Einrichtungen beurteilen können, ob ein Sicherheitsvorfall erheblich ist, um ihn dann gemäß der Richtlinie (EU) 2022/2555 zu melden. Darüber hinaus sollten die in dieser Verordnung festgelegten Kriterien unbeschadet des Artikels 5 der Richtlinie (EU) 2022/2555 als erschöpfend betrachtet werden. In dieser Verordnung werden die Fälle festgelegt, in denen ein Sicherheitsvorfall als erheblich angesehen werden sollte; dazu werden sowohl horizontale als auch einrichtungsspezifische Fälle festgelegt.

Gemäß Artikel 23 Absatz 4 der Richtlinie (EU) 2022/2555 sollten die betreffenden Einrichtungen dazu verpflichtet sein, erhebliche Sicherheitsvorfälle innerhalb der in dieser Bestimmung festgelegten Fristen zu melden. Diese Meldefristen laufen ab dem Zeitpunkt, zu dem die Einrichtung Kenntnis von solchen erheblichen Vorfällen erlangt. Die betreffende Einrichtung muss daher Sicherheitsvorfälle melden, die nach der von ihr vorgenommenen Anfangsbewertung schwerwiegende Betriebsstörungen des Dienstes oder finanzielle Verluste für diese Einrichtung verursachen oder andere natürliche oder juristische Personen beeinträchtigen könnten, indem sie erhebliche materielle oder immaterielle Schäden nach sich ziehen. Wenn also eine betreffende Einrichtung ein verdächtiges Ereignis feststellt oder ihr ein mutmaßlicher Sicherheitsvorfall von einem Dritten, z. B. von einer Person, einem Kunden, einer Einrichtung, einer Behörde, einer Medienorganisation oder aus anderer Quelle, zur Kenntnis gebracht wird, sollte sie das verdächtige Ereignis zeitnah bewerten, um festzustellen, ob es sich um einen Sicherheitsvorfall handelt, und, falls dies der Fall ist, seine Art und Schwere zu bestimmen. Es ist daher davon auszugehen, dass die betreffende Einrichtung von dem erheblichen Sicherheitsvorfall Kenntnis hatte, sobald sie nach einer solchen Anfangsbewertung mit hinreichender Gewissheit feststellt, dass ein erheblicher Sicherheitsvorfall vorliegt.

Im Hinblick auf die Feststellung, ob ein Sicherheitsvorfall erheblich ist, sollten die betreffenden Einrichtungen — soweit zutreffend — die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer ermitteln, wobei sie Geschäfts- und Endkunden, mit denen die betreffenden Einrichtungen eine Vertragsbeziehung unterhalten, sowie natürliche und juristische Personen, die mit den Geschäftskunden in Verbindung stehen, berücksichtigen sollten. Ist eine betreffende Einrichtung nicht imstande, die Zahl der betroffenen Nutzer zu berechnen, sollte sie bei der Bestimmung der Gesamtzahl der von dem Sicherheitsvorfall betroffenen Nutzer ihre Schätzung der möglichen Höchstzahl betroffener Nutzer zugrunde legen. Die Bedeutung eines Sicherheitsvorfalls, an dem ein Vertrauensdienst beteiligt ist, sollte nicht nur anhand der Zahl der Nutzer, sondern auch der Zahl der vertrauenden Beteiligten bestimmt werden, da diese im Hinblick auf Betriebsstörungen und materielle oder immaterielle Schäden gleichermaßen von einem erheblichen Vorfall, an dem ein Vertrauensdienst beteiligt ist, beeinträchtigt werden können. Deshalb sollten Vertrauensdiensteanbieter bei ihrer Feststellung, ob ein Sicherheitsvorfall erheblich ist, — soweit anwendbar — auch die Zahl der vertrauenden Beteiligten berücksichtigen. Zu diesem Zweck sollten vertrauende Beteiligte als natürliche oder juristische Personen verstanden werden, die einen Vertrauensdienst in Anspruch nehmen.

Wartungsarbeiten, die zu einer eingeschränkten Verfügbarkeit oder zur Nichtverfügbarkeit der Dienste führen, sollten nicht als erhebliche Sicherheitsvorfälle angesehen werden, wenn die eingeschränkte Verfügbarkeit oder Nichtverfügbarkeit des Dienstes im Rahmen eines planmäßigen Wartungsvorgangs eintritt. Darüber hinaus sollte es nicht als erheblicher Sicherheitsvorfall angesehen werden, wenn ein Dienst aufgrund planmäßiger Unterbrechungen wie etwa im Voraus vertraglich vereinbarter Unterbrechungen oder Nichtverfügbarkeiten nicht verfügbar ist.

Die Dauer eines Sicherheitsvorfalls, der die Verfügbarkeit eines Dienstes beeinträchtigt, sollte ab dem Beginn der Störung der ordnungsgemäßen Erbringung des Dienstes bis zum Zeitpunkt der Wiederherstellung gemessen werden. Wenn eine betreffende Einrichtung nicht imstande ist, den Zeitpunkt des Beginns der Störung zu bestimmen, sollte die Dauer des Sicherheitsvorfalls ab dem Zeitpunkt gemessen werden, zu dem der Sicherheitsvorfall erkannt wurde, oder ab dem Zeitpunkt, zu dem der Sicherheitsvorfall in Netz- oder Systemprotokollen oder anderen Datenquellen aufgezeichnet wurde, je nachdem, welcher Zeitpunkt früher ist.

Eine vollständige Nichtverfügbarkeit eines Dienstes sollte von dem Zeitpunkt an gemessen werden, zu dem der Dienst für die Nutzer vollständig nicht verfügbar ist, bis zu dem Zeitpunkt, zu dem die gewöhnlichen Tätigkeiten oder Abläufe wieder das vor dem Sicherheitsvorfall bestehende Dienstniveau erreicht haben. Wenn eine betreffende Einrichtung nicht imstande ist, den Zeitpunkt des Beginns der vollständigen Nichtverfügbarkeit eines Dienstes zu bestimmen, sollte die Nichtverfügbarkeit ab dem Zeitpunkt gemessen werden, zu dem sie von der Einrichtung festgestellt wurde.

Bei der Bestimmung der direkten finanziellen Verluste infolge eines Sicherheitsvorfalls sollten die betreffenden Einrichtungen alle finanziellen Verluste berücksichtigen, die ihnen infolge des Sicherheitsvorfalls entstanden sind, wie etwa Kosten für die Ersetzung oder Verlegung von Software, Hardware oder Infrastruktur, Personalkosten, einschließlich Kosten im Zusammenhang mit der Ersetzung oder Verlegung von Personal, der Einstellung zusätzlichen Personals, der Vergütung von Überstunden und der Wiederherstellung verloren gegangener oder beeinträchtigter Kompetenzen, Gebühren wegen Nichteinhaltung vertraglicher Verpflichtungen, Kosten für Ausgleichs- und Entschädigungszahlungen an Kunden, Verluste wegen entgangener Einnahmen, Kosten für interne und externe Kommunikation, Beratungskosten, einschließlich Kosten im Zusammenhang mit Rechtsberatung, forensischen Dienstleistungen und Behebungsdienstleistungen, und sonstige Kosten im Zusammenhang mit dem Sicherheitsvorfall. Geldbußen wie auch Kosten, die für den laufenden Geschäftsbetrieb erforderlich sind, sollten jedoch nicht als finanzielle Verluste infolge eines Sicherheitsvorfalls betrachtet werden, darunter etwa Kosten für die allgemeine Wartung von Infrastruktur, Ausrüstung, Hardware und Software, Kosten für die laufende Fortbildung des Personals, um dessen Kompetenzen auf dem aktuellen Stand zu halten, interne oder externe Kosten für die Verstärkung des Geschäftsbetriebs nach dem Vorfall, einschließlich für Aufrüstungen, Verbesserungen und Initiativen zur Risikobewertung, sowie Versicherungsprämien. Die betreffenden Einrichtungen sollten die Höhe der finanziellen Verluste auf der Grundlage vorliegender Daten berechnen, und wenn die tatsächliche Höhe der finanziellen Verluste nicht bestimmt werden kann, sollten die Einrichtungen solche Beträge schätzen.

Die betreffenden Einrichtungen sollten auch verpflichtet sein, Sicherheitsvorfälle zu melden, die den Tod natürlicher Personen oder erhebliche Schädigungen der Gesundheit natürlicher Personen verursacht haben oder verursachen können, denn bei solchen Vorfällen handelt es sich um besonders schwere Fälle, die erhebliche materielle oder immaterielle Schäden verursachen. So könnte beispielsweise ein Sicherheitsvorfall, der eine betreffende Einrichtung beeinträchtigt, dazu führen, dass Gesundheits- oder Notdienste nicht zur Verfügung stehen oder dass die Vertraulichkeit oder Integrität von Daten verloren geht und sich dies auf die Gesundheit natürlicher Personen auswirkt. Bei der Feststellung, ob ein Sicherheitsvorfall erhebliche Schädigungen der Gesundheit einer natürlichen Person verursacht hat oder verursachen kann, sollten die betreffenden Einrichtungen berücksichtigen, ob der Vorfall schwere Verletzungen und Erkrankungen verursacht hat oder verursachen kann. In dieser Hinsicht sollten die betreffenden Einrichtungen nicht dazu verpflichtet sein, zusätzliche Informationen einzuholen, die ihnen nicht zugänglich sind.

Von einer eingeschränkten Verfügbarkeit sollte insbesondere dann ausgegangen werden, wenn ein von einer betreffenden Einrichtung erbrachter Dienst deutlich langsamer als die durchschnittliche Antwortzeit ist oder wenn nicht alle Funktionen eines Dienstes verfügbar sind. Zur Bewertung von Verzögerungen bei der Antwortzeit sollten — soweit möglich — objektive Kriterien auf der Grundlage der durchschnittlichen Antwortzeiten der von den betreffenden Einrichtungen erbrachten Dienste herangezogen werden. Eine Funktion eines Dienstes kann beispielsweise aus einer Chat-Funktion oder einer Bildsuchfunktion bestehen.

Ein erfolgreicher, mutmaßlich böswilliger und unbefugter Zugriff auf Netz- und Informationssysteme einer betreffenden Einrichtung sollte als erheblicher Sicherheitsvorfall betrachtet werden, wenn er zu schwerwiegenden Betriebsstörungen führen kann. Wenn sich beispielsweise ein Cyberangreifer in den Netz- und Informationssystemen einer betreffenden Einrichtung einnistet, um künftig eine Störung der Dienste zu verursachen, sollte der Sicherheitsvorfall als erheblich betrachtet werden.

Wiederholte Sicherheitsvorfälle, die offensichtlich dieselbe Ursache haben und einzeln betrachtet die Kriterien für einen erheblichen Sicherheitsvorfall nicht erfüllen, sollten zusammen dennoch als erheblicher Sicherheitsvorfall betrachtet werden, sofern sie zusammen das Kriterium für finanzielle Verluste erfüllen und zumindest zweimal innerhalb von sechs Monaten aufgetreten sind. Solche wiederholten Sicherheitsvorfälle können auf erhebliche Mängel und Schwächen in den Verfahren für das Cybersicherheitsrisikomanagement der betreffenden Einrichtung und deren Reifegrad im Bereich der Cybersicherheit hindeuten. Darüber hinaus können solche wiederholten Sicherheitsvorfälle erhebliche finanzielle Verluste bei der betreffenden Einrichtung verursachen.

Die Kommission hat sich mit der Kooperationsgruppe und der ENISA über den Entwurf des Durchführungsrechtsakts gemäß Artikel 21 Absatz 5 und Artikel 23 Absatz 11 der Richtlinie (EU) 2022/2555 ausgetauscht und mit ihnen zusammengearbeitet.

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates(³)Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). angehört und gab am 1. September 2024 seine Stellungnahme ab.

Die in dieser Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des nach Artikel 39 der Richtlinie (EU) 2022/2555 eingesetzten Ausschusses —