Anhang | Technische und methodische anforderungen gemäß artikel 2 der vorliegenden verordnung

1. Konzept für die Sicherheit von Netz- und Informationssystemen (Artikel 21 Absatz 2 Buchstabe a der Richtlinie (EU) 2022/2555)
1. 1.1. Konzept für die Sicherheit von Netz- und Informationssystemen
  1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe a der Richtlinie (EU) 2022/2555 muss das Konzept für die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können;
    
    den Ansatz der betreffenden Einrichtungen für das Management der Sicherheit ihrer Netz- und Informationssysteme darlegen;
    
    für die Geschäftsstrategie und die Ziele der betreffenden Einrichtungen geeignet sein und diese ergänzen;
    
    die Ziele der Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; darlegen;
    
    eine Verpflichtung zur kontinuierlichen Verbesserung der Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; enthalten;
    
    eine Verpflichtung enthalten, die für seine Umsetzung erforderlichen angemessenen Ressourcen bereitzustellen, einschließlich des erforderlichen Personals, der erforderlichen Finanzmittel sowie der Verfahren, Instrumente und Technologien;
    
    den einschlägigen Mitarbeitenden und interessierten externen Beteiligten mitgeteilt und von ihnen anerkannt werden;
    
    die Festlegung der Rollen und Verantwortlichkeiten gemäß Nummer 1.2 enthalten;
    
    die aufzubewahrenden Unterlagen und die Dauer ihrer Aufbewahrung aufführen;
    
    die themenspezifischen Konzepte aufführen;
    
    Indikatoren und Maßnahmen zur Überwachung seiner Umsetzung und des aktuellen Reifegrads der Netz- und Informationssicherheit in den betreffenden Einrichtungen festlegen;
    
    das Datum der förmlichen Genehmigung durch die Leitungsorgane der betreffenden Einrichtungen (im Folgenden „Leitungsorgane“) enthalten.
  2. Das Konzept für die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; wird von den Leitungsorganen mindestens jährlich sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken überprüft und – soweit angemessen – aktualisiert. Das Ergebnis der Überprüfung wird dokumentiert.
2. 1.2. Rollen, Verantwortlichkeiten und Weisungsbefugnisse
  1. Im Rahmen ihres Konzepts für die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; gemäß Nummer 1.1 legen die betreffenden Einrichtungen Verantwortlichkeiten und Weisungsbefugnisse für die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; fest und ordnen sie den Rollen zu, weisen sie entsprechend dem Bedarf der jeweiligen Einrichtungen zu und teilen dies den Leitungsorganen mit.
  2. Die betreffenden Einrichtungen verlangen von allen Mitarbeitenden und Dritten, die Netz- und Informationssystemsicherheit entsprechend dem festgelegten Konzept für die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können;, den themenspezifischen Konzepten und den Verfahren der betreffenden Einrichtungen anzuwenden.
  3. Mindestens eine Person muss gegenüber den Leitungsorganen direkt für Fragen der Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; verantwortlich sein.
  4. Je nach Größe der betreffenden Einrichtungen wird die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; durch spezielle Rollen oder Aufgaben abgedeckt, die zusätzlich zu den bestehenden Rollen übernommen werden.
  5. Widerstrebende Pflichten und sich widersprechende Verantwortlichkeiten werden – soweit anwendbar – getrennt.
  6. Die Rollen, Verantwortlichkeiten und Weisungsbefugnisse werden von den Leitungsorganen in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken überprüft und – soweit angemessen – aktualisiert.
2. Konzept für das Risikomanagement (Artikel 21 Absatz 2 Buchstabe a der Richtlinie (EU) 2022/2555)
1. 2.1. Risikomanagementrahmen
  1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe a der Richtlinie (EU) 2022/2555 führen die betreffenden Einrichtungen einen geeigneten Risikomanagementrahmen ein, um die Risiken für die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; zu ermitteln und anzugehen, und erhalten diesen Rahmen aufrecht. Die betreffenden Einrichtungen führen Risikobewertungen durch und dokumentieren diese; auf der Grundlage der Ergebnisse erstellen sie einen Risikobehandlungsplan, setzen diesen um und überwachen ihn. Die Ergebnisse der Risikobewertung und die Restrisiken werden von den Leitungsorganen oder – soweit anwendbar – von Personen akzeptiert, die für das Risikomanagement rechenschaftspflichtig und befugt sind, sofern die betreffenden Einrichtungen für eine angemessene Berichterstattung an die Leitungsorgane sorgen.
  2. Für die Zwecke von Nummer 2.1.1 legen die betreffenden Einrichtungen Verfahren für die Ermittlung, Analyse, Bewertung und Behandlung von Risiken fest („Risikomanagementverfahren im Bereich der Cybersicherheitdie Cybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881;“). Das Risikomanagementverfahren im Bereich der Cybersicherheitdie Cybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; ist – soweit anwendbar – fester Bestandteil des gesamten Risikomanagementverfahrens der betreffenden Einrichtungen. Als Teil des Risikomanagementverfahrens im Bereich der Cybersicherheitdie Cybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; müssen die betreffenden Einrichtungen
    
    eine Risikomanagementmethodik befolgen;
    
    eine Risikotoleranzschwelle im Einklang mit der Risikobereitschaft der betreffenden Einrichtungen festlegen;
    
    einschlägige Risikokriterien einführen und pflegen;
    
    im Einklang mit einem gefahrenübergreifenden Ansatz die bestehenden Risiken für die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; ermitteln und dokumentieren, insbesondere in Bezug auf Dritte sowie auf Risiken, die zu Störungen der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit der Netz- und Informationssysteme führen könnten, wobei auch punktuelle Ausfälle zu ermitteln sind;
    
    die bestehenden Risiken für die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; analysieren, einschließlich des Niveaus der Bedrohung, der Wahrscheinlichkeit, der Auswirkung und des Risikosdas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; unter Berücksichtigung der Erkenntnisse über Cyberbedrohungen und Schwachstellen;
    
    die ermittelten Risiken auf der Grundlage der Risikokriterien bewerten;
    
    geeignete Optionen und Maßnahmen für die Behandlung von Risiken bestimmen;
    
    die Umsetzung der Maßnahmen für die Behandlung von Risiken fortlaufend überwachen;
    
    ermitteln, wer für die Umsetzung der Maßnahmen für die Behandlung von Risiken verantwortlich ist und wann diese erfolgen sollte;
    
    die gewählten Maßnahmen für die Behandlung von Risiken in einem Risikobehandlungsplan dokumentieren und die Gründe für das Eingehen der Restrisiken umfassend erläutern.
  3. Bei der Ermittlung und Priorisierung geeigneter Risikomanagementoptionen und -maßnahmen berücksichtigen die betreffenden Einrichtungen die Ergebnisse der Risikobewertung, die Ergebnisse des Verfahrens zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheitdie Cybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881;, die Umsetzungskosten im Verhältnis zum erwarteten Nutzen, die in Nummer 12.1 genannte Klassifizierung von Anlagen und Werten und die in Nummer 4.1.3 genannte Analyse der betrieblichen Auswirkungen.
  4. Die betreffenden Einrichtungen bewerten die Ergebnisse der Risikobewertung und den Risikobehandlungsplan in geplanten Zeitabständen und mindestens jährlich sowie bei wesentlichen Änderungen der Betriebsabläufe oder der Risiken oder bei erheblichen Sicherheitsvorfällen und aktualisieren sie – soweit angemessen.
2. 2.2. Überwachung der Einhaltung
  1. Die betreffenden Einrichtungen überprüfen regelmäßig die Einhaltung ihrer Konzepte für die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können;, themenspezifischen Konzepten, Vorschriften und Normen. Die Leitungsorgane werden durch regelmäßige Berichterstattung auf der Grundlage der Überprüfungen der Einhaltung über den Stand der Netz- und Informationssicherheit unterrichtet.
  2. Die betreffenden Einrichtungen führen ein wirksames System für die Berichterstattung über die Einhaltung der Bestimmungen ein, das ihren Strukturen, Betriebsumfeldern und Bedrohungslandschaften angemessen ist. Das System für die Berichterstattung über die Einhaltung muss den Leitungsorganen einen fundierten Überblick über den aktuellen Stand des Risikomanagements der betreffenden Einrichtungen geben können.
  3. Die betreffenden Einrichtungen führen in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken Maßnahmen zur Überwachung der Einhaltung durch.
3. 2.3. Unabhängige Überprüfung der Netz- und Informationssicherheit
  1. Die betreffenden Einrichtungen überprüfen unabhängig ihren Ansatz für das Management der Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; und dessen Umsetzung, einschließlich Personen, Verfahren und Technologien.
  2. Die betreffenden Einrichtungen entwickeln Verfahren zur Durchführung unabhängiger Überprüfungen durch Personen mit angemessener Prüfungskompetenz und pflegen diese Verfahren. Wird die unabhängige Überprüfung von Mitgliedern des Personals der betreffenden Einrichtungeine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann; durchgeführt, so dürfen die Personen, die die Überprüfungen durchführen, nicht dem Personal des zu überprüfenden Bereichs unterstellt sein. Lässt die Größe der betreffenden Einrichtungen eine solche Trennung der Befugnisse nicht zu, so ergreifen die betreffenden Einrichtungen alternative Maßnahmen, um die Unparteilichkeit der Überprüfungen zu gewährleisten.
  3. Die Ergebnisse der unabhängigen Überprüfungen, einschließlich der Ergebnisse der Überwachung der Einhaltung gemäß Nummer 2.2 und der Überwachung und Messung gemäß Nummer 7, werden den Leitungsorganen gemeldet. Gemäß den Risikoakzeptanzkriterien der betreffenden Einrichtungen sind Korrekturmaßnahmen zu ergreifen oder Restrisiken zu akzeptieren.
  4. Die unabhängigen Überprüfungen finden in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken statt.
3. Bewältigung von Sicherheitsvorfällen (Artikel 21 Absatz 2 Buchstabe b der Richtlinie (EU) 2022/2555)
1. 3.1. Konzept für die Bewältigung von Sicherheitsvorfällen
  1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe b der Richtlinie (EU) 2022/2555 arbeiten die betreffenden Einrichtungen ein Konzept für die Bewältigung von Sicherheitsvorfällenalle Maßnahmen und Verfahren zur Verhütung, Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen oder die Reaktion darauf und die Erholung davon; aus, in dem Rollen, Verantwortlichkeiten und Verfahren für die zeitnahe Erkennung, Analyse, Eindämmung oder Reaktion, die Wiederherstellung sowie Dokumentation und Meldung in Bezug auf Sicherheitsvorfälle festgelegt werden, und setzen dieses um.
  2. Das in Nummer 3.1.1 genannte Konzept muss mit dem Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs gemäß Nummer 4.1 im Einklang stehen. Das Konzept umfasst
    
    ein Kategorisierungssystem für Sicherheitsvorfälle, das mit der Bewertung und Klassifizierung von Ereignissen gemäß Nummer 3.4.1 im Einklang steht;
    
    wirksame Kommunikationspläne, auch für die Eskalation und Meldung;
    
    eine Zuweisung der Rollen bei der Erkennung von Sicherheitsvorfällen und der angemessenen Reaktion darauf an kompetente Mitarbeitende;
    
    Dokumente, die im Laufe der Erkennung von Sicherheitsvorfällen und der Reaktion darauf zu verwenden sind, wie Anleitungen für die Reaktion bei Sicherheitsvorfällen, Eskalationsschemata, Kontaktlisten und Vorlagen.
  3. Die in dem Konzept festgelegten Rollen, Verantwortlichkeiten und Verfahren werden in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken getestet, überprüft und – soweit angemessen – aktualisiert.
2. 3.2. Überwachung und Protokollierung
  1. Die betreffenden Einrichtungen legen Verfahren fest und verwenden Instrumente, um Aktivitäten in ihrem Netz- und Informationssystemein elektronisches Kommunikationsnetz im Sinne des Artikels 2 Nummer 1 der Richtlinie (EU) 2018/1972,ein Gerät oder eine Gruppe miteinander verbundener oder zusammenhängender Geräte, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung digitaler Daten durchführen, oderdigitale Daten, die von den — in den Buchstaben a und b genannten — Elementen zum Zwecke ihres Betriebs, ihrer Nutzung, ihres Schutzes und ihrer Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden; zu überwachen und zu protokollieren, damit sie Ereignisse, die als Sicherheitsvorfälle betrachtet werden könnten, erkennen und zur Eindämmung der Auswirkungen entsprechend darauf reagieren können.
  2. Soweit durchführbar, erfolgt die Überwachung automatisch und wird vorbehaltlich der betrieblichen Kapazitäten entweder kontinuierlich oder in regelmäßigen Zeitabständen durchgeführt. Die betreffenden Einrichtungen führen ihre Überwachungstätigkeiten so durch, dass es zu möglichst wenigen falsch positiven und falsch negativen Ergebnissen kommt.
  3. Auf der Grundlage der in Nummer 3.2.1 genannten Verfahren führen, dokumentieren und überprüfen die betreffenden Einrichtungen Protokolle. Die betreffenden Einrichtungen erstellen auf der Grundlage der Ergebnisse der gemäß Nummer 2.1 durchgeführten Risikobewertung eine Liste der Anlagen und Werte, die Gegenstand der Protokollierung sind. Soweit angemessen, müssen die Protokolle Folgendes enthalten:
    
    relevanten ausgehenden und eingehenden Netzverkehr;
    
    Einrichtungeine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann;, Änderung oder Löschung von Nutzern der Netz- und Informationssysteme der betreffenden Einrichtungen und Erweiterung der Berechtigungen;
    
    Zugriffe auf Systeme und Anwendungen;
    
    authentifizierungsbezogene Ereignisse;
    
    alle privilegierten Zugriffe auf Systeme und Anwendungen sowie Aktivitäten der Verwaltungskonten;
    
    Zugriffe auf kritische Konfigurations- und Backup-Sicherungsdateien oder Änderungen dieser Dateien;
    
    Ereignisprotokolle und Protokolle von Sicherheitstools wie Antivirenprogrammen, Angriffserkennungssystemen oder Firewalls;
    
    Nutzung der Systemressourcen sowie deren Leistung;
    
    physischen Zugang zu Betriebsstätten;
    
    Zugang zu ihren Netzwerkausrüstungen und -geräten und deren Nutzung;
    
    Aktivierung, Beendigung und Pausieren der verschiedenen Protokolle;
    
    Ereignisse im Umfeld.
  4. Die Protokolle werden regelmäßig auf ungewöhnliche oder unerwünschte Trends überprüft. Soweit angemessen, legen die betreffenden Einrichtungen geeignete Werte für Alarmschwellen fest. Bei Überschreitung der festgelegten Alarmschwellenwerte wird – soweit angemessen – automatisch ein Alarm ausgelöst. Der betreffenden Einrichtungen stellen sicher, dass im Falle eines Alarms zeitnah eine qualifizierte und angemessene Reaktion eingeleitet wird.
  5. Die betreffenden Einrichtungen führen und sichern die Protokolle für einen vorab festgelegten Zeitraum und schützen sie vor unbefugten Zugriffen oder Änderungen.
  6. Soweit durchführbar, stellen die betreffenden Einrichtungen sicher, alle Systeme zeitlich synchronisiert sind, um Protokolle zwischen den Systemen für die Ereignisbewertung miteinander in Beziehung setzen zu können. Die betreffenden Einrichtungen erstellen und führen eine Liste aller Anlagen und Werten, die protokolliert werden, und stellen sicher, dass für die Überwachung und Protokollierung Redundanzsysteme zur Verfügung stehen. Die Verfügbarkeit der Überwachungs- und Protokollierungssysteme wird unabhängig von den von ihnen überwachten Systemen überwacht.
  7. Die Verfahren sowie die Liste der protokollierten Anlagen und Werte werden in regelmäßigen Abständen und nach erheblichen Sicherheitsvorfällen überprüft und – soweit angemessen – aktualisiert.
3. 3.3. Meldung von Ereignissen
  1. Die betreffenden Einrichtungen richten einen einfachen Mechanismus ein, über den ihre Mitarbeitenden, Anbieter und Kunden verdächtige Ereignisse melden können.
  2. Die betreffenden Einrichtungen unterrichten – soweit angemessen – ihre Anbieter und Kunden über den Mechanismus für die Meldung von Ereignissen und schulen ihre Mitarbeitenden regelmäßig in Bezug auf dessen Nutzung.
4. 3.4. Bewertung und Klassifizierung von Ereignissen
  1. Die betreffenden Einrichtungen bewerten verdächtige Ereignisse, um festzustellen, ob es sich um Sicherheitsvorfälle handelt, und – falls dies der Fall ist – um deren Art und Schwere zu bestimmen.
  2. Für die Zwecke von Nummer 3.4.1 gehen die betreffenden Einrichtungen wie folgt vor:
    
    Sie führen die Bewertung auf der Grundlage vorab festgelegter Kriterien und einer Triage durch, um die Priorisierung der Eindämmung und Beseitigung von Sicherheitsvorfällen zu bestimmen,
    
    sie bewerten vierteljährlich, ob wiederholte Sicherheitsvorfälle gemäß Artikel 4 dieser Verordnung vorliegen,
    
    sie überprüfen die betreffenden Protokolle für die Zwecke der Bewertung und Klassifizierung von Ereignissen,
    
    sie führen ein Verfahren für die Korrelation und Analyse von Protokollen ein, und
    
    sie bewerten und klassifizieren Ereignisse neu, falls neue Informationen verfügbar werden, oder nach der Auswertung zuvor verfügbarer Informationen.
5. 3.5. Reaktion auf Sicherheitsvorfälle
  1. Die betreffenden Einrichtungen reagieren auf Sicherheitsvorfälle zeitnah gemäß dokumentierten Verfahren.
  2. Die Verfahren für Reaktionsmaßnahmen bei Sicherheitsvorfällen umfassen folgende Phasen:
    
    Eindämmung des Sicherheitsvorfallsein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigt;, um zu verhindern, dass sich dessen Folgen ausbreiten;
    
    Beseitigung, um zu verhindern, dass der Sicherheitsvorfallein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigt; andauert oder erneut auftritt;
    
    erforderlichenfalls Wiederherstellung nach dem Sicherheitsvorfallein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigt;.
  3. Die betreffenden Einrichtungen erstellen Pläne und Verfahren für die Kommunikation
    
    mit den Computer-Notfallteams (CSIRTs) oder – soweit anwendbar – mit den zuständigen Behörden im Zusammenhang mit der Meldung von Sicherheitsvorfällen;
    
    zwischen den Mitgliedern des Personals der betreffenden Einrichtungeine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann; und mit einschlägigen Interessenträgern außerhalb der betreffenden Einrichtungeine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann;.
  4. Die betreffenden Einrichtungen protokollieren die Tätigkeiten zur Reaktion auf Sicherheitsvorfälle gemäß den in Nummer 3.2.1 genannten Verfahren und sammeln Nachweise.
  5. Die betreffenden Einrichtungen testen ihre Verfahren zur Reaktion auf Sicherheitsvorfälle in geplanten Zeitabständen.
6. 3.6. Überprüfungen nach Sicherheitsvorfällen
  1. Nach Sicherheitsvorfällen führen die betreffenden Einrichtungen im Anschluss an die Wiederherstellung – soweit angemessen – nachträgliche Überprüfungen durch. Bei der Überprüfung nach einem Sicherheitsvorfallein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigt; wird, soweit möglich, die Ursache des Vorfalls ermittelt und es werden die daraus gezogenen Lehren dokumentiert, um das Auftreten und die Folgen künftiger Vorfälle zu verringern.
  2. Die betreffenden Einrichtungen stellen sicher, dass die Überprüfungen nach Sicherheitsvorfällen zur Verbesserung ihres Konzepts für die Netz- und Informationssicherheit, zu Risikobehandlungsmaßnahmen und Verfahren zur Bewältigung und Erkennung von Sicherheitsvorfällen sowie zur Reaktion darauf beitragen.
  3. Die betreffenden Einrichtungen überprüfen in geplanten Zeitabständen, ob Sicherheitsvorfälle entsprechende Überprüfungen nach sich zogen.
4. Betriebskontinuitäts- und Krisenmanagement (Artikel 21 Absatz 2 Buchstabe c der Richtlinie (EU) 2022/2555)
1. 4.1. Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs
  1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe c der Richtlinie (EU) 2022/2555 legen die betreffenden Einrichtungen einen Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs fest, der bei Sicherheitsvorfällen Anwendung findet.
  2. Die Abläufe der betreffenden Einrichtungen werden gemäß dem Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs wiederhergestellt. Der Plan beruht auf den Ergebnissen der gemäß Nummer 2.1 durchgeführten Risikobewertung ein und umfasst – soweit angemessen – Folgendes:
    
    Zweck, Umfang und Zielgruppe;
    
    Rollen und Verantwortlichkeiten;
    
    wichtige Kontaktangaben und (interne und externe) Kommunikationskanäle;
    
    Bedingungen für die Aktivierung und die Deaktivierung des Plans;
    
    Reihenfolge der Wiederherstellung der Betriebsabläufe;
    
    Wiederherstellungspläne für bestimmte Betriebsabläufe, einschließlich der Wiederherstellungsziele;
    
    erforderliche Ressourcen, einschließlich Sicherungen und Redundanzen;
    
    Wiederherstellung und Wiederaufnahme der Tätigkeiten nach vorübergehenden Maßnahmen.
  3. Die betreffenden Einrichtungen führen eine Analyse der betrieblichen Auswirkungen durch, um die möglichen Auswirkungen schwerwiegender Störungen auf ihre Betriebsabläufe zu bewerten, und legen auf der Grundlage der Ergebnisse Kontinuitätsanforderungen für die Netz- und Informationssysteme fest.
  4. Der Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs wird in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken getestet, überprüft und – soweit angemessen – aktualisiert. Die betreffenden Einrichtungen stellen sicher, dass die aus diesen Tests gezogenen Lehren in die Pläne einfließen.
2. 4.2. Backup-Sicherungs- und Redundanzmanagement
  1. Die betreffenden Einrichtungen machen Sicherungskopien der Daten und stellen ausreichend verfügbare Ressourcen, einschließlich Betriebsstätten, Netz- und Informationssysteme sowie Personal, bereit, um ein angemessenes Maß an Redundanz zu gewährleisten.
  2. Auf der Grundlage der Ergebnisse der gemäß Nummer 2.1 durchgeführten Risikobewertung und des Betriebskontinuitätsplans legen die betreffenden Einrichtungen Sicherungspläne fest, die Folgendes umfassen:
    
    Wiederherstellungszeiten;
    
    Gewährleistung, dass Sicherungskopien vollständig und genau sind, einschließlich Konfigurationsdaten und Daten, die in der Umgebung von Cloud-Computing-Diensten gespeichert sind;
    
    Speicherung von Sicherungskopien (online oder offline) an einem oder mehreren sicheren Orten, die sich nicht im selben Netz wie das System sowie in ausreichend großer Entfernung befinden, um Schäden durch einen Notfall am Hauptstandort zu vermeiden;
    
    geeignete physische und logische Zugangskontrollen zu Sicherungskopien entsprechend der Klassifizierungsstufe der Anlagen und Werte;
    
    Wiederherstellung von Daten aus Sicherungskopien;
    
    Aufbewahrungsfristen entsprechend geschäftlichen und regulatorischen Anforderungen.
  3. Die betreffenden Einrichtungen führen regelmäßige Integritätsprüfungen der Sicherungskopien durch.
  4. Auf der Grundlage der Ergebnisse der gemäß Nummer 2.1 durchgeführten Risikobewertung und des Betriebskontinuitätsplans sorgen die betreffenden Einrichtungen für eine ausreichende Verfügbarkeit von Ressourcen durch eine zumindest teilweise Redundanz der folgenden Elemente:
    
    Netz- und Informationssysteme;
    
    Anlagen und Werte, einschließlich Betriebsstätten, Ausrüstung und Verbrauchsmaterial;
    
    Personal mit der erforderlichen Verantwortlichkeit, Weisungsbefugnis und Kompetenz;
    
    geeignete Kommunikationskanäle.
  5. Die betreffenden Einrichtungen stellen – soweit angemessen – sicher, dass sich die Überwachung und Anpassung der Ressourcen, einschließlich Betriebsstätten, Systeme und Personal, ordnungsgemäß auf die Anforderungen an die Sicherung und Redundanz stützen.
  6. Die betreffenden Einrichtungen führen regelmäßige Tests der Wiederherstellung von Sicherungskopien und Redundanzen durch, um sicherzustellen, dass sie bei der Wiederherstellung zuverlässig sind und alle Kopien, Verfahren und Kenntnisse abdecken, die nötig sind, um eine wirksame Wiederherstellung durchzuführen. Die betreffenden Einrichtungen dokumentieren die Testergebnisse und ergreifen erforderlichenfalls Korrekturmaßnahmen.
3. 4.3. Krisenmanagement
  1. Die betreffenden Einrichtungen legen ein Verfahren für das Krisenmanagement fest.
  2. Sie sorgen dafür, dass das Krisenmanagementverfahren mindestens die folgenden Elemente abdeckt:
    
    Rollen und Verantwortlichkeiten des Personals und – soweit angemessen – der Anbieter und Diensteanbieter, wobei die Zuweisung der Rollen in Krisensituationen, einschließlich spezifischer zu befolgender Schritte, festgelegt wird;
    
    geeignete Kommunikationsmittel zwischen den betreffenden Einrichtungen und den jeweils zuständigen Behörden;
    
    Anwendung angemessener Maßnahmen zur Gewährleistung der Aufrechterhaltung der Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; in Krisensituationen.
    
    Für die Zwecke von Buchstabe b umfasst der Informationsfluss zwischen den betreffenden Einrichtungen und den jeweils zuständigen Behörden sowohl obligatorische Mitteilungen wie Meldungen von Sicherheitsvorfällen und entsprechende Fristen als auch fakultative Mitteilungen.
  3. Die betreffenden Einrichtungen führen ein Verfahren für die Verwaltung und Nutzung der von den CSIRTs oder – soweit anwendbar – den zuständigen Behörden erhaltenen Informationen über Sicherheitsvorfälle, Schwachstellen, Bedrohungen oder mögliche Risikominderungsmaßnahmen ein.
  4. Die betreffenden Einrichtungen testen den Krisenmanagementplan in geplanten Zeitabständen oder nach erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren ihn – soweit angemessen.
5. Sicherheit der Lieferkette (Artikel 21 Absatz 2 Buchstabe d der Richtlinie (EU) 2022/2555)
1. 5.1. Konzept für die Sicherheit der Lieferkette
  1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe d der Richtlinie (EU) 2022/2555 legen die betreffenden Einrichtungen ein Konzept für die Sicherheit der Lieferkette fest, das die Beziehungen zu ihren direkten Anbietern und Diensteanbietern regelt, setzen es um und wenden es an, um die ermittelten Risiken für die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; zu mindern. Im Rahmen des Konzepts für die Sicherheit der Lieferkette legen die betreffenden Einrichtungen ihre Rolle in der Lieferkette fest und teilen sie ihren direkten Anbietern und Diensteanbietern mit.
  2. Im Rahmen des in Nummer 5.1.1 genannten Konzepts für die Sicherheit der Lieferkette legen die betreffenden Einrichtungen Kriterien für die Auswahl von Anbietern und Diensteanbietern und die Auftragsvergabe an sie fest. Diese Kriterien umfassen Folgendes:
    
    die Cybersicherheitsverfahren der Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse;
    
    die Fähigkeit der Anbieter und Diensteanbieter, die von den betreffenden Einrichtungen festgelegten Cybersicherheitsspezifikationen zu erfüllen;
    
    die allgemeine Qualität und Resilienz der IKT-Produkte und -Dienste und die darin enthaltenen Risikomanagementmaßnahmen im Bereich der Cybersicherheitdie Cybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881;, einschließlich der Risiken und der Klassifizierungsstufe der IKT-Produkte und -Dienste;
    
    die Fähigkeit der betreffenden Einrichtungen, ihre Versorgungsquellen zu diversifizieren und – soweit anwendbar – ihre Abhängigkeit von bestimmten Anbietern zu begrenzen.
  3. Bei der Erstellung ihres Konzepts für die Sicherheit der Lieferkette berücksichtigen die betreffenden Einrichtungen – soweit anwendbar – die Ergebnisse koordinierter Sicherheitsrisikobewertungen kritischer Lieferketten gemäß Artikel 22 Absatz 1 der Richtlinie (EU) 2022/2555.
  4. Auf der Grundlage des Konzepts für die Sicherheit der Lieferkette und unter Berücksichtigung der Ergebnisse der gemäß Nummer 2.1 dieses Anhangs durchgeführten Risikobewertung stellen die betreffenden Einrichtungen sicher, dass in ihren Verträgen mit Anbietern und Diensteanbietern – soweit angemessen – im Rahmen von Leistungsvereinbarungen Folgendes festgelegt wird:
    
    Cybersicherheitsanforderungen an die Anbieter oder Diensteanbieter, einschließlich der Anforderungen an die Sicherheit beim Erwerb von IKT-Diensten oder -Produkten gemäß Nummer 6.1;
    
    Sensibilisierungs-, Qualifikations- und Ausbildungsanforderungen sowie – soweit angemessen – Zertifizierungen, die von den Mitarbeitenden der Anbieter oder Diensteanbieter verlangt werden;
    
    Anforderungen an die Zuverlässigkeitsüberprüfungen der Mitarbeitenden der Anbieter und Diensteanbieter;
    
    eine Verpflichtung der Anbieter und Diensteanbieter, den betreffenden Einrichtungen Sicherheitsvorfälle, die ein Risikodas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; für die Sicherheit der Netz- und Informationssysteme dieser Einrichtungen darstellen, unverzüglich zu melden;
    
    das Recht auf Prüfung oder das Recht auf Erhalt von Prüfberichten;
    
    eine Verpflichtung der Anbieter und Diensteanbieter zur Behebung von Schwachstellen, die ein Risikodas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; für die Sicherheit der Netz- und Informationssysteme der betreffenden Einrichtungen darstellen;
    
    Anforderungen an die Unterauftragsvergabe und – sofern die betreffenden Einrichtungen die Vergabe von Unteraufträgen zulassen – Cybersicherheitsanforderungen an Unterauftragnehmer im Einklang mit den unter Buchstabe a genannten Cybersicherheitsanforderungen;
    
    Pflichten der Anbieter und Diensteanbieter bei Vertragskündigung, z. B. Abruf und Entsorgung der Informationen, die die Anbieter und Diensteanbieter in Wahrnehmung ihrer Aufgaben erlangten.
  5. Die betreffenden Einrichtungen berücksichtigen die in den Nummern 5.1.2 und 5.1.3 genannten Elemente im Rahmen des Auswahlverfahrens für neue Anbieter und Diensteanbieter sowie im Rahmen des Vergabeverfahrens gemäß Nummer 6.1.
  6. Die betreffenden Einrichtungen überprüfen das Konzept für die Sicherheit der Lieferkette, überwachen und bewerten Änderungen der Cybersicherheitsverfahren von Anbietern und Diensteanbietern bei wesentlichen Änderungen der Betriebsabläufe oder der Risiken oder bei erheblichen Sicherheitsvorfällen im Zusammenhang mit der Bereitstellung von IKT-Diensten oder mit Auswirkungen auf die Sicherheit der IKT-Produkte von Anbietern und Diensteanbietern und werden erforderlichenfalls im Hinblick auf diese Änderungen tätig.
  7. Für die Zwecke von Nummer 5.1.6 müssen die betreffenden Einrichtungen
    
    die Berichte über die Umsetzung der Leistungsvereinbarungen regelmäßig verfolgen – soweit anwendbar;
    
    Sicherheitsvorfälle im Zusammenhang mit IKT-Produkten und -Diensten von Anbietern und Diensteanbietern überprüfen;
    
    die Notwendigkeit außerplanmäßiger Überprüfungen prüfen und die Ergebnisse verständlich dokumentieren;
    
    die Risiken, die sich aus Änderungen im Zusammenhang mit IKT-Produkten und -Diensten von Anbietern und Diensteanbietern ergeben, analysieren und – soweit angemessen – rechtzeitig Risikominderungsmaßnahmen ergreifen.
2. 5.2. Verzeichnis der Anbieter und Diensteanbieter
  1. Die betreffenden Einrichtungen führen ein Verzeichnis ihrer direkten Anbieter und Diensteanbieter, das Folgendes umfasst, und halten es auf dem neuesten Stand:
    
    Kontaktstellen für jeden direkten Anbieter und Diensteanbieter;
    
    eine Liste der IKT-Produkte, -Dienste und -Prozesse, die der direkte Anbieter oder Diensteanbieter für die betreffenden Einrichtungen bereitstellt.
6. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen (Artikel 21 Absatz 2 Buchstabe e der Richtlinie (EU) 2022/2555)
1. 6.1. Sicherheitsmaßnahmen beim Erwerb von IKT-Diensten oder IKT-Produkten
  1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe e der Richtlinie (EU) 2022/2555 legen die betreffenden Einrichtungen auf der Grundlage der gemäß Nummer 2.1 durchgeführten Risikobewertung Verfahren für das Management der Risiken fest, die sich aus dem Erwerb von IKT-Diensten oder -Produkten für Komponenten ergeben, die für die Sicherheit der Netz- und Informationssysteme der betreffenden Einrichtungen unverzichtbar sind, und setzen sie um.
  2. Für die Zwecke von Nummer 6.1.1 umfassen die in Nummer 6.1.1 genannten Verfahren Folgendes:
    
    Sicherheitsanforderungen, die für die zu erwerbenden IKT-Dienste oder -Produkte gelten;
    
    Anforderungen an Sicherheitsaktualisierungen während der gesamten Lebensdauer der IKT-Dienste oder -Produkte oder deren Ersatz nach Ablauf des Unterstützungszeitraums;
    
    Informationen zur Beschreibung der Hardware- und Softwarekomponenten, die in den IKT-Diensten oder -Produkten verwendet werden;
    
    Informationen zur Beschreibung der umgesetzten Cybersicherheitsfunktionen der IKT-Dienste oder -Produkte und der Konfiguration, die für ihren sicheren Betrieb erforderlich ist;
    
    die Zusicherung, dass die IKT-Dienste oder -Produkte die Sicherheitsanforderungen gemäß Buchstabe a erfüllen;
    
    Methoden zur Validierung, dass die bereitgestellten IKT-Dienste oder -Produkte die angegebenen Sicherheitsanforderungen erfüllen, sowie die Dokumentation der Ergebnisse der Validierung.
  3. Die betreffenden Einrichtungen überprüfen die Verfahren in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen und aktualisieren sie – soweit angemessen.
2. 6.2. Sicherer Entwicklungszyklus
  1. Vor der Entwicklung eines Netz- und Informationssystemsein elektronisches Kommunikationsnetz im Sinne des Artikels 2 Nummer 1 der Richtlinie (EU) 2018/1972,ein Gerät oder eine Gruppe miteinander verbundener oder zusammenhängender Geräte, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung digitaler Daten durchführen, oderdigitale Daten, die von den — in den Buchstaben a und b genannten — Elementen zum Zwecke ihres Betriebs, ihrer Nutzung, ihres Schutzes und ihrer Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden;, einschließlich Software, legen die betreffenden Einrichtungen Vorschriften für die Sicherheit der Entwicklung von Netz- und Informationssystemen fest und wenden diese bei der internen Entwicklung von Netz- und Informationssystemen und bei der Auslagerung der Entwicklung von Netz- und Informationssystemen an. Die Vorschriften gelten für alle Entwicklungsphasen, einschließlich Spezifikation, Konzeption, Entwicklung, Umsetzung und Tests.
  2. Für die Zwecke von Nummer 6.2.1 müssen die betreffenden Einrichtungen
    
    eine Analyse der Sicherheitsanforderungen in der Spezifikations- und Entwurfsphase jedes Entwicklungs- oder Beschaffungsvorhabens vornehmen, das von den betreffenden Einrichtungen oder im Namen dieser Einrichtungen durchgeführt wird;
    
    bei allen Tätigkeiten zur Entwicklung von Informationssystemen bestimmte Grundsätze für den Aufbau sicherer Systeme und für ein sicheres Programmieren wie etwa die Förderung von konzeptintegrierter Cybersicherheitdie Cybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; und Null-Vertrauen-Architekturen anwenden;
    
    Sicherheitsanforderungen in Bezug auf Entwicklungsumgebungen festlegen;
    
    Sicherheitstestverfahren im Entwicklungszyklus einführen und umsetzen;
    
    Daten über Sicherheitstests angemessen auswählen, schützen und verwalten;
    
    die Testdaten entsprechend der Risikobewertung gemäß Nummer 2.1 bereinigen und anonymisieren.
  3. Bei einer ausgelagerten Entwicklung von Netz- und Informationssystemen wenden die betreffenden Einrichtungen darüber hinaus die in den Nummern 5 und 6.1 genannten Grundsätze und Verfahren an.
  4. Die betreffenden Einrichtungen überprüfen ihre Vorschriften für die Sicherheit der Entwicklung in geplanten Zeitabständen und aktualisieren sie erforderlichenfalls.
3. 6.3. Konfigurationsmanagement
  1. Die betreffenden Einrichtungen ergreifen geeignete Maßnahmen, um Konfigurationen, einschließlich Sicherheitskonfigurationen von Hardware, Software, Diensten und Netzen, festzulegen, zu dokumentieren, umzusetzen und zu überwachen.
  2. Für die Zwecke von Nummer 6.3.1 müssen die betreffenden Einrichtungen
    
    Konfigurationen für ihre Hardware, Software, Dienste und Netze festlegen und deren Sicherheit gewährleisten;
    
    Verfahren und Instrumente zur Durchsetzung der festgelegten sicheren Konfigurationen für Hardware, Software, Dienste und Netze, für neu installierte Systeme sowie für Systeme, die über ihre gesamte Lebensdauer in Betrieb sind, festlegen und umsetzen.
  3. Die betreffenden Einrichtungen überprüfen die Konfigurationen in geplanten Zeitabständen oder bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren sie – soweit angemessen.
4. 6.4. Änderungsmanagement, Reparatur und Wartung
  1. Die betreffenden Einrichtungen wenden Verfahren für das Änderungsmanagement an, um Änderungen an Netz- und Informationssystemen zu kontrollieren. Die Verfahren müssen – soweit anwendbar – mit den allgemeinen Grundsätzen der betreffenden Einrichtungen in Bezug auf das Änderungsmanagement im Einklang stehen.
  2. Die in Nummer 6.4.1 genannten Verfahren gelten für Freigaben, Änderungen und Notfalländerungen an in Betrieb befindlicher Software und Hardware sowie für Änderungen der Konfiguration. Durch die Verfahren wird sichergestellt, dass diese Änderungen dokumentiert und auf der Grundlage der gemäß Nummer 2.1 durchgeführten Risikobewertung im Hinblick auf die möglichen Auswirkungen getestet und bewertet werden, bevor sie umgesetzt werden.
  3. Konnten die regulären Änderungsmanagementverfahren aufgrund eines Notfalls nicht befolgt werden, dokumentieren die betreffenden Einrichtungen das Ergebnis der Änderung und die Begründung für die Nichteinhaltung der Verfahren.
  4. Die betreffenden Einrichtungen überprüfen die Verfahren in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren sie – soweit angemessen.
5. 6.5. Sicherheitsprüfung
  1. Die betreffenden Einrichtungen legen ein Konzept und Verfahren für Sicherheitsprüfungen fest, setzen sie um und wenden sie an.
  2. Die betreffenden Einrichtungen
    
    legen auf der Grundlage der gemäß Nummer 2.1 durchgeführten Risikobewertung die Notwendigkeit, den Umfang, die Häufigkeit und die Art der Sicherheitsprüfungen fest;
    
    führen Sicherheitsprüfungen nach einer dokumentierten Prüfmethode durch, die sich auf die Komponenten erstrecken, die im Rahmen einer Risikoanalyse als für den sicheren Betrieb relevant eingestuft wurden;
    
    dokumentieren die Art, den Umfang, den Zeitraum und die Ergebnisse der Prüfungen, einschließlich der Bewertung der Kritikalität und der Risikominderungsmaßnahmen für jede Feststellung;
    
    wenden im Falle kritischer Feststellungen Risikominderungsmaßnahmen an.
  3. Die betreffenden Einrichtungen überprüfen ihre Konzepte für die Sicherheitsprüfung in geplanten Zeitabständen und aktualisieren sie – soweit angemessen.
6. 6.6. Sicherheitspatch-Management
  1. Die betreffenden Einrichtungen legen Verfahren, die mit den in Nummer 6.4.1 genannten Änderungsmanagementverfahren im Einklang stehen, und Änderungs-, Schwachstellen- und Risikomanagementverfahren sowie andere einschlägige Verfahren fest und wenden sie an, um sicherzustellen, dass
    
    Sicherheitspatches innerhalb einer angemessenen Frist nach ihrer Verfügbarmachung angewendet werden;
    
    Sicherheitspatches getestet werden, bevor sie in Produktionssystemen angewendet werden;
    
    Sicherheitspatches aus vertrauenswürdigen Quellen stammen und auf ihre Integrität geprüft werden;
    
    zusätzliche Maßnahmen umgesetzt und Restrisiken akzeptiert werden, wenn ein Patch nicht verfügbar ist oder nicht gemäß Nummer 6.6.2 angewendet wird.
  2. Abweichend von Nummer 6.6.1 Buchstabe a können die betreffenden Einrichtungen verzichten, Sicherheitspatches anzuwenden, wenn die Nachteile der Anwendung der Sicherheitspatches die Vorteile für die Cybersicherheitdie Cybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; überwiegen. Die betreffenden Einrichtungen dokumentieren und begründen dies ordnungsgemäß.
7. 6.7. Netzsicherheit
  1. Die betreffenden Einrichtungen ergreifen geeignete Maßnahmen, um ihre Netz- und Informationssysteme vor Cyberbedrohungen zu schützen.
  2. Für die Zwecke von Nummer 6.7.1 müssen die betreffenden Einrichtungen
    
    die Architektur des Netzes verständlich und aktuell dokumentieren;
    
    Kontrollen festlegen und durchführen, um die internen Netzdomänen der betreffenden Einrichtungen vor unbefugtem Zugriff zu schützen;
    
    die Kontrollen so konfigurieren, dass Zugriffe und Netzkommunikation verhindert werden, wenn dies für den Betrieb der betreffenden Einrichtungen nicht erforderlich ist;
    
    die Kontrollen für den Fernzugriff auf Netz- und Informationssysteme, einschließlich des Zugangs von Diensteanbietern, festlegen und durchführen;
    
    keine Systeme verwenden, die für die Verwaltung der Umsetzung der Sicherheitskonzepte für andere Zwecke verwendet werden;
    
    nicht benötigte Verbindungen und Dienste ausdrücklich verbieten oder deaktivieren;
    
    – soweit angemessen – den Zugang zu ihren Netz- und Informationssystemen ausschließlich mit von den betreffenden Einrichtungen genehmigten Geräten gewähren;
    
    Verbindungen von Diensteanbietern nur nach einem Genehmigungsantrag und für einen bestimmten Zeitraum, z. B. für die Dauer von Wartungsarbeiten, zulassen;
    
    die Kommunikation zwischen verschiedenen Systemen nur über vertrauenswürdige Kanäle herstellen, die durch logische, kryptografische oder physikalische Trennung von anderen Kommunikationskanälen isoliert sind, und eine sichere Identifizierung ihrer Endpunkte und den Schutz der Kanaldaten vor Änderung oder Offenlegung ermöglichen;
    
    einen Durchführungsplan für den sicheren, angemessenen und schrittweisen vollständigen Übergang zur neuesten Generation der Kommunikationsprotokolle für die Netzwerkschicht annehmen und Maßnahmen zur Beschleunigung dieses Übergangs festlegen;
    
    einen Durchführungsplan für die Einführung international vereinbarter und interoperabler moderner E-Mail-Kommunikationsnormen annehmen, um die E-Mail-Kommunikation zur Minderung von Schwachstellen im Zusammenhang mit E-Mail-Bedrohungen zu sichern, und Maßnahmen zur Beschleunigung dieser Einführung festlegen;
    
    bewährte Verfahren für die Sicherheit des DNS sowie für die Sicherheit und Hygiene des Internet-Routings bei Verkehr, der aus dem Netz stammt und für das Netz bestimmt ist, anwenden.
  3. Die betreffenden Einrichtungen überprüfen diese Maßnahmen in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren sie – soweit angemessen.
8. 6.8. Netzsegmentierung
  1. Die betreffenden Einrichtungen segmentieren ihre Systeme entsprechend den Ergebnissen der Risikobewertung gemäß Nummer 2.1 in Netze oder Zonen. Sie segmentieren ihre eigenen Systeme und Netze von Systemen und Netzen Dritter.
  2. Für diese Zwecke müssen die betreffenden Einrichtungen
    
    die funktionale, logische und physische Beziehung, einschließlich des Standorts, zwischen vertrauenswürdigen Systemen und Diensten berücksichtigen;
    
    den Zugang zu einem Netz oder einer Zone auf der Grundlage einer Bewertung seiner/ihrer Sicherheitsanforderungen gewähren;
    
    Systeme, die für den Betrieb der betreffenden Einrichtungen oder für die Sicherheit unverzichtbar sind, in gesicherten Zonen unterbringen;
    
    eine demilitarisierte Zone innerhalb ihrer Kommunikationsnetze aufbauen, um die Sicherheit der Kommunikation, die aus ihren Netzen stammt oder für ihr Netz bestimmt ist, zu gewährleisten;
    
    den Zugang zu und die Kommunikation zwischen und innerhalb von Zonen auf diejenigen beschränken, die für den Betrieb der betreffenden Einrichtungen oder für die Sicherheit erforderlich sind;
    
    das spezielle Netz für die Verwaltung von Netz- und Informationssystemen vom operativen Netz der betreffenden Einrichtungen trennen;
    
    Netzverwaltungskanäle von anderem Netzverkehr trennen;
    
    die Produktionssysteme für die Dienste der betreffenden Einrichtungen von den Systemen trennen, die bei der Entwicklung und beim Testen, einschließlich der Sicherung, verwendet werden.
  3. Die betreffenden Einrichtungen überprüfen die Netzsegmentierung in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren sie – soweit angemessen.
9. 6.9. Schutz gegen Schadsoftware und nicht genehmigte Software
  1. Die betreffenden Einrichtungen schützen ihre Netz- und Informationssysteme vor Schadsoftware und nicht genehmigter Software.
  2. Zu diesem Zweck führen die betreffenden Einrichtungen insbesondere Maßnahmen durch, um die Verwendung von Schadsoftware oder nicht genehmigter Software aufzudecken oder zu verhindern. Die betreffenden Einrichtungen stellen – soweit angemessen – sicher, dass ihre Netz- und Informationssysteme mit einer Erkennungs- und Reaktionssoftware ausgestattet sind, die regelmäßig im Einklang mit der gemäß Nummer 2.1 durchgeführten Risikobewertung und den vertraglichen Vereinbarungen mit den Anbietern aktualisiert wird.
10. 6.10. Behandlung und Offenlegung von Schwachstellen
  1. Die betreffenden Einrichtungen erlangen Informationen über technische Schwachstellen in ihren Netz- und Informationssystemen, bewerten ihre Exposition gegenüber solchen Schwachstellen und ergreifen geeignete Maßnahmen zum Umgang mit diesen Schwachstellen.
  2. Für die Zwecke von Nummer 6.10.1 müssen die betreffenden Einrichtungen
    
    Informationen über Schwachstellen über geeignete Kanäle, wie z. B. Ankündigungen von CSIRTs oder zuständigen Behörden oder von Anbietern oder Diensteanbietern bereitgestellte Informationen, verfolgen;
    
    – soweit angemessen – Schwachstellen-Scans durchführen und die Ergebnisse der Scans in geplanten Zeitabständen aufzeichnen;
    
    Schwachstellen, die von den betreffenden Einrichtungen als für ihren Betrieb kritisch eingestuft wurden, unverzüglich beheben;
    
    sicherstellen, dass die Behandlung von Schwachstellen mit den Verfahren für das Änderungsmanagement, das Sicherheitspatch-Management, das Risikomanagement und das Management von Sicherheitsvorfällen vereinbar ist;
    
    ein Verfahren für die Offenlegung von Schwachstellen im Einklang mit den geltenden nationalen Konzepten für die koordinierte Offenlegung von Schwachstellen festlegen.
  3. Wenn dies wegen der möglichen Auswirkungen der Schwachstelleeine Schwäche, Anfälligkeit oder Fehlfunktion von IKT-Produkten oder IKT-Diensten, die bei einer Cyberbedrohung ausgenutzt werden kann; gerechtfertigt ist, erstellen die betreffenden Einrichtungen einen Plan zur Minderung der Schwachstelleeine Schwäche, Anfälligkeit oder Fehlfunktion von IKT-Produkten oder IKT-Diensten, die bei einer Cyberbedrohung ausgenutzt werden kann; und setzen ihn um. Ansonsten dokumentieren und begründen die betreffenden Einrichtungen, warum die Schwachstelleeine Schwäche, Anfälligkeit oder Fehlfunktion von IKT-Produkten oder IKT-Diensten, die bei einer Cyberbedrohung ausgenutzt werden kann; keine Abhilfemaßnahmen erfordert.
  4. Die betreffenden Einrichtungen überprüfen in geplanten Abständen die Kanäle, die sie für die Überwachung von Informationen über Schwachstellen nutzen, und aktualisieren sie – soweit angemessen.
7. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit (Artikel 21 Absatz 2 Buchstabe f der Richtlinie (EU) 2022/2555)
1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe f der Richtlinie (EU) 2022/2555 legen die betreffenden Einrichtungen ein Konzept und Verfahren fest, setzen sie um und wenden sie an, um zu bewerten, ob die ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheitdie Cybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; wirksam umgesetzt und aufrechterhalten werden.
2. Das in Nummer 7.1 genannte Konzept und die entsprechenden Verfahren tragen den Ergebnissen der Risikobewertung gemäß Nummer 2.1 und früheren erheblichen Sicherheitsvorfällen Rechnung. Die betreffenden Einrichtungen müssen Folgendes bestimmen:
  
  welche Risikomanagementmaßnahmen im Bereich der Cybersicherheitdie Cybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; zu überwachen und zu messen sind, einschließlich Verfahren und Kontrollen;
  
  die Methoden zur Überwachung, Messung, Analyse und Bewertung, sofern zutreffend, um gültige Ergebnisse sicherzustellen;
  
  wann die Überwachung und Messung durchzuführen ist;
  
  wer für die Überwachung und die Messung der Wirksamkeit der Risikomanagementmaßnahmen im Bereich der Cybersicherheitdie Cybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; zuständig ist;
  
  wann die Ergebnisse der Überwachung und der Messung zu analysieren und zu bewerten sind;
  
  wer diese Ergebnisse analysieren und bewerten muss.
3. Die betreffenden Einrichtungen überprüfen das Konzept und die Verfahren in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren sie – soweit angemessen.
8. Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit (Artikel 21 Absatz 2 Buchstabe g der Richtlinie (EU) 2022/2555)
1. 8.1. Sensibilisierungsmaßnahmen und grundlegende Verfahren im Bereich der Cyberhygiene
  1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe g der Richtlinie (EU) 2022/2555 stellen die betreffenden Einrichtungen sicher, dass sich ihre Mitarbeitenden, einschließlich der Mitglieder von Leitungsorganen, sowie direkte Anbieter und Diensteanbieter der Risiken bewusst sind, über die Bedeutung der Cybersicherheitdie Cybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; informiert werden und Verfahren im Bereich der Cyberhygiene anwenden.
  2. Für die Zwecke von Nummer 8.1.1 bieten die betreffenden Einrichtungen ihren Mitarbeitenden, den Mitgliedern ihrer Leitungsorgane sowie – soweit angemessen – direkten Anbietern und Diensteanbietern gemäß Nummer 5.1.4 ein Sensibilisierungsprogramm an, das
    
    zeitlich so geplant ist, dass die Maßnahmen wiederholt werden und neue Mitarbeitende erreichen;
    
    mit dem Konzept für die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können;, den themenspezifischen Konzepten und den einschlägigen Verfahren für die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; im Einklang steht;
    
    einschlägige Cyberbedrohungen, bestehende Risikomanagementmaßnahmen im Bereich der Cybersicherheitdie Cybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881;, Kontaktstellen und Ressourcen für zusätzliche Informationen und Beratung zu Cybersicherheitsfragen sowie Verfahren im Bereich der Cyberhygiene für Nutzer abdeckt.
  3. Das Sensibilisierungsprogramm wird – soweit angemessen – in geplanten Zeitabständen im Hinblick auf seine Wirksamkeit getestet. Das Sensibilisierungsprogramm wird in geplanten Zeitabständen aktualisiert und angeboten, wobei Änderungen der Verfahren im Bereich der Cyberhygiene sowie die aktuelle Bedrohungslage und die Risiken für die betreffenden Einrichtungen zu berücksichtigen sind.
2. 8.2. Sicherheitsschulungen
  1. Die betreffenden Einrichtungen ermittelt Mitarbeitende, deren Rollen sicherheitsrelevante Fähigkeiten und Fachkenntnisse erfordern, und stellt sicher, dass sie in Bezug auf die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; regelmäßig geschult werden.
  2. Die betreffenden Einrichtungen führen ein Schulungsprogramm im Einklang mit dem Konzept für die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können;, den themenspezifischen Konzepten und anderen einschlägigen Verfahren für die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; ein, in dem der Schulungsbedarf für bestimmte Rollen und Positionen auf der Grundlage von Kriterien festgelegt wird, setzen es um und wenden es an.
  3. Die Schulung gemäß Nummer 8.2.1 muss für die Funktion des Mitarbeitenden relevant sein, und ihre Wirksamkeit ist zu bewerten. Die Schulung muss den bestehenden Sicherheitsmaßnahmen Rechnung tragen und Folgendes umfassen:
    
    Anweisungen für die sichere Konfiguration und den sicheren Betrieb der Netz- und Informationssysteme, einschließlich mobiler Geräte;
    
    Unterrichtung über bekannte Cyberbedrohungen;
    
    Schulung in Bezug auf das Verhalten bei sicherheitsrelevanten Ereignissen.
  4. Die betreffenden Einrichtungen führen Schulungen für Mitglieder des Personals durch, die in neue Positionen oder Rollen wechseln, die sicherheitsrelevante Fähigkeiten und Fachkenntnisse erfordern.
  5. Das Programm wird regelmäßig aktualisiert und durchgeführt, wobei geltende Konzepte und Vorschriften, zugewiesene Rollen und Verantwortlichkeiten sowie bekannte Cyberbedrohungen und technische Entwicklungen berücksichtigt werden.
9. Kryptografie (Artikel 21 Absatz 2 Buchstabe h der Richtlinie (EU) 2022/2555)
1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe h der Richtlinie (EU) 2022/2555 legen die betreffenden Einrichtungen ein Konzept und Verfahren in Bezug auf Kryptografie fest, setzen sie um und wenden sie an, um eine angemessene und wirksame Nutzung von Kryptografie sicherzustellen, damit die Vertraulichkeit, Authentizität und Integrität der Daten im Einklang mit der Anlagen- und Werteklassifizierung der betreffenden Einrichtungen und den Ergebnissen der gemäß Nummer 2.1 durchgeführten Risikobewertung geschützt sind.
2. In dem Konzept und den Verfahren gemäß Nummer 9.1 wird Folgendes festgelegt:
  
  im Einklang mit der Einstufung der Anlagen und Werte der betreffenden Einrichtungen die Art, Stärke und Qualität der kryptografischen Maßnahmen, die zum Schutz der Anlagen und Werte der betreffenden Einrichtungen erforderlich sind, einschließlich der Daten, die gespeichert sind oder gerade übermittelt werden;
  
  die auf der Grundlage von Buchstabe a anzunehmenden Protokolle oder Protokollfamilien sowie kryptografische Algorithmen, Kryptierungsstärke, kryptografische Lösungen und Nutzungsverfahren, die zu genehmigen und für die Verwendung in den betreffenden Einrichtungen erforderlich sind, – soweit angemessen – nach einem Krypto-Agilitätsansatz;
  
  der Ansatz der betreffenden Einrichtungen in Bezug auf das Schlüsselmanagement, – soweit angemessen – einschließlich der Methoden für
  
  die Generierung verschiedener Schlüssel für kryptografische Systeme und Anwendungen;
  
  die Ausstellung und Erlangung von Public-Key-Zertifikaten;
  
  die Verteilung von Schlüsseln an die vorgesehenen Einrichtungen, einschließlich wie der Schlüssel nach Erhalt zu aktivieren ist;
  
  die Speicherung von Schlüsseln, einschließlich wie autorisierte Nutzer Zugang zu Schlüsseln erhalten;
  
  die Änderung oder Aktualisierung von Schlüsseln, einschließlich Vorschriften darüber, wann und wie Schlüssel geändert werden können;
  
  den Umgang mit beeinträchtigten Schlüsseln;
  
  den Widerruf von Schlüsseln, einschließlich wie Schlüssel zurückzuziehen oder zu deaktivieren sind;
  
  die Wiederherstellung verlorener oder beschädigter Schlüssel;
  
  die Sicherung oder Archivierung von Schlüsseln;
  
  die Vernichtung von Schlüsseln;
  
  die Protokollierung und Prüfung von Managementtätigkeiten im Zusammenhang mit Schlüsseln;
  
  die Festlegung von Aktivierungs- und Deaktivierungsfristen für Schlüssel, damit die Schlüssel nur für den angegebenen Zeitraum gemäß den Vorschriften der Organisation für das Schlüsselmanagement verwendet werden können.
3. Die betreffenden Einrichtungen überprüfen ihr Konzept und ihre Verfahren in geplanten Zeitabständen und aktualisieren sie – soweit angemessen –, wobei sie dem Stand der Technik im Bereich der Kryptografie Rechnung tragen.
10. Sicherheit des Personals (Artikel 21 Absatz 2 Buchstabe i der Richtlinie (EU) 2022/2555)
1. 10.1. Sicherheit des Personals
  1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe i der Richtlinie (EU) 2022/2555 stellen die betreffenden Einrichtungen sicher, dass ihre Mitarbeitenden und gegebenenfalls ihre direkten Anbieter und Diensteanbieter ihre Verantwortlichkeiten im Bereich der Sicherheit verstehen und sich zu ihrer Einhaltung verpflichten, soweit dies für die angebotenen Dienste und den Arbeitsplatz angemessen ist und mit dem Konzept der betreffenden Einrichtungen für die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; im Einklang steht.
  2. Die unter Nummer 10.1.1 genannte Anforderung umfasst Folgendes:
    
    Mechanismen, mit denen sichergestellt wird, dass alle Mitarbeitenden, direkten Anbieter und Diensteanbieter gegebenenfalls die von den betreffenden Einrichtungen gemäß Nummer 8.1 angewandten Standardverfahren im Bereich der Cyberhygiene verstehen und befolgen;
    
    Mechanismen, mit denen sichergestellt wird, dass sich alle Nutzer mit administrativem oder privilegiertem Zugang ihrer Rollen, Verantwortlichkeiten und Weisungsbefugnisse bewusst sind und entsprechend handeln;
    
    Mechanismen, mit denen sichergestellt wird, dass die Mitglieder der Leitungsorgane ihre Rollen, Verantwortlichkeiten und Weisungsbefugnisse in Bezug auf die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; verstehen und entsprechend handeln;
    
    Mechanismen für die Einstellung von Personal, das für die jeweiligen Rollen qualifiziert ist, wie z. B. Überprüfung der Referenzen, Überprüfungsverfahren, Validierung von Zeugnissen oder schriftliche Prüfungen.
  3. Die betreffenden Einrichtungen überprüfen die Zuweisung von Personal zu bestimmten Rollen gemäß Nummer 1.2 sowie ihre Mittel für Personal in geplanten Zeitabständen und mindestens einmal jährlich. Sie aktualisieren die Zuweisung der Rollen erforderlichenfalls.
2. 10.2. Zuverlässigkeitsüberprüfung
  1. Die betreffenden Einrichtungen stellen – soweit durchführbar – sicher, dass Zuverlässigkeitsüberprüfungen ihrer Mitarbeitenden und – soweit anwendbar – der direkten Anbieter und Diensteanbieter gemäß Nummer 5.1.4 durchgeführt werden, wenn dies für deren Rollen, Verantwortlichkeiten und Weisungsbefugnisse erforderlich ist.
  2. Für die Zwecke von Nummer 10.2.1 müssen die betreffenden Einrichtungen
    
    Kriterien festlegen, in denen aufgeführt ist, welche Rollen, Verantwortlichkeiten und Weisungsbefugnisse nur von Personen wahrgenommen werden dürfen, deren Zuverlässigkeit überprüft wurde;
    
    sicherstellen, dass bei diesen Personen Überprüfungen gemäß Nummer 10.2.1 durchgeführt werden, bevor sie mit der Wahrnehmung dieser Rollen, Verantwortlichkeiten und Weisungsbefugnisse beginnen, wobei die geltenden Gesetze, Vorschriften und ethischen Normen im Verhältnis zu den geschäftlichen Anforderungen, der Klassifizierung der Anlagen und Werte gemäß Nummer 12.1 und den Netz- und Informationssystemen, auf die zugegriffen werden soll, sowie den wahrgenommenen Risiken zu berücksichtigen sind.
  3. Die betreffenden Einrichtungen überprüfen ihr Konzept in geplanten Zeitabständen und aktualisieren es – soweit angemessen.
3. 10.3. Verfahren zur Beendigung oder Änderung des Beschäftigungsverhältnisses
  1. Die betreffenden Einrichtungen stellen sicher, dass die Verantwortlichkeiten und Pflichten in Bezug auf die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können;, die auch nach der Beendigung oder der Änderung des Beschäftigungsverhältnisses ihrer Mitarbeitenden gültig bleiben, vertraglich festgelegt und durchgesetzt werden.
  2. Für die Zwecke von Nummer 10.3.1 nehmen die betreffenden Einrichtungen in die Arbeits- und Beschäftigungsbedingungen, den Vertrag oder die Vereinbarung der betreffenden Person die Verantwortlichkeiten und Pflichten auf, die auch nach Beendigung des Beschäftigungsverhältnisses oder des Vertrags gültig bleiben, wie z. B. Vertraulichkeitsklauseln.
4. 10.4. Disziplinarverfahren
  1. Die betreffenden Einrichtungen führen ein Disziplinarverfahren für den Umgang mit Verstößen gegen die Konzepte für die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; ein, machen es bekannt und erhalten es aufrecht. In dem Verfahren sind die einschlägigen rechtlichen, gesetzlichen, vertraglichen und geschäftlichen Anforderungen zu berücksichtigen.
  2. Die betreffenden Einrichtungen überprüfen das Disziplinarverfahren in geplanten Zeitabständen sowie – soweit angemessen – bei rechtlichen Änderungen oder bei wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren es gegebenenfalls.
11. Zugriffskontrolle (Artikel 21 Absatz 2 Buchstaben i und j der Richtlinie (EU) 2022/2555)
1. 11.1. Konzept für die Zugriffskontrolle
  1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe i der Richtlinie (EU) 2022/2555 legen die betreffenden Einrichtungen auf der Grundlage von geschäftlichen Anforderungen sowie Anforderungen an die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; Konzepte für die logische und physische Kontrolle des Zugangs zu ihren Netz- und Informationssystemen fest, dokumentieren sie und setzen sie um.
  2. Die in Nummer 11.1.1. genannten Konzepte müssen
    
    für den Zugang von Personen, einschließlich Personal, Besuchern und externen Einrichtungen wie Anbietern und Diensteanbietern, gelten;
    
    für den Zugang von Netz- und Informationssystemen gelten;
    
    sicherstellen, dass der Zugang nur Nutzern gewährt wird, die angemessen authentifiziert wurden.
  3. Die betreffenden Einrichtungen überprüfen die Konzepte in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren sie – soweit angemessen.
2. 11.2. Management von Zugangs- und Zugriffsrechten
  1. Die betreffenden Einrichtungen gewähren, ändern, löschen und dokumentieren Zugangs- und Zugriffsrechte für die Netz- und Informationssysteme im Einklang mit dem in Nummer 11.1 genannten Konzept für die Zugriffskontrolle.
  2. Die betreffenden Einrichtungen
    
    gewähren und entziehen Zugangs- und Zugriffsrechte auf der Grundlage des Grundsatzes „Kenntnis nur, wenn nötig“ (Need-to-know), des Grundsatzes der Nutzungsnotwendigkeit (Need-to-use) und des Grundsatzes der Aufgabentrennung;
    
    stellen sicher, dass die Zugangs- und Zugriffsrechte bei Beendigung oder Änderung des Beschäftigungsverhältnisses entsprechend geändert werden;
    
    stellen sicher, dass der Zugang zu Netz- und Informationssystemen von den einschlägigen Personen genehmigt wird;
    
    stellen sicher, dass die Zugangs- und Zugriffsrechte dem Zugang bzw. Zugriff Dritter, wie Besucher, Anbieter und Diensteanbieter, angemessen Rechnung tragen, insbesondere durch Beschränkung der Zugangs- und Zugriffsrechte in Bezug auf Umfang und Dauer;
    
    führen ein Register der gewährten Zugangs- und Zugriffsrechte;
    
    protokollieren das Management von Zugangs- und Zugriffsrechten.
  3. Die betreffenden Einrichtungen überprüfen die Zugangs- und Zugriffsrechte in geplanten Zeitabständen und ändern sie bei organisatorischen Änderungen. Die betreffenden Einrichtungen dokumentieren die Ergebnisse der Überprüfung, einschließlich der erforderlichen Änderungen der Zugangs- und Zugriffsrechte.
3. 11.3. Privilegierte Konten und Systemverwaltungskonten
  1. Die betreffenden Einrichtungen halten sich an Grundsätze für das Management von privilegierten Konten und Systemverwaltungskonten als Teil des in Nummer 11.1 genannten Konzepts für die Zugriffskontrolle.
  2. Mit den in Nummer 11.3.1 genannten Konzepten
    
    müssen starke Verfahren zur Identifizierung, Authentifizierung (z. B. Multifaktor-Authentifizierung) und Genehmigung für privilegierte Konten und Systemverwaltungskonten eingerichtet werden;
    
    müssen spezielle Konten eingerichtet werden, die ausschließlich für Systemverwaltungsvorgänge, wie Installation, Konfiguration, Verwaltung oder Wartung, zu verwenden sind;
    
    müssen die Systemverwaltungsrechte so weit wie möglich individuell zugeschnitten und einschränkt werden;
    
    muss festgelegt werden, dass Systemverwaltungskonten ausschließlich zur Verbindung mit Systemverwaltungssystemen verwendet werden.
  3. Die betreffenden Einrichtungen überprüfen die Zugangs- und Zugriffsrechte für privilegierte Konten und Systemverwaltungskonten in geplanten Zeitabständen, ändern diese bei organisatorischen Änderungen und dokumentieren die Ergebnisse der Überprüfung, einschließlich der erforderlichen Änderungen der Zugriffsrechte.
4. 11.4. Systemverwaltungssysteme
  1. Die betreffenden Einrichtungen beschränken und kontrollieren die Nutzung von Systemverwaltungskonten im Einklang mit dem in Nummer 11.1 genannten Konzept für die Zugriffskontrolle.
  2. Für diese Zwecke müssen die betreffenden Einrichtungen
    
    Systemverwaltungssysteme ausschließlich für die Zwecke der Systemverwaltung und nicht für andere Vorgänge verwenden;
    
    solche Systeme logisch von Anwendungssoftware, die nicht für Systemverwaltungszwecke verwendet wird, trennen;
    
    den Zugang zu Systemverwaltungssystemen durch Authentifizierung und Verschlüsselung schützen.
5. 11.5. Identifizierung
  1. Die betreffenden Einrichtungen verwalten den gesamten Lebenszyklus der Identitäten (Kennungen) der Netz- und Informationssysteme und ihrer Nutzer.
  2. Für diese Zwecke müssen die betreffenden Einrichtungen
    
    eindeutige Kennungen für die Netz- und Informationssysteme und deren Nutzer einrichten;
    
    die Nutzerkennung mit einer einzigen Person verknüpfen;
    
    die Überwachung der Kennungen der Netz- und Informationssysteme sicherstellen;
    
    das Management von Identitäten (Kennungen) protokollieren.
  3. Die betreffenden Einrichtungen genehmigen Kennungen, die mehreren Personen zugewiesen wurden, wie z. B. gemeinsame Kennungen, nur dann, wenn sie aus geschäftlichen oder operativen Gründen erforderlich sind, einem ausdrücklichen Genehmigungsverfahren unterliegen und dokumentiert werden. Die betreffenden Einrichtungen berücksichtigen Kennungen, die mehreren Personen im Rahmen des in Nummer 2.1 genannten Rahmens für das Risikomanagement im Bereich der Cybersicherheitdie Cybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; zugewiesen wurden.
  4. Die betreffenden Einrichtungen überprüfen regelmäßig die Kennungen der Netz- und Informationssysteme und ihrer Nutzer und deaktivieren sie unverzüglich, falls sie nicht mehr benötigt werden.
6. 11.6. Authentifizierung
  1. Die betreffenden Einrichtungen verwenden sichere Authentifizierungsverfahren und -techniken auf der Grundlage von Zugangsbeschränkungen und des Konzepts für die Zugriffskontrolle.
  2. Für diese Zwecke müssen die betreffenden Einrichtungen
    
    sicherstellen, dass die Stärke der Authentifizierung für die Klassifizierung der Anlage bzw. des Werts, auf die zugegriffen werden soll, angemessen ist;
    
    die Verwaltung geheimer Authentifizierungsinformationen und deren Zuweisung an die Nutzer durch ein Verfahren kontrollieren, das die Vertraulichkeit der Informationen gewährleistet, einschließlich Anweisungen an das Personal in Bezug auf den angemessenen Umgang mit Authentifizierungsinformationen;
    
    die Änderung von Authentifizierungsdaten zu Beginn, sodann in vorab festgelegten Zeitabständen und immer dann verlangen, wenn der Verdacht besteht, dass die Authentifizierungsdaten beeinträchtigt wurden;
    
    das Zurücksetzen der Authentifizierungsdaten und die Sperrung von Nutzern nach einer vorab festgelegten Anzahl erfolgloser Anmeldeversuche verlangen;
    
    inaktive Sitzungen nach einem im Voraus festgelegten Zeitraum der Inaktivität beenden und
    
    für den Zugriff auf privilegierte Konten oder Verwaltungskonten gesonderte Authentifizierungsdaten verlangen.
  3. Die betreffenden Einrichtungen verwenden – soweit durchführbar – modernste Authentifizierungsmethoden, die dem damit verbundenen bewerteten Risikodas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; und der Klassifizierung der Anlage bzw. des Werts, auf die zugegriffen werden soll, entsprechen, sowie eindeutige Authentifizierungsinformationen.
  4. Die betreffenden Einrichtungen überprüfen die Authentifizierungsverfahren und -techniken in geplanten Zeitabständen.
7. 11.7. Multifaktor-Authentifizierung
  1. Die betreffenden Einrichtungen stellen sicher, dass die Nutzer – soweit angemessen – durch mehrere Authentifizierungsfaktoren oder kontinuierliche Authentifizierungsmechanismen für den Zugang zu den Netz- und Informationssystemen der betreffenden Einrichtungen im Einklang mit der Klassifizierung der Anlage bzw. des Werts, auf die zugegriffen werden soll, authentifiziert werden.
  2. Die betreffenden Einrichtungen stellen sicher, dass die Stärke der Authentifizierung für die Klassifizierung der Anlage bzw. des Werts, auf die zugegriffen werden soll, angemessen ist.
12. Anlagen- und Wertemanagement (Artikel 21 Absatz 2 Buchstabe i der Richtlinie (EU) 2022/2555)
1. 12.1. Anlagen- und Werteklassifizierung
  1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe i der Richtlinie (EU) 2022/2555 legen die betreffenden Einrichtungen für alle Anlagen und Werte (einschließlich Informationen), die in den Anwendungsbereich ihrer Netz- und Informationssysteme fallen, Klassifizierungsstufen für das erforderliche Schutzniveau fest.
  2. Für die Zwecke von Nummer 12.1.1 müssen die betreffenden Einrichtungen
    
    ein System von Klassifizierungsstufen für Anlagen und Werte festlegen;
    
    allen Anlagen und Werte eine Klassifizierungsstufe zuordnen, die auf Vertraulichkeits-, Integritäts-, Authentizitäts- und Verfügbarkeitsanforderungen beruht, um den entsprechend ihrer Sensibilität, ihrer Kritikalität, ihres Risikosdas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; und ihres Geschäftswerts erforderlichen Schutz anzugeben;
    
    die Verfügbarkeitsanforderungen in Bezug auf die Anlagen und Werte an die in ihrem Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs festgelegten Ziele für die Bereitstellung und Wiederherstellung anpassen.
  3. Die betreffenden Einrichtungen überprüfen regelmäßig die Klassifizierungsstufen der Anlagen und Werte und aktualisieren sie – soweit angemessen.
2. 12.2. Behandlung von Anlagen und Werten
  1. Die betreffenden Einrichtungen legen ein Konzept für die ordnungsgemäße Behandlung von Anlagen und Werten (einschließlich Informationen) im Einklang mit ihrem Konzept für die Sicherheit ihrer Netz- und Informationssysteme fest, setzen es um und wenden es an und teilen dieses Konzept für die ordnungsgemäße Behandlung von Anlagen und Werten allen Personen mit, die Anlagen und Werte nutzen oder damit umgehen.
  2. Das Konzept muss
    
    den gesamten Lebenszyklus der Anlagen und Werte abdecken, einschließlich Erwerb, Verwendung, Speicherung, Transport und Entsorgung;
    
    Vorschriften für die sichere Verwendung, die sichere Speicherung, den sicheren Transport und die unwiederbringliche Löschung und Vernichtung der Anlagen und Werte;
    
    vorsehen, dass die Übertragung unter Berücksichtigung der Art der zu übertragenden Anlage bzw. des zu übertragenden Werts sicher erfolgt.
  3. Die betreffenden Einrichtungen überprüfen das Konzept in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren dieses – soweit angemessen.
3. 12.3. Konzept für Wechseldatenträger
  1. Die betreffenden Einrichtungen legen ein Konzept für das Management von Wechseldatenträgern fest, setzen es um und wenden es an und teilen es ihren Mitarbeitenden und Dritten mit, die Wechseldatenträger in den Räumlichkeiten der betreffenden Einrichtungen oder an anderen Orten, an denen die Wechseldatenträger mit den Netz- und Informationssystemen der betreffenden Einrichtungen verbunden sind, benutzen.
  2. Das Konzept muss
    
    eine technische Sperrung von Verbindungen mit Wechseldatenträgern vorsehen, es sei denn, es liegen organisatorische Gründe für deren Nutzung vor;
    
    vorsehen, dass die Selbstausführung von Dateien von solchen Datenträgern verhindert wird und die Datenträger auf Schadcodes gescannt werden, bevor sie in den Systemen der betreffenden Einrichtungen verwendet werden können;
    
    Maßnahmen zur Kontrolle und zum Schutz von tragbaren Speichergeräten, die gespeicherte und gerade übermittelte Daten enthalten, vorsehen;
    
    gegebenenfalls Maßnahmen für den Einsatz kryptografischer Verfahren zum Schutz von Daten auf Wechseldatenträgern vorsehen.
  3. Die betreffenden Einrichtungen überprüfen das Konzept in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren dieses – soweit angemessen.
4. 12.4. Anlagen- und Werteinventar
  1. Die betreffenden Einrichtungen erstellen und pflegen ein vollständiges, genaues, aktuelles und kohärentes Inventar ihrer Anlagen und Werte. Sie erfassen Änderungen der Einträge im Anlagen- und Werteinventar auf nachvollziehbare Weise.
  2. Die Granularität des Anlagen- und Werteinventars liegt auf einem Niveau, dass den Bedürfnissen der betreffenden Einrichtungen entspricht. Das Inventar umfasst Folgendes:
    
    die Liste der Betriebsabläufe und Dienste und ihre Beschreibung,
    
    die Liste der Netz- und Informationssysteme und anderer zugehöriger Anlagen und Werte, die die Abläufe und die Dienste der betreffenden Einrichtungen unterstützen.
  3. Die betreffenden Einrichtungen überprüfen und aktualisieren regelmäßig das Inventar und ihre Anlagen und Werte und dokumentieren den Verlauf der Änderungen.
5. 12.5. Abgabe, Rückgabe oder Löschung von Anlagen und Werten bei Beendigung des Beschäftigungsverhältnisses
  1. Die betreffenden Einrichtungen legen Verfahren fest, setzen sie um und wenden sie an, um sicherzustellen, dass ihre Anlagen und Werte, die sich in der Verwahrung des Personals befinden, bei Beendigung des Beschäftigungsverhältnisses abgegeben, zurückgegeben oder gelöscht werden, und dokumentieren die Abgabe, Rückgabe und Löschung dieser Anlagen und Werte. Ist die Abgabe, Rückgabe oder Löschung von Anlagen und Werten nicht möglich, so stellen die betreffenden Einrichtungen sicher, dass die Anlagen und Werte gemäß Nummer 12.2.2 nicht mehr auf die Netz- und Informationssysteme der betreffenden Einrichtungen zugreifen können.
13. Sicherheit des Umfelds und physische Sicherheit (Artikel 21 Absatz 2 Buchstaben c, e und i der Richtlinie (EU) 2022/2555)
1. 13.1. Unterstützende Versorgungsleistungen
  1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe c der Richtlinie (EU) 2022/2555 verhindern die betreffenden Einrichtungen Verluste, Schäden oder Beeinträchtigungen von Netz- und Informationssystemen oder Unterbrechungen ihres Betriebs aufgrund des Ausfalls und der Störung unterstützender Versorgungsleistungen.
  2. Für diese Zwecke müssen die betreffenden Einrichtungen – soweit angemessen –
    
    ihre Betriebsstätten vor Stromausfällen und anderen Störungen schützen, die durch Ausfälle bei unterstützenden Versorgungsunternehmen z. B. für Strom, Telekommunikation, Wasser, Gas, Abwasser, Lüftung und Klimatisierung verursacht werden;
    
    die Nutzung von Redundanzsystemen für Versorgungsleistungen in Erwägung ziehen;
    
    Versorgungsleistungen, die Strom und Telekommunikationsdienste für den Transport von Daten oder für den Betrieb von Netz- und Informationssystemen bereitstellen, vor Abhörung und Beschädigung schützen;
    
    die unter Buchstabe c genannten Versorgungsleistungen überwachen und dem zuständigen internen oder externen Personal die Ereignisse melden, die außerhalb der in Nummer 13.2.2 Buchstabe b genannten Mindest- und Höchstkontrollwerteliegen und Auswirkungen auf die Versorgungsleistungen haben;
    
    Verträge über die Notversorgung mit entsprechenden Leistungen abschließen, z. B. für Brennstoff für die Notstromversorgung;
    
    die kontinuierliche Wirksamkeit, Überwachung, Wartung und Erprobung der Netz- und Informationssysteme, die für den Betrieb des angebotenen Dienstes erforderlich sind, gewährleisten, insbesondere Strom, Temperatur- und Feuchtigkeitsregelung, Telekommunikation und Internetverbindung.
  3. Die betreffenden Einrichtungen testen die Schutzmaßnahmen in geplanten Zeitabständen oder nach erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren sie – soweit angemessen.
2. 13.2. Schutz vor physischen Bedrohungen und Bedrohungen des Umfelds
  1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe e der Richtlinie (EU) 2022/2555 verhindern oder verringern die betreffenden Einrichtungen die Folgen von Ereignissen, die von physischen Bedrohungen und Bedrohungen des Umfelds wie Naturkatastrophen und anderen vorsätzlichen oder unbeabsichtigten Bedrohungen ausgehen, auf der Grundlage der Ergebnisse der gemäß Nummer 2.1 durchgeführten Risikobewertung.
  2. Für diese Zwecke müssen die betreffenden Einrichtungen – soweit angemessen –
    
    Schutzmaßnahmen gegen physische Bedrohungen und Bedrohungen des Umfelds konzipieren und umsetzen;
    
    Mindest- und Höchstkontrollwerte für physische Bedrohungen und Bedrohungen des Umfelds bestimmen;
    
    die Umgebungsparameter überwachen und dem zuständigen internen oder externen Personal Ereignisse melden, die außerhalb der in Buchstabe b genannten Mindest- und Höchstkontrollwerte liegen.
  3. Die betreffenden Einrichtungen testen die Schutzmaßnahmen gegen physische Bedrohungen und Bedrohungen des Umfelds in geplanten Zeitabständen oder nach erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren sie – soweit angemessen.
3. 13.3. Perimeter und physische Zutrittskontrolle
  1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe i der Richtlinie (EU) 2022/2555 verhindern und überwachen die betreffenden Einrichtungen unbefugten physischen Zutritt zu, Beschädigungen von und Eingriffe in ihre Netz- und Informationssysteme.
  2. Für diese Zwecke müssen die betreffenden Einrichtungen
    
    auf der Grundlage der gemäß Nummer 2.1 durchgeführten Risikobewertung Sicherheitsperimeter festlegen und nutzen, um Bereiche zu schützen, in denen sich Netz- und Informationssysteme und andere zugehörige Anlagen befinden;
    
    die unter Buchstabe a genannten Bereiche durch geeignete Zutrittskontrollen und Zugangspunkte schützen;
    
    Maßnahmen für die physische Sicherheit von Büros, Räumen und Betriebsstätten konzipieren und umsetzen;
    
    ihrer Räumlichkeiten kontinuierlich in Bezug auf unbefugten physischen Zutritt überwachen.
  3. Die betreffenden Einrichtungen testen die Maßnahmen zur physischen Zutrittskontrolle in geplanten Zeitabständen oder nach erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren sie – soweit angemessen.

1. Konzept für die Sicherheit von Netz- und Informationssystemen (Artikel 21 Absatz 2 Buchstabe a der Richtlinie (EU) 2022/2555)

1.1. Konzept für die Sicherheit von Netz- und Informationssystemen

1.2. Rollen, Verantwortlichkeiten und Weisungsbefugnisse

2. Konzept für das Risikomanagement (Artikel 21 Absatz 2 Buchstabe a der Richtlinie (EU) 2022/2555)

2.1. Risikomanagementrahmen

2.2. Überwachung der Einhaltung

2.3. Unabhängige Überprüfung der Netz- und Informationssicherheit

3. Bewältigung von Sicherheitsvorfällen (Artikel 21 Absatz 2 Buchstabe b der Richtlinie (EU) 2022/2555)

3.1. Konzept für die Bewältigung von Sicherheitsvorfällen

3.2. Überwachung und Protokollierung

3.3. Meldung von Ereignissen

3.4. Bewertung und Klassifizierung von Ereignissen

3.5. Reaktion auf Sicherheitsvorfälle

3.6. Überprüfungen nach Sicherheitsvorfällen

4. Betriebskontinuitäts- und Krisenmanagement (Artikel 21 Absatz 2 Buchstabe c der Richtlinie (EU) 2022/2555)

4.1. Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs

4.2. Backup-Sicherungs- und Redundanzmanagement

4.3. Krisenmanagement

5. Sicherheit der Lieferkette (Artikel 21 Absatz 2 Buchstabe d der Richtlinie (EU) 2022/2555)

5.1. Konzept für die Sicherheit der Lieferkette

5.2. Verzeichnis der Anbieter und Diensteanbieter

6. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen (Artikel 21 Absatz 2 Buchstabe e der Richtlinie (EU) 2022/2555)

6.1. Sicherheitsmaßnahmen beim Erwerb von IKT-Diensten oder IKT-Produkten

6.2. Sicherer Entwicklungszyklus

6.3. Konfigurationsmanagement

6.4. Änderungsmanagement, Reparatur und Wartung

6.5. Sicherheitsprüfung

6.6. Sicherheitspatch-Management

6.7. Netzsicherheit

6.8. Netzsegmentierung

6.9. Schutz gegen Schadsoftware und nicht genehmigte Software

6.10. Behandlung und Offenlegung von Schwachstellen

7. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit (Artikel 21 Absatz 2 Buchstabe f der Richtlinie (EU) 2022/2555)

8. Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit (Artikel 21 Absatz 2 Buchstabe g der Richtlinie (EU) 2022/2555)

8.1. Sensibilisierungsmaßnahmen und grundlegende Verfahren im Bereich der Cyberhygiene

8.2. Sicherheitsschulungen

9. Kryptografie (Artikel 21 Absatz 2 Buchstabe h der Richtlinie (EU) 2022/2555)

10. Sicherheit des Personals (Artikel 21 Absatz 2 Buchstabe i der Richtlinie (EU) 2022/2555)

10.1. Sicherheit des Personals

10.2. Zuverlässigkeitsüberprüfung

10.3. Verfahren zur Beendigung oder Änderung des Beschäftigungsverhältnisses

10.4. Disziplinarverfahren

11. Zugriffskontrolle (Artikel 21 Absatz 2 Buchstaben i und j der Richtlinie (EU) 2022/2555)

11.1. Konzept für die Zugriffskontrolle

11.2. Management von Zugangs- und Zugriffsrechten

11.3. Privilegierte Konten und Systemverwaltungskonten

11.4. Systemverwaltungssysteme

11.5. Identifizierung

11.6. Authentifizierung

11.7. Multifaktor-Authentifizierung

12. Anlagen- und Wertemanagement (Artikel 21 Absatz 2 Buchstabe i der Richtlinie (EU) 2022/2555)

12.1. Anlagen- und Werteklassifizierung

12.2. Behandlung von Anlagen und Werten

12.3. Konzept für Wechseldatenträger

12.4. Anlagen- und Werteinventar

12.5. Abgabe, Rückgabe oder Löschung von Anlagen und Werten bei Beendigung des Beschäftigungsverhältnisses

13. Sicherheit des Umfelds und physische Sicherheit (Artikel 21 Absatz 2 Buchstaben c, e und i der Richtlinie (EU) 2022/2555)

13.1. Unterstützende Versorgungsleistungen

13.2. Schutz vor physischen Bedrohungen und Bedrohungen des Umfelds

13.3. Perimeter und physische Zutrittskontrolle