Recital 11 Risk management framework | Cybersecurity measures and significant incidents for relevant entities | High common level of cybersecurity for entities

Um die bestehenden Risiken für die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; zu ermitteln und anzugehen, sollten die betreffenden Einrichtungen einen geeigneten Risikomanagementrahmen einführen und aufrechterhalten. Als Teil dieses Risikomanagementrahmens sollten die betreffenden Einrichtungen einen Risikobehandlungsplan aufstellen, umsetzen und überwachen. Die betreffenden Einrichtungen können den Risikobehandlungsplan zur Bestimmung und Priorisierung von Optionen und Maßnahmen für die Behandlung von Risiken benutzen. Zu den Risikobehandlungsoptionen gehören insbesondere die Vermeidung, die Verringerung oder — in Ausnahmefällen — das Akzeptieren des Risikosdas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird;. Die gewählten Risikobehandlungsoptionen sollten den Ergebnissen der von der betreffenden Einrichtungeine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann; durchgeführten Risikobewertung entsprechen und mit dem Konzept der betreffenden Einrichtungeine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann; für die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; im Einklang stehen. Um den gewählten Risikobehandlungsoptionen Wirkung zu verleihen, sollten die betreffenden Einrichtungen geeignete Risikobehandlungsmaßnahmen ergreifen.