Recital 9 Security policies | Cybersecurity measures and significant incidents for relevant entities | High common level of cybersecurity for entities

Gemäß Artikel 21 Absatz 2 Buchstabe a der Richtlinie (EU) 2022/2555 sollten wesentliche und wichtige Einrichtungen nicht nur über Konzepte für die Risikoanalyse, sondern auch über Konzepte für die Sicherheit der Informationssysteme verfügen. Zu diesem Zweck sollten die betreffenden Einrichtungen ein Konzept für die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; sowie themenspezifische Konzepte, wie z. B. für die Zugangs- bzw. Zugriffskontrolle, festlegen, die mit dem Konzept für die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; vereinbar sein sollten. Das Konzept für die Sicherheit von Netz- und Informationssystemendie Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Ereignisse abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können; sollte die übergeordnete allgemeine Unterlage sein, in der der Gesamtansatz der betreffenden Einrichtungen für die Sicherheit ihrer Netz- und Informationssysteme dargelegt wird, und sollte von den Leitungsorganen der betreffenden Einrichtungen genehmigt werden. Die themenspezifischen Konzepte sollten von einer geeigneten Leitungsebene genehmigt werden. In dem Konzept sollten Indikatoren und Maßnahmen zur Überwachung seiner Umsetzung und des aktuellen Reifegrads der Netz- und Informationssicherheit in den betreffenden Einrichtungen festgelegt werden, um insbesondere die Beaufsichtigung der Umsetzung der Risikomanagementmaßnahmen im Bereich der Cybersicherheitdie Cybersicherheit im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2019/881; durch die Leitungsorgane zu erleichtern.