Bilaga | Tekniska och metodologiska specifikationer som avses i artikel 2 i denna förordning

1. Strategi för säkerhet i nätverks- och informationssystem (artikel 21.2 a i direktiv (EU) 2022/2555)
1. 1.1. Strategi för säkerhet i nätverks- och informationssystem
  1. Vid tillämpning av artikel 21.2 a i direktiv (EU) 2022/2555 ska strategin för säkerhet i nätverks- och informationssystemnätverks- och informationssystems förmåga att med en viss tillförlitlighetsnivå motstå händelser som kan undergräva tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via dessa nätverks- och informationssystem.
    
    fastställa de berörda entiteternas tillvägagångssätt för att hantera säkerheten i sina nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas.,
    
    vara lämpliga för och komplettera de berörda entiteternas affärsstrategi och mål,
    
    fastställa nätverks- och informationssäkerhetsmål,
    
    omfatta ett åtagande om kontinuerlig förbättring av säkerheten i nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas.,
    
    omfatta ett åtagande om att tillhandahålla tillräckliga resurser för genomförandet av denna strategi, inklusive nödvändig personal, ekonomiska resurser, processer, verktyg och teknik,
    
    kommuniceras till och erkännas av berörda anställda och berörda externa parter,
    
    fastställa roller och ansvarsområden i enlighet med punkt 1.2,
    
    förteckna den dokumentation som ska sparas och ange hur länge dokumentationen ska bevaras,
    
    förteckna de ämnesspecifika strategierna,
    
    omfatta indikatorer och åtgärder för att övervaka genomförandet och den aktuella mognadsnivån när det gäller nätverks- och informationssäkerhet hos de berörda entiteterna,
    
    ange det datum då den formellt godkändes av de berörda entiteternas ledningsorgan (ledningsorganen).
  2. Säkerhetsstrategin för nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. ska ses över och när så är lämpligt uppdateras av ledningsorganen minst en gång om året samt när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar. Resultatet av översynerna ska dokumenteras,
2. 1.2. Roller, ansvarsområden och befogenheter
  1. Som ett led i sin strategi för säkerheten i nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. enligt punkt 1.1 ska de berörda entiteterna fastställa ansvarsområden och befogenheter för säkerheten i nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas., dela upp dem på roller och fördela dem i enlighet med de berörda entiteternas behov samt kommunicera dem till ledningsorganen.
  2. De berörda entiteterna ska kräva att all personal och alla tredje parter tillämpar säkerheten i nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. i enlighet med den fastställda strategin för säkerhet i nätverks- och informationssystemnätverks- och informationssystems förmåga att med en viss tillförlitlighetsnivå motstå händelser som kan undergräva tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via dessa nätverks- och informationssystem. samt med de berörda entiteternas ämnesspecifika strategier och förfaranden.
  3. Åtminstone en person ska rapportera direkt till ledningsorganen om frågor som rör säkerheten i nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas..
  4. Beroende på de berörda entiteternas storlek ska säkerheten i nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. täckas av särskilda roller eller uppgifter som utförs utöver de befintliga rollerna.
  5. Uppgifter och ansvarsområden som står i strid med varandra ska separeras, om tillämpligt.
  6. Roller, ansvarsområden och befogenheter ska ses över och vid behov uppdateras av ledningsorganen med planerade intervall och när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar.
2. Strategi för riskhantering (artikel 21.2 a i direktiv (EU) 2022/2555)
1. 2.1. Riskhanteringsram
  1. Vid tillämpning av artikel 21.2 a i direktiv (EU) 2022/2555 ska de berörda entiteterna fastställa och upprätthålla en ändamålsenlig riskhanteringsram för att identifiera och åtgärda risker för säkerheten i nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas.. De berörda entiteterna ska utföra och dokumentera riskbedömningar och på grundval av resultaten fastställa, genomföra och övervaka en riskhanteringsplan. Riskbedömningens resultat och kvarstående risker ska godtas av ledningsorganen eller, om tillämpligt, av personer som är ansvariga och har befogenhet att hantera risker, förutsatt att de berörda entiteterna säkerställer lämplig rapportering till ledningsorganen.
  2. Vid tillämningen av punkt 2.1.1 ska de berörda entiteterna fastställa förfaranden för identifiering, analys, bedömning och behandling av risker (riskhanteringsprocess för cybersäkerhet) Riskhanteringsprocessen för cybersäkerhetcybersäkerhet enligt definitionen i artikel 2.1 i förordning (EU) 2019/881. ska vara en integrerad del av de berörda entiteternas allmänna riskhanteringsprocess, om tillämpligt. Som ett led i riskhanteringsprocessen för cybersäkerhetcybersäkerhet enligt definitionen i artikel 2.1 i förordning (EU) 2019/881. ska de berörda entiteterna
    
    följa en riskhanteringsmetod,
    
    fastställa risktoleransnivån i enlighet med de berörda entiteternas riskbenägenhet,
    
    fastställa och upprätthålla relevanta riskkriterier,
    
    i enlighet med en allriskansats identifiera och dokumentera riskerna för säkerheten i nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas., i synnerhet i förhållande till tredje parter och när det gäller risker som kan leda till störningar vad gäller tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten för nätverks- och informationssystemen, inbegripet identifiering av felkritiska systemdelar (SPOF),
    
    analysera riskerna för säkerheten i nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas., inklusive hot, sannolikhet, konsekvenser och risknivå, med beaktande av underrättelser om cyberhotett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881. och sårbarheter,
    
    bedöma de identifierade riskerna baserat på riskkriterierna,
    
    identifiera och prioritera lämpliga riskhanteringsalternativ och -åtgärder,
    
    kontinuerligt övervaka genomförandet av riskhanteringsåtgärderna,
    
    identifiera vem som har ansvaret för riskhanteringsåtgärderna och när dessa bör genomföras,
    
    på ett begripligt sätt dokumentera de valda riskhanteringsåtgärderna i en riskhanteringsplan, liksom skälen till att kvarstående risker godtas.
  3. När lämpliga riskhanteringsalternativ och -åtgärder identifieras och prioriteras ska de berörda entiteterna ta hänsyn till riskbedömningsresultaten, resultaten av förfarandet för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhetcybersäkerhet enligt definitionen i artikel 2.1 i förordning (EU) 2019/881., kostnaderna för genomförandet i förhållande till den förväntade nyttan, den klassificering av tillgångar som avses i punkt 12.1 samt den konsekvensanalys som avses i punkt 4.1.3.
  4. De berörda entiteterna ska se över och när så är lämpligt uppdatera riskbedömningsresultaten och riskhanteringsplanen med planerade intervall och åtminstone varje år samt när betydande förändringar av driften eller riskerna eller betydande incidenter inträffar.
2. 2.2. Övervakning av efterlevnad
  1. De berörda entiteterna ska regelbundet granska efterlevnaden av sina strategier för säkerheten i nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. samt ämnesspecifika strategier, regler och standarder. Ledningsorganen ska genom regelbunden rapportering informeras om nivån av nätverks- och informationssäkerhet på grundval av granskningen av efterlevnaden.
  2. De berörda entiteterna ska införa ett effektivt system för rapportering om efterlevnaden, vilket ska vara ändamålsenligt i förhållande till deras strukturer, driftsförhållanden och hotbilder. Rapporteringssystemet ska kunna ge ledningsorganen en väl underbyggd bild av det rådande läget i fråga om de berörda entiteternas riskhantering.
  3. De berörda entiteterna ska genomföra övervakningen av efterlevnaden med planerade intervall och när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar.
3. 2.3. Oberoende granskning av nätverks- och informationssäkerheten
  1. De berörda entiteterna ska på ett oberoende sätt granska sitt tillvägagångssätt för att hantera säkerheten i nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. och sitt genomförande, inbegripet personer, processer och teknik.
  2. De berörda entiteterna ska utveckla och upprätthålla processer för oberoende granskningar som ska utföras av personer med lämplig revisionskompetens. Om den oberoende granskningen utförs av anställda hos den berörda entiteten får de personer som utför granskningen inte ha en överordnad ställning i beslutshierarkin i förhållande till personalen på det område som granskas. Om den berörda entitetens storlek innebär att en sådan separation av beslutshierarkin inte är möjlig ska de berörda entiteterna vidta alternativa åtgärder för att garantera granskningarnas opartiskhet.
  3. Resultaten av de oberoende granskningarna, inbegripet resultaten från övervakningen av efterlevnaden enligt punkt 2.2 och övervakningen och mätningen enligt punkt 7, ska rapporteras till ledningsorganen. Korrigerande åtgärder ska vidtas eller kvarstående riskmeans the potential for loss or disruption caused by an incident and is to be expressed as a combination of the magnitude of such loss or disruption and the likelihood of occurrence of the incident; godtas i enlighet med de berörda entiteternas kriterier för riskacceptans.
  4. De oberoende granskningarna ska genomföras med planerade intervall och när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar.
3. Incidenthantering (artikel 21.2 b i direktiv (EU) 2022/2555)
1. 3.1. Incidenthanteringsstrategi
  1. Vid tillämpning av artikel 21.2 b i direktiv (EU) 2022/2555 ska de berörda entiteterna fastställa och genomföra en incidenthanteringsstrategi som omfattar roller, ansvarsområden och förfaranden för upptäckt, analys, begränsning, svarsåtgärder, återställande, dokumentation och rapportering i rätt tid när det gäller incidenter.
  2. Den strategi som avses i punkt 3.1.1 ska överensstämma med den driftskontinuitets- och katastrofplan som avses i punkt 4.1. Strategin ska omfatta följande:
    
    Ett kategoriseringssystem för incidenter som är förenligt med den bedömning och klassificering av händelser som görs i enlighet med punkt 3.4.1.
    
    Effektiva kommunikationsplaner som innefattar eskalering och rapportering.
    
    Fördelning av roller på behöriga anställda när det gäller upptäckt och lämplig hantering av incidenter.
    
    Dokument att använda i samband med upptäckt och åtgärdande, såsom incidenthanteringsmanualer, eskaleringsscheman, kontaktlistor och mallar.
  3. Roller, ansvarsområden och förfaranden som fastställs i strategin ska testas, ses över och när så är lämpligt uppdateras med planerade intervall och efter betydande incidenter eller betydande förändringar av driften eller riskerna.
2. 3.2. Övervakning och loggning
  1. De berörda entiteterna ska fastställa förfaranden och använda verktyg för att övervaka och logga aktiviteter på sina nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. för att upptäcka händelser som skulle kunna anses som incidenter och vidta åtgärder för att begränsa konsekvenserna.
  2. I den mån det är genomförbart ska övervakningen automatiseras och utföras antingen kontinuerligt eller med jämna mellanrum, med förbehåll för verksamhetskapaciteten. De berörda entiteterna ska genomföra sin övervakningsverksamhet på ett sådant sätt att antalet falskt positiva och falskt negativa resultat minimeras.
  3. Baserat på de förfaranden som avses i punkt 3.2.1 ska de berörda entiteterna upprätthålla, dokumentera och granska loggar. De berörda entiteterna ska upprätta en förteckning över tillgångar som ska vara föremål för loggning baserat på resultaten av den riskbedömning som utförts i enlighet med punkt 2.1. När så är lämpligt ska loggen inkludera följande:
    
    Relevant utgående och inkommande nätverkstrafik.
    
    Skapande, ändring eller radering av användare av de berörda entiteternas nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. och förlängning av tillstånd.
    
    Åtkomst till system och applikationer.
    
    Autentiseringsrelaterade händelser.
    
    All privilegierad åtkomst till system och applikationer samt aktiviteter som utförts av administratörskonton.
    
    Åtkomst eller ändringar av kritiska konfigurations- och säkerhetskopieringsfiler.
    
    Händelseloggar och loggar från säkerhetsverktyg, såsom antivirusprodukter, intrångsdetekteringssystem eller brandväggar.
    
    Användning av systemresurser samt deras prestanda.
    
    Fysiskt tillträde till anläggningar.
    
    Åtkomst till och användning av deras nätutrustning och enheter.
    
    Aktivering och stopp och paus för de olika loggarna.
    
    Miljöhändelser.
  4. Loggarna ska regelbundet ses över med avseende på eventuella ovanliga eller oönskade trender. När så är lämpligt ska de berörda entiteterna fastställa lämpliga tröskelvärden för larm. Om de fastställda tröskelvärdena överskrids ska ett larm utlösas, när så är lämpligt automatiskt. Vid ett larm ska de berörda entiteterna säkerställa att en kvalificerad och ändamålsenlig svarsåtgärd snabbt inleds.
  5. De berörda entiteterna ska bevara och säkerhetskopiera loggar under en på förhand fastställd tidsperiod och ska skydda dem från obehörig åtkomst eller obehöriga ändringar.
  6. I den mån det är genomförbart ska de berörda entiteterna säkerställa att alla system har synkroniserade tidskällor så att det är möjligt att korrelera loggar mellan system för bedömning av händelser. De berörda entiteterna ska fastställa och bevara en förteckning över alla tillgångar som loggas och säkerställa att övervaknings- och loggningssystemen är redundanta. Tillgången till övervaknings- och loggningssystem ska övervakas oberoende av de system som de övervakar.
  7. Förfarandena och förteckningen över tillgångar som loggas ska ses över och när så är lämpligt uppdateras regelbundet och efter betydande incidenter.
3. 3.3. Händelserapportering
  1. De berörda entiteterna ska införa en enkel mekanism som gör att deras anställda, leverantörer och kunder kan rapportera misstänkta händelser.
  2. När så är lämpligt ska de berörda entiteterna förmedla händelserapporteringsmekanismen till sina leverantörer och kunder, och de ska regelbundet utbilda sina anställda om hur mekanismen ska användas.
4. 3.4. Bedömning och klassificering av händelser
  1. De berörda entiteterna ska bedöma misstänkta händelser för att fastställa om de utgör incidenter och i sådana fall fastställa deras art och allvarlighetsgrad.
  2. Vid tillämpning av punkt 3.4.1 ska de berörda entiteterna agera på följande sätt:
    
    Utföra bedömningen baserat på fördefinierade kriterier som fastställts i förväg och på triage för att avgöra prioriteringsordningen för åtgärder för begränsning och eliminering.
    
    Varje kvartal bedöma förekomsten av sådana återkommande incidenter som avses i artikel 4 i denna förordning.
    
    Granska lämpliga loggar för bedömning och klassificering av händelser.
    
    Införa en process för korrelering och analys av loggar.
    
    Göra en förnyad bedömning och klassificera om händelser när ny information blir tillgänglig eller efter analys av tidigare tillgänglig information.
5. 3.5. Incidenthantering
  1. De berörda entiteterna ska hantera incidenterna i enlighet med dokumenterade förfaranden och i rätt tid.
  2. Incidenthanteringsförfarandena ska omfatta följande stadier:
    
    Begränsning av incidenten, för att förhindra att dess konsekvenser sprids.
    
    Eliminering, för att förhindra att incidenten fortsätter eller återkommer.
    
    Återställande från incidenten, vid behov.
  3. De berörda entiteterna ska fastställa kommunikationsplaner och kommunikationsförfaranden
    
    med CSIRT-enheter (enheter för hantering av it-säkerhetsincidenter) eller, om tillämpligt, de behöriga myndigheterna, när det gäller incidentrapportering,
    
    för kommunikation mellan den berörda entitetens anställda och för kommunikation med berörda aktörer utanför entiteten.
  4. De berörda entiteterna ska logga incidenthanteringsåtgärder i enlighet med de förfaranden som avses i punkt 3.2.1 och registrera bevisningen.
  5. De berörda entiteterna ska med planerade intervall testa sina incidenthanteringsförfaranden.
6. 3.6. Efterhandsgranskning efter incidenter
  1. När så är lämpligt ska de berörda entiteterna genomföra efterhandsgranskningar efter återställningen från incidenter. Efterhandsgranskningarna ska om möjligt identifiera grundorsaken till incidenten och mynna ut i dokumenterade lärdomar för att minska förekomsten och konsekvenserna av incidenter i framtiden.
  2. De berörda entiteterna ska säkerställa att efterhandsgranskningarna bidrar till att förbättra deras tillvägagångssätt för nätverks- och informationssäkerhet och riskbehandling samt deras förfaranden för hantering, upptäckt och åtgärdande av incidenter.
  3. De berörda entiteterna ske med planerade intervall granska om det skett någon efterhandsgranskning efter incidenter.
4. Driftskontinuitet och krishantering (artikel 21.2 c i direktiv (EU) 2022/2555)
1. 4.1. Driftskontinuitets- och katastrofplan
  1. Vid tillämpning av artikel 21.2 c i direktiv (EU) 2022/2555 ska de berörda entiteterna fastställa och upprätthålla en driftskontinuitets- och katastrofplan att använda vid incidenter.
  2. De berörda entiteternas drift ska återställas i enlighet med driftskontinuitets- och katastrofplanen. Planen ska baseras på resultaten av den riskbedömning som utförts i enlighet med punkt 2.1 och ska, när så är lämpligt, innehålla följande:
    
    Ändamål, tillämpningsområde och målgrupp.
    
    Roller och ansvarsområden.
    
    Viktiga kontakter och (interna och externa) kommunikationskanaler.
    
    Villkor för aktivering och avaktivering av planen.
    
    Ordningsföljden för återställande av driften.
    
    Återställningsplaner för olika delar av driften, inklusive återställningsmål.
    
    Resurser som krävs, inklusive säkerhetskopior och redundans.
    
    Återläsning och återupptagande av verksamhet från tillfälliga åtgärder
  3. De berörda entiteterna ska göra en konsekvensanalys för att bedöma de potentiella konsekvenser som allvarliga störningar har för deras verksamhet och, baserat på konsekvensanalysens resultat, fastställa kontinuitetskrav för sina nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas..
  4. Driftskontinuitetsplanen och katastrofplanen ska testas, ses över och, när så är lämpligt, uppdateras med planerade intervall och efter betydande incidenter eller betydande ändringar av driften eller riskerna. De berörda entiteterna ska säkerställa att planerna införlivar lärdomarna från sådana tester.
2. 4.2. Hantering av säkerhetskopiering och redundans
  1. De berörda entiteterna ska bevara säkerhetskopior av data och tillhandahålla tillräckliga tillgängliga resurser, inklusive anläggningar, nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. och personal, för att säkerställa en lämplig nivå av redundans.
  2. Baserat på resultaten av den riskbedömning som utförts i enlighet med punkt 2.1 och driftskontinuitetsplanen ska de berörda entiteterna fastställa säkerhetskopieringsplaner som omfattar följande:
    
    Återställningstid.
    
    Säkerställande av att säkerhetskopiorna är fullständiga och korrekta, inklusive konfigurationsdata och data som lagras i molntjänstmiljö.
    
    Lagring av säkerhetskopior (online eller offline) på en eller flera säkra platser, som inte ingår i samma nätverk som systemet och som är på tillräckligt avstånd för att klara sig från eventuella skador från en katastrof vid huvudanläggningen.
    
    Lämplig fysisk och logisk kontroll av åtkomst till säkerhetskopiorna, i enlighet med tillgångens klassificeringsnivå.
    
    Återläsning av data från säkerhetskopior.
    
    Lagringstiden baseras på verksamhetskrav och rättsliga krav.
  3. De berörda entiteterna ska utföra regelbundna integritetskontroller av säkerhetskopiorna.
  4. Baserat på resultaten av den riskbedömning som utförts i enlighet med punkt 2.1 och driftskontinuitetsplanen ska de berörda entiteterna säkerställa tillräckliga resurser genom åtminstone partiell redundans på följande områden:
    
    Nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas..
    
    Tillgångar, inklusive anläggningar, utrustning och materiel.
    
    Personal med det ansvar, de befogenheter och den kompetens som krävs.
    
    Ändamålsenliga kommunikationskanaler.
  5. När så är lämpligt ska de berörda entiteterna säkerställa att övervakningen och anpassningen av resurser, inklusive anläggningar, system och personal, beaktar kraven i fråga om säkerhetskopiering och redundans.
  6. De berörda entiteterna ska regelbundet testa återställningen av säkerhetskopior och redundanser för att säkerställa att de är tillförlitliga under återställningsförhållanden och att de omfattar de kopior, processer och kunskaper som krävs för en effektiv återställning. De berörda entiteterna ska dokumentera resultaten av testerna och vid behov vidta korrigerande åtgärder.
3. 4.3. Krishantering
  1. De berörda entiteterna ska införa en krishanteringsprocess.
  2. De berörda entiteterna ska säkerställa att krishanteringsprocessen omfattar åtminstone följande aspekter:
    
    Roller och ansvarsområden för personal och, när så är lämpligt, leverantörer och tjänsteleverantörer, där rollfördelningen i krissituationer specificeras, inklusive specifika steg att följa.
    
    Ändamålsenliga kommunikationsmedel mellan de berörda entiteterna och de berörda behöriga myndigheterna.
    
    Tillämpning av ändamålsenliga åtgärder för att säkerställa att säkerheten i nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. upprätthålls i krissituationer.
    
    Vid tillämpning av led b ska informationsflödet mellan de berörda entiteterna och de berörda behöriga myndigheterna innefatta både obligatorisk kommunikation, såsom incidentrapporter och tillhörande tidslinjer, och kommunikation som inte är obligatorisk.
  3. De berörda entiteterna ska införa en process för hantering och utnyttjande av information som inkommer från CSIRT-enheter eller, om tillämpligt, de behöriga myndigheterna, om incidenter, sårbarheter, hot eller möjliga begränsningsåtgärder.
  4. De berörda entiteterna ska testa, se över och när så är lämpligt uppdatera krishanteringsplanen regelbundet eller efter betydande incidenter eller betydande förändringar av driften eller riskerna.
5. Säkerhet i leveranskedjan (artikel 21.2 d i direktiv (EU) 2022/2555)
1. 5.1. Strategi för säkerhet i leveranskedjan
  1. Vid tillämpning av artikel 21.2 d i direktiv (EU) 2022/2555 ska de berörda entiteterna fastställa, genomföra och tillämpa en strategi för säkerhet i leveranskedjan som styr relationerna med deras direkta leverantörer och tjänsteleverantörer i syfte att minska de identifierade riskerna för säkerheten i nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas.. I denna strategi ska de berörda entiteterna identifiera sin roll i leveranskedjan och förmedla den till sina direkta leverantörer och tjänsteleverantörer.
  2. Som ett led i den strategi för säkerhet i leveranskedjan som avses i punkt 5.1.1 ska de berörda entiteterna fastställa kriterier för att välja ut och ingå avtal med leverantörer och tjänsteleverantörer. Kriterierna ska inbegripa följande:
    
    Leverantörernas och tjänsteleverantörernas cybersäkerhetsrutiner, inklusive deras säkra utvecklingsförfaranden.
    
    Leverantörernas och tjänsteleverantörernas förmåga att uppfylla de berörda entiteternas cybersäkerhetsspecifikationer.
    
    IKT-produkternas och IKT-tjänsternas allmänna kvalitet och resiliens samt de riskhanteringsåtgärder för cybersäkerhetcybersäkerhet enligt definitionen i artikel 2.1 i förordning (EU) 2019/881. som ingår i dem, inklusive IKT-produkternas och IKT-tjänsternas risknivå och klassificeringsnivå.
    
    De berörda entiteternas förmåga att diversifiera leveranskällor och förhindra inlåsningar till enskilda leverantörer, om tillämpligt.
  3. När de berörda entiteterna fastställer sin strategi för säkerhet i leveranskedjan ska de, om tillämpligt, beakta resultaten av de samordnade säkerhetsriskbedömningar av kritiska leveranskedjor som genomförts i enlighet med artikel 22.1 i direktiv (EU) 2022/2555.
  4. Baserat på strategin för säkerhet i leveranskedjan och med beaktande av resultaten av den riskbedömning som genomförts i enlighet med punkt 2.1 i denna bilaga ska de berörda entiteterna säkerställa att följande specificeras i deras avtal med leverantörer och tjänsteleverantörer, i tillämpliga fall och när så är lämpligt genom servicenivåavtal:
    
    Cybersäkerhetskrav för leverantörerna eller tjänsteleverantörerna, inklusive krav som rör säkerheten vid förvärv av IKT-tjänster eller IKT-produkter enligt punkt 6.1.
    
    Krav som rör medvetenhet, kompetens och utbildning och, när så är lämpligt, certifiering, för leverantörens eller tjänsteleverantörens anställda.
    
    Krav som rör kontroll av bakgrunden för leverantörers och tjänsteleverantörers anställda.
    
    En skyldighet för leverantörer och tjänsteleverantörer att utan onödigt dröjsmål underrätta de berörda entiteterna om incidenter som utgör en riskmeans the potential for loss or disruption caused by an incident and is to be expressed as a combination of the magnitude of such loss or disruption and the likelihood of occurrence of the incident; för säkerheten i dessa entiteters nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas..
    
    Rätt att göra revisioner eller erhålla revisionsrapporter.
    
    En skyldighet för leverantörer och tjänsteleverantörer att hantera sårbarheter som utgör en riskmeans the potential for loss or disruption caused by an incident and is to be expressed as a combination of the magnitude of such loss or disruption and the likelihood of occurrence of the incident; för säkerheten i de berörda entiteternas nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas..
    
    Krav som rör underentreprenader och, om de berörda entiteterna tillåter underentreprenader, cybersäkerhetskrav för underleverantörer i enlighet med de cybersäkerhetskrav som avses i led a.
    
    Skyldigheter för leverantörer och tjänsteleverantörer vid uppsägning av avtalet, såsom insamling och bortskaffande av de uppgifter som leverantörerna och tjänsteleverantörerna erhållit i utövandet av sina uppgifter.
  5. De berörda entiteterna ska ta hänsyn till de aspekter som avses i punkt 5.1.2 och 5.1.3 i sina urvalsförfaranden för nya leverantörer och tjänsteleverantörer samt som ett led i den upphandlingsprocess som avses i punkt 6.1.
  6. De berörda entiteterna ska se över strategin för säkerhet i leveranskedjan och övervaka, utvärdera och, vid behov, agera vid ändringar av leverantörernas och tjänsteleverantörernas cybersäkerhetsrutiner, med planerade intervall och vid betydande förändringar av driften eller riskerna och vid betydande incidenter som är relaterade till tillhandahållandet av IKT-tjänster eller som påverkar säkerheten för IKT-produkterna från leverantören eller tjänsteleverantören.
  7. Vid tillämpning av punkt 5.1.6 ska de berörda entiteterna
    
    regelbundet övervaka rapporteringen om genomförandet av servicenivåavtalen, i tillämpliga fall,
    
    granska incidenter som rör IKT-produkter och IKT-tjänster från leverantörer och tjänsteleverantörer,
    
    bedöma behovet av oplanerade granskningar och dokumentera resultaten på ett begripligt sätt,
    
    analysera riskerna förbundna med ändringar av IKT-produkter och IKT-tjänster från leverantörer och tjänsteleverantörer och, när så är lämpligt, snabbt vidta begränsningsåtgärder.
2. 5.2. Förteckning över leverantörer och tjänsteleverantörer
  1. De berörda entiteterna ska föra och uppdatera ett register över sina direkta leverantörer och tjänsteleverantörer vilket ska omfatta följande:
    
    Kontaktpunkter för varje direkt leverantör och tjänsteleverantör.
    
    En förteckning över IKT-produkter, IKT-tjänster och IKT-processer som den direkta leverantören eller tjänsteleverantören tillhandahåller den berörda entiteten.
6. Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem (artikel 21.2 e i direktiv (EU) 2022/2555)
1. 6.1. Säkerhet vid förvärv av IKT-tjänster och IKT-produkter
  1. Vid tillämpning av artikel 21.2 e i direktiv (EU) 2022/2555 ska de berörda entiteterna fastställa och genomföra processer för att hantera risker till följd av förvärv av IKT-tjänster eller IKT-produkter för komponenter som är kritiska för säkerheten i de berörda entiteternas nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas., baserat på den riskbedömning som utförts i enlighet med punkt 2.1, från leverantörer eller tjänsteleverantörer under hela deras livscykel.
  2. Vid tillämpning av punkt 6.1.1 ska de processer som avses i punkt 6.1.1 omfatta följande:
    
    Säkerhetskrav som ska tillämpas på de IKT-tjänster eller IKT-produkter som förvärvas.
    
    Krav på säkerhetsuppdateringar under hela livslängden för IKT-tjänsterna eller IKT-produkterna eller krav på att de ska ersättas efter stödperiodens utgång.
    
    Information som beskriver de maskinvaru- och programvarukomponenter som används i IKT-tjänsterna eller IKT-produkterna.
    
    Information som beskriver de cybersäkerhetsfunktioner som IKT-tjänsterna eller IKT-produkterna omfattar och den konfiguration som krävs för en säker drift av dem.
    
    Garantier för att IKT-tjänsterna eller IKT-produkterna uppfyller säkerhetskraven enligt led a.
    
    Metoder för att validera att de levererade IKT-tjänsterna eller IKT-produkterna uppfyller de angivna säkerhetskraven samt dokumentation av valideringsresultaten.
  3. De berörda entiteterna ska se över och, när så är lämpligt, uppdatera processerna med planerade intervall och när betydande incidenter inträffar.
2. 6.2. Säker utvecklingslivscykel
  1. Innan de utvecklar ett nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas., inklusive programvara, ska de berörda entiteterna fastställa reglerna för en säker utveckling av nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. och tillämpa dessa regler när de själva utvecklar nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. och när utvecklingen läggs ut på entreprenad. Reglerna ska omfatta alla utvecklingsfaser och inbegripa specifikationer, utformning, utveckling, genomförande och testning.
  2. Vid tillämpning av punkt 6.2.1 ska de berörda entiteterna göra följande:
    
    Göra en analys av säkerhetskraven i specifikations- och utformningsfaserna för alla utvecklings- eller inköpsprojekt som genomförs av de berörda entiteterna eller på dessa entiteters vägnar.
    
    Tillämpa principerna för konstruktion av säkra system och säker kodning på allt utvecklingsarbete som rör informationssystem, t.ex. främjande av inbyggd cybersäkerhetcybersäkerhet enligt definitionen i artikel 2.1 i förordning (EU) 2019/881. och nolltillitsarkitektur.
    
    Fastställa säkerhetskrav för utvecklingsmiljöer.
    
    Fastställa och genomföra processer för säkerhetstester under utvecklingscykeln.
    
    På lämpligt sätt välja ut, skydda och förvalta säkerhetstestdata.
    
    Sanera och anonymisera testdata enligt den riskbedömning som utförts i enlighet med punkt 2.1.
  3. För utveckling av nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. som lagts ut på entreprenad ska de berörda entiteterna också tillämpa de strategier och förfaranden som avses i punkterna 5 och 6.1.
  4. De berörda entiteterna ska se över och, vid behov, uppdatera sina regler för säker utveckling med planerade intervall.
3. 6.3. Konfigurationshantering
  1. De berörda entiteterna ska vidta ändamålsenliga åtgärder för att fastställa, dokumentera, genomföra och övervaka konfigurationer, inklusive säkerhetskonfigurationer av maskinvara, programvara, tjänster och nätverk.
  2. Vid tillämpning av punkt 6.3.1 ska de berörda entiteterna göra följande:
    
    Fastställa och säkerställa säkerheten i konfigurationer för sin maskinvara och programvara och sina tjänster och nätverk.
    
    Fastställa och genomföra processer och verktyg för att verkställa de fastställda säkerhetskonfigurationerna för maskinvara, programvara, tjänster och nätverk, för nyinstallerade system och för system som är i drift under deras livslängd.
  3. De berörda entiteterna ska se över och när så är lämpligt uppdatera konfigurationer med planerade intervall och när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar.
4. 6.4. Förändringshantering, reparationer och underhåll
  1. De berörda entiteterna ska tillämpa förändringshanteringsförfaranden för att kontrollera ändringar av nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas.. Om tillämpligt ska förfarandena överensstämma med de berörda entiteternas allmänna strategier för förändringshantering.
  2. De förfaranden som avses i punkt 6.4.1 ska tillämpas på versioner, ändringar och akutanpassningar av programvara och maskinvara som är i drift och på konfigurationsändringar. Förfarandena ska säkerställa att dessa ändringar är dokumenterade och, baserat på den riskbedömning som utförts i enlighet med punkt 2.1, testade och bedömda med avseende på de potentiella konsekvenserna innan de genomförs.
  3. Om de vanliga förändringshanteringsförfarandena inte kan följas på grund av en akutsituation ska de berörda entiteterna dokumentera resultatet av ändringen och förklaringen till att förfarandena inte kunde följas.
  4. De berörda entiteterna ska se över och, när så är lämpligt, uppdatera förfarandena med planerade intervall och när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar.
5. 6.5. Säkerhetstestning
  1. De berörda entiteterna ska fastställa, införa och tillämpa en strategi och förfaranden för säkerhetstestning.
  2. De berörda entiteterna ska
    
    baserat på den riskbedömning som utförts i enlighet med punkt 2.1 fastställa behov, tillämpningsområde, frekvens och typ när det gäller säkerhetstestning,
    
    genomföra säkerhetstester i enlighet med en dokumenterad testmetod, som omfattar de komponenter som i en riskanalys identifierats som relevanta för säker drift,
    
    dokumentera testernas typ, tillämpningsområde, tidsram och resultat, inklusive en bedömning av kritikalitet och begränsningsåtgärder för varje iakttagelse,
    
    tillämpa begränsningsåtgärder vid kritiska iakttagelser.
  3. De berörda entiteterna ska se över och, när så är lämpligt, uppdatera sina strategier för säkerhetstestning med planerade intervall.
6. 6.6. Hantering av programfix
  1. De berörda entiteterna ska specificera och tillämpa förfaranden som överensstämmer med de förändringshanteringsförfaranden som avses i punkt 6.4.1 och med sårbarhetshantering, riskhantering och andra relevanta hanteringsförfaranden för att säkerställa att
    
    programfixar tillämpas inom en rimlig tid från det att de blir tillgängliga,
    
    programfixar testas innan de tillämpas på produktionssystem,
    
    programfixar kommer från tillförlitliga källor och kontrolleras med avseende på integritet,
    
    kompletterande åtgärder vidtas och kvarstående risker godtas i de fall då en programfix inte är tillgänglig eller inte tillämpas i enlighet med punkt 6.6.2.
  2. Genom undantag från punkt 6.6.1 a får de berörda entiteterna välja att inte tillämpa programfixar när nackdelarna med detta inte uppvägs av cybersäkerhetsfördelarna. De berörda entiteterna ska vederbörligen dokumentera och motivera varje sådant beslut.
7. 6.7. Nätverkssäkerhet
  1. De berörda entiteterna ska vidta ändamålsenliga åtgärder för att skydda sina nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. mot cyberhotett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881..
  2. Vid tillämpning av punkt 6.7.1 ska de berörda entiteterna
    
    dokumentera nätverkets arkitektur på ett begripligt och uppdaterat sätt,
    
    fastställa och tillämpa kontroller för att skydda de berörda entiteternas interna nätverksdomäner från obehörig åtkomst,
    
    konfigurera kontroller för att förhindra åtkomst och nätverkskommunikation som inte krävs för de berörda entiteternas drift,
    
    fastställa och tillämpa kontroller för fjärråtkomst till nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas., inbegripet tjänsteleverantörers åtkomst,
    
    inte använda system som används för att administrera genomförandet av säkerhetsstrategin för andra ändamål,
    
    uttryckligen förbjuda eller avaktivera anslutningar och tjänster som inte behövs,
    
    när så är lämpligt, uteslutande tillåta åtkomst till de berörda entiteternas nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. via utrustning med tillstånd från dessa entiteter,
    
    tillåta att tjänsteleverantörer ansluts först efter en begäran om behörighet och under en fastställd tidsperiod, såsom under den tid som en underhållsinsats tar,
    
    upprätta kommunikation mellan separata system endast via tillförlitliga kanaler som är isolerade med användning av logisk, kryptografisk eller fysisk separation från andra kommunikationskanaler och tillhandahålla säkrad identifiering av deras ändpunkter och skydd för kanaldata från ändring eller avslöjande,
    
    anta en genomförandeplan för en fullständig övergång till den senaste generationens kommunikationsprotokoll i nätverksskiktet på ett sätt som är säkert och ändamålsenligt och sker gradvis samt fastställa åtgärder för att påskynda en sådan övergång,
    
    anta en genomförandeplan för införande av internationellt överenskomna och interoperabla moderna standarder för e-postkommunikation för att säkra e-postkommunikationen i syfte att begränsa sårbarheter kopplade till e-postrelaterade hot och fastställa åtgärder för att påskynda ett sådant införande,
    
    tillämpa bästa praxis för DNS-säkerhet, dirigeringssäkerhet och dirigeringshygien för trafik från eller till nätverket.
  3. De berörda entiteterna ska se över och, när så är lämpligt, uppdatera dessa åtgärder med planerade intervall och när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar.
8. 6.8. Nätverkssegmentering
  1. De berörda entiteterna ska segmentera system i nätverk eller zoner i enlighet med resultaten från den riskbedömning som avses i punkt 2.1. De ska segmentera sina system och nätverk från tredje parters system och nätverk.
  2. För detta ändamål ska de berörda entiteterna
    
    beakta det funktionella, logiska och fysiska förhållandet, inklusive lokalisering, mellan tillförlitliga system och tjänster,
    
    bevilja åtkomst till ett nätverk eller en zon baserat på en bedömning av dess säkerhetskrav,
    
    förvara system som är kritiska för den berörda entitetens drift eller säkerhet i säkrade zoner,
    
    införa en demilitariserad zon inom sina kommunikationsnät för att säkerställa säker kommunikation från eller till sina nätverk,
    
    begränsa åtkomst och kommunikation mellan och inom zoner till vad som är nödvändigt för de berörda entiteternas drift eller för säkerheten,
    
    separera det särskilda nätverket för administration av nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. från de berörda entiteternas nätverk för drift,
    
    segregera kanalerna för nätverksadministration från annan nätverkstrafik,
    
    separera produktionssystemen för den berörda entitetens tjänster från system som används för utveckling och testning, inklusive säkerhetskopior.
  3. De berörda entiteterna ska se över och, när så är lämpligt, uppdatera nätverkssegmenteringen med planerade intervall och när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar.
9. 6.9. Skydd mot sabotageprogram och otillåten programvara
  1. De berörda entiteterna ska skydda sina nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. mot sabotageprogram och otillåten programvara.
  2. För detta ändamål ska de berörda entiteterna i synnerhet vidta åtgärder för upptäckt eller förhindrande av användning av sabotageprogram eller otillåten programvara. De berörda entiteterna ska, när så är lämpligt, säkerställa att deras nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. är utrustade med programvara för upptäckt och åtgärdande, som regelbundet uppdateras i enlighet med den riskbedömning som utförts i enlighet med punkt 2.1 och avtalen med leverantörerna.
10. 6.10. Sårbarhetshantering och sårbarhetsinformation
  1. De berörda entiteterna ska inhämta information om tekniska sårbarheter i deras nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas., bedöma sin exponering för sårbarheter och vidta ändamålsenliga åtgärder för att hantera sårbarheterna.
  2. Vid tillämpning av punkt 6.10.1 ska de berörda entiteterna göra följande:
    
    Övervaka information om sårbarheter via lämpliga kanaler, såsom meddelanden från CSIRT-enheter eller behöriga myndigheter eller information som tillhandahålls av leverantörer eller tjänsteleverantörer.
    
    När så är lämpligt, genomföra sårbarhetsskanningar och registrera resultaten av skanningarna, med planerade intervall.
    
    Utan onödigt dröjsmål åtgärda sårbarheter som av de berörda entiteterna identifierats som kritiska för deras verksamhet.
    
    Säkerställa att deras sårbarhetshantering är förenlig med deras förfaranden för förändringshantering, hantering av programfix, riskhantering och incidenthanteringalla åtgärder och förfaranden som syftar till att förebygga, upptäcka, analysera, begränsa eller reagera på och återhämta sig från en incident..
    
    Fastställa ett förfarande för information om sårbarheter i enlighet med den tillämpliga nationella policyn för samordnad information om sårbarheter.
  3. När det är motiverat på grund av sårbarhetens potentiella konsekvenser ska de berörda entiteterna upprätta och genomföra en plan för att begränsa sårbarheten. I andra fall ska de berörda entiteterna dokumentera och motivera varför sårbarheten inte behöver åtgärdas.
  4. De berörda entiteterna ska med planerade intervall se över och, när så är lämpligt, uppdatera de kanaler som de använder för övervakning av sårbarhetsinformation.
7. Strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärder för cybersäkerhet (artikel 21.2 f i direktiv (EU) 2022/2555)
1. Vid tillämpning av artikel 21.2 f i direktiv (EU) 2022/2555) ska de berörda entiteterna fastställa, införa och tillämpa en strategi och förfaranden för att bedöma om de riskhanteringsåtgärder för cybersäkerhetcybersäkerhet enligt definitionen i artikel 2.1 i förordning (EU) 2019/881. som vidtagits av den berörda entiteten genomförs och upprätthålls på ett effektivt sätt.
2. De strategier och förfaranden som avses i punkt 7.1 ska beakta resultaten av riskbedömningen enligt punkt 2.1 och betydande incidenter i det förflutna. De berörda entiteterna ska fastställa
  
  vilka riskhanteringsåtgärder för cybersäkerhetcybersäkerhet enligt definitionen i artikel 2.1 i förordning (EU) 2019/881. som ska övervakas och mätas, inklusive processer och kontroller,
  
  metoderna för övervakning, mätning, analys och utvärdering, såsom tillämpligt, för att säkerställa giltiga resultat,
  
  när övervakning och mätning ska utföras,
  
  vem som har ansvaret för övervakning och mätning av effektiviteten i riskhanteringsåtgärderna för cybersäkerhetcybersäkerhet enligt definitionen i artikel 2.1 i förordning (EU) 2019/881.,
  
  när resultaten från övervakning och mätning ska analyseras och utvärderas,
  
  vem som ska analysera och utvärdera dessa resultat.
3. De berörda entiteterna ska se över och, när så är lämpligt, uppdatera strategierna och förfarandena med planerade intervall och när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar.
8. Grundläggande praxis för cyberhygien och utbildning i cybersäkerhet (artikel 21.2 g i direktiv (EU) 2022/2555)
1. 8.1. Medvetandehöjande och grundläggande praxis för cyberhygien
  1. Vid tillämpning av artikel 21.2 g i direktiv (EU) 2022/2555 ska de berörda entiteterna säkerställa att deras anställda, inbegripet personer i ledningsorganen, och direkta leverantörer och tjänsteleverantörer är medvetna om riskerna, har kunskap om betydelsen av cybersäkerhetcybersäkerhet enligt definitionen i artikel 2.1 i förordning (EU) 2019/881. och tillämpar praxis för cyberhygien.
  2. Vid tillämpning av punkt 8.1.1 ska de berörda entiteterna erbjuda sina anställda, inbegripet personer i ledningsorganen, samt direkta leverantörer och tjänsteleverantörer när så är lämpligt i enlighet med punkt 5.1.4, ett program för att öka medvetenheten som ska
    
    schemaläggas över tid, så att aktiviteterna upprepas och täcker nya anställda,
    
    fastställas i enlighet med strategin för nätverks- och informationssäkerhet, ämnesspecifika strategier och relevanta förfaranden för nätverks- och informationssäkerhet,
    
    omfatta relevanta cyberhotett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881., de riskhanteringsåtgärder för cybersäkerhetcybersäkerhet enligt definitionen i artikel 2.1 i förordning (EU) 2019/881. som införts, kontaktpunkter och resurser för ytterligare information och råd om cybersäkerhetsfrågor samt cyberhygienpraxis för användare.
  3. Programmet för att öka medvetenheten ska, när så är lämpligt, testas med avseende på effektivitet. Programmet för att öka medvetenheten ska uppdateras och erbjudas med planerade intervall med beaktande av ändringar av praxis för cyberhygien och rådande hotbild och risker för de berörda entiteterna.
2. 8.2. Säkerhetsutbildning
  1. De berörda entiteterna ska identifiera anställda vars roller kräver säkerhetsrelevanta färdigheter och expertkunskaper och säkerställa att de regelbundet utbildas om säkerhet i nätverks- och informationssystemnätverks- och informationssystems förmåga att med en viss tillförlitlighetsnivå motstå händelser som kan undergräva tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via dessa nätverks- och informationssystem..
  2. De berörda entiteterna ska fastställa, införa och tillämpa ett utbildningsprogram som är i linje med strategin för nätverks- och informationssäkerhet, ämnesspecifika strategier och andra relevanta förfaranden för nätverks- och informationssäkerhet som fastställer utbildningsbehoven för vissa roller och befattningar baserat på kriterier.
  3. Den utbildning som avses i punkt 8.2.1 ska vara relevant för den anställdes arbetsuppgifter, och utbildningens effektivitet ska bedömas. Utbildningen ska ta hänsyn till befintliga säkerhetsåtgärder och omfatta följande:
    
    Anvisningar för säker konfiguration och drift av nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas., inbegripet mobil utrustning.
    
    Information om kända cyberhotett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881..
    
    Utbildning om agerande vid säkerhetsrelevanta händelser.
  4. De berörda entiteterna ska utbilda personal som övergår till nya befattningar och roller som kräver säkerhetsrelevanta färdigheter och expertkunskaper.
  5. Programmet ska regelbundet uppdateras och genomföras med beaktande av tillämpliga strategier och regler, fördelningen av roller, ansvarsområden samt kända cyberhotett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881. och teknisk utveckling.
9. Kryptografi (artikel 21.2 h i direktiv (EU) 2022/2555)
1. Vid tillämpning av artikel 21.2 h i direktiv (EU) 2022/2555 ska de berörda entiteterna fastställa, införa och tillämpa en strategi och förfaranden för kryptografi, för att säkerställa en ändamålsenlig och effektiv användning av kryptografi för att skydda konfidentialiteten, autenticiteten och integriteten för data i enlighet med de berörda entiteternas klassificering av tillgångar och resultaten av den riskbedömning som utförts i enlighet med punkt 2.1.
2. Den strategi och de förfaranden som avses i punkt 9.1 ska fastställa följande:
  
  I enlighet med de berörda entiteternas klassificering av tillgångar – typ, styrka och kvalitet när det gäller de kryptografiska åtgärder som krävs för att skydda de berörda entiteternas tillgångar, inklusive data i vila och data vid transitering.
  
  Baserat på led a, de protokoll eller protokollfamiljer som ska antas, liksom kryptografiska algoritmer, krypteringsstyrka, kryptografiska lösningar och användningspraxis som ska godkännas och krävas för användning i entiteten, med kryptoföljsamhet när så är lämpligt.
  
  De berörda entiteternas nyckelhantering, inbegripet, när så är lämpligt, metoder för följande:
  
  Generering av olika nycklar för kryptografiska system och applikationer.
  
  Utfärdande och erhållande av certifikat för öppen nyckel.
  
  Distribution av nycklar till avsedda entiteter, inklusive hur nycklarna ska aktiveras när de mottagits.
  
  Lagring av nycklar, inklusive hur behöriga användare får tillgång till nycklar.
  
  Ändring eller uppdatering av nycklar, inklusive regler för när och hur nycklar ska ändras.
  
  Hantering av nycklar som komprometterats.
  
  Upphävande av nycklar, inklusive hur man drar in eller avaktiverar nycklar.
  
  Återställande av nycklar som förlorats eller korrumperats.
  
  Säkerhetskopiering eller arkivering av nycklar.
  
  Förstörelse av nycklar.
  
  Loggning och revision av aktiviteter förbundna med nyckelhantering.
  
  Fastställande av aktiverings- och avaktiveringsdatum för nycklar för att säkerställa att nycklarna endast kan användas under den angivna tidsperioden i enlighet med organisationens regler om nyckelhantering.
3. De berörda entiteterna ska se över och, när så är lämpligt, uppdatera sina strategier och förfaranden med planerade intervall, med beaktande av den senaste tekniken när det gäller kryptografi.
10. Personalsäkerhet (artikel 21.2 i i direktiv (EU) 2022/2555)
1. 10.1. Personalsäkerhet
  1. Vid tillämpning av artikel 21.2 i i direktiv (EU) 2022/2555 ska de berörda entiteterna säkerställa att deras anställda och direkta leverantörer och tjänsteleverantörer, om tillämpligt, förstår och åtar sig att uppfylla de säkerhetsuppgifter som de ansvarar för, på ett sätt som är lämpligt för de erbjudna tjänsterna och arbetet och i enlighet med de berörda entiteternas strategi för säkerheten i nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas..
  2. De krav som avses i punkt 10.1.1 ska inbegripa följande:
    
    Mekanismer för att säkerställa att alla anställda, direkta leverantörer och tjänsteleverantörer, om tillämpligt, förstår och följer den standardpraxis för cyberhygien som de berörda entiteterna tillämpar i enlighet med punkt 8.1.
    
    Mekanismer för att säkerställa att alla användare med administrativ eller privilegierad åtkomst är medvetna om och agerar i enlighet med sina roller, ansvarsområden och befogenheter.
    
    Mekanismer för att säkerställa att personer i ledningsorganen förstår och agerar i enlighet med sina roller, ansvarsområden och befogenheter när det gäller säkerhet i nätverks- och informationssystemnätverks- och informationssystems förmåga att med en viss tillförlitlighetsnivå motstå händelser som kan undergräva tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via dessa nätverks- och informationssystem..
    
    Mekanismer för att anställa personal med rätt kvalifikationer för sina respektive roller, såsom referenskontroller, prövningsförfaranden, validering av certifieringar eller skriftliga prov.
  3. De berörda entiteterna ska se över tilldelningen av personal till de specifika roller som avses i punkt 1.2 samt sina personalresurser i detta avseende, med planerade intervall och minst en gång per år. De ska uppdatera tilldelningen vid behov.
2. 10.2. Bakgrundskontroll
  1. De berörda entiteterna ska i den mån det är genomförbart säkerställa att bakgrunden kontrolleras för deras anställda och, om tillämpligt, för direkta leverantörer och tjänsteleverantörer i enlighet med punkt 5.1.4, om detta krävs för deras roller, ansvarsområden och befogenheter.
  2. Vid tillämpning av punkt 10.2.1 ska de berörda entiteterna göra följande:
    
    Införa kriterier som anger vilka roller, ansvarsområden och befogenheter som endast får utövas av personer vars bakgrund har kontrollerats.
    
    Säkerställa att kontrollerna enligt punkt 10.2.1 av dessa personer utförs innan de börjar utöva dessa roller, ansvarsområden och befogenheter och att hänsyn därvid tas till tillämpliga lagar och andra författningar samt etik på ett sätt som står i proportion till verksamhetskraven, klassificeringen av tillgångar enligt punkt 12.1, de nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. som avses och de upplevda riskerna.
  3. De berörda entiteterna ska, när så är lämpligt, se över strategin med planerade intervall och uppdatera den vid behov.
3. 10.3. Förfaranden vid avslutad eller ändrad anställning
  1. De berörda entiteterna ska säkerställa att ansvarsområden och uppgifter som rör säkerheten i nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. och som förblir giltiga efter avslutad eller ändrad anställning för deras anställda definieras i avtal och att efterlevnaden kontrolleras.
  2. Vid tillämpning av punkt 10.3.1 ska de berörda entiteterna i personens arbets- och anställningsvillkor inkludera ett avtal eller en överenskommelse om vilka ansvarsområden och uppgifter som fortsätter att vara giltiga efter det att anställningen eller avtalet avslutats, t.ex. konfidentialitetsklausuler.
4. 10.4. Disciplinära förfaranden
  1. De berörda entiteterna ska fastställa, kommunicera och upprätthålla ett disciplinärt förfarande för hantering av överträdelser av strategin för säkerhet i nätverks- och informationssystemnätverks- och informationssystems förmåga att med en viss tillförlitlighetsnivå motstå händelser som kan undergräva tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via dessa nätverks- och informationssystem.. Förfarandet ska beakta relevanta rättsliga och lagstadgade krav, avtalsbestämmelser och verksamhetskrav.
  2. De berörda entiteterna ska se över och, när så är lämpligt, uppdatera det disciplinära förfarandet med planerade intervall och när det är nödvändigt till följd av rättsliga ändringar eller betydande förändringar av driften eller riskerna.
11. Åtkomstkontroll (artikel 21.2 i och j i direktiv (EU) 2022/2555)
1. 11.1. Strategi för åtkomstkontroll
  1. Vid tillämpning av artikel 21.2 i i direktiv (EU) 2022/2555 ska de berörda entiteterna fastställa, dokumentera och genomföra strategier för fysisk och logisk åtkomstkontroll av åtkomsten till deras nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas., baserat på verksamhetskrav och nätverks- och informationssystemets säkerhetskrav.
  2. De strategier som avses i punkt 11.1.1 ska
    
    behandla åtkomsten för personer, vilket inbegriper personal, besökare och externa entiteter såsom leverantörer och tjänsteleverantörer,
    
    behandla åtkomsten för nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas.,
    
    säkerställa att åtkomst endast beviljas användare som har autentiserats på lämpligt sätt.
  3. De berörda entiteterna ska se över och, när så är lämpligt, uppdatera dessa strategier med planerade intervall och när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar.
2. 11.2. Hantering av åtkomsträttigheter
  1. De berörda entiteterna ska tillhandahålla, ändra, upphäva och dokumentera åtkomsträttigheter till nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. i enlighet med den strategi för åtkomstkontroll som avses i punkt 11.1.
  2. De berörda entiteterna ska
    
    tilldela och återkalla åtkomsträttigheter baserat på principerna om behovsenlig behörighet, begränsad behörighet och åtskillnad mellan arbetsuppgifter,
    
    säkerställa att åtkomsträttigheterna ändras vid avslutad eller ändrad anställning,
    
    säkerställa att åtkomsten till nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. auktoriseras av rätt personer,
    
    säkerställa att åtkomsträttigheterna på lämpligt sätt beaktar åtkomsten för tredje part, t.ex. besökare, leverantörer och tjänsteleverantörer, i synnerhet genom att begränsa åtkomsträttigheternas omfattning och varaktighet,
    
    föra ett register över beviljade åtkomsträttigheter,
    
    använda loggning för hanteringen av åtkomsträttigheter.
  3. De berörda entiteterna ska se över åtkomsträttigheterna med planerade intervall och ändra dem baserat på organisatoriska förändringar. De berörda entiteterna ska dokumentera resultaten av översynen, inbegripet de nödvändiga ändringarna av åtkomsträttigheter.
3. 11.3. Privilegierade konton och systemadministrationskonton
  1. De berörda entiteterna ska upprätthålla strategier för hanteringen av konton med särskild behörighet och systemadministrationskonton som ett led i den strategi för åtkomstkontroll som avses i punkt 11.1.
  2. De strategier som avses i punkt 11.3.1 ska
    
    fastställa stark identifiering, autentisering som t.ex. flerfaktorsautentisering och auktorisationsförfaranden för konton med särskild behörighet och systemadministrationskonton,
    
    skapa särskilda konton som uteslutande används för systemadministration, såsom installation, konfiguration, hantering eller underhåll,
    
    individualisera och begränsa systemadministrationsprivilegierna i största möjliga utsträckning,
    
    föreskriva att systemadministrationskonton endast får användas för anslutning till system för systemadministration.
  3. De berörda entiteterna ska se över de privilegierade kontonas och systemadministrationskontonas åtkomsträttigheter med planerade intervall och ändra dem i enlighet med organisatoriska förändringar och ska dokumentera resultaten av översynen, inklusive de nödvändiga ändringarna av åtkomsträttigheter.
4. 11.4. Systemadministration
  1. De berörda entiteterna ska begränsa och kontrollera användningen av system för systemadministration i enlighet med den strategi för åtkomstkontroll som avses i punkt 11.1.
  2. För detta ändamål ska de berörda entiteterna
    
    endast använda system för systemadministration för systemadministrativa ändamål och inte för andra åtgärder,
    
    se till att sådana system är logiskt separerade från tillämpningsprogram som inte används för systemadministrativa ändamål,
    
    skydda åtkomsten till system för systemadministration genom autentisering och kryptering.
5. 11.5. Identifiering
  1. De berörda entiteterna ska hantera hela identitetslivscykeln för nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. och användarna av dessa.
  2. För detta ändamål ska de berörda entiteterna
    
    fastställa unika identiteter för nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. och användarna av dessa,
    
    koppla användaridentiteten till en enda person,
    
    säkerställa tillsyn över identiteterna för nätverks- och, informationssystem,
    
    använda loggning för identitetshanteringen.
  3. De berörda entiteterna får endast tillåta identiteter som tilldelats flera personer, såsom delade identiteter, om dessa är nödvändiga av verksamhetsskäl eller driftsskäl och är föremål för ett förfarande för uttryckligt godkännande och dokumentation. De berörda entiteterna ska beakta identiteter som tilldelats flera personer i den riskhanteringsram för cybersäkerhetcybersäkerhet enligt definitionen i artikel 2.1 i förordning (EU) 2019/881. som avses i punkt 2.1.
  4. De berörda entiteterna ska regelbundet se över identiteterna för nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. och användarna av dessa och utan dröjsmål avaktivera dem om de inte längre behövs.
6. 11.6. Autentisering
  1. De berörda entiteterna ska genomföra säkra autentiseringsförfaranden och -tekniker som baseras på åtkomstbegränsningar och strategin för åtkomstkontroll.
  2. För detta ändamål ska de berörda entiteterna
    
    säkerställa att autentiseringsstyrkan är anpassad till klassificeringen av den tillgång som åtkomsten avser,
    
    kontrollera tilldelningen av hemlig autentiseringsinformation till användare och ledning genom en process som säkerställer informationens konfidentialitet, vilket innefattar råd till personalen om lämplig hantering av autentiseringsinformation,
    
    kräva att autentiseringsuppgifterna ändras initialt, med på förhand fastställda intervall och vid misstanke om att uppgifterna har komprometterats,
    
    kräva att autentiseringsuppgifterna återställs och användare blockeras efter ett på förhand fastställt antal misslyckade inloggningsförsök,
    
    avsluta inaktiva sessioner efter en på förhand fastställd period av inaktivitet, och
    
    kräva separata uppgifter för åtkomst till privilegierade konton och administrativa konton.
  3. De berörda entiteterna ska i den mån det är genomförbart använda de senaste autentiseringsmetoderna, i enlighet med de relaterade bedömda riskerna och klassificeringen av den tillgång som åtkomsten avser samt unik autentiseringsinformation.
  4. De berörda entiteterna ska se över autentiseringsförfarandena och autentiseringsteknikerna med planerade intervall.
7. 11.7. Flerfaktorsautentisering
  1. De berörda entiteterna ska säkerställa att användarna autentiseras med hjälp av flera autentiseringsfaktorer eller kontinuerliga autentiseringsmekanismer för åtkomst till de berörda entiteternas nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas., när så är lämpligt i enlighet med klassificeringen av den tillgång som åtkomsten avser.
  2. De berörda entiteterna ska säkerställa att autentiseringsstyrkan är anpassad till klassificeringen av den tillgång som åtkomsten avser.
12. Tillgångsförvaltning (artikel 21.2 i i direktiv (EU) 2022/2555)
1. 12.1. Klassificering av tillgångar
  1. Vid tillämpning av artikel 21.2 i i direktiv (EU) 2022/2555 ska de berörda entiteterna fastställa klassificeringsnivåerna för alla tillgångar, inbegripet information, som omfattas av deras nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. för den skyddsnivå som krävs.
  2. Vid tillämpning av punkt 12.1.1 ska de berörda entiteterna göra följande:
    
    Fastställa ett system med klassificeringsnivåer för tillgångar.
    
    Tilldela alla tillgångar en klassificeringsnivå baserat på krav avseende konfidentialitet, riktighet, autenticitet och tillgänglighet, för att ange vilket skydd som krävs mot bakgrund av tillgångarnas känslighet, kritikalitet, riskmeans the potential for loss or disruption caused by an incident and is to be expressed as a combination of the magnitude of such loss or disruption and the likelihood of occurrence of the incident; och affärsvärde.
    
    Anpassa tillgänglighetskraven för tillgångarna till de leverans- och återställningsmål som fastställs i deras driftskontinuitets- och katastrofplaner.
  3. De berörda entiteterna ska genomföra regelbundna översyner av klassificeringsnivåerna för tillgångar och uppdatera dem när så är lämpligt.
2. 12.2. Hantering av tillgångar
  1. De berörda entiteterna ska fastställa, införa och tillämpa en strategi för korrekt hantering av tillgångar, inbegripet information, i enlighet med deras strategi för säkerhet i nätverks- och informationssystemnätverks- och informationssystems förmåga att med en viss tillförlitlighetsnivå motstå händelser som kan undergräva tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via dessa nätverks- och informationssystem. och ska kommunicera denna strategi till alla som använder eller hanterar tillgångar.
  2. Strategin ska
    
    omfatta hela livscykeln för tillgångarna, inklusive förvärv, användning, lagring, transport och bortskaffande,
    
    omfatta regler för säker användning, säker lagring, säker transport och oåterkallelig radering och förstöring av tillgångarna,
    
    föreskriva att överföringen ska ske på ett säkert sätt, i enlighet med den typ av tillgång som ska överföras.
  3. De berörda entiteterna ska se över och, när så är lämpligt, uppdatera strategin med planerade intervall och när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar.
3. 12.3. Strategi för flyttbara medier
  1. De berörda entiteterna ska fastställa, införa och tillämpa en strategi för hantering av flyttbara lagringsmedier och kommunicera denna till sina anställda och tredje parter som hanterar flyttbara lagringsmedier i de berörda entiteternas lokaler eller på andra platser där de flyttbara medierna är anslutna till de berörda entiteternas nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas..
  2. Strategin ska
    
    omfatta ett tekniskt förbud mot anslutning av flyttbara medier om inte det finns organisatoriska skäl till att de används,
    
    föreskriva att självexekvering ska avaktiveras från sådana medier och att skanning efter skadlig kod ska ske innan de används på de berörda entiteternas system,
    
    omfatta åtgärder för kontroll och skydd av bärbara lagringsenheter som innehåller data när de är i transitering och när de lagras,
    
    när så är lämpligt, omfatta åtgärder för användning av kryptografisk teknik för att skydda data på flyttbara lagringsmedier.
  3. De berörda entiteterna ska se över och, när så är lämpligt, uppdatera strategin med planerade intervall och när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar.
4. 12.4. Inventering av tillgångar
  1. De berörda entiteterna ska utveckla och upprätthålla en fullständig, tillförlitlig, uppdaterad och konsekvent inventering av sina tillgångar. De ska registrera ändringar av poster i inventeringen på ett spårbart sätt.
  2. Detaljnivån för inventeringen av tillgångar bör vara anpassad till de berörda entiteternas behov. Inventeringen ska omfatta följande:
    
    En förteckning över drift och tjänster och en beskrivning av dessa.
    
    En förteckning över nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. och andra tillhörande tillgångar som stöder de berörda entiteternas drift och tjänster.
  3. De berörda entiteterna ska regelbundet se över och uppdatera inventeringen och sina tillgångar och dokumentera ändringshistoriken.
5. 12.5. Deponering, återlämning eller radering av tillgångar när anställning upphör
  1. De berörda entiteterna ska fastställa, införa och tillämpa förfaranden som säkerställer att deras tillgångar som förvaras hos personal deponeras, återlämnas eller raderas när anställningen upphör och ska dokumentera deponeringen, återlämnandet och raderingen av dessa tillgångar. När det inte är möjligt med deponering, återlämnande eller radering av tillgångar ska de berörda entiteterna säkerställa att tillgångarna inte längre kan få åtkomst till de berörda entiteternas nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. i enlighet med punkt 12.2.2.
13. Miljömässig och fysisk säkerhet (artikel 21.2 c, e och i i direktiv (EU) 2022/2555)
1. 13.1. Försörjningstjänster
  1. Vid tillämpning av artikel 21.2 c i direktiv (EU) 2022/2555 ska de berörda entiteterna förhindra förlust, skada eller kompromettering av nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. eller avbrott i driften av dem på grund av fel eller avbrott i försörjningstjänster.
  2. För detta ändamål ska de berörda entiteterna när så är lämpligt
    
    skydda anläggningar från strömavbrott och andra störningar som orsakas av avbrott i försörjningstjänster såsom el, telekommunikation, vattenförsörjning, gas, avlopp, ventilation och luftkonditionering,
    
    överväga användning av redundans i försörjningstjänster,
    
    skydda försörjningstjänster för el och telekommunikation som transporterar data eller används för nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas. mot avläsning och skada,
    
    övervaka de försörjningstjänster som avses i led c och till behörig intern eller extern personal rapportera händelser utanför de lägsta och högsta kontrolltrösklar som avses i punkt 13.2.2 b och som påverkar försörjningstjänsterna,
    
    ingå avtal om nödförsörjning med motsvarande tjänster när det gäller t.ex. bränsle för nödkraftförsörjning,
    
    säkerställa kontinuerlig effektivitet och övervaka, underhålla och testa den försörjning som nätverks- och informationssystemen behöver för driften av de tjänster som erbjuds – i synnerhet el, reglering av temperatur och luftfuktighet, telekommunikation och internetanslutning.
  3. De berörda entiteterna ska testa, se över och, när så är lämpligt, uppdatera skyddsåtgärderna regelbundet eller efter betydande incidenter eller betydande förändringar av driften eller riskerna.
2. 13.2. Skydd mot fysiska och miljömässiga hot
  1. Vid tillämpning av artikel 21.2 e i direktiv (EU) 2022/2555 ska de berörda entiteterna förhindra eller begränsa konsekvenserna av händelser som härrör från fysiska och miljömässiga hot, såsom naturkatastrofer och andra avsiktliga eller oavsiktliga hot, baserat på resultaten av den riskbedömning som utförts i enlighet med punkt 2.1.
  2. För detta ändamål ska de berörda entiteterna när så är lämpligt
    
    utforma och genomföra skyddsåtgärder mot de fysiska och miljömässiga hoten,
    
    fastställa lägsta och högsta kontrolltrösklar för fysiska och miljömässiga hot,
    
    övervaka miljöparametrarna och till behörig intern eller extern personal rapportera händelser utanför de lägsta och högsta kontrolltrösklar som avses i led b.
  3. De berörda entiteterna ska testa, se över och, när så är lämpligt, uppdatera skyddsåtgärderna mot fysiska och miljömässiga hot regelbundet eller efter betydande incidenter eller betydande förändringar av driften eller riskerna.
3. 13.3. Perimeterkontroll och kontroll av fysiskt tillträde
  1. Vid tillämpning av artikel 21.2 i i direktiv (EU) 2022/2555 ska de berörda entiteterna förhindra och övervaka obehörig fysiskt tillträde, skada och interferens i deras nätverks- och informationssystemEtt elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas..
  2. För detta ändamål ska de berörda entiteterna göra följande:
    
    På grundval av den riskbedömning som utförts i enlighet med punkt 2.1 fastställa och använda säkerhetsperimetrar för att skydda områden där nätverks- och informationssystemen och andra tillhörande tillgångar är lokaliserade.
    
    Skydda de områden som avses i led a genom lämpliga inträdeskontroller och tillträdespunkter.
    
    Utforma och genomföra fysisk säkerhet för kontor, rum och anläggningar.
    
    Kontinuerligt övervaka sina lokaler för obehörig fysisk åtkomst.
  3. De berörda entiteterna ska testa, se över och, när så är lämpligt, uppdatera åtgärderna för kontroll av fysiskt tillträde regelbundet eller efter betydande incidenter eller betydande ändringar av driften eller riskerna.

1. Strategi för säkerhet i nätverks- och informationssystem (artikel 21.2 a i direktiv (EU) 2022/2555)

1.1. Strategi för säkerhet i nätverks- och informationssystem

1.2. Roller, ansvarsområden och befogenheter

2. Strategi för riskhantering (artikel 21.2 a i direktiv (EU) 2022/2555)

2.1. Riskhanteringsram

2.2. Övervakning av efterlevnad

2.3. Oberoende granskning av nätverks- och informationssäkerheten

3. Incidenthantering (artikel 21.2 b i direktiv (EU) 2022/2555)

3.1. Incidenthanteringsstrategi

3.2. Övervakning och loggning

3.3. Händelserapportering

3.4. Bedömning och klassificering av händelser

3.5. Incidenthantering

3.6. Efterhandsgranskning efter incidenter

4. Driftskontinuitet och krishantering (artikel 21.2 c i direktiv (EU) 2022/2555)

4.1. Driftskontinuitets- och katastrofplan

4.2. Hantering av säkerhetskopiering och redundans

4.3. Krishantering

5. Säkerhet i leveranskedjan (artikel 21.2 d i direktiv (EU) 2022/2555)

5.1. Strategi för säkerhet i leveranskedjan

5.2. Förteckning över leverantörer och tjänsteleverantörer

6. Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem (artikel 21.2 e i direktiv (EU) 2022/2555)

6.1. Säkerhet vid förvärv av IKT-tjänster och IKT-produkter

6.2. Säker utvecklingslivscykel

6.3. Konfigurationshantering

6.4. Förändringshantering, reparationer och underhåll

6.5. Säkerhetstestning

6.6. Hantering av programfix

6.7. Nätverkssäkerhet

6.8. Nätverkssegmentering

6.9. Skydd mot sabotageprogram och otillåten programvara

6.10. Sårbarhetshantering och sårbarhetsinformation

7. Strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärder för cybersäkerhet (artikel 21.2 f i direktiv (EU) 2022/2555)

8. Grundläggande praxis för cyberhygien och utbildning i cybersäkerhet (artikel 21.2 g i direktiv (EU) 2022/2555)

8.1. Medvetandehöjande och grundläggande praxis för cyberhygien

8.2. Säkerhetsutbildning

9. Kryptografi (artikel 21.2 h i direktiv (EU) 2022/2555)

10. Personalsäkerhet (artikel 21.2 i i direktiv (EU) 2022/2555)

10.1. Personalsäkerhet

10.2. Bakgrundskontroll

10.3. Förfaranden vid avslutad eller ändrad anställning

10.4. Disciplinära förfaranden

11. Åtkomstkontroll (artikel 21.2 i och j i direktiv (EU) 2022/2555)

11.1. Strategi för åtkomstkontroll

11.2. Hantering av åtkomsträttigheter

11.3. Privilegierade konton och systemadministrationskonton

11.4. Systemadministration

11.5. Identifiering

11.6. Autentisering

11.7. Flerfaktorsautentisering

12. Tillgångsförvaltning (artikel 21.2 i i direktiv (EU) 2022/2555)

12.1. Klassificering av tillgångar

12.2. Hantering av tillgångar

12.3. Strategi för flyttbara medier

12.4. Inventering av tillgångar

12.5. Deponering, återlämning eller radering av tillgångar när anställning upphör

13. Miljömässig och fysisk säkerhet (artikel 21.2 c, e och i i direktiv (EU) 2022/2555)

13.1. Försörjningstjänster

13.2. Skydd mot fysiska och miljömässiga hot

13.3. Perimeterkontroll och kontroll av fysiskt tillträde