Source: OJ L, 2024/2690, 18.10.2024

Bilaga Tekniska och metodologiska specifikationer som avses i artikel 2 i denna förordning

1. Strategi för säkerhet i nätverks- och informationssystem (artikel 21.2 a i direktiv (EU) 2022/2555)
1. 1.1. Strategi för säkerhet i nätverks- och informationssystem
  1. Vid tillämpning av artikel 21.2 a i direktiv (EU) 2022/2555 ska strategin för säkerhet i nätverks- och informationssystem
    fastställa de berörda entiteternas tillvägagångssätt för att hantera säkerheten i sina nätverks- och informationssystem,
    vara lämpliga för och komplettera de berörda entiteternas affärsstrategi och mål,
    fastställa nätverks- och informationssäkerhetsmål,
    omfatta ett åtagande om kontinuerlig förbättring av säkerheten i nätverks- och informationssystem,
    omfatta ett åtagande om att tillhandahålla tillräckliga resurser för genomförandet av denna strategi, inklusive nödvändig personal, ekonomiska resurser, processer, verktyg och teknik,
    kommuniceras till och erkännas av berörda anställda och berörda externa parter,
    fastställa roller och ansvarsområden i enlighet med punkt 1.2,
    förteckna den dokumentation som ska sparas och ange hur länge dokumentationen ska bevaras,
    förteckna de ämnesspecifika strategierna,
    omfatta indikatorer och åtgärder för att övervaka genomförandet och den aktuella mognadsnivån när det gäller nätverks- och informationssäkerhet hos de berörda entiteterna,
    ange det datum då den formellt godkändes av de berörda entiteternas ledningsorgan (ledningsorganen).
  2. Säkerhetsstrategin för nätverks- och informationssystem ska ses över och när så är lämpligt uppdateras av ledningsorganen minst en gång om året samt när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar. Resultatet av översynerna ska dokumenteras,
2. 1.2. Roller, ansvarsområden och befogenheter
  1. Som ett led i sin strategi för säkerheten i nätverks- och informationssystem enligt punkt 1.1 ska de berörda entiteterna fastställa ansvarsområden och befogenheter för säkerheten i nätverks- och informationssystem, dela upp dem på roller och fördela dem i enlighet med de berörda entiteternas behov samt kommunicera dem till ledningsorganen.
  2. De berörda entiteterna ska kräva att all personal och alla tredje parter tillämpar säkerheten i nätverks- och informationssystem i enlighet med den fastställda strategin för säkerhet i nätverks- och informationssystem samt med de berörda entiteternas ämnesspecifika strategier och förfaranden.
  3. Åtminstone en person ska rapportera direkt till ledningsorganen om frågor som rör säkerheten i nätverks- och informationssystem.
  4. Beroende på de berörda entiteternas storlek ska säkerheten i nätverks- och informationssystem täckas av särskilda roller eller uppgifter som utförs utöver de befintliga rollerna.
  5. Uppgifter och ansvarsområden som står i strid med varandra ska separeras, om tillämpligt.
  6. Roller, ansvarsområden och befogenheter ska ses över och vid behov uppdateras av ledningsorganen med planerade intervall och när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar.
2. Strategi för riskhantering (artikel 21.2 a i direktiv (EU) 2022/2555)
1. 2.1. Riskhanteringsram
  1. Vid tillämpning av artikel 21.2 a i direktiv (EU) 2022/2555 ska de berörda entiteterna fastställa och upprätthålla en ändamålsenlig riskhanteringsram för att identifiera och åtgärda risker för säkerheten i nätverks- och informationssystem. De berörda entiteterna ska utföra och dokumentera riskbedömningar och på grundval av resultaten fastställa, genomföra och övervaka en riskhanteringsplan. Riskbedömningens resultat och kvarstående risker ska godtas av ledningsorganen eller, om tillämpligt, av personer som är ansvariga och har befogenhet att hantera risker, förutsatt att de berörda entiteterna säkerställer lämplig rapportering till ledningsorganen.
  2. Vid tillämningen av punkt 2.1.1 ska de berörda entiteterna fastställa förfaranden för identifiering, analys, bedömning och behandling av risker (riskhanteringsprocess för cybersäkerhet) Riskhanteringsprocessen för cybersäkerhet ska vara en integrerad del av de berörda entiteternas allmänna riskhanteringsprocess, om tillämpligt. Som ett led i riskhanteringsprocessen för cybersäkerhet ska de berörda entiteterna
    följa en riskhanteringsmetod,
    fastställa risktoleransnivån i enlighet med de berörda entiteternas riskbenägenhet,
    fastställa och upprätthålla relevanta riskkriterier,
    i enlighet med en allriskansats identifiera och dokumentera riskerna för säkerheten i nätverks- och informationssystem, i synnerhet i förhållande till tredje parter och när det gäller risker som kan leda till störningar vad gäller tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten för nätverks- och informationssystemen, inbegripet identifiering av felkritiska systemdelar (SPOF),
    analysera riskerna för säkerheten i nätverks- och informationssystem, inklusive hot, sannolikhet, konsekvenser och risknivå, med beaktande av underrättelser om cyberhot och sårbarheter,
    bedöma de identifierade riskerna baserat på riskkriterierna,
    identifiera och prioritera lämpliga riskhanteringsalternativ och -åtgärder,
    kontinuerligt övervaka genomförandet av riskhanteringsåtgärderna,
    identifiera vem som har ansvaret för riskhanteringsåtgärderna och när dessa bör genomföras,
    på ett begripligt sätt dokumentera de valda riskhanteringsåtgärderna i en riskhanteringsplan, liksom skälen till att kvarstående risker godtas.
  3. När lämpliga riskhanteringsalternativ och -åtgärder identifieras och prioriteras ska de berörda entiteterna ta hänsyn till riskbedömningsresultaten, resultaten av förfarandet för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhet, kostnaderna för genomförandet i förhållande till den förväntade nyttan, den klassificering av tillgångar som avses i punkt 12.1 samt den konsekvensanalys som avses i punkt 4.1.3.
  4. De berörda entiteterna ska se över och när så är lämpligt uppdatera riskbedömningsresultaten och riskhanteringsplanen med planerade intervall och åtminstone varje år samt när betydande förändringar av driften eller riskerna eller betydande incidenter inträffar.
2. 2.2. Övervakning av efterlevnad
  1. De berörda entiteterna ska regelbundet granska efterlevnaden av sina strategier för säkerheten i nätverks- och informationssystem samt ämnesspecifika strategier, regler och standarder. Ledningsorganen ska genom regelbunden rapportering informeras om nivån av nätverks- och informationssäkerhet på grundval av granskningen av efterlevnaden.
  2. De berörda entiteterna ska införa ett effektivt system för rapportering om efterlevnaden, vilket ska vara ändamålsenligt i förhållande till deras strukturer, driftsförhållanden och hotbilder. Rapporteringssystemet ska kunna ge ledningsorganen en väl underbyggd bild av det rådande läget i fråga om de berörda entiteternas riskhantering.
  3. De berörda entiteterna ska genomföra övervakningen av efterlevnaden med planerade intervall och när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar.
3. 2.3. Oberoende granskning av nätverks- och informationssäkerheten
  1. De berörda entiteterna ska på ett oberoende sätt granska sitt tillvägagångssätt för att hantera säkerheten i nätverks- och informationssystem och sitt genomförande, inbegripet personer, processer och teknik.
  2. De berörda entiteterna ska utveckla och upprätthålla processer för oberoende granskningar som ska utföras av personer med lämplig revisionskompetens. Om den oberoende granskningen utförs av anställda hos den berörda entiteten får de personer som utför granskningen inte ha en överordnad ställning i beslutshierarkin i förhållande till personalen på det område som granskas. Om den berörda entitetens storlek innebär att en sådan separation av beslutshierarkin inte är möjlig ska de berörda entiteterna vidta alternativa åtgärder för att garantera granskningarnas opartiskhet.
  3. Resultaten av de oberoende granskningarna, inbegripet resultaten från övervakningen av efterlevnaden enligt punkt 2.2 och övervakningen och mätningen enligt punkt 7, ska rapporteras till ledningsorganen. Korrigerande åtgärder ska vidtas eller kvarstående risk godtas i enlighet med de berörda entiteternas kriterier för riskacceptans.
  4. De oberoende granskningarna ska genomföras med planerade intervall och när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar.
3. Incidenthantering (artikel 21.2 b i direktiv (EU) 2022/2555)
1. 3.1. Incidenthanteringsstrategi
  1. Vid tillämpning av artikel 21.2 b i direktiv (EU) 2022/2555 ska de berörda entiteterna fastställa och genomföra en incidenthanteringsstrategi som omfattar roller, ansvarsområden och förfaranden för upptäckt, analys, begränsning, svarsåtgärder, återställande, dokumentation och rapportering i rätt tid när det gäller incidenter.
  2. Den strategi som avses i punkt 3.1.1 ska överensstämma med den driftskontinuitets- och katastrofplan som avses i punkt 4.1. Strategin ska omfatta följande:
    Ett kategoriseringssystem för incidenter som är förenligt med den bedömning och klassificering av händelser som görs i enlighet med punkt 3.4.1.
    Effektiva kommunikationsplaner som innefattar eskalering och rapportering.
    Fördelning av roller på behöriga anställda när det gäller upptäckt och lämplig hantering av incidenter.
    Dokument att använda i samband med upptäckt och åtgärdande, såsom incidenthanteringsmanualer, eskaleringsscheman, kontaktlistor och mallar.
  3. Roller, ansvarsområden och förfaranden som fastställs i strategin ska testas, ses över och när så är lämpligt uppdateras med planerade intervall och efter betydande incidenter eller betydande förändringar av driften eller riskerna.
2. 3.2. Övervakning och loggning
  1. De berörda entiteterna ska fastställa förfaranden och använda verktyg för att övervaka och logga aktiviteter på sina nätverks- och informationssystem för att upptäcka händelser som skulle kunna anses som incidenter och vidta åtgärder för att begränsa konsekvenserna.
  2. I den mån det är genomförbart ska övervakningen automatiseras och utföras antingen kontinuerligt eller med jämna mellanrum, med förbehåll för verksamhetskapaciteten. De berörda entiteterna ska genomföra sin övervakningsverksamhet på ett sådant sätt att antalet falskt positiva och falskt negativa resultat minimeras.
  3. Baserat på de förfaranden som avses i punkt 3.2.1 ska de berörda entiteterna upprätthålla, dokumentera och granska loggar. De berörda entiteterna ska upprätta en förteckning över tillgångar som ska vara föremål för loggning baserat på resultaten av den riskbedömning som utförts i enlighet med punkt 2.1. När så är lämpligt ska loggen inkludera följande:
    Relevant utgående och inkommande nätverkstrafik.
    Skapande, ändring eller radering av användare av de berörda entiteternas nätverks- och informationssystem och förlängning av tillstånd.
    Åtkomst till system och applikationer.
    Autentiseringsrelaterade händelser.
    All privilegierad åtkomst till system och applikationer samt aktiviteter som utförts av administratörskonton.
    Åtkomst eller ändringar av kritiska konfigurations- och säkerhetskopieringsfiler.
    Händelseloggar och loggar från säkerhetsverktyg, såsom antivirusprodukter, intrångsdetekteringssystem eller brandväggar.
    Användning av systemresurser samt deras prestanda.
    Fysiskt tillträde till anläggningar.
    Åtkomst till och användning av deras nätutrustning och enheter.
    Aktivering och stopp och paus för de olika loggarna.
    Miljöhändelser.
  4. Loggarna ska regelbundet ses över med avseende på eventuella ovanliga eller oönskade trender. När så är lämpligt ska de berörda entiteterna fastställa lämpliga tröskelvärden för larm. Om de fastställda tröskelvärdena överskrids ska ett larm utlösas, när så är lämpligt automatiskt. Vid ett larm ska de berörda entiteterna säkerställa att en kvalificerad och ändamålsenlig svarsåtgärd snabbt inleds.
  5. De berörda entiteterna ska bevara och säkerhetskopiera loggar under en på förhand fastställd tidsperiod och ska skydda dem från obehörig åtkomst eller obehöriga ändringar.
  6. I den mån det är genomförbart ska de berörda entiteterna säkerställa att alla system har synkroniserade tidskällor så att det är möjligt att korrelera loggar mellan system för bedömning av händelser. De berörda entiteterna ska fastställa och bevara en förteckning över alla tillgångar som loggas och säkerställa att övervaknings- och loggningssystemen är redundanta. Tillgången till övervaknings- och loggningssystem ska övervakas oberoende av de system som de övervakar.
  7. Förfarandena och förteckningen över tillgångar som loggas ska ses över och när så är lämpligt uppdateras regelbundet och efter betydande incidenter.
3. 3.3. Händelserapportering
  1. De berörda entiteterna ska införa en enkel mekanism som gör att deras anställda, leverantörer och kunder kan rapportera misstänkta händelser.
  2. När så är lämpligt ska de berörda entiteterna förmedla händelserapporteringsmekanismen till sina leverantörer och kunder, och de ska regelbundet utbilda sina anställda om hur mekanismen ska användas.
4. 3.4. Bedömning och klassificering av händelser
  1. De berörda entiteterna ska bedöma misstänkta händelser för att fastställa om de utgör incidenter och i sådana fall fastställa deras art och allvarlighetsgrad.
  2. Vid tillämpning av punkt 3.4.1 ska de berörda entiteterna agera på följande sätt:
    Utföra bedömningen baserat på fördefinierade kriterier som fastställts i förväg och på triage för att avgöra prioriteringsordningen för åtgärder för begränsning och eliminering.
    Varje kvartal bedöma förekomsten av sådana återkommande incidenter som avses i artikel 4 i denna förordning.
    Granska lämpliga loggar för bedömning och klassificering av händelser.
    Införa en process för korrelering och analys av loggar.
    Göra en förnyad bedömning och klassificera om händelser när ny information blir tillgänglig eller efter analys av tidigare tillgänglig information.
5. 3.5. Incidenthantering
  1. De berörda entiteterna ska hantera incidenterna i enlighet med dokumenterade förfaranden och i rätt tid.
  2. Incidenthanteringsförfarandena ska omfatta följande stadier:
    Begränsning av incidenten, för att förhindra att dess konsekvenser sprids.
    Eliminering, för att förhindra att incidenten fortsätter eller återkommer.
    Återställande från incidenten, vid behov.
  3. De berörda entiteterna ska fastställa kommunikationsplaner och kommunikationsförfaranden
    med CSIRT-enheter (enheter för hantering av it-säkerhetsincidenter) eller, om tillämpligt, de behöriga myndigheterna, när det gäller incidentrapportering,
    för kommunikation mellan den berörda entitetens anställda och för kommunikation med berörda aktörer utanför entiteten.
  4. De berörda entiteterna ska logga incidenthanteringsåtgärder i enlighet med de förfaranden som avses i punkt 3.2.1 och registrera bevisningen.
  5. De berörda entiteterna ska med planerade intervall testa sina incidenthanteringsförfaranden.
6. 3.6. Efterhandsgranskning efter incidenter
  1. När så är lämpligt ska de berörda entiteterna genomföra efterhandsgranskningar efter återställningen från incidenter. Efterhandsgranskningarna ska om möjligt identifiera grundorsaken till incidenten och mynna ut i dokumenterade lärdomar för att minska förekomsten och konsekvenserna av incidenter i framtiden.
  2. De berörda entiteterna ska säkerställa att efterhandsgranskningarna bidrar till att förbättra deras tillvägagångssätt för nätverks- och informationssäkerhet och riskbehandling samt deras förfaranden för hantering, upptäckt och åtgärdande av incidenter.
  3. De berörda entiteterna ske med planerade intervall granska om det skett någon efterhandsgranskning efter incidenter.
4. Driftskontinuitet och krishantering (artikel 21.2 c i direktiv (EU) 2022/2555)
1. 4.1. Driftskontinuitets- och katastrofplan
  1. Vid tillämpning av artikel 21.2 c i direktiv (EU) 2022/2555 ska de berörda entiteterna fastställa och upprätthålla en driftskontinuitets- och katastrofplan att använda vid incidenter.
  2. De berörda entiteternas drift ska återställas i enlighet med driftskontinuitets- och katastrofplanen. Planen ska baseras på resultaten av den riskbedömning som utförts i enlighet med punkt 2.1 och ska, när så är lämpligt, innehålla följande:
    Ändamål, tillämpningsområde och målgrupp.
    Roller och ansvarsområden.
    Viktiga kontakter och (interna och externa) kommunikationskanaler.
    Villkor för aktivering och avaktivering av planen.
    Ordningsföljden för återställande av driften.
    Återställningsplaner för olika delar av driften, inklusive återställningsmål.
    Resurser som krävs, inklusive säkerhetskopior och redundans.
    Återläsning och återupptagande av verksamhet från tillfälliga åtgärder
  3. De berörda entiteterna ska göra en konsekvensanalys för att bedöma de potentiella konsekvenser som allvarliga störningar har för deras verksamhet och, baserat på konsekvensanalysens resultat, fastställa kontinuitetskrav för sina nätverks- och informationssystem.
  4. Driftskontinuitetsplanen och katastrofplanen ska testas, ses över och, när så är lämpligt, uppdateras med planerade intervall och efter betydande incidenter eller betydande ändringar av driften eller riskerna. De berörda entiteterna ska säkerställa att planerna införlivar lärdomarna från sådana tester.
2. 4.2. Hantering av säkerhetskopiering och redundans
  1. De berörda entiteterna ska bevara säkerhetskopior av data och tillhandahålla tillräckliga tillgängliga resurser, inklusive anläggningar, nätverks- och informationssystem och personal, för att säkerställa en lämplig nivå av redundans.
  2. Baserat på resultaten av den riskbedömning som utförts i enlighet med punkt 2.1 och driftskontinuitetsplanen ska de berörda entiteterna fastställa säkerhetskopieringsplaner som omfattar följande:
    Återställningstid.
    Säkerställande av att säkerhetskopiorna är fullständiga och korrekta, inklusive konfigurationsdata och data som lagras i molntjänstmiljö.
    Lagring av säkerhetskopior (online eller offline) på en eller flera säkra platser, som inte ingår i samma nätverk som systemet och som är på tillräckligt avstånd för att klara sig från eventuella skador från en katastrof vid huvudanläggningen.
    Lämplig fysisk och logisk kontroll av åtkomst till säkerhetskopiorna, i enlighet med tillgångens klassificeringsnivå.
    Återläsning av data från säkerhetskopior.
    Lagringstiden baseras på verksamhetskrav och rättsliga krav.
  3. De berörda entiteterna ska utföra regelbundna integritetskontroller av säkerhetskopiorna.
  4. Baserat på resultaten av den riskbedömning som utförts i enlighet med punkt 2.1 och driftskontinuitetsplanen ska de berörda entiteterna säkerställa tillräckliga resurser genom åtminstone partiell redundans på följande områden:
    Nätverks- och informationssystem.
    Tillgångar, inklusive anläggningar, utrustning och materiel.
    Personal med det ansvar, de befogenheter och den kompetens som krävs.
    Ändamålsenliga kommunikationskanaler.
  5. När så är lämpligt ska de berörda entiteterna säkerställa att övervakningen och anpassningen av resurser, inklusive anläggningar, system och personal, beaktar kraven i fråga om säkerhetskopiering och redundans.
  6. De berörda entiteterna ska regelbundet testa återställningen av säkerhetskopior och redundanser för att säkerställa att de är tillförlitliga under återställningsförhållanden och att de omfattar de kopior, processer och kunskaper som krävs för en effektiv återställning. De berörda entiteterna ska dokumentera resultaten av testerna och vid behov vidta korrigerande åtgärder.
3. 4.3. Krishantering
  1. De berörda entiteterna ska införa en krishanteringsprocess.
  2. De berörda entiteterna ska säkerställa att krishanteringsprocessen omfattar åtminstone följande aspekter:
    Roller och ansvarsområden för personal och, när så är lämpligt, leverantörer och tjänsteleverantörer, där rollfördelningen i krissituationer specificeras, inklusive specifika steg att följa.
    Ändamålsenliga kommunikationsmedel mellan de berörda entiteterna och de berörda behöriga myndigheterna.
    Tillämpning av ändamålsenliga åtgärder för att säkerställa att säkerheten i nätverks- och informationssystem upprätthålls i krissituationer.
    Vid tillämpning av led b ska informationsflödet mellan de berörda entiteterna och de berörda behöriga myndigheterna innefatta både obligatorisk kommunikation, såsom incidentrapporter och tillhörande tidslinjer, och kommunikation som inte är obligatorisk.
  3. De berörda entiteterna ska införa en process för hantering och utnyttjande av information som inkommer från CSIRT-enheter eller, om tillämpligt, de behöriga myndigheterna, om incidenter, sårbarheter, hot eller möjliga begränsningsåtgärder.
  4. De berörda entiteterna ska testa, se över och när så är lämpligt uppdatera krishanteringsplanen regelbundet eller efter betydande incidenter eller betydande förändringar av driften eller riskerna.
5. Säkerhet i leveranskedjan (artikel 21.2 d i direktiv (EU) 2022/2555)
1. 5.1. Strategi för säkerhet i leveranskedjan
  1. Vid tillämpning av artikel 21.2 d i direktiv (EU) 2022/2555 ska de berörda entiteterna fastställa, genomföra och tillämpa en strategi för säkerhet i leveranskedjan som styr relationerna med deras direkta leverantörer och tjänsteleverantörer i syfte att minska de identifierade riskerna för säkerheten i nätverks- och informationssystem. I denna strategi ska de berörda entiteterna identifiera sin roll i leveranskedjan och förmedla den till sina direkta leverantörer och tjänsteleverantörer.
  2. Som ett led i den strategi för säkerhet i leveranskedjan som avses i punkt 5.1.1 ska de berörda entiteterna fastställa kriterier för att välja ut och ingå avtal med leverantörer och tjänsteleverantörer. Kriterierna ska inbegripa följande:
    Leverantörernas och tjänsteleverantörernas cybersäkerhetsrutiner, inklusive deras säkra utvecklingsförfaranden.
    Leverantörernas och tjänsteleverantörernas förmåga att uppfylla de berörda entiteternas cybersäkerhetsspecifikationer.
    IKT-produkternas och IKT-tjänsternas allmänna kvalitet och resiliens samt de riskhanteringsåtgärder för cybersäkerhet som ingår i dem, inklusive IKT-produkternas och IKT-tjänsternas risknivå och klassificeringsnivå.
    De berörda entiteternas förmåga att diversifiera leveranskällor och förhindra inlåsningar till enskilda leverantörer, om tillämpligt.
  3. När de berörda entiteterna fastställer sin strategi för säkerhet i leveranskedjan ska de, om tillämpligt, beakta resultaten av de samordnade säkerhetsriskbedömningar av kritiska leveranskedjor som genomförts i enlighet med artikel 22.1 i direktiv (EU) 2022/2555.
  4. Baserat på strategin för säkerhet i leveranskedjan och med beaktande av resultaten av den riskbedömning som genomförts i enlighet med punkt 2.1 i denna bilaga ska de berörda entiteterna säkerställa att följande specificeras i deras avtal med leverantörer och tjänsteleverantörer, i tillämpliga fall och när så är lämpligt genom servicenivåavtal:
    Cybersäkerhetskrav för leverantörerna eller tjänsteleverantörerna, inklusive krav som rör säkerheten vid förvärv av IKT-tjänster eller IKT-produkter enligt punkt 6.1.
    Krav som rör medvetenhet, kompetens och utbildning och, när så är lämpligt, certifiering, för leverantörens eller tjänsteleverantörens anställda.
    Krav som rör kontroll av bakgrunden för leverantörers och tjänsteleverantörers anställda.
    En skyldighet för leverantörer och tjänsteleverantörer att utan onödigt dröjsmål underrätta de berörda entiteterna om incidenter som utgör en risk för säkerheten i dessa entiteters nätverks- och informationssystem.
    Rätt att göra revisioner eller erhålla revisionsrapporter.
    En skyldighet för leverantörer och tjänsteleverantörer att hantera sårbarheter som utgör en risk för säkerheten i de berörda entiteternas nätverks- och informationssystem.
    Krav som rör underentreprenader och, om de berörda entiteterna tillåter underentreprenader, cybersäkerhetskrav för underleverantörer i enlighet med de cybersäkerhetskrav som avses i led a.
    Skyldigheter för leverantörer och tjänsteleverantörer vid uppsägning av avtalet, såsom insamling och bortskaffande av de uppgifter som leverantörerna och tjänsteleverantörerna erhållit i utövandet av sina uppgifter.
  5. De berörda entiteterna ska ta hänsyn till de aspekter som avses i punkt 5.1.2 och 5.1.3 i sina urvalsförfaranden för nya leverantörer och tjänsteleverantörer samt som ett led i den upphandlingsprocess som avses i punkt 6.1.
  6. De berörda entiteterna ska se över strategin för säkerhet i leveranskedjan och övervaka, utvärdera och, vid behov, agera vid ändringar av leverantörernas och tjänsteleverantörernas cybersäkerhetsrutiner, med planerade intervall och vid betydande förändringar av driften eller riskerna och vid betydande incidenter som är relaterade till tillhandahållandet av IKT-tjänster eller som påverkar säkerheten för IKT-produkterna från leverantören eller tjänsteleverantören.
  7. Vid tillämpning av punkt 5.1.6 ska de berörda entiteterna
    regelbundet övervaka rapporteringen om genomförandet av servicenivåavtalen, i tillämpliga fall,
    granska incidenter som rör IKT-produkter och IKT-tjänster från leverantörer och tjänsteleverantörer,
    bedöma behovet av oplanerade granskningar och dokumentera resultaten på ett begripligt sätt,
    analysera riskerna förbundna med ändringar av IKT-produkter och IKT-tjänster från leverantörer och tjänsteleverantörer och, när så är lämpligt, snabbt vidta begränsningsåtgärder.
2. 5.2. Förteckning över leverantörer och tjänsteleverantörer
  1. De berörda entiteterna ska föra och uppdatera ett register över sina direkta leverantörer och tjänsteleverantörer vilket ska omfatta följande:
    Kontaktpunkter för varje direkt leverantör och tjänsteleverantör.
    En förteckning över IKT-produkter, IKT-tjänster och IKT-processer som den direkta leverantören eller tjänsteleverantören tillhandahåller den berörda entiteten.
6. Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem (artikel 21.2 e i direktiv (EU) 2022/2555)
1. 6.1. Säkerhet vid förvärv av IKT-tjänster och IKT-produkter
  1. Vid tillämpning av artikel 21.2 e i direktiv (EU) 2022/2555 ska de berörda entiteterna fastställa och genomföra processer för att hantera risker till följd av förvärv av IKT-tjänster eller IKT-produkter för komponenter som är kritiska för säkerheten i de berörda entiteternas nätverks- och informationssystem, baserat på den riskbedömning som utförts i enlighet med punkt 2.1, från leverantörer eller tjänsteleverantörer under hela deras livscykel.
  2. Vid tillämpning av punkt 6.1.1 ska de processer som avses i punkt 6.1.1 omfatta följande:
    Säkerhetskrav som ska tillämpas på de IKT-tjänster eller IKT-produkter som förvärvas.
    Krav på säkerhetsuppdateringar under hela livslängden för IKT-tjänsterna eller IKT-produkterna eller krav på att de ska ersättas efter stödperiodens utgång.
    Information som beskriver de maskinvaru- och programvarukomponenter som används i IKT-tjänsterna eller IKT-produkterna.
    Information som beskriver de cybersäkerhetsfunktioner som IKT-tjänsterna eller IKT-produkterna omfattar och den konfiguration som krävs för en säker drift av dem.
    Garantier för att IKT-tjänsterna eller IKT-produkterna uppfyller säkerhetskraven enligt led a.
    Metoder för att validera att de levererade IKT-tjänsterna eller IKT-produkterna uppfyller de angivna säkerhetskraven samt dokumentation av valideringsresultaten.
  3. De berörda entiteterna ska se över och, när så är lämpligt, uppdatera processerna med planerade intervall och när betydande incidenter inträffar.
2. 6.2. Säker utvecklingslivscykel
  1. Innan de utvecklar ett nätverks- och informationssystem, inklusive programvara, ska de berörda entiteterna fastställa reglerna för en säker utveckling av nätverks- och informationssystem och tillämpa dessa regler när de själva utvecklar nätverks- och informationssystem och när utvecklingen läggs ut på entreprenad. Reglerna ska omfatta alla utvecklingsfaser och inbegripa specifikationer, utformning, utveckling, genomförande och testning.
  2. Vid tillämpning av punkt 6.2.1 ska de berörda entiteterna göra följande:
    Göra en analys av säkerhetskraven i specifikations- och utformningsfaserna för alla utvecklings- eller inköpsprojekt som genomförs av de berörda entiteterna eller på dessa entiteters vägnar.
    Tillämpa principerna för konstruktion av säkra system och säker kodning på allt utvecklingsarbete som rör informationssystem, t.ex. främjande av inbyggd cybersäkerhet och nolltillitsarkitektur.
    Fastställa säkerhetskrav för utvecklingsmiljöer.
    Fastställa och genomföra processer för säkerhetstester under utvecklingscykeln.
    På lämpligt sätt välja ut, skydda och förvalta säkerhetstestdata.
    Sanera och anonymisera testdata enligt den riskbedömning som utförts i enlighet med punkt 2.1.
  3. För utveckling av nätverks- och informationssystem som lagts ut på entreprenad ska de berörda entiteterna också tillämpa de strategier och förfaranden som avses i punkterna 5 och 6.1.
  4. De berörda entiteterna ska se över och, vid behov, uppdatera sina regler för säker utveckling med planerade intervall.
3. 6.3. Konfigurationshantering
  1. De berörda entiteterna ska vidta ändamålsenliga åtgärder för att fastställa, dokumentera, genomföra och övervaka konfigurationer, inklusive säkerhetskonfigurationer av maskinvara, programvara, tjänster och nätverk.
  2. Vid tillämpning av punkt 6.3.1 ska de berörda entiteterna göra följande:
    Fastställa och säkerställa säkerheten i konfigurationer för sin maskinvara och programvara och sina tjänster och nätverk.
    Fastställa och genomföra processer och verktyg för att verkställa de fastställda säkerhetskonfigurationerna för maskinvara, programvara, tjänster och nätverk, för nyinstallerade system och för system som är i drift under deras livslängd.
  3. De berörda entiteterna ska se över och när så är lämpligt uppdatera konfigurationer med planerade intervall och när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar.
4. 6.4. Förändringshantering, reparationer och underhåll
  1. De berörda entiteterna ska tillämpa förändringshanteringsförfaranden för att kontrollera ändringar av nätverks- och informationssystem. Om tillämpligt ska förfarandena överensstämma med de berörda entiteternas allmänna strategier för förändringshantering.
  2. De förfaranden som avses i punkt 6.4.1 ska tillämpas på versioner, ändringar och akutanpassningar av programvara och maskinvara som är i drift och på konfigurationsändringar. Förfarandena ska säkerställa att dessa ändringar är dokumenterade och, baserat på den riskbedömning som utförts i enlighet med punkt 2.1, testade och bedömda med avseende på de potentiella konsekvenserna innan de genomförs.
  3. Om de vanliga förändringshanteringsförfarandena inte kan följas på grund av en akutsituation ska de berörda entiteterna dokumentera resultatet av ändringen och förklaringen till att förfarandena inte kunde följas.
  4. De berörda entiteterna ska se över och, när så är lämpligt, uppdatera förfarandena med planerade intervall och när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar.
5. 6.5. Säkerhetstestning
  1. De berörda entiteterna ska fastställa, införa och tillämpa en strategi och förfaranden för säkerhetstestning.
  2. De berörda entiteterna ska
    baserat på den riskbedömning som utförts i enlighet med punkt 2.1 fastställa behov, tillämpningsområde, frekvens och typ när det gäller säkerhetstestning,
    genomföra säkerhetstester i enlighet med en dokumenterad testmetod, som omfattar de komponenter som i en riskanalys identifierats som relevanta för säker drift,
    dokumentera testernas typ, tillämpningsområde, tidsram och resultat, inklusive en bedömning av kritikalitet och begränsningsåtgärder för varje iakttagelse,
    tillämpa begränsningsåtgärder vid kritiska iakttagelser.
  3. De berörda entiteterna ska se över och, när så är lämpligt, uppdatera sina strategier för säkerhetstestning med planerade intervall.
6. 6.6. Hantering av programfix
  1. De berörda entiteterna ska specificera och tillämpa förfaranden som överensstämmer med de förändringshanteringsförfaranden som avses i punkt 6.4.1 och med sårbarhetshantering, riskhantering och andra relevanta hanteringsförfaranden för att säkerställa att
    programfixar tillämpas inom en rimlig tid från det att de blir tillgängliga,
    programfixar testas innan de tillämpas på produktionssystem,
    programfixar kommer från tillförlitliga källor och kontrolleras med avseende på integritet,
    kompletterande åtgärder vidtas och kvarstående risker godtas i de fall då en programfix inte är tillgänglig eller inte tillämpas i enlighet med punkt 6.6.2.
  2. Genom undantag från punkt 6.6.1 a får de berörda entiteterna välja att inte tillämpa programfixar när nackdelarna med detta inte uppvägs av cybersäkerhetsfördelarna. De berörda entiteterna ska vederbörligen dokumentera och motivera varje sådant beslut.
7. 6.7. Nätverkssäkerhet
  1. De berörda entiteterna ska vidta ändamålsenliga åtgärder för att skydda sina nätverks- och informationssystem mot cyberhot.
  2. Vid tillämpning av punkt 6.7.1 ska de berörda entiteterna
    dokumentera nätverkets arkitektur på ett begripligt och uppdaterat sätt,
    fastställa och tillämpa kontroller för att skydda de berörda entiteternas interna nätverksdomäner från obehörig åtkomst,
    konfigurera kontroller för att förhindra åtkomst och nätverkskommunikation som inte krävs för de berörda entiteternas drift,
    fastställa och tillämpa kontroller för fjärråtkomst till nätverks- och informationssystem, inbegripet tjänsteleverantörers åtkomst,
    inte använda system som används för att administrera genomförandet av säkerhetsstrategin för andra ändamål,
    uttryckligen förbjuda eller avaktivera anslutningar och tjänster som inte behövs,
    när så är lämpligt, uteslutande tillåta åtkomst till de berörda entiteternas nätverks- och informationssystem via utrustning med tillstånd från dessa entiteter,
    tillåta att tjänsteleverantörer ansluts först efter en begäran om behörighet och under en fastställd tidsperiod, såsom under den tid som en underhållsinsats tar,
    upprätta kommunikation mellan separata system endast via tillförlitliga kanaler som är isolerade med användning av logisk, kryptografisk eller fysisk separation från andra kommunikationskanaler och tillhandahålla säkrad identifiering av deras ändpunkter och skydd för kanaldata från ändring eller avslöjande,
    anta en genomförandeplan för en fullständig övergång till den senaste generationens kommunikationsprotokoll i nätverksskiktet på ett sätt som är säkert och ändamålsenligt och sker gradvis samt fastställa åtgärder för att påskynda en sådan övergång,
    anta en genomförandeplan för införande av internationellt överenskomna och interoperabla moderna standarder för e-postkommunikation för att säkra e-postkommunikationen i syfte att begränsa sårbarheter kopplade till e-postrelaterade hot och fastställa åtgärder för att påskynda ett sådant införande,
    tillämpa bästa praxis för DNS-säkerhet, dirigeringssäkerhet och dirigeringshygien för trafik från eller till nätverket.
  3. De berörda entiteterna ska se över och, när så är lämpligt, uppdatera dessa åtgärder med planerade intervall och när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar.
8. 6.8. Nätverkssegmentering
  1. De berörda entiteterna ska segmentera system i nätverk eller zoner i enlighet med resultaten från den riskbedömning som avses i punkt 2.1. De ska segmentera sina system och nätverk från tredje parters system och nätverk.
  2. För detta ändamål ska de berörda entiteterna
    beakta det funktionella, logiska och fysiska förhållandet, inklusive lokalisering, mellan tillförlitliga system och tjänster,
    bevilja åtkomst till ett nätverk eller en zon baserat på en bedömning av dess säkerhetskrav,
    förvara system som är kritiska för den berörda entitetens drift eller säkerhet i säkrade zoner,
    införa en demilitariserad zon inom sina kommunikationsnät för att säkerställa säker kommunikation från eller till sina nätverk,
    begränsa åtkomst och kommunikation mellan och inom zoner till vad som är nödvändigt för de berörda entiteternas drift eller för säkerheten,
    separera det särskilda nätverket för administration av nätverks- och informationssystem från de berörda entiteternas nätverk för drift,
    segregera kanalerna för nätverksadministration från annan nätverkstrafik,
    separera produktionssystemen för den berörda entitetens tjänster från system som används för utveckling och testning, inklusive säkerhetskopior.
  3. De berörda entiteterna ska se över och, när så är lämpligt, uppdatera nätverkssegmenteringen med planerade intervall och när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar.
9. 6.9. Skydd mot sabotageprogram och otillåten programvara
  1. De berörda entiteterna ska skydda sina nätverks- och informationssystem mot sabotageprogram och otillåten programvara.
  2. För detta ändamål ska de berörda entiteterna i synnerhet vidta åtgärder för upptäckt eller förhindrande av användning av sabotageprogram eller otillåten programvara. De berörda entiteterna ska, när så är lämpligt, säkerställa att deras nätverks- och informationssystem är utrustade med programvara för upptäckt och åtgärdande, som regelbundet uppdateras i enlighet med den riskbedömning som utförts i enlighet med punkt 2.1 och avtalen med leverantörerna.
10. 6.10. Sårbarhetshantering och sårbarhetsinformation
  1. De berörda entiteterna ska inhämta information om tekniska sårbarheter i deras nätverks- och informationssystem, bedöma sin exponering för sårbarheter och vidta ändamålsenliga åtgärder för att hantera sårbarheterna.
  2. Vid tillämpning av punkt 6.10.1 ska de berörda entiteterna göra följande:
    Övervaka information om sårbarheter via lämpliga kanaler, såsom meddelanden från CSIRT-enheter eller behöriga myndigheter eller information som tillhandahålls av leverantörer eller tjänsteleverantörer.
    När så är lämpligt, genomföra sårbarhetsskanningar och registrera resultaten av skanningarna, med planerade intervall.
    Utan onödigt dröjsmål åtgärda sårbarheter som av de berörda entiteterna identifierats som kritiska för deras verksamhet.
    Säkerställa att deras sårbarhetshantering är förenlig med deras förfaranden för förändringshantering, hantering av programfix, riskhantering och incidenthantering.
    Fastställa ett förfarande för information om sårbarheter i enlighet med den tillämpliga nationella policyn för samordnad information om sårbarheter.
  3. När det är motiverat på grund av sårbarhetens potentiella konsekvenser ska de berörda entiteterna upprätta och genomföra en plan för att begränsa sårbarheten. I andra fall ska de berörda entiteterna dokumentera och motivera varför sårbarheten inte behöver åtgärdas.
  4. De berörda entiteterna ska med planerade intervall se över och, när så är lämpligt, uppdatera de kanaler som de använder för övervakning av sårbarhetsinformation.
7. Strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärder för cybersäkerhet (artikel 21.2 f i direktiv (EU) 2022/2555)
1. Vid tillämpning av artikel 21.2 f i direktiv (EU) 2022/2555) ska de berörda entiteterna fastställa, införa och tillämpa en strategi och förfaranden för att bedöma om de riskhanteringsåtgärder för cybersäkerhet som vidtagits av den berörda entiteten genomförs och upprätthålls på ett effektivt sätt.
2. De strategier och förfaranden som avses i punkt 7.1 ska beakta resultaten av riskbedömningen enligt punkt 2.1 och betydande incidenter i det förflutna. De berörda entiteterna ska fastställa
  vilka riskhanteringsåtgärder för cybersäkerhet som ska övervakas och mätas, inklusive processer och kontroller,
  metoderna för övervakning, mätning, analys och utvärdering, såsom tillämpligt, för att säkerställa giltiga resultat,
  när övervakning och mätning ska utföras,
  vem som har ansvaret för övervakning och mätning av effektiviteten i riskhanteringsåtgärderna för cybersäkerhet,
  när resultaten från övervakning och mätning ska analyseras och utvärderas,
  vem som ska analysera och utvärdera dessa resultat.
3. De berörda entiteterna ska se över och, när så är lämpligt, uppdatera strategierna och förfarandena med planerade intervall och när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar.
8. Grundläggande praxis för cyberhygien och utbildning i cybersäkerhet (artikel 21.2 g i direktiv (EU) 2022/2555)
1. 8.1. Medvetandehöjande och grundläggande praxis för cyberhygien
  1. Vid tillämpning av artikel 21.2 g i direktiv (EU) 2022/2555 ska de berörda entiteterna säkerställa att deras anställda, inbegripet personer i ledningsorganen, och direkta leverantörer och tjänsteleverantörer är medvetna om riskerna, har kunskap om betydelsen av cybersäkerhet och tillämpar praxis för cyberhygien.
  2. Vid tillämpning av punkt 8.1.1 ska de berörda entiteterna erbjuda sina anställda, inbegripet personer i ledningsorganen, samt direkta leverantörer och tjänsteleverantörer när så är lämpligt i enlighet med punkt 5.1.4, ett program för att öka medvetenheten som ska
    schemaläggas över tid, så att aktiviteterna upprepas och täcker nya anställda,
    fastställas i enlighet med strategin för nätverks- och informationssäkerhet, ämnesspecifika strategier och relevanta förfaranden för nätverks- och informationssäkerhet,
    omfatta relevanta cyberhot, de riskhanteringsåtgärder för cybersäkerhet som införts, kontaktpunkter och resurser för ytterligare information och råd om cybersäkerhetsfrågor samt cyberhygienpraxis för användare.
  3. Programmet för att öka medvetenheten ska, när så är lämpligt, testas med avseende på effektivitet. Programmet för att öka medvetenheten ska uppdateras och erbjudas med planerade intervall med beaktande av ändringar av praxis för cyberhygien och rådande hotbild och risker för de berörda entiteterna.
2. 8.2. Säkerhetsutbildning
  1. De berörda entiteterna ska identifiera anställda vars roller kräver säkerhetsrelevanta färdigheter och expertkunskaper och säkerställa att de regelbundet utbildas om säkerhet i nätverks- och informationssystem.
  2. De berörda entiteterna ska fastställa, införa och tillämpa ett utbildningsprogram som är i linje med strategin för nätverks- och informationssäkerhet, ämnesspecifika strategier och andra relevanta förfaranden för nätverks- och informationssäkerhet som fastställer utbildningsbehoven för vissa roller och befattningar baserat på kriterier.
  3. Den utbildning som avses i punkt 8.2.1 ska vara relevant för den anställdes arbetsuppgifter, och utbildningens effektivitet ska bedömas. Utbildningen ska ta hänsyn till befintliga säkerhetsåtgärder och omfatta följande:
    Anvisningar för säker konfiguration och drift av nätverks- och informationssystem, inbegripet mobil utrustning.
    Information om kända cyberhot.
    Utbildning om agerande vid säkerhetsrelevanta händelser.
  4. De berörda entiteterna ska utbilda personal som övergår till nya befattningar och roller som kräver säkerhetsrelevanta färdigheter och expertkunskaper.
  5. Programmet ska regelbundet uppdateras och genomföras med beaktande av tillämpliga strategier och regler, fördelningen av roller, ansvarsområden samt kända cyberhot och teknisk utveckling.
9. Kryptografi (artikel 21.2 h i direktiv (EU) 2022/2555)
1. Vid tillämpning av artikel 21.2 h i direktiv (EU) 2022/2555 ska de berörda entiteterna fastställa, införa och tillämpa en strategi och förfaranden för kryptografi, för att säkerställa en ändamålsenlig och effektiv användning av kryptografi för att skydda konfidentialiteten, autenticiteten och integriteten för data i enlighet med de berörda entiteternas klassificering av tillgångar och resultaten av den riskbedömning som utförts i enlighet med punkt 2.1.
2. Den strategi och de förfaranden som avses i punkt 9.1 ska fastställa följande:
  I enlighet med de berörda entiteternas klassificering av tillgångar – typ, styrka och kvalitet när det gäller de kryptografiska åtgärder som krävs för att skydda de berörda entiteternas tillgångar, inklusive data i vila och data vid transitering.
  Baserat på led a, de protokoll eller protokollfamiljer som ska antas, liksom kryptografiska algoritmer, krypteringsstyrka, kryptografiska lösningar och användningspraxis som ska godkännas och krävas för användning i entiteten, med kryptoföljsamhet när så är lämpligt.
  De berörda entiteternas nyckelhantering, inbegripet, när så är lämpligt, metoder för följande:
  Generering av olika nycklar för kryptografiska system och applikationer.
  Utfärdande och erhållande av certifikat för öppen nyckel.
  Distribution av nycklar till avsedda entiteter, inklusive hur nycklarna ska aktiveras när de mottagits.
  Lagring av nycklar, inklusive hur behöriga användare får tillgång till nycklar.
  Ändring eller uppdatering av nycklar, inklusive regler för när och hur nycklar ska ändras.
  Hantering av nycklar som komprometterats.
  Upphävande av nycklar, inklusive hur man drar in eller avaktiverar nycklar.
  Återställande av nycklar som förlorats eller korrumperats.
  Säkerhetskopiering eller arkivering av nycklar.
  Förstörelse av nycklar.
  Loggning och revision av aktiviteter förbundna med nyckelhantering.
  Fastställande av aktiverings- och avaktiveringsdatum för nycklar för att säkerställa att nycklarna endast kan användas under den angivna tidsperioden i enlighet med organisationens regler om nyckelhantering.
3. De berörda entiteterna ska se över och, när så är lämpligt, uppdatera sina strategier och förfaranden med planerade intervall, med beaktande av den senaste tekniken när det gäller kryptografi.
10. Personalsäkerhet (artikel 21.2 i i direktiv (EU) 2022/2555)
1. 10.1. Personalsäkerhet
  1. Vid tillämpning av artikel 21.2 i i direktiv (EU) 2022/2555 ska de berörda entiteterna säkerställa att deras anställda och direkta leverantörer och tjänsteleverantörer, om tillämpligt, förstår och åtar sig att uppfylla de säkerhetsuppgifter som de ansvarar för, på ett sätt som är lämpligt för de erbjudna tjänsterna och arbetet och i enlighet med de berörda entiteternas strategi för säkerheten i nätverks- och informationssystem.
  2. De krav som avses i punkt 10.1.1 ska inbegripa följande:
    Mekanismer för att säkerställa att alla anställda, direkta leverantörer och tjänsteleverantörer, om tillämpligt, förstår och följer den standardpraxis för cyberhygien som de berörda entiteterna tillämpar i enlighet med punkt 8.1.
    Mekanismer för att säkerställa att alla användare med administrativ eller privilegierad åtkomst är medvetna om och agerar i enlighet med sina roller, ansvarsområden och befogenheter.
    Mekanismer för att säkerställa att personer i ledningsorganen förstår och agerar i enlighet med sina roller, ansvarsområden och befogenheter när det gäller säkerhet i nätverks- och informationssystem.
    Mekanismer för att anställa personal med rätt kvalifikationer för sina respektive roller, såsom referenskontroller, prövningsförfaranden, validering av certifieringar eller skriftliga prov.
  3. De berörda entiteterna ska se över tilldelningen av personal till de specifika roller som avses i punkt 1.2 samt sina personalresurser i detta avseende, med planerade intervall och minst en gång per år. De ska uppdatera tilldelningen vid behov.
2. 10.2. Bakgrundskontroll
  1. De berörda entiteterna ska i den mån det är genomförbart säkerställa att bakgrunden kontrolleras för deras anställda och, om tillämpligt, för direkta leverantörer och tjänsteleverantörer i enlighet med punkt 5.1.4, om detta krävs för deras roller, ansvarsområden och befogenheter.
  2. Vid tillämpning av punkt 10.2.1 ska de berörda entiteterna göra följande:
    Införa kriterier som anger vilka roller, ansvarsområden och befogenheter som endast får utövas av personer vars bakgrund har kontrollerats.
    Säkerställa att kontrollerna enligt punkt 10.2.1 av dessa personer utförs innan de börjar utöva dessa roller, ansvarsområden och befogenheter och att hänsyn därvid tas till tillämpliga lagar och andra författningar samt etik på ett sätt som står i proportion till verksamhetskraven, klassificeringen av tillgångar enligt punkt 12.1, de nätverks- och informationssystem som avses och de upplevda riskerna.
  3. De berörda entiteterna ska, när så är lämpligt, se över strategin med planerade intervall och uppdatera den vid behov.
3. 10.3. Förfaranden vid avslutad eller ändrad anställning
  1. De berörda entiteterna ska säkerställa att ansvarsområden och uppgifter som rör säkerheten i nätverks- och informationssystem och som förblir giltiga efter avslutad eller ändrad anställning för deras anställda definieras i avtal och att efterlevnaden kontrolleras.
  2. Vid tillämpning av punkt 10.3.1 ska de berörda entiteterna i personens arbets- och anställningsvillkor inkludera ett avtal eller en överenskommelse om vilka ansvarsområden och uppgifter som fortsätter att vara giltiga efter det att anställningen eller avtalet avslutats, t.ex. konfidentialitetsklausuler.
4. 10.4. Disciplinära förfaranden
  1. De berörda entiteterna ska fastställa, kommunicera och upprätthålla ett disciplinärt förfarande för hantering av överträdelser av strategin för säkerhet i nätverks- och informationssystem. Förfarandet ska beakta relevanta rättsliga och lagstadgade krav, avtalsbestämmelser och verksamhetskrav.
  2. De berörda entiteterna ska se över och, när så är lämpligt, uppdatera det disciplinära förfarandet med planerade intervall och när det är nödvändigt till följd av rättsliga ändringar eller betydande förändringar av driften eller riskerna.
11. Åtkomstkontroll (artikel 21.2 i och j i direktiv (EU) 2022/2555)
1. 11.1. Strategi för åtkomstkontroll
  1. Vid tillämpning av artikel 21.2 i i direktiv (EU) 2022/2555 ska de berörda entiteterna fastställa, dokumentera och genomföra strategier för fysisk och logisk åtkomstkontroll av åtkomsten till deras nätverks- och informationssystem, baserat på verksamhetskrav och nätverks- och informationssystemets säkerhetskrav.
  2. De strategier som avses i punkt 11.1.1 ska
    behandla åtkomsten för personer, vilket inbegriper personal, besökare och externa entiteter såsom leverantörer och tjänsteleverantörer,
    behandla åtkomsten för nätverks- och informationssystem,
    säkerställa att åtkomst endast beviljas användare som har autentiserats på lämpligt sätt.
  3. De berörda entiteterna ska se över och, när så är lämpligt, uppdatera dessa strategier med planerade intervall och när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar.
2. 11.2. Hantering av åtkomsträttigheter
  1. De berörda entiteterna ska tillhandahålla, ändra, upphäva och dokumentera åtkomsträttigheter till nätverks- och informationssystem i enlighet med den strategi för åtkomstkontroll som avses i punkt 11.1.
  2. De berörda entiteterna ska
    tilldela och återkalla åtkomsträttigheter baserat på principerna om behovsenlig behörighet, begränsad behörighet och åtskillnad mellan arbetsuppgifter,
    säkerställa att åtkomsträttigheterna ändras vid avslutad eller ändrad anställning,
    säkerställa att åtkomsten till nätverks- och informationssystem auktoriseras av rätt personer,
    säkerställa att åtkomsträttigheterna på lämpligt sätt beaktar åtkomsten för tredje part, t.ex. besökare, leverantörer och tjänsteleverantörer, i synnerhet genom att begränsa åtkomsträttigheternas omfattning och varaktighet,
    föra ett register över beviljade åtkomsträttigheter,
    använda loggning för hanteringen av åtkomsträttigheter.
  3. De berörda entiteterna ska se över åtkomsträttigheterna med planerade intervall och ändra dem baserat på organisatoriska förändringar. De berörda entiteterna ska dokumentera resultaten av översynen, inbegripet de nödvändiga ändringarna av åtkomsträttigheter.
3. 11.3. Privilegierade konton och systemadministrationskonton
  1. De berörda entiteterna ska upprätthålla strategier för hanteringen av konton med särskild behörighet och systemadministrationskonton som ett led i den strategi för åtkomstkontroll som avses i punkt 11.1.
  2. De strategier som avses i punkt 11.3.1 ska
    fastställa stark identifiering, autentisering som t.ex. flerfaktorsautentisering och auktorisationsförfaranden för konton med särskild behörighet och systemadministrationskonton,
    skapa särskilda konton som uteslutande används för systemadministration, såsom installation, konfiguration, hantering eller underhåll,
    individualisera och begränsa systemadministrationsprivilegierna i största möjliga utsträckning,
    föreskriva att systemadministrationskonton endast får användas för anslutning till system för systemadministration.
  3. De berörda entiteterna ska se över de privilegierade kontonas och systemadministrationskontonas åtkomsträttigheter med planerade intervall och ändra dem i enlighet med organisatoriska förändringar och ska dokumentera resultaten av översynen, inklusive de nödvändiga ändringarna av åtkomsträttigheter.
4. 11.4. Systemadministration
  1. De berörda entiteterna ska begränsa och kontrollera användningen av system för systemadministration i enlighet med den strategi för åtkomstkontroll som avses i punkt 11.1.
  2. För detta ändamål ska de berörda entiteterna
    endast använda system för systemadministration för systemadministrativa ändamål och inte för andra åtgärder,
    se till att sådana system är logiskt separerade från tillämpningsprogram som inte används för systemadministrativa ändamål,
    skydda åtkomsten till system för systemadministration genom autentisering och kryptering.
5. 11.5. Identifiering
  1. De berörda entiteterna ska hantera hela identitetslivscykeln för nätverks- och informationssystem och användarna av dessa.
  2. För detta ändamål ska de berörda entiteterna
    fastställa unika identiteter för nätverks- och informationssystem och användarna av dessa,
    koppla användaridentiteten till en enda person,
    säkerställa tillsyn över identiteterna för nätverks- och, informationssystem,
    använda loggning för identitetshanteringen.
  3. De berörda entiteterna får endast tillåta identiteter som tilldelats flera personer, såsom delade identiteter, om dessa är nödvändiga av verksamhetsskäl eller driftsskäl och är föremål för ett förfarande för uttryckligt godkännande och dokumentation. De berörda entiteterna ska beakta identiteter som tilldelats flera personer i den riskhanteringsram för cybersäkerhet som avses i punkt 2.1.
  4. De berörda entiteterna ska regelbundet se över identiteterna för nätverks- och informationssystem och användarna av dessa och utan dröjsmål avaktivera dem om de inte längre behövs.
6. 11.6. Autentisering
  1. De berörda entiteterna ska genomföra säkra autentiseringsförfaranden och -tekniker som baseras på åtkomstbegränsningar och strategin för åtkomstkontroll.
  2. För detta ändamål ska de berörda entiteterna
    säkerställa att autentiseringsstyrkan är anpassad till klassificeringen av den tillgång som åtkomsten avser,
    kontrollera tilldelningen av hemlig autentiseringsinformation till användare och ledning genom en process som säkerställer informationens konfidentialitet, vilket innefattar råd till personalen om lämplig hantering av autentiseringsinformation,
    kräva att autentiseringsuppgifterna ändras initialt, med på förhand fastställda intervall och vid misstanke om att uppgifterna har komprometterats,
    kräva att autentiseringsuppgifterna återställs och användare blockeras efter ett på förhand fastställt antal misslyckade inloggningsförsök,
    avsluta inaktiva sessioner efter en på förhand fastställd period av inaktivitet, och
    kräva separata uppgifter för åtkomst till privilegierade konton och administrativa konton.
  3. De berörda entiteterna ska i den mån det är genomförbart använda de senaste autentiseringsmetoderna, i enlighet med de relaterade bedömda riskerna och klassificeringen av den tillgång som åtkomsten avser samt unik autentiseringsinformation.
  4. De berörda entiteterna ska se över autentiseringsförfarandena och autentiseringsteknikerna med planerade intervall.
7. 11.7. Flerfaktorsautentisering
  1. De berörda entiteterna ska säkerställa att användarna autentiseras med hjälp av flera autentiseringsfaktorer eller kontinuerliga autentiseringsmekanismer för åtkomst till de berörda entiteternas nätverks- och informationssystem, när så är lämpligt i enlighet med klassificeringen av den tillgång som åtkomsten avser.
  2. De berörda entiteterna ska säkerställa att autentiseringsstyrkan är anpassad till klassificeringen av den tillgång som åtkomsten avser.
12. Tillgångsförvaltning (artikel 21.2 i i direktiv (EU) 2022/2555)
1. 12.1. Klassificering av tillgångar
  1. Vid tillämpning av artikel 21.2 i i direktiv (EU) 2022/2555 ska de berörda entiteterna fastställa klassificeringsnivåerna för alla tillgångar, inbegripet information, som omfattas av deras nätverks- och informationssystem för den skyddsnivå som krävs.
  2. Vid tillämpning av punkt 12.1.1 ska de berörda entiteterna göra följande:
    Fastställa ett system med klassificeringsnivåer för tillgångar.
    Tilldela alla tillgångar en klassificeringsnivå baserat på krav avseende konfidentialitet, riktighet, autenticitet och tillgänglighet, för att ange vilket skydd som krävs mot bakgrund av tillgångarnas känslighet, kritikalitet, risk och affärsvärde.
    Anpassa tillgänglighetskraven för tillgångarna till de leverans- och återställningsmål som fastställs i deras driftskontinuitets- och katastrofplaner.
  3. De berörda entiteterna ska genomföra regelbundna översyner av klassificeringsnivåerna för tillgångar och uppdatera dem när så är lämpligt.
2. 12.2. Hantering av tillgångar
  1. De berörda entiteterna ska fastställa, införa och tillämpa en strategi för korrekt hantering av tillgångar, inbegripet information, i enlighet med deras strategi för säkerhet i nätverks- och informationssystem och ska kommunicera denna strategi till alla som använder eller hanterar tillgångar.
  2. Strategin ska
    omfatta hela livscykeln för tillgångarna, inklusive förvärv, användning, lagring, transport och bortskaffande,
    omfatta regler för säker användning, säker lagring, säker transport och oåterkallelig radering och förstöring av tillgångarna,
    föreskriva att överföringen ska ske på ett säkert sätt, i enlighet med den typ av tillgång som ska överföras.
  3. De berörda entiteterna ska se över och, när så är lämpligt, uppdatera strategin med planerade intervall och när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar.
3. 12.3. Strategi för flyttbara medier
  1. De berörda entiteterna ska fastställa, införa och tillämpa en strategi för hantering av flyttbara lagringsmedier och kommunicera denna till sina anställda och tredje parter som hanterar flyttbara lagringsmedier i de berörda entiteternas lokaler eller på andra platser där de flyttbara medierna är anslutna till de berörda entiteternas nätverks- och informationssystem.
  2. Strategin ska
    omfatta ett tekniskt förbud mot anslutning av flyttbara medier om inte det finns organisatoriska skäl till att de används,
    föreskriva att självexekvering ska avaktiveras från sådana medier och att skanning efter skadlig kod ska ske innan de används på de berörda entiteternas system,
    omfatta åtgärder för kontroll och skydd av bärbara lagringsenheter som innehåller data när de är i transitering och när de lagras,
    när så är lämpligt, omfatta åtgärder för användning av kryptografisk teknik för att skydda data på flyttbara lagringsmedier.
  3. De berörda entiteterna ska se över och, när så är lämpligt, uppdatera strategin med planerade intervall och när betydande incidenter eller betydande förändringar av driften eller riskerna inträffar.
4. 12.4. Inventering av tillgångar
  1. De berörda entiteterna ska utveckla och upprätthålla en fullständig, tillförlitlig, uppdaterad och konsekvent inventering av sina tillgångar. De ska registrera ändringar av poster i inventeringen på ett spårbart sätt.
  2. Detaljnivån för inventeringen av tillgångar bör vara anpassad till de berörda entiteternas behov. Inventeringen ska omfatta följande:
    En förteckning över drift och tjänster och en beskrivning av dessa.
    En förteckning över nätverks- och informationssystem och andra tillhörande tillgångar som stöder de berörda entiteternas drift och tjänster.
  3. De berörda entiteterna ska regelbundet se över och uppdatera inventeringen och sina tillgångar och dokumentera ändringshistoriken.
5. 12.5. Deponering, återlämning eller radering av tillgångar när anställning upphör
  1. De berörda entiteterna ska fastställa, införa och tillämpa förfaranden som säkerställer att deras tillgångar som förvaras hos personal deponeras, återlämnas eller raderas när anställningen upphör och ska dokumentera deponeringen, återlämnandet och raderingen av dessa tillgångar. När det inte är möjligt med deponering, återlämnande eller radering av tillgångar ska de berörda entiteterna säkerställa att tillgångarna inte längre kan få åtkomst till de berörda entiteternas nätverks- och informationssystem i enlighet med punkt 12.2.2.
13. Miljömässig och fysisk säkerhet (artikel 21.2 c, e och i i direktiv (EU) 2022/2555)
1. 13.1. Försörjningstjänster
  1. Vid tillämpning av artikel 21.2 c i direktiv (EU) 2022/2555 ska de berörda entiteterna förhindra förlust, skada eller kompromettering av nätverks- och informationssystem eller avbrott i driften av dem på grund av fel eller avbrott i försörjningstjänster.
  2. För detta ändamål ska de berörda entiteterna när så är lämpligt
    skydda anläggningar från strömavbrott och andra störningar som orsakas av avbrott i försörjningstjänster såsom el, telekommunikation, vattenförsörjning, gas, avlopp, ventilation och luftkonditionering,
    överväga användning av redundans i försörjningstjänster,
    skydda försörjningstjänster för el och telekommunikation som transporterar data eller används för nätverks- och informationssystem mot avläsning och skada,
    övervaka de försörjningstjänster som avses i led c och till behörig intern eller extern personal rapportera händelser utanför de lägsta och högsta kontrolltrösklar som avses i punkt 13.2.2 b och som påverkar försörjningstjänsterna,
    ingå avtal om nödförsörjning med motsvarande tjänster när det gäller t.ex. bränsle för nödkraftförsörjning,
    säkerställa kontinuerlig effektivitet och övervaka, underhålla och testa den försörjning som nätverks- och informationssystemen behöver för driften av de tjänster som erbjuds – i synnerhet el, reglering av temperatur och luftfuktighet, telekommunikation och internetanslutning.
  3. De berörda entiteterna ska testa, se över och, när så är lämpligt, uppdatera skyddsåtgärderna regelbundet eller efter betydande incidenter eller betydande förändringar av driften eller riskerna.
2. 13.2. Skydd mot fysiska och miljömässiga hot
  1. Vid tillämpning av artikel 21.2 e i direktiv (EU) 2022/2555 ska de berörda entiteterna förhindra eller begränsa konsekvenserna av händelser som härrör från fysiska och miljömässiga hot, såsom naturkatastrofer och andra avsiktliga eller oavsiktliga hot, baserat på resultaten av den riskbedömning som utförts i enlighet med punkt 2.1.
  2. För detta ändamål ska de berörda entiteterna när så är lämpligt
    utforma och genomföra skyddsåtgärder mot de fysiska och miljömässiga hoten,
    fastställa lägsta och högsta kontrolltrösklar för fysiska och miljömässiga hot,
    övervaka miljöparametrarna och till behörig intern eller extern personal rapportera händelser utanför de lägsta och högsta kontrolltrösklar som avses i led b.
  3. De berörda entiteterna ska testa, se över och, när så är lämpligt, uppdatera skyddsåtgärderna mot fysiska och miljömässiga hot regelbundet eller efter betydande incidenter eller betydande förändringar av driften eller riskerna.
3. 13.3. Perimeterkontroll och kontroll av fysiskt tillträde
  1. Vid tillämpning av artikel 21.2 i i direktiv (EU) 2022/2555 ska de berörda entiteterna förhindra och övervaka obehörig fysiskt tillträde, skada och interferens i deras nätverks- och informationssystem.
  2. För detta ändamål ska de berörda entiteterna göra följande:
    På grundval av den riskbedömning som utförts i enlighet med punkt 2.1 fastställa och använda säkerhetsperimetrar för att skydda områden där nätverks- och informationssystemen och andra tillhörande tillgångar är lokaliserade.
    Skydda de områden som avses i led a genom lämpliga inträdeskontroller och tillträdespunkter.
    Utforma och genomföra fysisk säkerhet för kontor, rum och anläggningar.
    Kontinuerligt övervaka sina lokaler för obehörig fysisk åtkomst.
  3. De berörda entiteterna ska testa, se över och, när så är lämpligt, uppdatera åtgärderna för kontroll av fysiskt tillträde regelbundet eller efter betydande incidenter eller betydande ändringar av driften eller riskerna.

Relevant recitals

Skäl 7 Guidance, tools and templates

Enisa eller de nationella behöriga myndigheterna enligt direktiv (EU) 2022/2555 kan ge vägledning för att stödja berörda entiteter vid identifieringen, analysen och bedömningen av risker i samband med genomförandet av de tekniska och metodologiska specifikationer som rör fastställandet och upprätthållandet av en ändamålsenlig riskhanteringsram. Denna vägledning kan exempelvis inbegripa nationella och sektorsvisa riskbedömningar samt riskbedömningar som är specifika för en viss typ av entitet. Vägledningen kan också inbegripa verktyg eller mallar för utvecklingen av riskhanteringsramar på de berörda entiteternas nivå. De berörda entiteterna kan också stödja sig på ramar, vägledningar eller andra mekanismer som föreskrivs i medlemsstaternas nationella lagstiftning och på europeiska och internationella standarder för att visa att de efterlever denna förordning. Enisa eller de nationella behöriga myndigheterna enligt direktiv (EU) 2022/2555 kan också stödja berörda entiteter vid identifieringen och genomförandet av ändamålsenliga lösningar för att hantera risker som identifieras i sådana riskbedömningar. Sådan vägledning bör inte påverka de berörda entiteternas skyldighet att identifiera och dokumentera riskerna för säkerheten i nätverks- och informationssystem eller de berörda entiteternas skyldighet att genomföra de tekniska och metodologiska specifikationer för riskhanteringsåtgärder för cybersäkerhet som fastställs i bilagan till denna förordning, i enlighet med sina behov och resurser.

Skäl 8 Multi-stakeholder forum to identify best practices

Nätverkssäkerhetsåtgärder som avser i) övergång till den senaste generationen kommunikationsprotokoll i nätverksskiktet, ii) ibruktagande av internationellt överenskomna och interoperabla moderna standarder för e-postkommunikation, och iii) användning av bästa praxis för DNS-säkerhet samt för dirigeringssäkerhet och dirigeringshygien medför särskilda utmaningar när det gäller att identifiera bästa tillgängliga standarder och ibruktagningsmetoder. För att så snart som möjligt uppnå en hög gemensam nivå av cybersäkerhet i alla nätverk bör kommissionen, med stöd av Europeiska unionens cybersäkerhetsbyrå (Enisa) och i samarbete med behöriga myndigheter, näringslivet – däribland telekommunikationsbranschen – och andra berörda parter, stödja utvecklingen av ett flerpartsforum med uppgift att identifiera dessa bästa tillgängliga standarder och ibruktagningsmetoder. Denna flerpartsvägledning bör inte påverka de berörda entiteternas skyldighet att uppfylla de tekniska och metodologiska specifikationerna för riskhanteringsåtgärder för cybersäkerhet som fastställs i bilagan till denna förordning.

Skäl 9 Security policies

I enlighet med artikel 21.2 a i direktiv (EU) 2022/2555 bör väsentliga och viktiga entiteter utöver sina strategier för riskanalys ha strategier för informationssystemens säkerhet, För detta ändamål bör de berörda entiteterna fastställa en strategi för säkerhet i nätverks- och informationssystem samt ämnesspecifika strategier, såsom strategier för åtkomstkontroll, som bör vara förenliga med strategin för säkerhet i nätverks- och informationssystem. Strategin för säkerhet i nätverks- och informationssystem bör vara det dokument på högsta nivå som fastställer de berörda entiteternas allmänna sätt att hantera sin säkerhet i nätverks- och informationssystem, och den bör godkännas av de berörda entiteternas ledningsorgan. De ämnesspecifika strategierna bör godkännas på lämplig ledningsnivå. Strategierna bör omfatta indikatorer och åtgärder för övervakning av genomförandet och den aktuella mognadsnivån när det gäller nätverks- och informationssäkerhet hos de berörda entiteterna, i synnerhet för att underlätta ledningsorganens tillsyn över genomförandet av riskhanteringsåtgärderna för cybersäkerhet.

Skäl 10 Definition of 'user'

När det gäller de tekniska och metodologiska specifikationer som fastställs i bilagan till denna förordning bör begreppet användare omfatta alla juridiska och fysiska personer med åtkomst till entitetens nätverks- och informationssystem.

Skäl 11 Risk management framework

För att identifiera och åtgärda risker för säkerheten i nätverks- och informationssystem bör de berörda entiteterna fastställa och upprätthålla en ändamålsenlig riskhanteringsram. Som ett led i riskhanteringsramen bör de berörda entiteterna fastställa, genomföra och övervaka en riskhanteringsplan. De berörda entiteterna får använda riskhanteringsplanen för att identifiera och prioritera riskhanteringsalternativ och riskhanteringsåtgärder. Alternativen för riskhantering handlar i synnerhet om att undvika, minska eller, i exceptionella fall, godta en risk. Valet av riskhanteringsalternativ bör beakta resultaten från den riskbedömning som utförts av den berörda entiteten och bör vara i enlighet med den berörda entitetens strategi för säkerhet i nätverks- och informationssystem. För att ge verkan åt de valda riskhanteringsalternativen bör de berörda entiteterna vidta lämpliga riskhanteringsåtgärder.

Skäl 12 Network and information system monitoring

För att upptäcka händelser, tillbud och incidenter bör de berörda entiteterna övervaka sina nätverks- och informationssystem och vidta åtgärder för att utvärdera händelser, tillbud och incidenter. Dessa åtgärder bör kunna möjliggöra snabb upptäckt av nätbaserade attacker baserat på avvikande mönster för ingående eller utgående trafik och överbelastningsattacker.

Skäl 13 Business impact analysis

Om de berörda entiteterna gör en konsekvensanalys uppmanas de utföra en omfattande analys för att fastställa, såsom lämpligt, maximal acceptabel tid för driftstopp samt mål i fråga om återställningstid, återställningspunkt och tjänsteleverans.

Skäl 14 Supply chain security policy

För att minska riskerna kopplade till en berörd entitets leveranskedja och dess förhållande till sina leverantörer bör de berörda entiteterna fastställa en säkerhetsstrategi för leveranskedjan som styr deras förbindelser med sina direkta leverantörer och tjänsteleverantörer. Dessa entiteter bör i avtalen med sina direkta leverantörer eller tjänsteleverantörer specificera adekvata säkerhetsklausuler, t.ex. genom att när så är lämpligt kräva riskhanteringsåtgärder för cybersäkerhet i enlighet med artikel 21.2 i direktiv (EU) 2022/2555 eller andra liknande rättsliga krav.

Skäl 15 Security test policy

De berörda entiteterna bör regelbundet utföra säkerhetstester baserade på en särskild strategi och förfaranden för att kontrollera om riskhanteringsåtgärderna för cybersäkerhet genomförs och fungerar korrekt. Säkerhetstester får utföras på enskilda nätverks- och informationssystem eller på den berörda entiteten som helhet och får innefatta automatiserade eller manuella tester, penetrationstester, sårbarhetsskanning, statiska och dynamiska applikationssäkerhetstester, konfigurationstester eller säkerhetsrevision. De berörda entiteterna får utföra säkerhetstester på sina nätverks- och informationssystem i samband med installationen, efter uppgraderingar eller modifieringar av infrastruktur eller applikationer som de anser vara betydande eller efter underhåll. Iakttagelserna från säkerhetstesterna bör ligga till grund för de berörda entiteternas strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärder för cybersäkerhet, tillsammans med oberoende granskningar av deras strategier för nätverks- och informationssäkerhet.

Skäl 16 Security patch management procedures

För att undvika betydande störningar och skada till följd av utnyttjandet av oåtgärdade sårbarheter i nätverks- och informationssystem bör de berörda entiteterna fastställa och tillämpa ändamålsenliga förfaranden för programfixhantering som är anpassade till de berörda entiteternas förändringshanterings-, sårbarhetshanterings- och riskhanteringsförfaranden och andra relevanta förfaranden. Berörda entiteter bör vidta åtgärder som står i proportion till deras resurser för att säkerställa att programfixar inte inför ytterligare sårbarheter eller instabiliteter. Vid planerad otillgänglighet till tjänsten till följd av tillämpningen av programfixar uppmuntras de berörda entiteterna att vederbörligen informera kunderna i förväg.

Skäl 17 Certified ICT products and services

De berörda entiteterna bör hantera risker till följd av förvärv av IKT-produkter eller IKT-tjänster från leverantörer eller tjänsteleverantörer och bör se till att de får garantier för att de IKT-produkter eller IKT-tjänster som förvärvas uppnår en viss cybersäkerhetsskyddsnivå, t.ex. genom europeiska cybersäkerhetscertifikat och EU-försäkran om överensstämmelse för IKT-produkter eller IKT-tjänster som utfärdats inom ramen för ett europeiskt certifieringssystem för cybersäkerhet som antagits i enlighet med artikel 49 i Europaparlamentets och rådets förordning (EU) 2019/881(²)Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) (EUT L 151, 7.6.2019, s. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj).. Om de berörda entiteterna fastställer säkerhetskrav för de IKT-produkter som förvärvas bör de ta hänsyn till de väsentliga cybersäkerhetskrav som fastställs i Europaparlamentets och rådets förordning som fastställer övergripande cybersäkerhetskrav för produkter med digitala element.

Skäl 18 Network security solutions

För att skydda sig mot cyberhot och stödja förebyggande och begränsning av dataintrång bör de berörda entiteterna genomföra nätsäkerhetslösningar. Exempel på typiska nätsäkerhetslösningar är användning av brandväggar för att skydda de berörda entiteternas interna nätverk, säkerställande av att anslutningarna och åtkomsten begränsas till tjänster för vilka anslutningar och åtkomst är absolut nödvändiga, samt användning av virtuella privata nätverk för fjärråtkomst och tillåta att tjänsteleverantörer ansluter sig först efter en begäran om behörighet och endast för en begränsad tidsperiod, såsom under den tid som ett underhållsarbete pågår.

Skäl 19 Endpoint protection

För att skydda de berörda entiteternas nätverk och informationssystem mot sabotageprogram och otillåten programvara bör dessa entiteter införa kontroller för att förhindra eller upptäcka användning av otillåten programvara och bör, när så är lämpligt, använda programvara för upptäckt och åtgärdande. De berörda entiteterna bör också överväga att vidta åtgärder för att minimera attackytan, minska de sårbarheter som kan utnyttjas av angripare, kontrollera körandet av applikationer på slutanvändarenheter samt använda filter för e-post och webbapplikationer för att minska exponeringen för skadligt innehåll.

Skäl 20 Basic cyber hygiene and awareness training

I enlighet med artikel 21.2 g i direktiv (EU) 2022/2555 bör medlemsstaterna säkerställa att väsentliga och viktiga entiteter säkerställer grundläggande praxis för cyberhygien och cybersäkerhetsutbildning. Grundläggande praxis för cyberhygien kan inbegripa nolltillitsprinciper, programuppdateringar, enhetskonfiguration, nätverkssegmentering, identitets- och åtkomsthantering eller användarmedvetenhet, anordnande av personalutbildning och åtgärder för att öka medvetenheten om cyberhot, nätfiske eller metoder för social manipulering. Cyberhygienpraxis ingår i olika tekniska och metodologiska specifikationer för riskhanteringsåtgärder för cybersäkerhet som anges i bilagan till denna förordning. När det gäller grundläggande praxis för cyberhygien för användare bör de berörda entiteterna överväga sådan praxis som en policy för tom bildskärm och renstädat skrivbord, användning av flerfaktorsautentisering eller andra autentiseringsmetoder, säker e-postanvändning och webbsökning, skydd mot nätfiske och social manipulering samt säkra rutiner för distansarbete.

Skäl 21 Access control policy

För att förhindra obehörig åtkomst till de berörda entiteternas tillgångar bör de berörda entiteterna fastställa och genomföra en ämnesspecifik strategi för att hantera åtkomsten för personer och för nätverks- och informationssystem, t.ex. applikationer.

Skäl 22 Personnel security

För att motverka att arbetstagarna missbrukar exempelvis åtkomsträttigheter hos den berörda entiteten för skadliga ändamål bör berörda entiteter överväga ändamålsenliga åtgärder för hantering av personalsäkerhet och öka personalens medvetenhet om sådana risker. De berörda entiteterna bör inrätta, kommunicera och upprätthålla ett disciplinärt förfarande för att hantera överträdelser av den berörda entitetens säkerhetsstrategier för nätverks- och informationssystem, vilket kan vara en del av andra disciplinära förfaranden som inrättats av de berörda entiteterna. Kontroll av bakgrunden för de berörda entiteternas anställda och om tillämpligt för deras direkta leverantörer och tjänsteleverantörer bör bidra till målet om personalsäkerhet hos de berörda entiteterna och kan innefatta sådana åtgärder som kontroll av den berörda personen i belastningsregistret eller av personens tidigare yrkesutövning, såsom lämpligt med tanke på personens uppgifter hos den berörda entiteten och i enlighet med den berörda entitetens strategi för säkerhet i nätverks- och informationssystem.

Skäl 23 Multi-factor authentication

Flerfaktorsautentisering kan förbättra entiteternas cybersäkerhet och bör övervägas av entiteterna i synnerhet när användarna har åtkomst till nätverks- och informationssystem på distans eller när de har åtkomst till känslig information eller konton med särskild behörighet och systemadministrationskonton. Flerfaktorsautentisering kan kombineras med andra metoder för att kräva ytterligare faktorer under särskilda omständigheter, baserat på fördefinierade regler och mönster, såsom åtkomst från en ovanlig plats, från en ovanlig enhet eller vid en ovanlig tidpunkt.

Skäl 24 Asset management

De berörda entiteterna bör förvalta och skydda de tillgångar som är av värde för dem genom en robust tillgångshantering, som också bör ligga till grund för riskanalysen och kontinuitetshanteringen. De berörda entiteterna bör förvalta både materiella och immateriella tillgångar och bör upprätta en tillgångsinventering, fastställa en definierad klassificeringsnivå för tillgångarna, hantera och spåra tillgångarna samt vidta åtgärder för att skydda tillgångarna under hela deras livscykel.

Skäl 25 Asset classification

Förvaltningen av tillgångar bör inbegripa att tillgångarna klassificeras efter typ, känslighet, risknivå och säkerhetskrav samt att ändamålsenliga åtgärder och kontroller används för att säkerställa deras tillgänglighet, integritet, konfidentialitet och autenticitet. Genom att klassificera tillgångarna efter risknivå bör de berörda entiteterna kunna tillämpa ändamålsenliga säkerhetsåtgärder och kontroller för att skydda tillgångarna, t.ex. kryptering, åtkomstkontroll inklusive perimeterkontroll och kontroll av fysiskt och logiskt tillträde, säkerhetskopiering, loggning och övervakning, lagring och radering. När de berörda entiteterna genomför en konsekvensanalys kan de fastställa klassificeringsnivån baserat på hur en entitet påverkas av ett avbrott i tillgångarna. Alla entiteternas anställda som hanterar tillgångar bör känna till strategierna och anvisningarna för hantering av tillgångar.

Skäl 26 Granularity of asset inventory

Detaljnivån för inventeringen av tillgångar bör vara anpassad till de berörda entiteternas behov. En omfattande inventering av tillgångar kan exempelvis, för varje tillgång, inkludera åtminstone en unik identitetsbeteckning, tillgångens ägare, en beskrivning av tillgången, tillgångens lokalisering, typen av tillgång, typ och klassificering för information som behandlas i tillgången, dagen för tillgångens senaste uppdatering eller programfix, tillgångens riskbedömningsklassificering och slutet av livscykeln för tillgången. När ägaren till en tillgång identifieras bör de berörda entiteterna också identifiera den person som har ansvaret för att skydda denna tillgång.

Skäl 27 Cybersecurity governance structure

Tilldelningen och organisationen av cybersäkerhetsroller, ansvarsområden och behörigheter bör innebära att en konsekvent struktur inrättas för styrningen och genomförandet av cybersäkerhet inom de berörda entiteterna, vilket bör säkerställa effektiv kommunikation vid incidenter. När ansvaret för vissa roller fastställs och anförtros bör de berörda entiteterna överväga sådana roller som informationssäkerhetschef, informationssäkerhetsansvarig, incidenthanterare och revisor, eller motsvarande. Berörda entiteter får anförtro externa parter, såsom tredjepartsleverantörer av IKT-tjänster, roller och ansvarsområden.

Skäl 28 All-hazards approach to cybersecurity risk-management measures

I enlighet med artikel 21.2 i direktiv (EU) 2022/2555 bör riskhanteringsåtgärder för cybersäkerhet baseras på en allriskansats som syftar till att skydda nätverks- och informationssystem och dessa systems fysiska miljö mot sådana händelser som stöld, brand, översvämning, telekommunikations- eller elavbrott eller obehörig fysiskt tillträde till och skada eller störning på en väsentlig eller viktig entitets information och informationsbehandlingsresurser, som kan undergräva tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade data eller hos de tjänster som erbjuds genom eller är tillgängliga via nätverks- och informationssystem. De tekniska och metodologiska specifikationerna för riskhanteringsåtgärder för cybersäkerhet bör därför också omfatta nätverks- och informationssystemens fysiska och miljömässiga säkerhet genom att inbegripa åtgärder för att skydda sådana system från systemfel, mänskliga fel, skadliga handlingar eller naturfenomen. Andra exempel på fysiska och miljömässiga hot kan vara jordbävningar, explosioner, sabotage, insiderhot, oroligheter i samhället, toxiskt avfall och miljöutsläpp. Åtgärder för att förhindra förlust eller skador eller förhindra att nätverks- och informationssystem komprometteras eller driften avbryts på grund av fel och avbrott i försörjningstjänster bör bidra till driftskontinuiteten hos de berörda entiteterna. Skydd mot fysiska och miljömässiga hot bör också bidra till säkerheten vid underhåll av nätverks- och informationssystem i de berörda entiteterna.

Skäl 29 Physical and environmental threats

Berörda entiteter bör utforma och genomföra skyddsåtgärder mot fysiska och miljömässiga hot och fastställa de lägsta och högsta kontrolltrösklarna för fysiska och miljömässiga hot och övervaka miljöparametrar. Exempelvis bör de överväga att installera system för att i ett tidigt stadium upptäcka översvämningar i områden där nätverks- och informationssystem är lokaliserade. När det gäller brandrisk bör de berörda entiteterna överväga att inrätta en separat brandcell för datacentralen och att använda brandsäkra material, använda sensorer för att övervaka temperatur och fuktighet, ansluta byggnaden till ett brandlarmsystem som automatiskt underrättar den lokala brandkåren samt ha system för tidig upptäckt och släckning av bränder. De berörda entiteterna bör också genomföra regelbundna brandövningar och brandinspektioner. För att säkerställa elförsörjningen bör de berörda entiteterna överväga överspänningsskydd och motsvarande nödkraftförsörjning, i enlighet med relevanta standarder. Eftersom överhettning utgör en risk för tillgången till nätverks- och informationssystem kan berörda entiteter, i synnerhet leverantörer av datacentraltjänster, överväga adekvata, kontinuerliga och redundanta luftkonditioneringssystem.

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.

1. Strategi för säkerhet i nätverks- och informationssystem (artikel 21.2 a i direktiv (EU) 2022/2555)

1.1. Strategi för säkerhet i nätverks- och informationssystem

1.2. Roller, ansvarsområden och befogenheter

2. Strategi för riskhantering (artikel 21.2 a i direktiv (EU) 2022/2555)

2.1. Riskhanteringsram

2.2. Övervakning av efterlevnad

2.3. Oberoende granskning av nätverks- och informationssäkerheten

3. Incidenthantering (artikel 21.2 b i direktiv (EU) 2022/2555)

3.1. Incidenthanteringsstrategi

3.2. Övervakning och loggning

3.3. Händelserapportering

3.4. Bedömning och klassificering av händelser

3.5. Incidenthantering

3.6. Efterhandsgranskning efter incidenter

4. Driftskontinuitet och krishantering (artikel 21.2 c i direktiv (EU) 2022/2555)

4.1. Driftskontinuitets- och katastrofplan

4.2. Hantering av säkerhetskopiering och redundans

4.3. Krishantering

5. Säkerhet i leveranskedjan (artikel 21.2 d i direktiv (EU) 2022/2555)

5.1. Strategi för säkerhet i leveranskedjan

5.2. Förteckning över leverantörer och tjänsteleverantörer

6. Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem (artikel 21.2 e i direktiv (EU) 2022/2555)

6.1. Säkerhet vid förvärv av IKT-tjänster och IKT-produkter

6.2. Säker utvecklingslivscykel

6.3. Konfigurationshantering

6.4. Förändringshantering, reparationer och underhåll

6.5. Säkerhetstestning

6.6. Hantering av programfix

6.7. Nätverkssäkerhet

6.8. Nätverkssegmentering

6.9. Skydd mot sabotageprogram och otillåten programvara

6.10. Sårbarhetshantering och sårbarhetsinformation

7. Strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärder för cybersäkerhet (artikel 21.2 f i direktiv (EU) 2022/2555)

8. Grundläggande praxis för cyberhygien och utbildning i cybersäkerhet (artikel 21.2 g i direktiv (EU) 2022/2555)

8.1. Medvetandehöjande och grundläggande praxis för cyberhygien

8.2. Säkerhetsutbildning

9. Kryptografi (artikel 21.2 h i direktiv (EU) 2022/2555)

10. Personalsäkerhet (artikel 21.2 i i direktiv (EU) 2022/2555)

10.1. Personalsäkerhet

10.2. Bakgrundskontroll

10.3. Förfaranden vid avslutad eller ändrad anställning

10.4. Disciplinära förfaranden

11. Åtkomstkontroll (artikel 21.2 i och j i direktiv (EU) 2022/2555)

11.1. Strategi för åtkomstkontroll

11.2. Hantering av åtkomsträttigheter

11.3. Privilegierade konton och systemadministrationskonton

11.4. Systemadministration

11.5. Identifiering

11.6. Autentisering

11.7. Flerfaktorsautentisering

12. Tillgångsförvaltning (artikel 21.2 i i direktiv (EU) 2022/2555)

12.1. Klassificering av tillgångar

12.2. Hantering av tillgångar

12.3. Strategi för flyttbara medier

12.4. Inventering av tillgångar

12.5. Deponering, återlämning eller radering av tillgångar när anställning upphör

13. Miljömässig och fysisk säkerhet (artikel 21.2 c, e och i i direktiv (EU) 2022/2555)

13.1. Försörjningstjänster

13.2. Skydd mot fysiska och miljömässiga hot

13.3. Perimeterkontroll och kontroll av fysiskt tillträde

Relevant recitals