1. Die Mitgliedstaaten stellen sicher, dass wesentliche und bedeutende Einrichtungen geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen zur Beherrschung der Risiken ergreifen, die für die Sicherheit der Netz- und InformationssystemeSicherheit von Netz- und Informationssystemen bezeichnet die Fähigkeit von Netz- und Informationssystemen, mit einem bestimmten Vertrauensniveau jedem Ereignis zu widerstehen, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der von diesen Netz- und Informationssystemen angebotenen oder über sie zugänglichen Dienste beeinträchtigen könnte; - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) die diese Einrichtungen für ihren Betrieb oder die Erbringung ihrer Dienste nutzen, und um die Auswirkungen von Zwischenfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder zu minimieren.
Unter Berücksichtigung des Stands der Technik und gegebenenfalls der einschlägigen europäischen und internationalen Normen sowie der Kosten der Durchführung gewährleisten die in Unterabsatz 1 genannten Maßnahmen ein Sicherheitsniveau der Netz- und Informationssysteme, das den bestehenden Risiken angemessen ist. Bei der Beurteilung der Verhältnismäßigkeit dieser Maßnahmen wird der Grad der UnternehmenEntität bezeichnet eine natürliche oder juristische Person, die nach dem innerstaatlichen Recht des Ortes ihrer Niederlassung gegründet und als solche anerkannt wurde und die in eigenem Namen handelnd Rechte und Pflichten ausüben kann. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie)Die Risiken, denen das Unternehmen ausgesetzt ist, die Größe des Unternehmens und die Wahrscheinlichkeit des Auftretens von Zwischenfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen.
2. (2) Die in Absatz 1 genannten Maßnahmen beruhen auf einem All-Gefahren-Ansatz, der darauf abzielt, Netz- und Informationssysteme sowie die physische Umgebung dieser Systeme vor Zwischenfällen zu schützen, und umfassen zumindest Folgendes:
(a) Strategien für RisikoRisiko Bezeichnet das Potenzial für Verluste oder Störungen, die durch ein Ereignis verursacht werden, und wird als Kombination aus dem Ausmaß eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Ereignisses ausgedrückt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Analyse und Sicherheit von Informationssystemen;
(b) EreignisbehandlungBehandlung von Vorfällen Bezeichnet alle Maßnahmen und Verfahren, die darauf abzielen, einen Vorfall zu verhindern, zu entdecken, zu analysieren und einzudämmen oder auf einen Vorfall zu reagieren und sich davon zu erholen. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie);
(c) Geschäftskontinuität, z. B. Backup-Management und Wiederherstellung im Katastrophenfall, sowie Krisenmanagement;
(d) Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte in den Beziehungen zwischen jeder Stelle und ihren direkten Lieferanten oder Dienstleistern;
(e) Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzen und Informationssystemen, einschließlich SchwachstelleSchwachstelle Bezeichnet eine Schwäche, Anfälligkeit oder einen Fehler von IKT-Produkten oder IKT-Diensten, die durch eine Cyber-Bedrohung ausgenutzt werden können. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Handhabung und Offenlegung;
(f) Strategien und Verfahren zur Bewertung der Wirksamkeit von CybersicherheitCybersecurity "Cybersicherheit" ist die Cybersicherheit im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) 2019/881; - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) "Cybersicherheit" bezeichnet die Tätigkeiten, die erforderlich sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen; - Definition gemäß Artikel 2 Nummer 1 der Verordnung (EU) 2019/881; Maßnahmen zum Risikomanagement;
(g) grundlegende Praktiken der Cyber-Hygiene und Schulungen im Bereich der Cybersicherheit;
(h) Strategien und Verfahren für den Einsatz von Kryptographie und gegebenenfalls Verschlüsselung;
(i) Sicherheit der Humanressourcen, Zugangskontrollpolitik und Vermögensverwaltung;
(j) gegebenenfalls die Verwendung von Lösungen für die Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation und gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
3. Die Mitgliedstaaten stellen sicher, dass die Stellen bei der Prüfung, welche der in Absatz 2 Buchstabe d des vorliegenden Artikels genannten Maßnahmen angemessen sind, die spezifischen Schwachstellen der einzelnen direkten Lieferanten und Dienstleister sowie die Gesamtqualität der Produkte und die Cybersicherheitspraktiken ihrer Lieferanten und Dienstleister, einschließlich ihrer sicheren Entwicklungsverfahren, berücksichtigen. Die Mitgliedstaaten stellen ferner sicher, dass die Stellen bei der Prüfung, welche der in diesem Buchstaben genannten Maßnahmen angemessen sind, die Ergebnisse der gemäß Artikel 22 Absatz 1 durchgeführten koordinierten Sicherheitsrisikobewertungen kritischer Lieferketten berücksichtigen müssen.
4. Die Mitgliedstaaten stellen sicher, dass eine Stelle, die feststellt, dass sie die in Absatz 2 vorgesehenen Maßnahmen nicht einhält, unverzüglich alle erforderlichen, geeigneten und verhältnismäßigen Abhilfemaßnahmen ergreift.
5. (5) Bis zum 17. Oktober 2024 erlässt die Kommission Durchführungsrechtsakte zur Festlegung der technischen und methodischen Anforderungen der in Absatz 2 genannten Maßnahmen in Bezug auf DNS-Diensteanbieter und TLD-Namen-Register, Cloud-Computing-DienstCloud Computing-Dienst Bezeichnet einen digitalen Dienst, der eine bedarfsgerechte Verwaltung und einen umfassenden Fernzugriff auf einen skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen über mehrere Standorte verteilt sind. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Anbieter, RechenzentrumsdienstDienst des Datenzentrums bezeichnet einen Dienst, der Strukturen oder Gruppen von Strukturen umfasst, die der zentralen Unterbringung, der Zusammenschaltung und dem Betrieb von IT- und Netzwerkausrüstungen dienen, die Datenspeicherungs-, -verarbeitungs- und -transportdienste erbringen, sowie alle Einrichtungen und Infrastrukturen für die Stromverteilung und Umgebungskontrolle. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Anbieter, Content-Delivery-NetzwerkNetzwerk zur Bereitstellung von Inhalten Bezeichnet ein Netz geografisch verteilter Server, das im Auftrag von Inhalts- und Diensteanbietern eine hohe Verfügbarkeit, Zugänglichkeit oder schnelle Bereitstellung digitaler Inhalte und Dienste für Internetnutzer gewährleisten soll. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Anbieter, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten, Anbieter von Online-Marktplätzen, von Online-Suchmaschinen und von Plattformen für soziale Netzwerkdienste, und TreuhandserviceVertrauensdienst Bezeichnet einen elektronischen Dienst, der in der Regel gegen Entgelt erbracht wird und Folgendes umfasst: a) die Erstellung, Überprüfung und Validierung elektronischer Signaturen, elektronischer Siegel oder elektronischer Zeitstempel, elektronischer Einschreibedienste und damit zusammenhängender Zertifikate oder b) die Erstellung, Überprüfung und Validierung von Zertifikaten für die Website-Authentifizierung oder c) die Aufbewahrung von elektronischen Signaturen, Siegeln oder Zertifikaten im Zusammenhang mit diesen Diensten - Definition gemäß Artikel 3 Nummer 16 der Verordnung (EU) Nr. 910/2014 Anbieter.
Die Kommission kann Durchführungsrechtsakte zur Festlegung der technischen und methodischen Anforderungen sowie erforderlichenfalls der sektoralen Anforderungen der in Absatz 2 genannten Maßnahmen in Bezug auf andere als die in Unterabsatz 1 des vorliegenden Absatzes genannten wesentlichen und bedeutenden Einrichtungen erlassen.
Bei der Ausarbeitung der in den Unterabsätzen 1 und 2 des vorliegenden Absatzes genannten Durchführungsrechtsakte folgt die Kommission so weit wie möglich den europäischen und internationalen Normen sowie den einschlägigen technischen Spezifikationen. Die Kommission tauscht mit der Kooperationsgruppe und der ENISA gemäß Artikel 14 Absatz 4 Buchstabe e Ratschläge zu den Entwürfen der Durchführungsrechtsakte aus und arbeitet mit ihnen zusammen.
Diese Durchführungsrechtsakte werden nach dem in Artikel 39 Absatz 2 genannten Prüfverfahren erlassen.