1. Die Mitgliedstaaten stellen sicher, dass wesentliche und bedeutende Einrichtungen geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen zur Beherrschung der Risiken ergreifen, die für die Sicherheit der Netz- und Informationssysteme die diese Einrichtungen für ihren Betrieb oder die Erbringung ihrer Dienste nutzen, und um die Auswirkungen von Zwischenfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder zu minimieren.
Unter Berücksichtigung des Stands der Technik und gegebenenfalls der einschlägigen europäischen und internationalen Normen sowie der Kosten der Durchführung gewährleisten die in Unterabsatz 1 genannten Maßnahmen ein Sicherheitsniveau der Netz- und Informationssysteme, das den bestehenden Risiken angemessen ist. Bei der Beurteilung der Verhältnismäßigkeit dieser Maßnahmen wird der Grad der UnternehmenDie Risiken, denen das Unternehmen ausgesetzt ist, die Größe des Unternehmens und die Wahrscheinlichkeit des Auftretens von Zwischenfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen.
2. (2) Die in Absatz 1 genannten Maßnahmen beruhen auf einem All-Gefahren-Ansatz, der darauf abzielt, Netz- und Informationssysteme sowie die physische Umgebung dieser Systeme vor Zwischenfällen zu schützen, und umfassen zumindest Folgendes:
(a) Strategien für Risiko Analyse und Sicherheit von Informationssystemen;
(b) Ereignisbehandlung;
(c) Geschäftskontinuität, z. B. Backup-Management und Wiederherstellung im Katastrophenfall, sowie Krisenmanagement;
(d) Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte in den Beziehungen zwischen jeder Stelle und ihren direkten Lieferanten oder Dienstleistern;
(e) Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzen und Informationssystemen, einschließlich Schwachstelle Handhabung und Offenlegung;
(f) Strategien und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheit Maßnahmen zum Risikomanagement;
(g) grundlegende Praktiken der Cyber-Hygiene und Schulungen im Bereich der Cybersicherheit;
(h) Strategien und Verfahren für den Einsatz von Kryptographie und gegebenenfalls Verschlüsselung;
(i) Sicherheit der Humanressourcen, Zugangskontrollpolitik und Vermögensverwaltung;
(j) gegebenenfalls die Verwendung von Lösungen für die Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation und gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
3. Die Mitgliedstaaten stellen sicher, dass die Stellen bei der Prüfung, welche der in Absatz 2 Buchstabe d des vorliegenden Artikels genannten Maßnahmen angemessen sind, die spezifischen Schwachstellen der einzelnen direkten Lieferanten und Dienstleister sowie die Gesamtqualität der Produkte und die Cybersicherheitspraktiken ihrer Lieferanten und Dienstleister, einschließlich ihrer sicheren Entwicklungsverfahren, berücksichtigen. Die Mitgliedstaaten stellen ferner sicher, dass die Stellen bei der Prüfung, welche der in diesem Buchstaben genannten Maßnahmen angemessen sind, die Ergebnisse der gemäß Artikel 22 Absatz 1 durchgeführten koordinierten Sicherheitsrisikobewertungen kritischer Lieferketten berücksichtigen müssen.
4. Die Mitgliedstaaten stellen sicher, dass eine Stelle, die feststellt, dass sie die in Absatz 2 vorgesehenen Maßnahmen nicht einhält, unverzüglich alle erforderlichen, geeigneten und verhältnismäßigen Abhilfemaßnahmen ergreift.
5. (5) Bis zum 17. Oktober 2024 erlässt die Kommission Durchführungsrechtsakte zur Festlegung der technischen und methodischen Anforderungen der in Absatz 2 genannten Maßnahmen in Bezug auf DNS-Diensteanbieter und TLD-Namen-Register, Cloud-Computing-Dienst Anbieter, Rechenzentrumsdienst Anbieter, Content-Delivery-Netzwerk Anbieter, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten, Anbieter von Online-Marktplätzen, von Online-Suchmaschinen und von Plattformen für soziale Netzwerkdienste, und Treuhandservice Anbieter.
Die Kommission kann Durchführungsrechtsakte zur Festlegung der technischen und methodischen Anforderungen sowie erforderlichenfalls der sektoralen Anforderungen der in Absatz 2 genannten Maßnahmen in Bezug auf andere als die in Unterabsatz 1 des vorliegenden Absatzes genannten wesentlichen und bedeutenden Einrichtungen erlassen.
Bei der Ausarbeitung der in den Unterabsätzen 1 und 2 des vorliegenden Absatzes genannten Durchführungsrechtsakte folgt die Kommission so weit wie möglich den europäischen und internationalen Normen sowie den einschlägigen technischen Spezifikationen. Die Kommission tauscht mit der Kooperationsgruppe und der ENISA gemäß Artikel 14 Absatz 4 Buchstabe e Ratschläge zu den Entwürfen der Durchführungsrechtsakte aus und arbeitet mit ihnen zusammen.
Diese Durchführungsrechtsakte werden nach dem in Artikel 39 Absatz 2 genannten Prüfverfahren erlassen.