ENISA-Mandat und rechtlicher Rahmen

Die Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (die Agentur der Europäischen Union für CybersecurityCybersecurity "Cybersicherheit" ist die Cybersicherheit im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) 2019/881; - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) "Cybersicherheit" bezeichnet die Tätigkeiten, die erforderlich sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen; - Definition gemäß Artikel 2 Nummer 1 der Verordnung (EU) 2019/881;) und über die Zertifizierung von Informations- und Kommunikationstechnologien im Bereich der Cybersicherheit und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Cybersicherheitsgesetz)

Die Verordnung (EU) 2019/881, die zum Zeitpunkt ihrer Verabschiedung gemeinhin als Cybersicherheitsgesetz bekannt war, dient als ENISA-Mandat und Rechtsrahmen. Sie legt die Struktur und die wichtigsten Zuständigkeiten der ENISA, der Agentur der Europäischen Union für Cybersicherheit, fest und schafft gleichzeitig einen Rahmen für die Zertifizierung von IKT-Produkten, -Dienstleistungen und -Prozessen in der gesamten EU. Diese Verordnung ist ein zentraler Bestandteil der EU-Strategie zur Verbesserung der Cybersicherheit und zur Schaffung eines harmonisierten digitalen Binnenmarktes.

Aufbau und wichtige Abschnitte

  1. Das Mandat der ENISA: Mit der Verordnung wird die ENISA dauerhaft eingerichtet und ihre Rolle bei der Unterstützung der Mitgliedstaaten und der EU-Institutionen zur Verbesserung der Cybersicherheit, als Drehscheibe für Fachwissen und zur Verringerung der Marktfragmentierung gestärkt. Die ENISA hat die Aufgabe, bei der Entwicklung und Umsetzung der EU-Politik zu helfen, den Aufbau von Kapazitäten zu fördern, die operative Zusammenarbeit zu unterstützen und die Öffentlichkeit für Cybersicherheitsrisiken zu sensibilisieren.
  2. Rahmen für die Zertifizierung der Cybersicherheit: Ein wesentlicher Teil der Verordnung ist der Schaffung eines europäischen Zertifizierungsrahmens für Cybersicherheit gewidmet. Mit diesem Rahmen sollen EU-weit einheitliche Zertifizierungssysteme geschaffen werden, um das Vertrauen in IKT-Produkte, -Dienstleistungen und -Verfahren zu stärken. Diese Systeme sollen die Sicherheitsstufen (grundlegend, erheblich oder hoch) angeben und die Zertifizierungslandschaft vereinheitlichen, indem nationale Systeme durch einen kohärenten EU-weiten Ansatz ersetzt werden.
  3. Verwaltungsstruktur: Die ENISA arbeitet mit einem Verwaltungsrat, einem Exekutivausschuss und einer Beratungsgruppe, um sicherzustellen, dass sie effizient arbeitet und ihren erweiterten Aufgaben gerecht wird. Darüber hinaus wurde eine Europäische Gruppe für Cybersicherheitszertifizierung (ECCG) eingerichtet, die bei der Entwicklung und Anwendung des Rahmens für die Cybersicherheitszertifizierung hilft.
  4. Überprüfung und Bewertung: Die Verordnung enthält Bestimmungen für regelmäßige Bewertungen der Auswirkungen der ENISA und der Wirksamkeit der Zertifizierungssysteme. Die erste umfassende Überprüfung wurde für 2024 angesetzt, weitere Überprüfungen sollen alle fünf Jahre stattfinden.
  5. Aufhebung der früheren Verordnung: Die Verordnung hebt die frühere Verordnung (EU) Nr. 526/2013 auf und spiegelt den sich weiterentwickelnden Ansatz der EU im Bereich der Cybersicherheit und die wachsende Bedeutung einer robusten und einheitlichen Reaktion auf Cyberbedrohungen wider.

Die CER-Richtlinie ist ein wichtiger Schritt in den Bemühungen der EU, kritische Infrastrukturen vor einer Vielzahl von Bedrohungen zu schützen. Durch die Festlegung klarer Verpflichtungen sowohl für die Mitgliedstaaten als auch für kritische Einrichtungen soll die Richtlinie ein widerstandsfähigeres und sichereres Umfeld in der gesamten Union schaffen.

NIS 2 Lieferkette erhalten RisikoRisiko Bezeichnet das Potenzial für Verluste oder Störungen, die durch ein Ereignis verursacht werden, und wird als Kombination aus dem Ausmaß eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Ereignisses ausgedrückt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Checkliste

Laden Sie unsere kostenlose NIS2-Checkliste für Risiken in der Lieferkette herunter, um sicherzustellen, dass Ihr Unternehmen die neuesten Standards für Cybersicherheit mühelos einhält.