| Titel |
Wesentliche und wichtige Einrichtungen |
| Anforderung |
Für die Zwecke der Erstellung der in Absatz 3 genannten Liste schreiben die Mitgliedstaaten vor, dass die jenem Absatz genannten Einrichtungen den zuständigen Behörden mindestens die folgenden Informationen übermitteln: a) den Namen der Einrichtung, b) die Anschrift und aktuellen Kontaktdaten, einschließlich der E-Mail-Adressen, IP-Adressbereiche und Telefonnummern, c) gegebenenfalls den relevanten Sektor und Teilsektor gemäß Anhang I oder II sowie d) gegebenenfalls eine Liste der Mitgliedstaaten, in denen sie Dienste erbringen, die in den Anwendungsbereich dieser Richtlinie fallen. Die in Absatz 3 genannten Einrichtungen teilen alle Änderungen der gemäß Unterabsatz 1 des vorliegenden Absatzes übermittelten Angaben unverzüglich mit, in jedem Fall jedoch innerhalb von zwei Wochen ab dem Zeitpunkt der Änderung. Die Kommission stellt mit Unterstützung der Agentur der Europäischen Union für Cybersicherheit (ENISA) unverzüglich Leitlinien und Vorlagen für die in diesem Absatz festgelegten Verpflichtungen bereit. Die Mitgliedstaaten können nationale Mechanismen für die Registrierung von Einrichtungen einrichten. |
| Control ID |
Art. 20 (1) |
| --- |
--- |
| Titel |
Governance |
| Anforderung |
Die Mitgliedstaaten stellen sicher, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die von diesen Einrichtungen zur Einhaltung von Artikel 21 ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen, ihre Umsetzung überwachen und für Verstöße gegen diesen Artikel durch die betreffenden Einrichtungen verantwortlich gemacht werden können. Die Anwendung dieses Absatzes lässt die nationalen Rechtsvorschriften in Bezug auf die für die öffentlichen Einrichtungen geltenden Haftungsregelungen sowie die Haftung von öffentlichen Bediensteten und gewählten oder ernannten Amtsträgern unberührt. |
| Control ID |
Art. 20 (2) |
| --- |
--- |
| Titel |
Governance |
| Anforderung |
Die Mitgliedstaaten stellen sicher, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen an Schulungen teilnehmen müssen, und fordern wesentliche und wichtige Einrichtungen auf, allen Mitarbeitern regelmäßig entsprechende Schulungen anzubieten, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben. |
| Control ID |
Art. 21 (1) |
| --- |
--- |
| Titel |
Risikomanagementmaßnahmen im Bereich der Cybersicherheit |
| Anforderung |
Etablierung eines Informationssicherheits-Risikomanagements Im Detail - gemäß Gesetztestext NIS-2: Die in Unterabsatz 1 genannten Maßnahmen müssen unter Berücksichtigung des Stands der Technik und gegebenenfalls der einschlägigen europäischen und internationalen Normen sowie der Kosten der Umsetzung ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Bei der Bewertung der Verhältnismäßigkeit dieser Maßnahmen sind das Ausmaß der Risikoexposition der Einrichtung, die Größe der Einrichtung und die Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen, gebührend zu berücksichtigen. |
| Control ID |
Art. 21 (2a) |
| --- |
--- |
| Titel |
Risikomanagementmaßnahmen im Bereich der Cybersicherheit |
| Anforderung |
Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme. |
| Control ID |
Art. 21 (2b) |
| --- |
--- |
| Titel |
Risikomanagementmaßnahmen im Bereich der Cybersicherheit |
| Anforderung |
Bewältigung von Sicherheitsvorfällen. |
| Control ID |
Art. 21 (2c) |
| --- |
--- |
| Titel |
Risikomanagementmaßnahmen im Bereich der Cybersicherheit |
| Anforderung |
Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement. |
| Control ID |
Art. 21 (2d) |
| --- |
--- |
| Titel |
Risikomanagementmaßnahmen im Bereich der Cybersicherheit |
| Anforderung |
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern. |
| Control ID |
Art. 21 (2e) |
| --- |
--- |
| Titel |
Risikomanagementmaßnahmen im Bereich der Cybersicherheit |
| Anforderung |
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen. |
| Control ID |
Art. 21 (2f) |
| --- |
--- |
| Titel |
Risikomanagementmaßnahmen im Bereich der Cybersicherheit |
| Anforderung |
Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit. |
| Control ID |
Art. 21 (2g) |
| --- |
--- |
| Titel |
Risikomanagementmaßnahmen im Bereich der Cybersicherheit |
| Anforderung |
grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit. |
| Control ID |
Art. 21 (2h) |
| --- |
--- |
| Titel |
Risikomanagementmaßnahmen im Bereich der Cybersicherheit |
| Anforderung |
Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung. |
| Control ID |
Art. 21 (2i) |
| --- |
--- |
| Titel |
Risikomanagementmaßnahmen im Bereich der Cybersicherheit |
| Anforderung |
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen. |
| Control ID |
Art. 21 (2j) |
| --- |
--- |
| Titel |
Risikomanagementmaßnahmen im Bereich der Cybersicherheit |
| Anforderung |
Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung. |
| Control ID |
Art. 23 |
| --- |
--- |
| Titel |
Berichtspflichten |
| Anforderung |
(1) Jeder Mitgliedstaat stellt sicher, dass wesentliche und wichtige Einrichtungen ihrem CSIRT oder gegebenenfalls ihrer zuständigen Behörde gemäß Absatz 4 unverzüglich über jeden Sicherheitsvorfall unterrichten, der erhebliche Auswirkungen auf die Erbringung ihrer Dienste gemäß Absatz 3 (erheblicher Sicherheitsvorfall) hat. Gegebenenfalls unterrichten die betreffenden Einrichtungen die Empfänger ihrer Dienste unverzüglich über diese erheblichen Sicherheitsvorfälle, die die Erbringung des jeweiligen Dienstes beeinträchtigen könnten. […] (3) Ein Sicherheitsvorfall gilt als erheblich, wenn
a) er schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann; b) er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann. (4) Die Mitgliedstaaten stellen sicher, dass die betreffenden Einrichtungen dem CSIRT oder gegebenenfalls der zuständigen Behörde für die Zwecke der Meldung nach Absatz 1 Folgendes übermitteln: a) unverzüglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls, eine Frühwarnung, in der gegebenenfalls angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte; b) unverzüglich, in jedem Fall aber innerhalb von 72 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls, eine Meldung über den Sicherheitsvorfall, in der gegebenenfalls die unter Buchstabe a genannten Informationen aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden; c) auf Ersuchen eines CSIRT oder gegebenenfalls der zuständigen Behörde einen Zwischenbericht über relevante Statusaktualisierungen; d) spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Buchstabe b einen Abschlussbericht, der Folgendes enthält: i) eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen; ii) Angaben zur Art der Bedrohung bzw. zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat; iii) Angaben zu den getroffenen und laufenden Abhilfemaßnahmen; iv) gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls; e) im Falle eines andauernden Sicherheitsvorfalls zum Zeitpunkt der Vorlage des Abschlussberichts gemäß Buchstabe d stellen die Mitgliedstaaten sicher, dass die betreffenden Einrichtungen zu diesem Zeitpunkt einen Fortschrittsbericht und einen Abschlussbericht innerhalb eines Monats nach Behandlung des Sicherheitsvorfalls vorlegen. |