Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2024, Betriebssicherheit - EU Bund

Hebt VO (EU) 2018/151 auf.

Die Europäische Kommission -

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 ( NIS-2-Richtlinie) ¹, insbesondere auf Artikel 21 Absatz 5 Unterabsatz 1 und Artikel 23 Absatz 11 Unterabsatz 2,

in Erwägung nachstehender Gründe:

(1) In dieser Verordnung werden in Bezug auf die von Artikel 3 der Richtlinie (EU) 2022/2555 erfassten DNS-Diensteanbieter, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter (im Folgenden "betreffende Einrichtungen") die technischen und methodischen Anforderungen der in Artikel 21 Absatz 2 der Richtlinie (EU) 2022/2555 genannten Maßnahmen festgelegt und die Fälle präzisiert, in denen ein Sicherheitsvorfall gemäß Artikel 23 Absatz 3 der Richtlinie (EU) 2022/2555 als erheblich anzusehen ist.

(2) Angesichts des grenzüberschreitenden Charakters ihrer Tätigkeiten und zur Gewährleistung eines kohärenten Rahmens für Vertrauensdiensteanbieter sollte in dieser Verordnung in Bezug auf Vertrauensdiensteanbieter neben der Festlegung der technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit ebenfalls präzisiert werden, in welchen Fällen ein Sicherheitsvorfall als erheblich anzusehen ist.

(3) Nach Artikel 21 Absatz 5 Unterabsatz 3 der Richtlinie (EU) 2022/2555 beruhen die technischen und methodischen Anforderungen der im Anhang dieser Verordnung festgelegten Risikomanagementmaßnahmen im Bereich der Cybersicherheit auf europäischen und internationalen Normen wie ISO/IEC 27001, ISO/IEC 27002 und ETSI EN 319401 sowie auf technischen Spezifikationen wie CEN/TS 18026:2024, die für die Sicherheit von Netz- und Informationssystemen von Belang sind.

(4) Bezüglich der Umsetzung und Anwendung der technischen und methodischen Anforderungen der im Anhang dieser Verordnung festgelegten Risikomanagementmaßnahmen im Bereich der Cybersicherheit sollten - im Einklang mit dem Grundsatz der Verhältnismäßigkeit - die unterschiedlichen Risikoexpositionen der betreffenden Einrichtungen wie Kritikalität der betreffenden Einrichtung, Risiken, denen sie ausgesetzt sind, Größe und Struktur der betreffenden Einrichtung sowie Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen, bei der Einhaltung der im Anhang dieser Verordnung festgelegten technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit gebührend berücksichtigt werden.