umwelt-online-Demo: Durchführungsverordnung (EU) 2024/2690 mit Durchführungsbestimmungen zur Richtlinie (EU) 2022/2555 im Hinblick auf die technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit und die Präzisierung der Fälle, in denen ein Sicherheitsvorfall in Bezug auf DNS-Diensteanbieter, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter als erheblich gilt

Regelwerk, EU 2024

VO (EU) 2024/2690
- Inhalt =>

Artikel 1 Gegenstand

Artikel 2 Technische und methodische Anforderungen

Artikel 3 Erhebliche Sicherheitsvorfälle

Artikel 4 Wiederholte Sicherheitsvorfälle

Artikel 5 Erhebliche Sicherheitsvorfälle in Bezug auf DNS-Diensteanbieter

Artikel 6 Erhebliche Sicherheitsvorfälle in Bezug auf TLD-Namenregister

Artikel 7 Erhebliche Sicherheitsvorfälle in Bezug auf Anbieter von Cloud-Computing-Diensten

Artikel 8 Erhebliche Sicherheitsvorfälle in Bezug auf Anbieter von Rechenzentrumsdiensten

Artikel 9 Erhebliche Sicherheitsvorfälle in Bezug auf Betreiber von Inhaltszustellnetzen

Artikel 10 Erhebliche Sicherheitsvorfälle in Bezug Anbieter verwalteter Dienste und Anbieter verwalteter Sicherheitsdienste

Artikel 11 Erhebliche Sicherheitsvorfälle in Bezug auf Anbieter von Online-Marktplätzen

Artikel 12 Erhebliche Sicherheitsvorfälle in Bezug auf Anbieter von Online-Suchmaschinen

Artikel 13 Erhebliche Sicherheitsvorfälle in Bezug auf Anbieter von Plattformen für Dienste sozialer Netzwerke

Artikel 14 Erhebliche Sicherheitsvorfälle in Bezug auf Vertrauensdiensteanbieter

Artikel 15 Aufhebung

Artikel 16 Inkrafttreten und Geltungsbeginn

Anhang Technische und methodische Anforderungen gemäß Artikel 2 der vorliegenden Verordnung

1. Konzept für die Sicherheit von Netz- und Informationssystemen (Artikel 21 Absatz 2 Buchstabe a der Richtlinie (EU) 2022/2555)

1.1. Konzept für die Sicherheit von Netz- und Informationssystemen
1.2. Rollen, Verantwortlichkeiten und Weisungsbefugnisse

2. Konzept für das Risikomanagement (Artikel 21 Absatz 2 Buchstabe a der Richtlinie (EU) 2022/2555)

2.1. Risikomanagementrahmen
2.2. Überwachung der Einhaltung

2.3. Unabhängige Überprüfung der Netz- und Informationssicherheit

3. Bewältigung von Sicherheitsvorfällen (Artikel 21 Absatz 2 Buchstabe b der Richtlinie (EU) 2022/2555)

3.1. Konzept für die Bewältigung von Sicherheitsvorfällen
3.2. Überwachung und Protokollierung

3.3. Meldung von Ereignissen

3.4. Bewertung und Klassifizierung von Ereignissen

3.5. Reaktion auf Sicherheitsvorfälle

3.6. Überprüfungen nach Sicherheitsvorfällen

4. Betriebskontinuitäts- und Krisenmanagement (Artikel 21 Absatz 2 Buchstabe c der Richtlinie (EU) 2022/2555)

4.1. Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs
4.2. Backup-Sicherungs- und Redundanzmanagement

4.3. Krisenmanagement

5. Sicherheit der Lieferkette (Artikel 21 Absatz 2 Buchstabe d der Richtlinie (EU) 2022/2555)

5.1. Konzept für die Sicherheit der Lieferkette
5.2. Verzeichnis der Anbieter und Diensteanbieter

6. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen (Artikel 21 Absatz 2 Buchstabe e der Richtlinie (EU) 2022/2555)

6.1. Sicherheitsmaßnahmen beim Erwerb von IKT-Diensten oder IKT-Produkten
6.2. Sicherer Entwicklungszyklus

6.3. Konfigurationsmanagement

6.4. Änderungsmanagement, Reparatur und Wartung

6.5. Sicherheitsprüfung

6.6. Sicherheitspatch-Management

6.7. Netzsicherheit

6.8. Netzsegmentierung

6.9. Schutz gegen Schadsoftware und nicht genehmigte Software

6.10. Behandlung und Offenlegung von Schwachstellen

7. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit (Artikel 21 Absatz 2 Buchstabe f der Richtlinie (EU) 2022/2555)

8. Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit (Artikel 21 Absatz 2 Buchstabe g der Richtlinie (EU) 2022/2555)

8.1. Sensibilisierungsmaßnahmen und grundlegende Verfahren im Bereich der Cyberhygiene
8.2. Sicherheitsschulungen

9. Kryptografie (Artikel 21 Absatz 2 Buchstabe h der Richtlinie (EU) 2022/2555)

10. Sicherheit des Personals (Artikel 21 Absatz 2 Buchstabe i der Richtlinie (EU) 2022/2555)

10.1. Sicherheit des Personals
10.2. Zuverlässigkeitsüberprüfung

10.3. Verfahren zur Beendigung oder Änderung des Beschäftigungsverhältnisses

10.4. Disziplinarverfahren

11. Zugriffskontrolle (Artikel 21 Absatz 2 Buchstaben i und j der Richtlinie (EU) 2022/2555)

11.1. Konzept für die Zugriffskontrolle
11.2. Management von Zugangs- und Zugriffsrechten

11.3. Privilegierte Konten und Systemverwaltungskonten

11.4. Systemverwaltungssysteme

11.5. Identifizierung

11.6. Authentifizierung

11.7. Multifaktor-Authentifizierung

12. Anlagen- und Wertemanagement (Artikel 21 Absatz 2 Buchstabe i der Richtlinie (EU) 2022/2555)

12.1. Anlagen- und Werteklassifizierung
12.2. Behandlung von Anlagen und Werten

12.3. Konzept für Wechseldatenträger

12.4. Anlagen- und Werteinventar

12.5. Abgabe, Rückgabe oder Löschung von Anlagen und Werten bei Beendigung des Beschäftigungsverhältnisses

13. Sicherheit des Umfelds und physische Sicherheit (Artikel 21 Absatz 2 Buchstaben c, e und i der Richtlinie (EU) 2022/2555)

13.1. Unterstützende Versorgungsleistungen
13.2. Schutz vor physischen Bedrohungen und Bedrohungen des Umfelds

13.3. Perimeter und physische Zutrittskontrolle