Source: OJ L, 2024/2690, 18.10.2024Current language: DE
- High common level of cybersecurity for entities
Implementing acts
- Cybersecurity measures and significant incidents for relevant entities
Artikel 2 Technische und methodische Anforderungen
Summary What does Article 2 of the Cybersecurity measures and significant incidents for relevant entities say?
This article directs relevant entities to the Annex of the Regulation, where the actual technical and methodological requirements for cybersecurity risk-management measures are detailed.
Beyond simply pointing to the Annex, it establishes that compliance is not one-size-fits-all: entities must calibrate their level of security to their own specific risk profile, taking into account factors such as their size, risk exposure, and the likelihood and severity of incidents.
Importantly, where the Annex uses conditional language such as "where appropriate" or "to the extent feasible," entities that choose not to apply a given requirement must document their reasoning in a comprehensible manner.
Important points:
- Ensure the level of security applied to network and information systems is appropriate to your specific risk profile, accounting for size, exposure, and incident severity.
- The detailed technical and methodological requirements binding on relevant entities are found in the Annex to this Regulation, not within the article itself.
- Where you determine that a conditionally-worded requirement from the Annex does not apply to your organisation, document your reasoning clearly.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Für die betreffenden Einrichtungen sind im Anhang dieser Verordnung die technischen und methodischen Anforderungen der in Artikel 21 Absatz 2 Buchstaben a bis j der Richtlinie (EU) 2022/2555 genannten Risikomanagementmaßnahmen im Bereich der Cybersicherheit festgelegt.
Bei der Umsetzung und Anwendung der technischen und methodischen Anforderungen der im Anhang dieser Verordnung festgelegten Risikomanagementmaßnahmen im Bereich der Cybersicherheit gewährleisten die betreffenden Einrichtungen ein den bestehenden Risiken angemessenes Sicherheitsniveau der Netz- und Informationssysteme. Zu diesem Zweck tragen sie dem Ausmaß ihrer Risikoexposition, ihrer Größe und der Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, einschließlich gesellschaftlicher und wirtschaftlicher Auswirkungen, gebührend Rechnung, wenn sie die im Anhang dieser Verordnung festgelegten technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit erfüllen.
Ist im Anhang dieser Verordnung vorgesehen, dass eine technische oder methodische Anforderung einer Risikomanagementmaßnahmen im Bereich der Cybersicherheit nur anzuwenden ist, soweit dies angemessen, anwendbar oder durchführbar ist, und hält es eine betreffende Einrichtung für nicht angemessen, nicht anwendbar oder nicht durchführbar, bestimmte technische und methodische Anforderungen anzuwenden, so muss die betreffende Einrichtung ihre diesbezügliche Begründung in verständlicher Weise dokumentieren.
Relevant recitals
Erwägungsgrund 3 Based on standards and technical specifications
Nach Artikel 21 Absatz 5 Unterabsatz 3 der Richtlinie (EU) 2022/2555 beruhen die technischen und methodischen Anforderungen der im Anhang dieser Verordnung festgelegten Risikomanagementmaßnahmen im Bereich der Cybersicherheit auf europäischen und internationalen Normen wie ISO/IEC 27001, ISO/IEC 27002 und ETSI EN 319401 sowie auf technischen Spezifikationen wie CEN/TS 18026:2024, die für die Sicherheit von Netz- und Informationssystemen von Belang sind.
Erwägungsgrund 4 Principle of proportionality
Bezüglich der Umsetzung und Anwendung der technischen und methodischen Anforderungen der im Anhang dieser Verordnung festgelegten Risikomanagementmaßnahmen im Bereich der Cybersicherheit sollten — im Einklang mit dem Grundsatz der Verhältnismäßigkeit — die unterschiedlichen Risikoexpositionen der betreffenden Einrichtungen wie Kritikalität der betreffenden Einrichtung, Risiken, denen sie ausgesetzt sind, Größe und Struktur der betreffenden Einrichtung sowie Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen, bei der Einhaltung der im Anhang dieser Verordnung festgelegten technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit gebührend berücksichtigt werden.
Erwägungsgrund 5 Compensating measures
Können die betreffenden Einrichtungen einige der technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit wegen ihrer Größe nicht umsetzen, so sollten sie — im Einklang mit dem Grundsatz der Verhältnismäßigkeit — die Möglichkeit haben, andere Ausgleichsmaßnahmen zu ergreifen, die geeignet sind, den Zweck dieser Anforderungen zu erreichen. Bei der Festlegung der Rollen, Verantwortlichkeiten und Weisungsbefugnisse in Bezug auf die Sicherheit der Netz- und Informationssysteme innerhalb der betreffenden Einrichtung könnte es für Kleinstunternehmen schwierig sein, widerstrebende Pflichten und sich widersprechende Verantwortlichkeitsbereiche zu trennen. Solche Einrichtungen sollten Ausgleichsmaßnahmen wie eine gezielte Beaufsichtigung durch ihr Management oder eine verstärkte Überwachung und Protokollierung in Betracht ziehen können.
Erwägungsgrund 6 Applicability of requirements
Bestimmte technische und methodische Anforderungen, die im Anhang dieser Verordnung festgelegt sind, sollten von den betreffenden Einrichtungen angewandt werden, soweit dies angemessen, anwendbar oder durchführbar ist. Hält es eine betreffende Einrichtung es für nicht angemessen, nicht anwendbar oder nicht durchführbar, bestimmte technische und methodische Anforderungen, die im Anhang dieser Verordnung festgelegt sind, anzuwenden, sollte sie ihre diesbezügliche Begründung in verständlicher Weise dokumentieren. Die zuständigen nationalen Behörden können bei der Beaufsichtigung eine angemessene Frist berücksichtigen, die betreffende Einrichtungen benötigen, um die technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit umzusetzen.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
technische Spezifikation
(En. technical specification)
Definition
Cybersicherheit
(En. cybersecurity)
Definition
Sicherheit von Netz- und Informationssystemen
(En. security of network and information systems)
Definition
Norm
(En. standard)
Definition
Einrichtung
(En. entity)
Definition
Netz- und Informationssystem
(En. network and information system)
- ein elektronisches Kommunikationsnetz im Sinne des Artikels 2 Nummer 1 der Richtlinie (EU) 2018/1972,
- ein Gerät oder eine Gruppe miteinander verbundener oder zusammenhängender Geräte, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung digitaler Daten durchführen, oder
- digitale Daten, die von den — in den Buchstaben a und b genannten — Elementen zum Zwecke ihres Betriebs, ihrer Nutzung, ihres Schutzes und ihrer Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden;