Source: OJ L, 2024/2690, 18.10.2024Current language: SV
- High common level of cybersecurity for entities
Implementing acts
- Cybersecurity measures and significant incidents for relevant entities
Artikel 2 Tekniska och metodologiska specifikationer
Summary What does Article 2 of the Cybersecurity measures and significant incidents for relevant entities say?
This article directs relevant entities to the Annex of the Regulation, where the actual technical and methodological requirements for cybersecurity risk-management measures are detailed.
Beyond simply pointing to the Annex, it establishes that compliance is not one-size-fits-all: entities must calibrate their level of security to their own specific risk profile, taking into account factors such as their size, risk exposure, and the likelihood and severity of incidents.
Importantly, where the Annex uses conditional language such as "where appropriate" or "to the extent feasible," entities that choose not to apply a given requirement must document their reasoning in a comprehensible manner.
Important points:
- Ensure the level of security applied to network and information systems is appropriate to your specific risk profile, accounting for size, exposure, and incident severity.
- The detailed technical and methodological requirements binding on relevant entities are found in the Annex to this Regulation, not within the article itself.
- Where you determine that a conditionally-worded requirement from the Annex does not apply to your organisation, document your reasoning clearly.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
I bilagan till denna förordning fastställs för de berörda entiteterna de tekniska och metodologiska specifikationerna för riskhanteringsåtgärder för cybersäkerhet enligt artikel 21.2 a–j i direktiv (EU) 2022/2555.
De berörda entiteterna ska för nätverks- och informationssystem säkerställa en säkerhetsnivå som är lämplig för de risker som finns när de genomför och tillämpar de tekniska och metodologiska specifikationerna för riskhanteringsåtgärder för cybersäkerhet som fastställs i bilagan till denna förordning. De ska därför ta vederbörlig hänsyn till sin riskexponeringsgrad, sin storlek, sannolikheten för att incidenter ska inträffa och incidenternas allvarlighetsgrad, inklusive de samhälleliga och ekonomiska konsekvenserna, när de uppfyller de tekniska och metodologiska specifikationer för riskhanteringsåtgärder för cybersäkerhet som fastställs i bilagan till denna förordning.
Om bilagan till denna förordning föreskriver att en teknisk eller metodologisk specifikation för en riskhanteringsåtgärd för cybersäkerhet ska tillämpas ”när så är lämpligt”, ”om tillämpligt” eller ”i den mån det är genomförbart”, och om en berörd entitet inte anser att det är lämpligt, tillämpligt eller genomförbart för den berörda entiteten att tillämpa vissa tekniska och metodologiska specifikationer, ska den berörda entiteten på ett begripligt sätt dokumentera sina skäl.
Relevant recitals
Skäl 3 Based on standards and technical specifications
I enlighet med artikel 21.5 tredje stycket i direktiv (EU) 2022/2555 baseras de tekniska och metodologiska specifikationerna för riskhanteringsåtgärder för cybersäkerhet i bilagan till denna förordning på europeiska och internationella standarder, såsom ISO/IEC 27001, ISO/IEC 27002 och Etsi EN 319401, och tekniska specifikationer, såsom CEN/TS 18026:2024, som är relevanta för säkerheten i nätverks- och informationssystem.
Skäl 4 Principle of proportionality
När det gäller genomförandet och tillämpningen av de tekniska och metodologiska specifikationerna för riskhanteringsåtgärder för cybersäkerhet enligt bilagan till denna förordning bör, i enlighet med proportionalitetsprincipen, vederbörlig hänsyn tas till skillnaderna i riskexponering för de berörda entiteterna, exempelvis den berörda entitetens kritikalitet, vilka risker den exponeras för, den berörda entitetens storlek och struktur samt sannolikheten för att incidenter ska inträffa och incidenternas allvarlighetsgrad, inbegripet deras samhälleliga och ekonomiska konsekvenser, vid uppfyllandet av de tekniska och metodologiska specifikationerna för riskhanteringsåtgärder för cybersäkerhet enligt bilagan till denna förordning.
Skäl 5 Compensating measures
Om berörda entiteter på grund av sin storlek inte kan genomföra vissa av de tekniska och metodologiska specifikationerna för riskhanteringsåtgärder för cybersäkerhet, bör dessa entiteter i enlighet med proportionalitetsprincipen kunna vidta andra kompenserande åtgärder som är lämpliga för att uppnå dessa specifikationers syften. Vid fastställandet av roller, ansvarsområden och befogenheter för säkerheten i nätverks- och informationssystem inom den berörda entiteten kan exempelvis entiteter av mikrostorlek anse det svårt att separera arbetsuppgifter och ansvarsområden som står i strid med varandra. Sådana entiteter bör kunna överväga kompenserande åtgärder, såsom riktad tillsyn av entitetens ledning eller utökad övervakning och loggning.
Skäl 6 Applicability of requirements
Vissa tekniska och metodologiska specifikationer som anges i bilagan till denna förordning bör tillämpas av de berörda entiteterna när så är lämpligt, om tillämpligt, eller i den mån det är genomförbart. Om en berörd entitet inte anser att det är lämpligt, tillämpligt eller genomförbart för den berörda entiteten att tillämpa vissa tekniska och metodologiska specifikationer enligt bilagan till denna förordning bör den berörda entiteten på ett begripligt sätt dokumentera sina skäl. Nationella behöriga myndigheter får, när de utövar sin tillsyn, beakta den tid som behövs för att de berörda entiteterna ska kunna genomföra de tekniska och metodologiska specifikationerna för riskhanteringsåtgärder för cybersäkerhet.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
risk
Definition
cybersäkerhet
(En. cybersecurity)
Definition
säkerhet i nätverks- och informationssystem
(En. security of network and information systems)
Definition
standard
Definition
entitet
(En. entity)
Definition
incident
Definition
nätverks- och informationssystem
(En. network and information system)
- Ett elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.
- En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.
- Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas.