Artikel 29 VO (EU) 2024/1366

(1) Innerhalb von sieben Monaten nach Vorlage des ersten Entwurfs des Berichts über die unionsweite Bewertung des Cybersicherheitsrisikos gemäß Artikel 19 Absatz 4 erarbeiten die ÜNB mit Unterstützung von ENTSO-E und in Zusammenarbeit mit der EU-VNBO einen Vorschlag für Mindest-Cybersicherheitskontrollen und erweiterte Cybersicherheitskontrollen.

(2) Innerhalb von sechs Monaten nach Erstellung jedes Berichts über die regionale Bewertung des Cybersicherheitsrisikos gemäß Artikel 21 Absatz 2 schlagen die ÜNB mit Unterstützung von ENTSO-E und in Zusammenarbeit mit der EU-VNBO der zuständigen Behörde eine Änderung der Mindest-Cybersicherheitskontrollen und der erweiterten Cybersicherheitskontrollen vor. Der Vorschlag wird im Einklang mit Artikel 8 Absatz 10 vorgelegt und muss den in der regionalen Risikobewertung ermittelten Risiken Rechnung tragen.

(3) Die Mindest-Cybersicherheitskontrollen und die erweiterten Cybersicherheitskontrollen müssen überprüft werden können; dazu werden sie entweder im Einklang mit dem Verfahren gemäß Artikel 31 in ein nationales Überprüfungssystem einbezogen oder Sicherheitsaudits durch unabhängige Dritte gemäß den in Artikel 25 Absatz 2 aufgeführten Anforderungen unterzogen.

(4) Die gemäß Absatz 1 entwickelten anfänglichen Mindest-Cybersicherheitskontrollen und erweiterten Cybersicherheitskontrollen müssen auf den Risiken beruhen, die in dem Bericht über die unionsweite Bewertung des Cybersicherheitsrisikos gemäß Artikel 19 Absatz 5 ermittelt wurden. Die gemäß Absatz 2 entwickelten geänderten Mindest-Cybersicherheitskontrollen und erweiterten Cybersicherheitskontrollen müssen auf dem in Artikel 21 Absatz 2 genannten Bericht über die regionale Bewertung des Cybersicherheitsrisikos beruhen.

(5) Die Mindest-Cybersicherheitskontrollen müssen im Einklang mit Artikel 46 Kontrollen zum Schutz der ausgetauschten Informationen umfassen.

(6) Innerhalb von 12 Monaten nach der Genehmigung der Mindest-Cybersicherheitskontrollen und der erweiterten Cybersicherheitskontrollen gemäß Artikel 8 Absatz 5 und nach jeder Aktualisierung gemäß Artikel 8 Absatz 10 wenden die in Artikel 2 Absatz 1 genannten Einrichtungen, die gemäß Artikel 24 als Einrichtungen mit erheblichen oder kritischen Auswirkungen eingestuft wurden, bei der Festlegung des Risikominderungsplans auf Ebene der Einrichtung gemäß Artikel 26 Absatz 5 innerhalb der Perimeter mit erheblichen Auswirkungen die Mindest-Cybersicherheitskontrollen und innerhalb der Perimeter mit kritischen Auswirkungen die erweiterten Cybersicherheitskontrollen an.