Artikel 32 VO (EU) 2024/1366

(1) Innerhalb von 24 Monaten, nachdem sie von der zuständigen Behörde darüber unterrichtet wurde, dass sie gemäß Artikel 24 Absatz 6 als Einrichtung mit erheblichen oder kritischen Auswirkungen eingestuft wurde, richtet jede Einrichtung mit erheblichen oder kritischen Auswirkungen ein Cybersicherheitsmanagementsystem ein, das sie danach alle drei Jahre überprüft, um

a)

den Umfang des Cybersicherheitsmanagementsystems unter Berücksichtigung von Schnittstellen und Abhängigkeiten mit anderen Einrichtungen festzulegen;

b)

sicherzustellen, dass die gesamte obere Führungsebene über einschlägige rechtliche Verpflichtungen informiert ist und durch rechtzeitige Entscheidungen und rasche Reaktionen aktiv zur Umsetzung des Cybersicherheitsmanagementsystems beiträgt;

c)

sicherzustellen, dass die für das Cybersicherheitsmanagementsystem erforderlichen Ressourcen zur Verfügung stehen;

d)

ein Cybersicherheitskonzept festzulegen, das dokumentiert und innerhalb der Einrichtung sowie den von den Sicherheitsrisiken betroffenen Parteien bekannt gegeben wird;

e)

Zuständigkeiten für Aufgaben, die für die Cybersicherheit relevant sind, zuzuweisen und bekannt zu geben;

f)

das Cybersicherheitsrisikomanagement auf der Ebene der Einrichtungen gemäß Artikel 26 durchzuführen;

g)

die für die Umsetzung, Pflege und kontinuierliche Verbesserung des Cybersicherheitsmanagementsystems erforderlichen Ressourcen festzulegen und bereitzustellen, wobei die erforderlichen Kompetenzen und die Sensibilisierung für Cybersicherheitsressourcen zu berücksichtigen sind;

h)

die für die Cybersicherheit relevante interne und externe Kommunikation festzulegen;

i)

dokumentierte Informationen im Zusammenhang mit dem Cybersicherheitsmanagementsystem zu erstellen, zu aktualisieren und zu kontrollieren;

j)

die Ergebnisse und Wirksamkeit des Cybersicherheitsmanagementsystems zu beurteilen;

k)

in geplanten Zeitabständen interne Audits durchzuführen, um sicherzustellen, dass das Cybersicherheitsmanagementsystem wirksam umgesetzt und gepflegt wird;

l)

die Umsetzung des Cybersicherheitsmanagementsystems in geplanten Zeitabständen zu überprüfen und Abweichungen der Ressourcen und Tätigkeiten von den Konzepten, Verfahren und Leitlinien des Cybersicherheitsmanagementsystems zu kontrollieren und zu beheben.

(2) Der Anwendungsbereich des Cybersicherheitsmanagementsystems der Einrichtung mit erheblichen oder kritischen Auswirkungen umfasst alle Vermögenswerte innerhalb ihres Perimeters mit erheblichen oder kritischen Auswirkungen.

(3) Die zuständigen Behörden regen an, für die Sicherheit von Netz- und Informationssystemen relevante europäische oder internationaler Normen und Spezifikationen anzuwenden, ohne dabei die Nutzung einer bestimmten Technologie vorzuschreiben oder zu begünstigen.