Artikel 33 VO (EU) 2024/1366

(1) Innerhalb von sieben Monaten nach Vorlage des ersten Entwurfs des Berichts über die unionsweite Bewertung des Cybersicherheitsrisikos gemäß Artikel 19 Absatz 4 erarbeiten die ÜNB mit Unterstützung von ENTSO-E und in Zusammenarbeit mit der EU-VNBO einen Vorschlag für Mindest-Cybersicherheitskontrollen und erweiterte Cybersicherheitskontrollen in der Lieferkette, mit denen die in den unionsweiten Bewertungen des Cybersicherheitsrisikos ermittelten Risiken für die Lieferketten gemindert werden, um die gemäß Artikel 29 entwickelten Mindest-Cybersicherheitskontrollen und erweiterten Cybersicherheitskontrollen zu ergänzen. Die Mindest-Cybersicherheitskontrollen und die erweiterten Cybersicherheitskontrollen in der Lieferkette werden zusammen mit den Mindest-Cybersicherheitskontrollen und erweiterten Cybersicherheitskontrollen gemäß Artikel 29 entwickelt. Die Mindest-Cybersicherheitskontrollen und die erweiterten Cybersicherheitskontrollen in der Lieferkette erstrecken sich auf den gesamten Lebenszyklus aller IKT-Produkte, -Dienste und -Prozesse einer Einrichtung mit erheblichen oder kritischen Auswirkungen innerhalb ihrer Perimeter mit erheblichen oder kritischen Auswirkungen. Bei der Entwicklung des Vorschlags für Mindest-Cybersicherheitskontrollen und erweiterte Cybersicherheitskontrollen in der Lieferkette wird die NIS-Kooperationsgruppe konsultiert.

(2) Die Mindest-Cybersicherheitskontrollen in der Lieferkette bestehen aus Kontrollen für Einrichtungen mit erheblichen oder kritischen Auswirkungen, die

a)

auf Cybersicherheitsspezifikationen bezogene Empfehlungen für die Beschaffung von IKT-Produkten, -Diensten und -Prozessen enthalten und mindestens Folgendes abdecken:

i)

Zuverlässigkeitsüberprüfungen der Mitarbeiter des Anbieters, die an der Lieferkette beteiligt sind und sich mit sensiblen Informationen befassen oder Zugang zu Vermögenswerten mit erheblichen oder kritischen Auswirkungen der Einrichtung haben. Die Zuverlässigkeitsüberprüfung kann eine Überprüfung der Identität und des Hintergrunds von Mitarbeitern oder Auftragnehmern einer Einrichtung im Einklang mit den nationalen Rechtsvorschriften und Verfahren sowie dem einschlägigen und geltenden Unionsrecht umfassen, einschließlich der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates⁽¹⁾. Zuverlässigkeitsüberprüfungen müssen verhältnismäßig und strikt auf das Notwendige beschränkt sein. Sie werden ausschließlich zum Zweck der Bewertung eines potenziellen Sicherheitsrisikos für die betreffende Einrichtung durchgeführt. Sie müssen in einem angemessenen Verhältnis zu den Geschäftserfordernissen, der Klassifizierung der einzusehenden Informationen und den wahrgenommenen Risiken stehen und können von der Einrichtung selbst, einem externen Unternehmen, das ein Screening durchführt, oder durch staatliches Clearing vorgenommen werden;

ii)

die Prozesse für eine sichere und kontrollierte Gestaltung, Entwicklung und Herstellung von IKT-Produkten, -Diensten und -Prozessen, die Förderung der Gestaltung und Entwicklung von IKT-Produkten, -Diensten und -Prozessen, die geeignete technische Maßnahmen zur Gewährleistung der Cybersicherheit umfassen;

iii)

die Gestaltung von Netz- und Informationssystemen, in denen Geräte selbst dann nicht als vertrauenswürdig gelten, wenn sie sich in einem sicheren Perimeter befinden, eine Überprüfung aller eingegangenen Anfragen erfordern und das Prinzip der minimalen Berechtigung angewandt wird;

iv)

den Zugang des Anbieters zu den Vermögenswerten der Einrichtung;

v)

die vertraglichen Verpflichtungen des Anbieters zum Schutz sensibler Informationen der Einrichtung und zur Beschränkung des Zugangs zu diesen Informationen;

vi)

die zugrunde liegenden Spezifikationen für die Cybersicherheit bei der Auftragsvergabe an Unterauftragnehmer des Anbieters;

vii)

die Rückverfolgbarkeit der Anwendung der Cybersicherheitsspezifikationen von der Entwicklung über die Produktion bis zur Bereitstellung von IKT-Produkten, -Diensten oder -Prozessen;

viii)

die Unterstützung von Sicherheitsaktualisierungen während der gesamten Lebensdauer von IKT-Produkten, -Diensten oder -Prozessen;

ix)

das Recht auf Prüfung der Cybersicherheit in den Konzeptions-, Entwicklungs- und Produktionsprozessen des Anbieters sowie

x)

die Bewertung des Risikoprofils des Anbieters;

b)

diese Einrichtungen dazu verpflichten, die unter Buchstabe a genannten Empfehlungen für die Auftragsvergabe zu berücksichtigen, wenn sie Verträge mit Anbietern, Kooperationspartnern und anderen Parteien in der Lieferkette schließen, sowohl in Bezug auf normale Lieferungen von IKT-Produkten, -Diensten und -Prozessen als auch in Bezug auf ungeplante Ereignisse und Umstände wie die Kündigung und den Übergang von Verträgen im Falle von Fahrlässigkeit des Vertragspartners;

c)

diese Einrichtungen dazu verpflichten, die Ergebnisse einschlägiger koordinierter Sicherheitsrisikobewertungen kritischer Lieferketten gemäß Artikel 22 Absatz 1 der Richtlinie (EU) 2022/2555 zu berücksichtigen;

d)

Kriterien für die Auswahl von Anbietern und die Auftragsvergabe an Anbieter enthalten, die die unter Buchstabe a genannten Cybersicherheitsspezifikationen erfüllen können und über ein Maß an Cybersicherheit verfügen, das den Cybersicherheitsrisiken des vom Anbieter bereitgestellten IKT-Produkts, -Dienstes oder -Prozesses angemessen ist;

e)

Kriterien für die Diversifizierung der Bezugsquellen für IKT-Produkte, -Dienste und -Prozesse und zur Verringerung des Risikos eines Anbieter-Lock-ins enthalten;

f)

Kriterien für die regelmäßige Überwachung, Überprüfung oder Prüfung der Cybersicherheitsspezifikationen für interne Betriebsprozesse des Anbieters während des gesamten Lebenszyklus jedes IKT-Produkts, -Dienstes und -Prozesses enthalten.

(3) Für die Cybersicherheitsspezifikationen in der in Absatz 2 Buchstabe a genannten Empfehlung zur Cybersicherheit bei der Auftragsvergabe wenden Einrichtungen mit erheblichen oder kritischen Auswirkungen im Einklang mit Artikel 35 Absatz 4 die Grundsätze der Auftragsvergabe aus der Richtlinie 2014/24/EU des Europäischen Parlaments und des Rates⁽²⁾ an oder legen ihre eigenen Spezifikationen auf der Grundlage der Ergebnisse der Bewertung des Cybersicherheitsrisikos auf der Ebene der Einrichtung fest.

(4) Die erweiterten Cybersicherheitskontrollen in der Lieferkette müssen Kontrollen für Einrichtungen mit kritischen Auswirkungen umfassen, um bei der Auftragsvergabe zu überprüfen, ob IKT-Produkte, -Dienste und -Prozesse, die als Vermögenswerte mit kritischen Auswirkungen verwendet werden sollen, den Cybersicherheitsspezifikationen entsprechen. Das IKT-Produkt, der IKT-Dienst oder der IKT-Prozess wird entweder durch ein europäisches Schema für die Cybersicherheitszertifizierung gemäß Artikel 31 oder mit von der Einrichtung ausgewählten und organisierten Überprüfungsmaßnahmen überprüft. Die Überprüfungsmaßnahmen müssen ausreichend gründlich und umfassend sein, um zu gewährleisten, dass das IKT-Produkt, der IKT-Dienst oder der IKT-Prozess genutzt werden kann, um die in der Risikobewertung auf Ebene der Einrichtung ermittelten Risiken zu mindern. Die Einrichtung mit kritischen Auswirkungen dokumentiert die Maßnahmen zur Verringerung der ermittelten Risiken.

(5) Die Mindest-Cybersicherheitskontrollen und die erweiterten Cybersicherheitskontrollen in der Lieferkette gelten für die Beschaffung relevanter IKT-Produkte, -Dienste und -Prozesse. Die Mindest-Cybersicherheitskontrollen und die erweiterten Cybersicherheitskontrollen in der Lieferkette gelten für Einrichtungen, die gemäß Artikel 24 als Einrichtungen mit kritischen oder erheblichen Auswirkungen ermittelt wurden, bei der Auftragsvergabe ab sechs Monaten nach der Annahme oder Aktualisierung der Mindest-Cybersicherheitskontrollen und der erweiterten Cybersicherheitskontrollen gemäß Artikel 29.

(6) Innerhalb von sechs Monaten nach Erstellung jedes Berichts über die regionale Bewertung des Cybersicherheitsrisikos gemäß Artikel 21 Absatz 2 schlagen die ÜNB mit Unterstützung von ENTSO-E und in Zusammenarbeit mit der EU-VNBO der zuständigen Behörde eine Änderung der Mindest-Cybersicherheitskontrollen und der erweiterten Cybersicherheitskontrollen in der Lieferkette vor. Der Vorschlag wird im Einklang mit Artikel 8 Absatz 10 vorgelegt und muss den in der regionalen Risikobewertung ermittelten Risiken Rechnung tragen.