Artikel 38 VO (EU) 2024/1366

(1) Jede Einrichtung mit erheblichen oder kritischen Auswirkungen

a)

richtet für alle Vermögenswerte innerhalb ihres gemäß Artikel 26 Absatz 4 Buchstabe c bestimmten Cybersicherheitsperimeters mindestens die CSOC-Kapazitäten ein, um

i)

sicherzustellen, dass die einschlägigen Netz- und Informationssysteme und -anwendungen Sicherheitsprotokolle für die Sicherheitsüberwachung umfassen, damit Anomalien erkannt und Informationen über Cyberangriffe erhoben werden können;

ii)

die Sicherheitsüberwachung durchzuführen, einschließlich der Erkennung eines Eindringens und der Bewertung von Schwachstellen von Netz- und Informationssystemen;

iii)

zu analysieren und erforderlichenfalls im Rahmen ihrer Zuständigkeit und Kapazitäten alle für den Schutz der Einrichtung erforderlichen Maßnahmen zu ergreifen;

iv)

sich an der in diesem Artikel beschriebenen Erhebung und Weitergabe von Informationen zu beteiligen;

b)

ist berechtigt, sich diese Kapazitäten gemäß Buchstabe a ganz oder teilweise über MSSP zu beschaffen. Einrichtungen mit kritischen oder erheblichen Auswirkungen bleiben für die MSSP verantwortlich und überwachen deren Bemühungen;

c)

benennt für den Informationsaustausch eine zentrale Anlaufstelle auf Ebene der Einrichtung.

(2) Die ENISA kann im Rahmen der in Artikel 6 Absatz 2 der Verordnung (EU) 2019/881 festgelegten Aufgabe unverbindliche Leitlinien für die Einrichtung solcher Kapazitäten oder die Vergabe von Unteraufträgen an MSSP für die Erbringung des Dienstes herausgeben.

(3) Jede Einrichtung mit kritischen oder erheblichen Auswirkungen teilt ihren CSIRTs und der für sie zuständigen Behörde relevante Informationen im Zusammenhang mit einem meldepflichtigen Cyberangriff unverzüglich, spätestens jedoch vier Stunden, nachdem ihr bekannt wurde, dass der Sicherheitsvorfall meldepflichtig ist, mit.

(4) Informationen im Zusammenhang mit einem Cyberangriff gelten als meldepflichtig, wenn der Cyberangriff bei der Bewertung durch die betroffene Einrichtung nach der Klassifizierungsmethode für Cyberangriffe gemäß Artikel 37 Absatz 8 als „erheblich” bis „kritisch” eingestuft wird. Die gemäß Absatz 1 Buchstabe c benannte zentrale Anlaufstelle auf Ebene der Einrichtung teilt die Einstufung des Sicherheitsvorfalls mit.

(5) Übermitteln Einrichtungen mit kritischen oder erheblichen Auswirkungen relevante Informationen zu aktiv ausgenutzten Schwachstellen ohne Patch an ein CSIRT, so kann dieses diese Informationen an die für das CSIRT zuständige Behörde weiterleiten. Je nach Sensibilität der gemeldeten Informationen kann das CSIRT die Informationen aus triftigen cybersicherheitsbezogenen Gründen zurückhalten oder zeitverzögert übermitteln.

(6) Jede Einrichtung mit kritischen oder erheblichen Auswirkungen stellt ihren CSIRTs unverzüglich alle Informationen im Zusammenhang mit einer meldepflichtigen Cyberbedrohung bereit, die grenzüberschreitende Auswirkungen haben könnte. Informationen im Zusammenhang mit einer Cyberbedrohung gelten als meldepflichtig, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

a)

Sie umfassen relevante Informationen für die Verhütung, Erkennung, Behandlung oder Minderung der Auswirkungen des Risikos durch andere Einrichtungen mit kritischen oder erheblichen Auswirkungen;

b)

die ermittelten, im Zusammenhang mit einem Angriff genutzten Vorgehensweisen, Taktiken und Verfahren sind mit Informationen wie kompromittierten URL-Adressen oder IP-Adressen, Hashs oder anderen Attributen verbunden, die für die Kontextualisierung und Zuordnung des Angriffs nützlich sind;

c)

eine Cyberbedrohung kann weiter bewertet und mit zusätzlichen Informationen verknüpft werden, die von Dienstanbietern oder Dritten, die nicht dieser Verordnung unterliegen, bereitgestellt werden.

(7) Jede Einrichtung mit kritischen oder erheblichen Auswirkungen gibt beim Austausch von Informationen gemäß diesem Artikel an,

a)

dass die Informationen gemäß dieser Verordnung übermittelt werden;

b)

ob die Informationen Folgendes betreffen:

i)

einen meldepflichtigen Cyberangriff gemäß Absatz 3;

ii)

nicht öffentlich bekannte aktiv ausgenutzte Schwachstellen ohne Patch gemäß Absatz 4;

iii)

eine meldepflichtige Cyberbedrohung gemäß Absatz 5;

c)

im Falle eines meldepflichtigen Cyberangriffs, welchen Grad der Cyberangriff nach der in Artikel 37 Absatz 8 genannten Klassifizierungsmethode für Cyberangriffe aufweist und welche Informationen zu dieser Einstufung geführt haben, einschließlich mindestens der Kritikalität des Cyberangriffs.

(8) Meldet eine Einrichtung mit kritischen oder erheblichen Auswirkungen einen erheblichen Sicherheitsvorfall gemäß Artikel 23 der Richtlinie (EU) 2022/2555 und enthält die Meldung des Sicherheitsvorfalls nach dem genannten Artikel einschlägige Informationen gemäß Absatz 3 des vorliegenden Artikels, so gilt die Meldung der Einrichtung nach Artikel 23 Absatz 1 der genannten Richtlinie auch als Meldung von Informationen gemäß Absatz 3 des vorliegenden Artikels.

(9) Jede Einrichtung mit kritischen oder erheblichen Auswirkungen erstattet der für sie zuständigen Behörde oder dem CSIRT Bericht, wobei sie klar angibt, welche Informationen nur an die zuständige Behörde oder das CSIRT übermittelt werden dürfen, wenn der Informationsaustausch die Quelle eines Cyberangriffs sein könnte. Jede Einrichtung mit kritischen oder erheblichen Auswirkungen hat das Recht, dem zuständigen CSIRT eine nichtvertrauliche Fassung der Informationen zur Verfügung zu stellen.