Artikel 13 VO (EU) 2026/255
Sicherheitsanforderungen
(1) IIP und RRM richten Strategien, Verfahren und Vorkehrungen für die physische und elektronische Sicherheit ein, die auf bewährten Verfahren beruhen und mit international anerkannten Standards im Einklang stehen, und halten diese aufrecht. Diese Strategien, Verfahren und Vorkehrungen sind so konzipiert, dass sie
- a)
- die IT-Systeme der IIP und RRM vor Missbrauch oder unbefugtem Zugriff schützen,
- b)
- die Risiken eines Sicherheitsvorfalls, der die Sicherheit von Informationssystemen gemäß der Definition in Artikel 6 Absatz 6 der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates(1) beeinträchtigt, minimiert werden,
- c)
- die unbefugte Offenlegung vertraulicher Informationen, die von IIP-Kunden und RRM-Kunden an die IIP oder den RRM und von der IIP oder dem RRM an die Agentur übermittelt werden, verhindern,
- d)
- die Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Zurechenbarkeit und Zuverlässigkeit der im IIP- und RRM-System verarbeiteten Informationen gewährleisten und im Falle von IIP verhindern, dass die verarbeiteten Informationen vor ihrer Veröffentlichung bekannt werden,
- e)
- die Nichtabstreitbarkeit durch elektronische Signaturen oder Zertifikate oder durch andere Mechanismen, die ein gleichwertiges Maß an Nichtabstreitbarkeit bieten, gewährleisten.
(2) IIP und RRM legen die Anforderungen an Datenzugriffsberechtigungen, den Zweck und den Umfang des Datenzugriffs sowie etwaige Beschränkungen für die Nutzung der Daten fest. Sie richten Sicherheitsmechanismen ein und halten diese aufrecht, um die in Absatz 1 genannten Risiken unverzüglich zu erkennen und zu bewältigen, darunter:
- a)
- ein sicheres Umfeld für die Erhebung und Verwaltung von Daten von IIP-Kunden und RRM-Kunden sowie für die Übermittlung von Meldungen von Insider-Informationen und die Meldung von Datenaufzeichnungen an die Agentur,
- b)
- Anwendungsschnittstellen gemäß den Vorgaben der Agentur,
- c)
- eine von der Agentur festgelegte geschützte, separate Netzverbindung mit der Agentur.
(3) Antragsteller können die Einhaltung einer der in Absatz 1 genannten physischen und elektronischen Sicherheitsanforderungen nachweisen, indem sie der Agentur ein gültiges Zertifikat entsprechend der Normenreihe ISO/IEC 27000 über Informationssicherheits-Managementsysteme oder gleichwertige Zertifizierungen vorlegen. Die Agentur kann die Antragsteller um weitere Klarstellungen in Bezug auf die erteilte Zertifizierung und um eine Aktualisierung dieser Zertifizierung nach ihrem Ablaufdatum ersuchen.
Fußnote(n):
- (1)
Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) (ABl. L 333 vom 27.12.2022, S. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).
© Europäische Union 1998-2021
Tipp: Verwenden Sie die Pfeiltasten der Tastatur zur Navigation zwischen Normen.