31.1.2018   

DE

Amtsblatt der Europäischen Union

L 26/48

(1)

Gemäß der Richtlinie (EU) 2016/1148 steht es den Anbietern digitaler Dienste frei, technische und organisatorische Maßnahmen zu ergreifen, die sie zur Bewältigung der Risiken für die Sicherheit ihrer Netz- und Informationssysteme für angemessen und verhältnismäßig halten, sofern diese Maßnahmen ein angemessenes Sicherheitsniveau gewährleisten und den in der Richtlinie vorgesehenen Elementen Rechnung tragen.

(2)

Bei der Ermittlung der angemessenen und verhältnismäßigen technischen und organisatorischen Maßnahmen sollten die Anbieter digitaler Dienste die Informationssicherheit systematisch nach einem risikobasierten Ansatz angehen.

(3)

Zur Gewährleistung der Sicherheit der Systeme und Anlagen sollten die Anbieter digitaler Dienste Bewertungs- und Analyseverfahren durchführen. Diese Tätigkeiten sollten das systematische Management der Netz- und Informationssysteme, die physische Sicherheit und die Sicherheit des Umfelds, die Versorgungssicherheit und die Kontrolle des Zugangs umfassen.

(4)

Bei der Durchführung einer Risikoanalyse im Rahmen des systematischen Managements der Netz- und Informationssysteme sollten Anbieter digitaler Dienste dazu angehalten werden, spezifische Risiken zu ermitteln und hinsichtlich ihrer Bedeutung zu quantifizieren, indem sie beispielsweise ermitteln, welche Gefährdungen für unentbehrliche Anlagen oder Wirtschaftsgüter bestehen und wie sich diese auf den Betrieb auswirken können, und indem sie bestimmen, wie diese Gefährdungen unter Berücksichtigung der vorhandenen Fähigkeiten und des Ressourcenbedarfs am besten eingedämmt werden können.

(5)

Maßnahmen im Bereich Humanressourcen könnten das Kompetenzmanagement betreffen, darunter auch Aspekte der sicherheitsrelevanten Kompetenzentwicklung und Bewusstseinsbildung. Bei der Entscheidung über geeignete Maßnahmen für die Betriebssicherheit sollten die Anbieter digitaler Dienste dazu angehalten werden, die Aspekte des Änderungs- und des Schwachstellenmanagements, der Formalisierung betrieblicher und administrativer Verfahren und der Systemerfassung und -abbildung zu berücksichtigen.

(6)

Die Maßnahmen im Bereich Sicherheitsarchitektur könnten insbesondere die Trennung von Netzen und Systemen sowie spezifische Sicherheitsvorkehrungen für unentbehrliche Tätigkeiten, wie beispielsweise administrative Tätigkeiten, umfassen. Die Trennung von Netzen und Systemen könnte die Anbieter digitaler Dienste in die Lage versetzen, zwischen Elementen wie Datenströmen und Rechenressourcen zu unterscheiden, die einem Kunden, einer Gruppe von Kunden, dem Anbieter digitaler Dienste selbst oder Dritten gehören.

(7)

Die mit Blick auf die physische Sicherheit und die Sicherheit des Umfelds getroffenen Maßnahmen sollten die Sicherheit der Netz- und Informationssysteme einer Organisation vor Schäden durch Vorfälle wie Diebstahl, Brand, Überschwemmung oder andere Wettereinflüsse sowie Telekommunikations- oder Stromausfälle gewährleisten.

(8)

Die Sicherheit der Versorgung, z. B. mit elektrischem Strom, Brenn- und Kraftstoffen oder Kühlung, könnte auch die Sicherheit der Lieferkette umfassen, darunter insbesondere die Sicherheit bei Dritten, die Auftragnehmer und Unterauftragnehmer sind, und deren Management. Die Rückverfolgbarkeit unentbehrlicher Güter oder Vorleistungen betrifft die Fähigkeit des Anbieters digitaler Dienste, die Herkunft dieser Güter oder Vorleistungen festzustellen und zu dokumentieren.

(9)

Die Nutzer digitaler Dienste sollten natürliche und juristische Personen umfassen, die Kunden oder Teilnehmer eines Online-Marktplatzes oder eines Cloud-Computing-Dienstes sind, oder die die Website einer Online-Suchmaschine besuchen, um Stichwortsuchen durchzuführen.

(10)

Bei der Definition der Erheblichkeit der Auswirkungen eines Sicherheitsvorfalls sollten die in dieser Verordnung genannten Fälle als nicht erschöpfende Liste erheblicher Sicherheitsvorfälle betrachtet werden. Es sollten Lehren aus der Durchführung dieser Verordnung und aus den Arbeiten der Kooperationsgruppe gemäß Artikel 11 Absatz 3 Buchstaben i und m der Richtlinie (EU) 2016/1148 in Bezug auf die Sammlung von Informationen über bewährte Verfahren bei Risiken und Sicherheitsvorfällen sowie in Bezug auf die Modalitäten für die Berichterstattung über die Meldung von Sicherheitsvorfällen gezogen werden. Hieraus könnten sich umfassende Leitlinien für quantitative Schwellenwerte für Meldungsparameter ergeben, die eine Meldepflicht von Anbietern digitaler Dienste gemäß Artikel 16 Absatz 3 der Richtlinie (EU) 2016/1148 auslösen können. Gegebenenfalls könnte die Kommission auch erwägen, die derzeit in dieser Verordnung festgelegten Schwellenwerte zu überprüfen.

(11)

Damit die zuständigen Behörden über potenzielle neue Risiken auf dem Laufenden bleiben, sollten die Anbieter digitaler Dienste dazu angehalten werden, jeglichen Sicherheitsvorfall freiwillig zu melden, der ihnen zuvor unbekannte Merkmale wie neue Exploits, Angriffsvektoren oder Angreifer, Anfälligkeiten und Gefahren aufweist.

(12)

Diese Verordnung sollte ab dem Tag gelten, der auf den Tag des Ablaufs der Frist für die Umsetzung der Richtlinie (EU) 2016/1148 folgt.

(13)

Die in dieser Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des gemäß Artikel 22 der Richtlinie (EU) 2016/1148 eingesetzten Ausschusses für die Sicherheit von Netz- und Informationssystemen —

a)

das systematische Management von Netz- und Informationssystemen, d. h. eine Erfassung und Abbildung der Informationssysteme und die Einführung einer Reihe von geeigneten Maßnahmen für das Management der Informationssicherheit, einschließlich Risikoanalyse, Humanressourcen, Betriebssicherheit, Sicherheitsarchitektur, Lebenszyklus-Management gesicherter Daten und Systeme sowie gegebenenfalls Verschlüsselung und Verschlüsselungsmanagement;

b)

die physische Sicherheit und die Sicherheit der Umgebung, d. h. das Vorhandensein einer Reihe von Vorkehrungen zum Schutz der Sicherheit der Netz- und Informationssysteme von Anbietern digitaler Dienste vor Schäden anhand eines risikobasierten Allgefahrenansatzes, der beispielsweise Systemversagen, menschliche Fehler, böswillige Handlungen oder Naturereignisse berücksichtigt;

c)

die Versorgungssicherheit, d. h. die Einführung und Aufrechterhaltung geeigneter Maßnahmen zur Gewährleistung der Zugänglichkeit und gegebenenfalls der Rückverfolgbarkeit unentbehrlicher Güter oder Vorleistungen, die für die Bereitstellung der Dienste genutzt werden;

d)

die Kontrolle des Zugangs zu Netz- und Informationssystemen, d. h. das Vorhandensein einer Reihe von Vorkehrungen, die gewährleisten, dass der physische und logische Zugang zu Netz- und Informationssystemen, einschließlich der administrativen Sicherheit der Netz- und Informationssysteme, auf der Grundlage von Geschäfts- und Sicherheitsanforderungen genehmigt bzw. eingeschränkt wird.

a)

Aufrechterhaltung und Erprobung von Erkennungsprozessen und -verfahren zur Gewährleistung einer rechtzeitigen und angemessenen Lageerfassung bei ungewöhnlichen Ereignissen;

b)

Prozesse und Vorgaben für die Meldung von Vorfällen und die Feststellung von Schwachstellen und Anfälligkeiten in ihren Informationssystemen;

c)

Reaktion gemäß den festgelegten Verfahren und Berichterstattung über die Ergebnisse der ergriffenen Maßnahme;

d)

Bewertung der Schwere des Sicherheitsvorfalls mit einer Dokumentierung der Erkenntnisse aus der Vorfallanalyse und einer Sammlung relevanter Informationen, die als Nachweis dienen können und einen kontinuierlichen Verbesserungsprozess fördern.

a)

die Erstellung und Anwendung von Notfallplänen auf der Grundlage einer Analyse der betrieblichen Auswirkungen zur Gewährleistung der Kontinuität der vom Anbieter digitaler Dienste erbrachten Leistungen, die regelmäßig bewertet und erprobt werden, z. B. anhand von Übungen;

b)

Wiederherstellungskapazitäten, die regelmäßig bewertet und erprobt werden, z. B. anhand von Übungen.

a)

Durchführung einer planmäßigen Abfolge von Kontrollen oder Messungen, um zu beurteilen, ob die Netz- und Informationssysteme bestimmungsgemäß funktionieren;

b)

Kontrolle und Überprüfung, um zu ermitteln, ob eine Norm oder ein Leitlinienkatalog befolgt wird, Aufzeichnungen korrekt sind und die Effizienz- und Wirksamkeitsvorgaben erfüllt werden;

c)

Prozess zur Feststellung von Mängeln in den Sicherheitsmechanismen eines Netz- und Informationssystems, die Daten schützen und Funktionen aufrechterhalten sollen. Ein solcher Prozess erstreckt sich auf die technischen Verfahren und das Personal, die in den Betriebsablauf eingebunden sind.

a)

Zahl der betroffenen natürlichen und juristischen Personen, mit denen ein Vertrag über die Bereitstellung des Dienstes abgeschlossen wurde, oder

b)

Zahl der betroffenen Nutzer, die den Dienst genutzt haben, wobei insbesondere frühere Verkehrsdaten zugrunde gelegt werden.

a)

der von einem Anbieter digitaler Dienste bereitgestellte Dienst war mehr als 5 000 000 Nutzerstunden lang nicht verfügbar, wobei sich der Begriff Nutzerstunde auf die Zahl der Nutzer in der Union bezieht, die während einer Dauer von sechzig Minuten betroffen waren;

b)

der Sicherheitsvorfall hat zu einem Verlust der Integrität, Authentizität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder der entsprechenden Dienste, die über ein Netz- und Informationssystem des Anbieters digitaler Dienste angeboten werden bzw. zugänglich sind, geführt, von dem mehr als 100 000 Nutzer in der Union betroffen sind;

c)

durch den Sicherheitsvorfall ist eine öffentliche Gefahr oder ein Risiko für die öffentliche Sicherheit entstanden oder es sind Menschen ums Leben gekommen;

d)

der Sicherheitsvorfall hat für mindestens einen Nutzer in der Union zu einem Sachschaden in Höhe von mehr als 1 000 000 EUR geführt.