Art. 8 REG_2023_2841 – Maßnahmen zum Management von Cybersicherheitsrisiken

(1)Jede Einrichtung der Union ergreift unverzüglich, in jedem Fall aber bis zum 8. September 2025 unter der Aufsicht ihrer höchsten Managementebene geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen, um die im Rahmen des Rechtsrahmens ermittelten Cybersicherheitsrisiken zu bewältigen und um Sicherheitsvorfälle zu verhindern bzw. deren Auswirkungen zu minimieren. Unter Berücksichtigung des Stands der Technik und gegebenenfalls einschlägiger europäischer und internationaler Normen wird mit diesen Maßnahmen für ein Sicherheitsniveau von Netz- und Informationssystemen in der gesamten IKT-Umgebung gesorgt, das den bestehenden Cybersicherheitsrisiken gerecht wird. Bei der Bewertung der Verhältnismäßigkeit dieser Maßnahmen sind das Ausmaß der Exposition der Einrichtung der Union gegenüber Cybersicherheitsrisiken, ihre Größe und die Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen, wirtschaftlichen und institutionellen Auswirkungen, gebührend zu berücksichtigen.

(2)Bei der Durchführung von Maßnahmen zum Management von Cybersicherheitsrisiken müssen die Einrichtungen der Union mindestens die folgenden Bereiche berücksichtigen: a) Cybersicherheitsstrategie, einschließlich der Maßnahmen, die zur Verwirklichung der in Artikel 6 und in Absatz 3 des vorliegenden Artikels genannten Ziele und Prioritäten erforderlich sind, b) Strategien für die Analyse von Cybersicherheitsrisiken und die Sicherheit von Informationssystemen, c) Strategische Grundsätze in Bezug auf die Nutzung von Cloud-Computing-Diensten, d) gegebenenfalls eine Cybersicherheitsprüfung, die eine Bewertung des Cybersicherheitsrisikos, der Anfälligkeit und der Cyberbedrohung sowie regelmäßig von einem vertrauenswürdigen privaten Anbieter durchgeführte Penetrationstests umfassen kann, e) Umsetzung der Empfehlungen, die sich aus den unter Buchstabe d genannten Cybersicherheitsprüfungen ergeben, durch Aktualisierungen im Bereich der Cybersicherheit und der Strategie, f) Organisation der Cybersicherheit, einschließlich Festlegung der Aufgaben und Zuständigkeiten, g) Verwaltung der Vermögenswerte, einschließlich IKT-Bestandsverzeichnis und IKT-Netzkartografie, h) Sicherheit des Personals und Zugangskontrolle, i) Betriebssicherheit, j) Kommunikationssicherheit, k) Beschaffung, Entwicklung und Wartung von Systemen, einschließlich Vorgaben zur Bewältigung und Offenlegung von Sicherheitslücken, l) wenn möglich, Strategie zur Transparenz des Quellcodes, m) Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte im Zusammenhang mit den Beziehungen zwischen den einzelnen Einrichtungen der Union und ihren direkten Anbietern oder Dienstleistern, n) Bewältigung von Sicherheitsvorfällen und Zusammenarbeit mit dem CERT-EU, z. B. bei der Aufrechterhaltung der Sicherheitsüberwachung und -protokollierung, o) Kontinuitätsmanagement, etwa Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement, p) Förderung und Entwicklung von Ausbildungs-, Kompetenz-, Aufklärungs-, Übungs- und Schulungsprogrammen im Bereich der Cybersicherheit. Die Einrichtungen der Union müssen für die Zwecke von Unterabsatz 1 Buchstabe m die spezifischen Schwachstellen der einzelnen direkten Anbieter und Dienstleister und die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Dienstleister, einschließlich ihrer sicheren Entwicklungsprozesse, berücksichtigen.

(3)Die Einrichtungen der Union müssen mindestens die folgenden spezifischen Maßnahmen zum Management von Cybersicherheitsrisiken ergreifen: a) technische Vorkehrungen zur Ermöglichung und Aufrechterhaltung der Telearbeit, b) konkrete Schritte für den Übergang zu Zero-Trust-Grundsätzen, c) Verwendung der Multifaktor-Authentifizierung als Norm in allen Netz- und Informationssystemen, d) Verwendung von Kryptografie und Verschlüsselung, insbesondere von Ende-zu-Ende-Verschlüsselung sowie von sicheren digitalen Signaturen, e) erforderlichenfalls Einsatz von gesicherter Sprach-, Video- und Textkommunikation und gesicherter Notrufkommunikationssysteme innerhalb der Einrichtung, f) proaktive Maßnahmen zur Erkennung und Entfernung von Schadsoftware und Spähsoftware, g) Schaffung von Sicherheit in der Software-Lieferkette durch Kriterien für sichere Entwicklung und Bewertung von Software, h) Erstellung und Annahme von Schulungsprogrammen zur Cybersicherheit, die den vorgeschriebenen Aufgaben und den erwarteten Fähigkeiten der höchsten Managementebene und der Bediensteten der Einrichtung der Union, die mit der wirksamen Durchführung dieser Verordnung betraut sind, gerecht werden, i) regelmäßige Cybersicherheitsschulungen für Mitarbeiter, j) Beteiligung an Risikoanalysen zur Interkonnektivität zwischen den Einrichtungen der Union, wo relevant, k) Erweiterung der Vorschriften für die Auftragsvergabe, um ein hohes gemeinsames Cybersicherheitsniveau zu begünstigen, und zwar durch i) die Beseitigung vertraglicher Hindernisse, die den Informationsaustausch der IKT-Dienstleister über Sicherheitsvorfälle, Schwachstellen und Cyberbedrohungen mit dem CERT-EU einschränken, ii) vertragliche Pflichten zur Meldung von Sicherheitsvorfällen, Schwachstellen und Cyberbedrohungen sowie zur Einrichtung geeigneter Mechanismen zur Bewältigung und Überwachung von Sicherheitsvorfällen.

Quelle: © Europäische Union, https://eur-lex.europa.eu · konsolidierte Fassung, Stand: 18.12.2023

Diese Seite zeigt die aktuelle Fassung (Quelle: © Europäische Union, https://eur-lex.europa.eu). Für tagesaktuelle, zitiersichere Abfragen lässt sich Art. 8 REG_2023_2841 und jede andere deutsche oder europäische Rechtsquelle live per Lawbster-MCP abrufen.

Kann ich Art. 8 REG_2023_2841 direkt in ChatGPT oder Claude abfragen?

Ja. Über Lawbster (MCP-Server) greifen KI-Assistenten wie Claude, ChatGPT, Cursor und Copilot Studio — oder eigene Anwendungen per REST-API — direkt auf den tagesaktuellen Volltext deutscher und europäischer Gesetze, Verordnungen und Gerichtsentscheidungen zu. Free-Tier verfügbar.

Diese Norm ist Teil von Lawbster — verifizierte deutsche und europäische Gesetze, Verordnungen und Gerichtsentscheidungen, live in jedem KI-Assistenten per MCP (Claude, ChatGPT, Cursor, Copilot Studio u. a.) oder über die REST-API. API-Key holen.