Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2025, Datenschutz - EU Bund

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 114,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses ¹,

nach Anhörung des Ausschusses der Regionen,

gemäß dem ordentlichen Gesetzgebungsverfahren ²,

in Erwägung nachstehender Gründe:

(1) Durch die Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates ³ wird ein Rahmen für die Schaffung europäischer Schemata für die Cybersicherheitszertifizierung eingeführt, um für Produkte der Informations- und Kommunikationstechnologie (IKT), IKT-Dienste und IKT-Prozesse in der Union ein angemessenes Maß an Cybersicherheit zu gewährleisten und eine Fragmentierung des Binnenmarkts für Zertifizierungsschemata in der Union zu verhindern.

(2) Um sicherzustellen, dass die Union Cyberangriffen standhalten kann, und um Schwachstellen auf dem Binnenmarkt zu verhindern, soll mit dieser Verordnung der horizontale Rechtsrahmen für die Festlegung umfassender Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen gemäß der Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates ⁴ ergänzt werden, indem sie Sicherheitsziele für verwaltete Sicherheitsdienste sowie für deren Anwendung und die Vertrauenswürdigkeit dieser Dienste vorsieht.

(3) Verwaltete Sicherheitsdienste werden von Anbietern verwalteter Sicherheitsdienste im Sinne von Artikel 6 Nummer 40 der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates ⁵ erbracht. Die Begriffsbestimmung für verwaltete Sicherheitsdienste in dieser Verordnung sollte daher mit der Begriffsbestimmung für Anbieter verwalteter Sicherheitsdienste in der Richtlinie (EU) 2022/2555 im Einklang stehen. Diese Dienste bestehen in der Durchführung oder Unterstützung von Tätigkeiten im Zusammenhang mit dem Cybersicherheitsrisikomanagement ihrer Kunden und haben bei der Verhütung und Eindämmung von Vorfällen an Bedeutung gewonnen. Dementsprechend gelten die Anbieter dieser Dienste gemäß der Richtlinie (EU) 2022/2555 als wesentliche oder wichtige Einrichtungen, die zu einem Sektor mit hoher Kritikalität gehören. Nach Erwägungsgrund 86 der genannten Richtlinie spielen die Anbieter verwalteter Sicherheitsdienste in Bereichen wie Reaktion auf Sicherheitsvorfälle, Penetrationstests, Sicherheitsaudits und Beratung eine überaus wichtige Rolle, indem sie Einrichtungen bei deren Bemühungen um die Verhütung, Erkennung und Bewältigung von Sicherheitsvorfällen und bei der anschließenden Wiederherstellung unterstützen. Anbieter verwalteter Sicherheitsdienste sind jedoch auch selbst Ziel von Cyberangriffen geworden und stellen aufgrund ihrer engen Einbindung in die Betriebstätigkeit ihrer Kunden ein besonderes Risiko dar. Es ist daher wichtig, dass wesentliche und wichtige Einrichtungen im Sinne der Richtlinie (EU) 2022/2555 bei der Wahl von Anbietern verwalteter Sicherheitsdienste erhöhte Sorgfalt walten lassen.

(4) Die Begriffsbestimmung für verwaltete Sicherheitsdienste gemäß dieser Verordnung umfasst eine nicht erschöpfende Liste verwalteter Sicherheitsdienste, die für europäische Schemata für die Cybersicherheitszertifizierung infrage kommen könnten, darunter etwa die Bewältigung von Sicherheitsvorfällen, Penetrationstests, Sicherheitsaudits und Beratung im Zusammenhang mit technischer Unterstützung. Verwaltete Sicherheitsdienste könnten Cybersicherheitsdienste umfassen, die die Abwehrbereitschaft sowie die Prävention, Erkennung, Analyse und Eindämmung von, die Reaktion auf und die Wiederherstellung nach Vorfällen unterstützen. Auch die Bereitstellung von Informationen über Cyberbedrohungen und Risikoabschätzungen im Zusammenhang mit technischer Unterstützung könnten als verwaltete Sicherheitsdienste eingestuft werden. Für einzelne verwaltete Sicherheitsdienste könnte es verschiedene europäische Schemata für die Cybersicherheitszertifizierung geben. Die gemäß diesen Schemata ausgestellten europäischen Cybersicherheitszertifikate sollten sich auf bestimmte verwaltete Sicherheitsdienste eines bestimmten Anbieters dieser Dienste beziehen.