Dekret Nr. 82 / 2018 Coll.
Verordnung über Sicherheitsmaßnahmen, Cybersicherheitsvorfälle, reaktive Maßnahmen, Verfahrensformalitäten im Bereich Cybersicherheit und Datenvernichtung (Verordnung über Cybersicherheit)
Gültig
In Kraft seit 28.05.2018
Zobrazeno prvních 200 z celkem 899 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
82.
ERKLÄRUNG
vom 21. Mai 2018
über Sicherheitsmaßnahmen, Cybersicherheitsvorfälle, reaktive Maßnahmen, Verfahrensformalitäten im Bereich Cybersicherheit und Datenvernichtung (Cyber Security Order)
Das National Bureau of Cyber and Information Security legt gemäß Artikel 28 Absatz 2 Buchstaben a bis d und f des Gesetzes Nr. 181 / 2014 Slg., über Cyber Security und über die Änderung der verwandten Gesetze (Cyber Security Act), geändert durch Gesetz Nr. 104 / 2017 Slg. und Gesetz Nr. 205 / 2017 Slg., ("das Gesetz") fest:
EINLEITUNG
Gegenstand
Diese Verordnung setzt die jeweilige Verordnung der Europäischen Union1 und das Critical Information Infrastructure Information System, Critical Information Infrastructure Communication System, Significant Information System, Basic Service Information System oder Electronic Communications System, das vom Digital Service Provider (nachfolgend als Informations- und Kommunikationssystem bezeichnet) verwendet wird, um
a) Inhalt und Struktur der Sicherheitsdokumentation;
b) Inhalt und Umfang der Sicherheitsmaßnahmen;
c) Arten, Kategorien und Bewertungen der Bedeutung von Cybersicherheitsvorfällen;
d) die Formalitäten und Mittel zur Meldung eines Cybersicherheitsvorfalls;
e) Angaben zur Notifizierung der Durchführung der reaktiven Maßnahme und ihres Ergebnisses;
f) ein Modell für die Meldung von Kontaktdaten und dessen Form; und
g) die Art und Weise, wie die Daten, Betriebsdaten, Informationen und Kopien davon entsorgt werden.
Definition der Begriffe
Im Sinne dieses Erlasses:
a) der Verwalter der Person, die das Management, den Betrieb, die Nutzung, die Wartung und die Sicherheit des technischen Vermögens bereitstellt;
b) ein akzeptables Risiko, das für die Behörde oder Person akzeptabel ist, die zur Einführung von gesetzeskonformen Sicherheitsmaßnahmen verpflichtet ist (nachstehend als "zuständige Person" bezeichnet) und von anderen Sicherheitsmaßnahmen nicht verwaltet werden muss;
c) die Sicherheitspolitik eine Reihe von Grundsätzen und Regeln, die die Art und Weise bestimmen, wie der Schutz des Vermögens gewährleistet ist;
d) Risikobewertung des Gesamtverfahrens zur Identifizierung, Analyse und Bewertung von Risiken;
e) eine Bedrohung für die potenzielle Ursache eines Cyber-Sicherheitsvorfalls oder eines Cyber-Sicherheitsvorfalls, der Schaden verursachen kann;
f) ein technisches Vermögen, Personal und Lieferanten, die an dem Betrieb, der Entwicklung, der Verwaltung oder der Sicherheit des Informations- und Kommunikationssystems beteiligt sind;
(g) der primäre Vermögenswert ist die Information oder Dienstleistung, die er verarbeitet oder dem Informations- und Kommunikationssystem zur Verfügung stellt;
h) das Risiko einer Bedrohung, die die Verwundbarkeit des Vermögens ausnutzt und Schäden verursacht;
— Risikomanagementtätigkeiten mit Risikobewertung, Auswahl und Durchführung von Risikomanagementmaßnahmen, gemeinsame Risikoinformationen und Überwachung und Risikoüberprüfung;
(j) das Informationssicherheitsmanagementsystem Teil des Managementsystems des verpflichteten Unternehmens auf der Grundlage des Zugangs zu den Risiken des Informations- und Kommunikationssystems, das die Einrichtung, Durchführung, Betrieb, Überwachung, Überprüfung, Wartung und Verbesserung der Informations- und Datensicherheit vorsieht;
(k) den technischen Wert solcher technischen Geräte, Kommunikationsmittel und Software des Informations- und Kommunikationssystems und der Objekte, in denen sich solche Systeme befinden, deren Ausfall Auswirkungen auf das Informations- und Kommunikationssystem haben kann;
(l) durch einen Nutzer, eine natürliche oder juristische Person oder eine öffentliche Behörde, die Vermögenswerte verwendet;
(m) Oberleitung der Person oder Gruppe von Personen unter der Leitung des Verpflichteten oder der gesetzlichen Behörde des Verpflichteten;
(n) ein wichtiger Lieferant des Informations- oder Kommunikationsnetzbetreibers (nachfolgend "der Betreiber" genannt) und jeder, der mit dem für die Sicherheit des Informations- und Kommunikationssystems relevanten Verantwortlichen in ein Rechtsverhältnis eingeht;
(o) eine signifikante Veränderung, die Auswirkungen auf die Cybersicherheit hat oder haben kann und ein hohes Risiko darstellt;
(p) eine Schwachstelle des Vermögens oder einen Schwachpunkt einer Sicherheitsmaßnahme, die durch eine oder mehrere Bedrohungen missbraucht werden kann.
SICHERHEITSMASSNAHMEN
ORGANISATIONMASSNAHMEN
Informationssicherheitsmanagementsystem
Pflichtperson unter dem Informationssicherheitsmanagementsystem
a) unter Berücksichtigung der Anforderungen der betroffenen Parteien und der Organisationssicherheit den Geltungsbereich des Informationssicherheitsmanagementsystems, in dem es die organisatorischen Teile und Vermögenswerte des Informationssicherheitsmanagementsystems identifiziert;
b) die Ziele des Informationssicherheitsmanagementsystems festlegen;
c) angemessene Sicherheitsmaßnahmen für den definierten Umfang des Informationssicherheitsmanagementsystems auf der Grundlage der Ziele des Informationssicherheitsmanagementsystems, der Sicherheitsanforderungen und der Risikobewertung durchzuführen;
d) die Risiken gemäß Artikel 5 verwalten;
e) eine Sicherheitspolitik im Bereich des Informationssicherheitsmanagementsystems, die Leitlinien, Ziele, Sicherheitsanforderungen, Rechte und Pflichten im Zusammenhang mit dem Informationssicherheitsmanagement enthält, und auf der Grundlage der Sicherheitsanforderungen und der Ergebnisse der Risikobewertung eine Sicherheitspolitik in den anderen in Artikel 30 genannten Bereichen einrichten und angemessene Sicherheitsmaßnahmen durchführen;
f) sicherzustellen, dass das Cyber-Sicherheitsaudit des Informations- und Kommunikationssystems (nachfolgend „Cyber Security Audit“ genannt) gemäß Artikel 16 durchgeführt wird;
g) eine regelmäßige Bewertung der Wirksamkeit des Informationssicherheitsmanagementsystems sicherzustellen, das eine Bewertung des Zustands des Informationssicherheitsmanagementsystems einschließlich einer Überprüfung der Risikobewertung, einer Bewertung der Ergebnisse der durchgeführten Cybersicherheitsaudits und der Auswirkungen von Cybersicherheitsvorfällen auf das Informationssicherheitsmanagementsystem umfasst;
h) fortlaufende Identifizierung und anschließende Verwaltung wesentlicher Änderungen, die in den Anwendungsbereich des Informationssicherheitsmanagementsystems gemäß Artikel 11 fallen;
(i) das Informationssicherheitsmanagementsystem und die einschlägigen Dokumentationen auf der Grundlage der Ergebnisse von Cybersicherheitsaudits, der Ergebnisse der Bewertung der Wirksamkeit des Informationssicherheitsmanagementsystems und im Kontext erheblicher Änderungen zu aktualisieren; und
(j) den Betrieb und die Ressourcen des Informationssicherheitsmanagementsystems verwalten und die mit dem Informationssicherheitsmanagement- und Risikomanagementsystem verbundenen Tätigkeiten erfassen.
Vermögensverwaltung
(1) Pflichtperson im Asset Management
a) eine Methodik zur Ermittlung von Vermögenswerten;
b) eine Methodik für die Bewertung von Vermögenswerten in mindestens dem in Anhang 1 dieses Erlasses genannten Umfang festzulegen;
(c) Vermögenswerte identifizieren und registrieren;
d) Identifizierung und Registrierung von Vermögenswerten;
e) die primären Vermögenswerte in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit bewerten und registrieren und in die in Buchstabe b genannten verschiedenen Ebenen einbeziehen;
f) Verbindungen zwischen Primär- und Tochtervermögen zu identifizieren und zu registrieren und die Folgen von Abhängigkeiten zwischen Primär- und Tochtervermögen zu bewerten;
g) Bewertung der Nebenvermögen unter Berücksichtigung insbesondere der in Buchstabe f genannten Interdependenz;
h) auf der Grundlage einer Vermögensbewertung die zur Sicherung der unterschiedlichen Vermögenswerte erforderlichen Schutzregeln festlegen und einführen;
— die zulässigen Mittel für die Verwendung von Vermögenswerten und die Regeln für die Vermögensverwaltung in Bezug auf das Vermögensniveau, einschließlich der Regeln für die sichere elektronische Aufteilung und die physische Übertragung von Vermögenswerten und
(j) zu bestimmen, wie die Daten, Betriebsdaten, Informationen und Kopien davon oder die technischen Datenträger für die Höhe der Vermögenswerte gemäß Anhang 4 dieser Verordnung entsorgt werden sollen.
(2) Bei der Beurteilung der Bedeutung von Primärvermögen, mindestens
a) Umfang und Bedeutung personenbezogener Daten, spezifische Kategorien personenbezogener Daten oder Geschäftsgeheimnisse;
b) den Geltungsbereich der betreffenden rechtlichen Verpflichtungen oder sonstigen Verpflichtungen;
c) das Ausmaß, in dem die internen Verwaltungs- und Kontrolltätigkeiten betroffen sind;
d) Schäden an öffentlichen, kommerziellen oder wirtschaftlichen Interessen und potenziellen finanziellen Verlusten;
e) die Auswirkungen auf die Erbringung wichtiger Dienstleistungen;
f) das Ausmaß der Störung normaler Tätigkeiten;
g) die Auswirkungen auf die Erhaltung eines Rufes oder den Schutz des Rufes;
h) Auswirkungen auf die Sicherheit und Gesundheit von Personen;
— Auswirkungen auf die internationalen Beziehungen und
(j) die Auswirkungen auf die Nutzer des Informations- und Kommunikationssystems.
Risikomanagement
(1) Mandat im Risikomanagement nach § 4
a) eine Methode zur Risikobewertung, einschließlich der Festlegung von Kriterien für die Risikoakzeptanz;
b) die relevanten Bedrohungen und Verwundbarkeit in Bezug auf Vermögenswerte, insbesondere die in Anhang 3 aufgeführten Kategorien von Bedrohungen und Schwachstellen,
c) die Risikobewertung in regelmäßigen Abständen gemäß Absatz 2 und bei erheblichen Änderungen durchzuführen;
d) bei der Bewertung von Risiken die relevanten Bedrohungen und die Sicherheitslücken zu berücksichtigen und die potenziellen Auswirkungen auf die Vermögenswerte zu bewerten; die Risiken werden mindestens im Umfang von Anhang 2 dieses Erlasses bewertet;
e) Erstellung eines Risikobewertungsberichts;
f) er erstellt auf der Grundlage des Sicherheitsbedarfs und der Ergebnisse der Risikobewertung eine Erklärung der Anwendbarkeit, die einen Überblick über die in diesem Erlass erforderlichen Sicherheitsmaßnahmen enthält,
1. nicht angewandt, einschließlich Rechtfertigung,
2. wurde angewendet, einschließlich der Art, wie sie durchgeführt wird;
g) einen Risikomanagementplan mit den Zielen und Vorteilen von Sicherheitsmaßnahmen für die Bewältigung individueller Risiken, die Identifizierung der Person, die die Durchsetzung von Sicherheitsmaßnahmen für das Risikomanagement, die notwendigen finanziellen, technischen, personellen und Informationsressourcen gewährleistet, die Frist für ihre Umsetzung, die Beschreibung der Verbindungen zwischen den Risiken und den einschlägigen Sicherheitsmaßnahmen sowie die Umsetzung von Sicherheitsmaßnahmen zu entwickeln und umzusetzen;
Der Risikobewertungs- und Risikomanagementplan berücksichtigt
1. wesentliche Änderungen;
2. Änderungen im Rahmen des Informationssicherheitsmanagementsystems;
3. die Maßnahme nach Artikel 11 des Gesetzes; und
4. Cyber-Sicherheitsvorfälle, einschließlich zuvor angesprochen; und
(i) Sicherheitsmaßnahmen gemäß dem Risikomanagementplan durchzuführen.
(2) Die in § 3 Buchstaben c, d und f des Gesetzes genannte Pflichtperson führt die Risikobewertung mindestens einmal jährlich und die in § 3 Buchstabe e des Gesetzes genannte Pflichtperson mindestens alle drei Jahre durch.
(3) Das Risikomanagement kann auch auf andere als die in Absatz 1 Buchstabe d vorgesehenen Weise gewährleistet werden, sofern der Schuldner dafür sorgt, dass die angewandten Maßnahmen das gleiche oder höhere Risikomanagementverfahren gewährleisten.
Organisationssicherheit
(1) Pflichtperson im Hinblick auf das Informationssicherheitsmanagementsystem
a) sicherzustellen, dass die Sicherheitspolitik und die Ziele des Informationssicherheitsmanagementsystems gemäß Artikel 3 festgelegt werden, die mit der strategischen Ausrichtung des verpflichteten Unternehmens vereinbar sind;
b) die Integration des Informationssicherheitsmanagementsystems in die Prozesse des verpflichteten Unternehmens sicherstellen;
c) die Verfügbarkeit der für das Informationssicherheitsmanagementsystem erforderlichen Mittel sicherzustellen;
d) den Arbeitnehmern die Bedeutung des Informationssicherheitsmanagementsystems und die Bedeutung der Erfüllung seiner Anforderungen an alle betroffenen Parteien mitzuteilen;
e) Unterstützung für die Erreichung der beabsichtigten Ergebnisse des Informationssicherheitsmanagementsystems;
f) sie führt die Mitarbeiter dazu, die Wirksamkeit des Informationssicherheitsmanagementsystems in dieser Entwicklung zu entwickeln und zu unterstützen;
g) Förderung einer kontinuierlichen Verbesserung des Informationssicherheitsmanagementsystems;
h) die Sicherheitsakteure bei der Förderung der Cybersicherheit in ihrem Zuständigkeitsbereich unterstützen;
i) sicherzustellen, dass Vorschriften für die Identifizierung von Verwaltern und Personen, die Sicherheitsfunktionen repräsentieren, festgelegt werden;
(j) sicherzustellen, dass die Vertraulichkeit von Verwaltern und Personen, die Sicherheitsfunktionen repräsentieren, aufrechterhalten wird;
c) angemessene Befugnisse und Mittel für Personen, die Sicherheitsfunktionen vertreten, einschließlich Haushaltsmittel, zur Erfüllung ihrer Aufgaben und zur Erfüllung der damit verbundenen Aufgaben sicherzustellen; und
(l) die Prüfung von Kontinuitätsplänen für Aktivitäten, Erholung und Prozesse im Zusammenhang mit der Verwaltung von Cyber-Sicherheitsvorfällen sicherstellen.
(2) Die Pflichtperson im Rahmen des Informationssicherheitsmanagementsystems bestimmt die Zusammensetzung des Cyber-Sicherheitsmanagementausschusses und deren Rechte und Pflichten im Zusammenhang mit dem Informationssicherheitsmanagementsystem.
(3) Die in § 3 Buchstaben c, d und f des Gesetzes genannte Pflichtperson bezeichnet die Person, die eine Sicherheitsrolle übernimmt.
(a) ein Cyber Security Manager,
b) Architekt der Cybersicherheit,
c) die Garantie der Vermögenswerte und
(d) ein Auditor der Cybersicherheit.
(4) Die in Abschnitt 3 Buchstabe e des Gesetzes genannte Pflichtperson bestimmt die Rolle des Cyber-Sicherheitsmanagers und des Asset-Garantiegebers. Die anderen in Absatz 3 genannten Sicherheitsrollen werden in Bezug auf den Umfang und die Bedürfnisse des Informationssicherheitsmanagementsystems entsprechend festgelegt.
(5) Die in § 3 Buchstaben c, d und f des Gesetzes genannte Pflichtperson stellt sicher, dass die in Absatz 3 Buchstaben a und b genannten Sicherheitsrollen substituierbar sind.
(6) Die in Abschnitt 3 Buchstabe e des Gesetzes genannte Pflichtperson gewährleistet die Substituierbarkeit der Sicherheitsrolle des Cyber-Sicherheitsmanagers.
(7) Der Cyber Security Management Committee setzt sich aus Personen mit den einschlägigen Befugnissen und Zuständigkeiten für das Gesamtmanagement und die Entwicklung des Informationssicherheitsmanagementsystems sowie aus Personen zusammen, die maßgeblich an der Verwaltung und Koordinierung von Cyber-Sicherheitstätigkeiten beteiligt sind, von denen mindestens ein Vertreter des Senior Managements oder des Senior Managements und ein Cyber-Sicherheitsmanager Mitglied sein muss. Die Pflichtperson des Cyber Safety Management Committee berücksichtigt die Empfehlungen in Anhang 6 dieser Bestellung.
Sicherheitsrollen
(1) Cyber Security Manager
(a) die Sicherheitsrolle ist für das Informationssicherheitsmanagementsystem verantwortlich, dessen Leistung der Person, die für diese Tätigkeit ausgebildet ist, übertragen werden kann und die Kompetenz der Erfahrung in der Verwaltung von Cybersicherheit oder Informationssicherheitsmanagement demonstriert.
1. für mindestens drei Jahre oder
2. für einen Zeitraum von einem Jahr, wenn sie an der Universität,
b) für die regelmäßige Unterrichtung des leitenden Managements verantwortlich sind:
1. Tätigkeiten, die sich aus dem Umfang ihrer Haftung ergeben; und
2. den Zustand des Informationssicherheitsmanagementsystems; und
c) wird nicht mit der Erfüllung der für den Betrieb des Informations- und Kommunikationssystems verantwortlichen Aufgaben betraut.
(2) Der Cyber-Sicherheitsarchitekt ist dafür verantwortlich, die Umsetzung von Sicherheitsmaßnahmen zu gewährleisten, um die sichere Architektur des Informations- und Kommunikationssystems zu gewährleisten, dessen Leistung der für diese Tätigkeit ausgebildeten Person übertragen werden kann und die Kompetenz der Praxis der Gestaltung der Umsetzung von Sicherheitsmaßnahmen und der Gewährleistung der Sicherheitsarchitektur demonstrieren kann.
a) mindestens drei Jahre; oder
(b) für einen Zeitraum von einem Jahr, wenn sie an der Universität studiert.
(3) Die Vermögensgarantie ist die für die Entwicklung, Nutzung und Sicherheit des Vermögens verantwortliche Sicherheitsrolle.
(4) Cyber Security Auditor
(a) die Sicherheitsrolle ist für die Durchführung eines Audits der Cybersicherheit verantwortlich, dessen Leistung der Person übertragen werden kann, die für diese Tätigkeit ausgebildet ist und die Kompetenz der Praxis der Durchführung von Cybersicherheitsaudits oder Audits des Informationssicherheitsmanagementsystems demonstriert.
1. für mindestens drei Jahre oder
2. für einen Zeitraum von einem Jahr, wenn sie an der Universität,
b) stellt sicher, dass das Audit der Cybersicherheit unparteiisch ist; und
c) ist nicht für die Erfüllung anderer Sicherheitsfunktionen verantwortlich.
(5) Bei der Bestimmung der Personen, die Sicherheitsaufgaben wahrnehmen, wird die Pflichtperson die Empfehlungen in Anhang 6 dieses Erlasses berücksichtigen.
Management von Lieferanten
(1) Pflichtperson
a) Vorschriften für Lieferanten, die die Anforderungen des Informationssicherheitsmanagementsystems berücksichtigen;
b) Aufzeichnungen über ihre bedeutenden Lieferanten;
c) ihre bedeutenden Lieferanten schriftlich über ihre in Buchstabe b genannten Aufzeichnungen informieren;
d) den Lieferanten die in Buchstabe a genannten Vorschriften mitzuteilen und die Einhaltung dieser Vorschriften zu verlangen;
e) die mit Lieferanten verbundenen Risiken verwalten;
f) im Zusammenhang mit der Bewältigung der Risiken, die mit bedeutenden Lieferanten verbunden sind, sicherstellen, dass Verträge mit bedeutenden Lieferanten die in Anhang 7 dieses Erlasses aufgeführten relevanten Bereiche umfassen; und
(g) regelmäßig die Leistung von Verträgen mit bedeutenden Lieferanten im Hinblick auf das Informationssicherheitsmanagementsystem überprüfen.
(2) Pflichtperson für bedeutende Lieferanten
a) im Rahmen des Auswahlverfahrens und vor Vertragsabschluss eine Bewertung der Risiken im Zusammenhang mit der Erfüllung des Gegenstands des Auswahlverfahrens gemäß Anhang 2 dieses Erlasses;
b) im Rahmen der abgeschlossenen vertraglichen Beziehungen die Methoden und Ebenen der Umsetzung von Sicherheitsmaßnahmen festlegen und den Inhalt der vertraglichen Verantwortung für die Einrichtung und Kontrolle von Sicherheitsmaßnahmen festlegen;
c) regelmäßige Risikobewertungen und regelmäßige Überprüfungen der Sicherheitsmaßnahmen, die für die über eigene Mittel oder über einen Dritten erbrachte Leistung vorgesehen sind; und
d) sicherzustellen, dass sie in Reaktion auf festgestellte Risiken und Mängel behandelt werden.
(3) Die in Absatz 1 Buchstabe c genannten Elemente der nachprüfbaren Informationen sind:
a) Identifizierung des AIFM oder Betreibers;
b) Identifizierung des Informations- und Kommunikationssystems;
c) Identifizierung eines bedeutenden Lieferanten;
d) ein Verständnis, dass der Lieferant ein wichtiger Lieferant für den AIFM ist und gegebenenfalls auch der bedeutende Lieferant ein Betreiber ist; und
e) den Inhalt der in Absatz 1 Buchstabe a genannten Vorschriften.
(4) Die in § 3 Buchstaben c bis f des Gesetzes genannte Pflichtperson, die Betreiber ist und nach Absatz 1 Buchstabe c nachweisbar informiert wurde, meldet die Kontaktdaten in dem in § 34 genannten Formular.
Sicherheit der Humanressourcen
(1) Pflichtperson im Personalsicherheitsmanagement
a) im Lichte des Staates und der Bedürfnisse des Informationssicherheitsmanagementsystems einen Sicherheitsbewusstseinsentwicklungsplan zur Sicherstellung einer angemessenen Bildung und Verbesserung des Sicherheitsbewusstseins, der Form, Inhalt und Umfang von
1. den Unterricht der Nutzer, Verwalter, Sicherheitsakteure und Lieferanten über ihre Verantwortung und die Sicherheitspolitik; und
2. die notwendige theoretische und praktische Ausbildung von Benutzern, Administratoren und Sicherheitsakteuren;
b) die für die Durchführung der einzelnen Tätigkeiten verantwortlichen Personen, die im Plan aufgeführt sind;
c) im Einklang mit dem Plan zur Entwicklung des Sicherheitsbewusstseins sicherzustellen, dass Nutzer, Verwalter, Personen, die Sicherheitsfunktionen und Lieferanten wahrnehmen, über ihre Verantwortung und die Sicherheitspolitik durch Eingabe und regelmäßige Schulungen informiert werden;
d) regelmäßige Schulungen für Personen, die Sicherheitsfunktionen im Einklang mit dem Sicherheits-Awareness-Entwicklungsplan halten, basierend auf den aktuellen Anforderungen des verpflichteten Unternehmens im Bereich der Cybersicherheit;
e) die regelmäßige Schulung und Überprüfung des Sicherheitsbewusstseins der Mitarbeiter im Einklang mit ihrem Arbeitsvermögen sicherzustellen;
f) die Überwachung der Einhaltung der Sicherheitspolitik durch Nutzer, Administratoren und Personen, die Sicherheitsfunktionen repräsentieren;
g) bei Beendigung eines Vertragsverhältnisses mit Verwaltern und Personen, die Sicherheitsaufgaben wahrnehmen, sicherstellen, dass die Verantwortlichkeiten übertragen werden;
h) die Wirksamkeit des Plans für die Entwicklung des Sicherheitsbewusstseins, der Ausbildung und anderer Tätigkeiten im Zusammenhang mit der Verbesserung des Sicherheitsbewusstseins zu bewerten; und
(i) Regeln und Verfahren für die Behandlung von Verstößen durch Benutzer, Administratoren und Personen, die Sicherheitsfunktionen repräsentieren.
(2) Die Pflichtperson führt eine Zusammenfassung der in Absatz 1 genannten Ausbildung, die den Gegenstand der Ausbildung und die Liste der Personen enthält, die die Ausbildung erhalten haben.
Verkehrs- und Kommunikationsmanagement
(1) Die Pflichtperson im Rahmen des Verkehrs- und Kommunikationsmanagements gewährleistet den sicheren Betrieb des Informations- und Kommunikationssystems und legt operative Regeln und Verfahren fest, die insbesondere Folgendes umfassen:
a) die Rechte und Pflichten von Verwaltern, Verwaltern und Verwaltern, Verwaltern und Verwaltern;
b) Verfahren für den Start und das Ende des Systems, für den Neustart oder die Erneuerung des Systems nach dem Ausfall und für die Behandlung von Fehlerbedingungen oder außergewöhnlichen Ereignissen;
c) Verfahren zur Überwachung von Cybersicherheitsvorfällen und Maßnahmen zum Schutz des Zugangs zu Alarmen bei solchen Vorfällen;
d) Vorschriften und Verfahren zum Schutz vor schädlichem Code;
e) Verwaltung der technischen Sicherheitslücke;
f) die für die Durchführung des Systems und der technischen Unterstützung verantwortlichen Ansprechpartner;
g) Verfahren zur Verwaltung und Genehmigung operativer Änderungen;
(h) Verfahren zur Überwachung, Planung und Bewirtschaftung der menschlichen und technischen Ressourcen;
— Vorschriften und Verfahren zum Schutz von Informationen und Daten während des gesamten Lebenszyklus;
(j) Vorschriften und Verfahren für die Installation von technischen Vermögenswerten;
c) regelmäßige Vorschusszahlungen und Überprüfung der Anwendbarkeit der geleisteten Vorschusszahlungen; und
(l) Vorschriften und Verfahren zur Gewährleistung der Sicherheit von Netzdiensten.
(2) Im Rahmen des Verkehrs- und Kommunikationsmanagements muss die verpflichtende Person die nach Absatz 1 festgelegten Regeln und Verfahren einhalten und diese Vorschriften und Verfahren im Rahmen der durchgeführten oder geplanten Änderungen aktualisieren.
(3) Die zuständige Person sorgt für die Trennung der Entwicklung, der Prüfung und des Betriebsumfelds.
Melden Sie sich an für Notizen, Favoriten und Benachrichtigungen
Informationen zur Vorschrift
| Zitierung | Dekret Nr. 82 / 2018 Coll., zu Sicherheitsmaßnahmen, Cyber-Sicherheitsvorfälle, reaktive Maßnahmen, Verfahrensanforderungen im Bereich Cyber-Sicherheit und Datenvernichtung (Cyber Safety Order) |
|---|---|
| Art der Vorschrift | - |
| Autor | - |
| Sammlung | Gesetzessammlung |
| Verkündungsdatum | 28.05.2018 |
|---|---|
| In Kraft seit | 28.05.2018 |
| In Kraft bis | - |
| Status | Gültig |
Der Wortlaut der Vorschrift hat informativen Charakter.
Kommentare 0