CIR 2024/2690 Leitfaden
Die Durchführungsverordnung der EU-Kommission definiert die technischen Mindestanforderungen für NIS2 – unmittelbar anwendbar, ohne nationale Umsetzung.
Was ist die CIR 2024/2690?
Die Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024 legt die technischen und methodischen Anforderungen für die Cybersicherheitsmaßnahmen nach Artikel 21 Absatz 2 der NIS2-Richtlinie fest. Sie gilt unmittelbar in allen EU-Mitgliedstaaten – eine nationale Umsetzung ist nicht erforderlich.
Die CIR richtet sich primär an bestimmte Anbietertypen digitaler Infrastruktur (DNS-Diensteanbieter, Cloud-Computing-Dienste, Managed Services u.a.), bildet aber in Deutschland über das BSIG den technischen Mindeststandard für alle betroffenen Einrichtungen. Der Anhang der Verordnung enthält die konkreten Anforderungen, gegliedert nach 10 Maßnahmenbereichen.
Für deutsche Unternehmen ist die CIR besonders relevant, weil §30 BSIG die 10 Maßnahmen des Artikels 21 NIS2-Richtlinie umsetzt und das BSI die CIR-Anforderungen als Mindeststandard heranzieht. Unternehmen, die IT-Grundschutz nach BSI-200-x implementieren, decken die CIR-Anforderungen vollständig ab (§44 Abs. 2 BSIG).
DNS-Diensteanbieter
TLD-Namensregistrierungsstellen
Cloud-Computing-Diensteanbieter
Anbieter verwalteter Dienste und verwalteter Sicherheitsdienste
Online-Marktplätze
Anbieter von Plattformen für soziale Netzwerke
Vertrauensdiensteanbieter
Struktur der Verordnung
Die CIR besteht aus 7 Artikeln und einem umfangreichen Anhang mit den technischen Anforderungen.
Artikel 2 – Technische und methodische Anforderungen
Verweist auf den Anhang, der die konkreten Maßnahmen nach Artikel 21 Abs. 2 NIS2-Richtlinie definiert.
Artikel 3 – Erheblichkeit von Sicherheitsvorfällen
Definiert die Kriterien, wann ein Sicherheitsvorfall als erheblich gilt und meldepflichtig wird.
Artikel 4 – Wiederkehrende erhebliche Vorfälle
Regelt, wann mehrere einzelne Vorfälle als zusammenhängender erheblicher Vorfall zu werten sind.
Artikel 5 – Erheblicher Vorfall bei Vertrauensdiensteanbietern
Spezifische Erheblichkeitskriterien für qualifizierte und nicht qualifizierte Vertrauensdiensteanbieter.
Artikel 6 – Überprüfung
Die Kommission überprüft die Verordnung bis zum 17. Oktober 2027 und danach regelmäßig.
Artikel 7 – Inkrafttreten
Die Verordnung trat am 7. November 2024 in Kraft – 20 Tage nach Veröffentlichung im Amtsblatt der EU.
Konzept für Risiken und Informationssicherheit
Risikoanalyse, Informationssicherheitsleitlinie, Rollen und Zuständigkeiten, regelmäßige Überprüfung und Genehmigung durch die Leitungsebene.
Risikomanagement
Systematischer Rahmen zur Identifikation, Analyse und Behandlung von Risiken. Einschließlich Risikobewertungsmethodik, Akzeptanzkriterien und dokumentierter Behandlungspläne.
Bewältigung von Sicherheitsvorfällen
Verfahren zur Erkennung, Meldung, Bewertung, Reaktion und Nachbereitung von Sicherheitsvorfällen. Einschließlich Klassifizierungsschema und Eskalationsprozesse.
Betriebskontinuität und Krisenmanagement
Business-Continuity-Pläne, Backup-Konzepte, Disaster-Recovery-Verfahren und Krisenmanagementprozesse. Regelmäßige Tests und Übungen.
Sicherheit der Lieferkette
Bewertung der Cybersicherheitspraktiken von Lieferanten und Dienstleistern. Vertragliche Sicherheitsanforderungen, Überwachung und Risikobewertung der Lieferkette.
Sicherheit bei Erwerb, Entwicklung und Wartung
Sicherheitsanforderungen bei der Beschaffung, sichere Entwicklungspraktiken, Schwachstellenmanagement und Patch-Management-Verfahren.
Kryptografie
Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung. Schlüsselmanagement, Algorithmenauswahl und Verschlüsselung ruhender und übertragener Daten.
Personalsicherheit und Zugangssteuerung
Zugangs- und Zugriffssteuerung, Vermögenswertmanagement, Identitätsmanagement und Privileged-Access-Management. Personalüberprüfung bei sicherheitsrelevanten Rollen.
Multi-Faktor-Authentifizierung
Einsatz von MFA oder kontinuierlichen Authentifizierungslösungen. Sichere Authentifizierungsprotokolle und -verfahren für alle administrativen Zugänge.
Gesicherte Kommunikation
Gesicherte Sprach-, Video- und Textkommunikation. Notfallkommunikationssysteme, die unabhängig von der primären IT-Infrastruktur funktionieren.
Die CIR definiert den europäischen technischen Mindeststandard. §30 BSIG setzt die NIS2-Maßnahmen in deutsches Recht um und kann über die CIR hinausgehende Anforderungen enthalten. Das BSI zieht die CIR als Referenz für die Bewertung der Angemessenheit technischer Maßnahmen heran.
Für deutsche Unternehmen empfiehlt sich die Implementierung über IT-Grundschutz (BSI-200-1 bis BSI-200-4): Das Grundschutz-Kompendium deckt alle CIR-Anforderungen vollständig ab und bietet eine nach §44 Abs. 2 BSIG anerkannte Nachweismethodik. BSI-Prüfer kennen die Grundschutz-Struktur – das beschleunigt Audits.
Unternehmen mit bestehender ISO 27001-Zertifizierung decken einen Großteil der CIR-Anforderungen ab, müssen jedoch NIS2-spezifische Lücken schließen: Meldepflichten (Art. 23 NIS2-RL/§32 BSIG), erweiterte Lieferkettensorgfalt, Geschäftsführerhaftung (§38 BSIG) und die BSI-Registrierung (§33 BSIG).
- EUR-Lex – Durchführungsverordnung (EU) 2024/2690 der Kommission (OJ L, 2024/2690)
- ENISA – Implementing Guidance on NIS2 Technical Measures (2024)
- secuvera GmbH – Analyse der NIS2-Durchführungsverordnung (CIR) (2024)
- BSI – IT-Grundschutz-Kompendium, Edition 2024
- BSIG – Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, §30, §44