Erwägungsgrund 28: Ganzheitlicher Cybersicherheitsansatz

Gemäß Artikel 21 Absatz 2 der Richtlinie (EU) 2022/2555 sollten Risikomanagementmaßnahmen im Bereich der Cybersicherheit auf einem gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, Netz- und Informationssysteme und ihr physisches Umfeld vor Ereignissen wie

• Diebstahl,
• Feuer,
• Überschwemmungen und
• Telekommunikations- oder Stromausfällen oder
• vor unbefugtem physischen Zugang zu Informationen und Datenverarbeitungsanlagen einer wesentlichen oder wichtigen Einrichtung und
• vor der Schädigung solcher Informationen und Betriebsstätten und entsprechenden Eingriffen

zu schützen, die

• die Verfügbarkeit,
• Authentizität,
• Integrität oder
• Vertraulichkeit

gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen können.

In den technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit sollten daher auch die physische Sicherheit der Netz- und Informationssysteme und die Sicherheit ihres Umfelds berücksichtigt werden, indem Maßnahmen zum Schutz dieser Systeme vor Systemfehlern, menschlichen Fehlern, böswilligen Handlungen oder natürlichen Phänomenen darin einbezogen werden.

Weitere physische Bedrohungen und Bedrohungen des Umfelds ergeben sich z. B. aus

• Erdbeben,
• Explosionen,
• Sabotage,
• Insider-Bedrohungen,
• Unruhen,
• giftigen Abfällen und
• Umweltemissionen.

Die Verhinderung von Verlusten, Beschädigungen oder Beeinträchtigungen von Netz- und Informationssystemen oder von Betriebsunterbrechungen infolge des Ausfalls und der Störung unterstützender Versorgungsleistungen sollte ebenfalls zur angestrebten Betriebskontinuität in den betreffenden Einrichtungen beitragen.

Darüber hinaus sollte sich durch den Schutz vor physischen Bedrohungen und Bedrohungen des Umfelds auch die Sicherheit bei der Wartung von Netz- und Informationssystemen in den betreffenden Einrichtungen erhöhen.