EU 2024/2690

CIR 2024/2690 Implementation Guide

The EU Implementing Regulation that specifies exactly what technical and methodological measures NIS2 entities must implement - published in the Official Journal on 17 October 2024 and directly applicable across all member states.

Cory HiseyCory Hisey·Laufend geprüft

What Is CIR 2024/2690?

Commission Implementing Regulation (EU) 2024/2690 of 17 October 2024 was published in the Official Journal of the European Union (OJ L series, 2024/2690). It lays down rules for the application of Directive (EU) 2022/2555 (the NIS2 Directive) with regard to technical and methodological requirements of cybersecurity risk-management measures. Unlike the NIS2 Directive itself, this regulation does not require national transposition - it applies directly in all 27 member states from the date of its entry into force.

The CIR is the answer to the question every compliance officer asks: 'What exactly do we have to implement?' While §30 BSIG (the German transposition) lists 10 measure areas in broad terms, the CIR Annex breaks these down into specific, auditable technical and methodological requirements. It is the most granular official specification of NIS2 obligations available - more detailed than the Directive itself, more specific than the BSIG, and directly enforceable.

The regulation was developed in consultation with ENISA and the NIS Cooperation Group, drawing on existing frameworks including ISO/IEC 27001, ETSI EN 319 401, and national standards. It applies specifically to DNS service providers, TLD name registries, cloud computing service providers, ICT service management providers, managed security service providers, online marketplace providers, online search engine providers, social networking service platform providers, and trust service providers - though its technical requirements serve as a de facto benchmark for all NIS2 entities.

Entities Directly Covered
The CIR applies mandatory requirements to the following entity types as defined in Article 1:

DNS service providers

TLD name registries

Cloud computing service providers

ICT service management (managed services) and managed security service providers

Online marketplace providers

Social networking services platform providers

Trust service providers

Regulation Structure

The CIR consists of 7 articles defining scope, definitions, and requirements, plus a detailed Annex containing the technical and methodological specifications.

Article 2 - Definitions

Establishes definitions for 'network and information system security', 'significant incident', and other key terms. Aligns terminology with the NIS2 Directive while adding implementation-specific precision.

Article 3 - Significance of incidents

Defines when an incident is 'significant' - the threshold that triggers reporting obligations. An incident is significant if it causes financial loss exceeding EUR 500,000 or 5% of annual turnover, results in exfiltration of trade secrets, causes death or considerable damage to health, or meets entity-specific criteria defined in the Article.

Article 4 - Recurring significant incidents

Specifies that recurring incidents which individually do not meet the significance threshold may be aggregated and treated as a single significant incident if they collectively meet the criteria within a six-month period.

Article 5 - Significant incidents for DNS and TLD registries

Adds specific significance criteria for DNS service providers and TLD registries, including service availability below 99.9% for any period, incorrect DNS response rates, and compromise of integrity or confidentiality of stored domain registration data.

Article 6 - Technical and methodological requirements

The core article - requires covered entities to implement the technical and methodological requirements set out in the Annex. The measures must be 'appropriate and proportionate' to the risks, taking into account the entity's size, exposure, likelihood of incidents, and societal impact.

Article 7 - Entry into force

The regulation entered into force on the twentieth day following its publication in the Official Journal (published 17 October 2024). It applies directly in all member states without requiring national transposition.

De 13 maatregelpunten (bijlage CIR)
De bijlage ordent de technische en methodologische vereisten in 13 thematische punten. Elk punt bevat genummerde subvereisten met specifieke implementatiecriteria. Punt 11 (toegangsbeheersing) omvat bijvoorbeeld identificatie (11.5), authenticatie (11.6) en multifactorauthenticatie (11.7).
1

Beleid inzake de beveiliging van netwerk- en informatiesystemen

Vereist een gedocumenteerd beveiligingsbeleid voor netwerk- en informatiesystemen dat door de leiding is goedgekeurd en dat de aanpak van de entiteit voor het beheer van beveiliging vastlegt. Het beleid wordt op geplande tijdstippen geëvalueerd en na significante incidenten of wijzigingen bijgewerkt. Het vormt het kader voor alle daaropvolgende maatregelen.

2

Risicobeheerbeleid

Vereist een risicobeheerkader met een vastgestelde methodologie, identificatie van risico's voor netwerk- en informatiesystemen, analyse en evaluatie aan de hand van risicoacceptatiecriteria, een behandelingsplan en goedkeuring van het restrisico door de leiding, op geplande tijdstippen geëvalueerd.

3

Incidentenbehandeling

Vereist beleid en procedures voor het detecteren, analyseren, inperken, beantwoorden en herstellen van incidenten, met vastgestelde rollen, logregistratie, escalatie en communicatie, alsmede een gestructureerde evaluatie na afloop van een incident die de geleerde lessen terugkoppelt naar de maatregelen.

4

Bedrijfscontinuïteit en crisisbeheer

Vereist een plan voor bedrijfscontinuïteit en uitwijk op basis van een bedrijfsimpactanalyse, beheer van back-ups en redundantie met geteste herstelprocedures, en een crisisbeheerplan met vastgestelde rollen, op geplande tijdstippen geëvalueerd en getest.

5

Beveiliging van de toeleveringsketen

Vereist een beleid voor de beveiliging van de toeleveringsketen dat de relaties met directe leveranciers en dienstverleners beheerst, met inbegrip van beveiligingscriteria voor selectie, contractuele eisen en een register van leveranciers dat gedurende de levenscyclus van de relatie wordt bijgehouden en gemonitord.

6

Beveiliging bij verwerving, ontwikkeling en onderhoud van netwerk- en informatiesystemen

Vereist dat beveiliging wordt ingebouwd in de verwerving, ontwikkeling en het onderhoud van systemen, met aandacht voor veilige ontwikkelpraktijken, configuratiebeheer, wijzigingsbeheer, beveiligingstests, patchbeheer en de afhandeling van kwetsbaarheden gedurende de gehele levenscyclus.

7

Beleid en procedures om de doeltreffendheid van de maatregelen voor het beheer van cyberbeveiligingsrisico's te beoordelen

Vereist dat de entiteit beleid en procedures vaststelt om te beoordelen of haar risicobeheermaatregelen doeltreffend zijn, met inbegrip van monitoring, evaluatie en onafhankelijke beoordeling, zodat tekortkomingen worden geïdentificeerd en de maatregelen in de loop van de tijd worden verbeterd.

8

Basismaatregelen voor cyberhygiëne en beveiligingstraining

Vereist basismaatregelen voor cyberhygiëne en een bewustwordingsprogramma voor alle personeelsleden, met rolspecifieke training voor medewerkers met beveiligingstaken en voor de leiding, waarbij beleid, dreigingen en meldplichten aan bod komen.

9

Cryptografie

Vereist een beleid en procedures voor het gebruik van cryptografie, met inbegrip van de selectie van algoritmen en sleutelsterktes die passen bij de gegevens, en sleutelbeheer dat generatie, opslag, rotatie en vernietiging omvat, geëvalueerd aan de hand van de actuele beste praktijken.

10

Beveiliging van personele middelen

Vereist beveiligingsmaatregelen voor personele middelen gedurende de gehele dienstverbandcyclus, met inbegrip van verificatie voorafgaand aan indiensttreding waar passend, vastgestelde beveiligingsverantwoordelijkheden, arbeidsvoorwaarden en procedures voor functiewijziging en beëindiging, zodat de toegang eindigt wanneer het dienstverband eindigt.

11

Toegangsbeheersing

Vereist een beleid voor toegangsbeheersing met beheer van toegangsrechten (11.2) en bevoorrechte accounts (11.3), beheersystemen (11.4), unieke identificatie (11.5), authenticatie (11.6) en multifactor- of continue authenticatie (11.7) voor toegang tot kritieke systemen en externe toegang, op geplande tijdstippen geëvalueerd.

12

Beheer van bedrijfsmiddelen

Vereist een beleid voor het beheer van bedrijfsmiddelen met classificatie van bedrijfsmiddelen, een inventaris van netwerk- en informatiesystemen en ondersteunende bedrijfsmiddelen, hanteringsregels op basis van de classificatie, en beleid voor verwijderbare media en de veilige teruggave of verwijdering van bedrijfsmiddelen.

13

Milieu- en fysieke beveiliging

Vereist bescherming van faciliteiten tegen fysieke en milieugerelateerde dreigingen, met inbegrip van ondersteunende nutsvoorzieningen, gecontroleerde fysieke toegang tot systemen, en bescherming tegen storingen zoals stroomuitval, brand en water, in verhouding tot het risico voor de systemen.

CIR, NIS2 Directive, and BSIG - How They Fit Together
Understanding the legal hierarchy is essential for compliance planning.

The NIS2 Directive (EU) 2022/2555 is the parent legislation - it establishes the framework, obligations, and enforcement regime at EU level. Member states were required to transpose it into national law by 17 October 2024. Germany's transposition is the NIS2UmsuCG, which amends the BSIG. The BSIG now contains all NIS2 obligations in German law, including §30 (cybersecurity measures) and §32 (incident reporting).

The CIR 2024/2690 is a directly applicable EU regulation - it does not require transposition and takes precedence over conflicting national provisions. Where the CIR specifies a technical requirement, that requirement applies directly, regardless of whether the BSIG addresses it. For the entity types listed in Article 1, the CIR is the primary compliance standard.

For entities NOT directly listed in CIR Article 1 but still subject to NIS2 (e.g., energy providers, healthcare, transport), the CIR serves as the most authoritative reference for what 'appropriate and proportionate' measures look like. German courts and the BSI are expected to reference the CIR's technical specifications when evaluating whether a company's measures meet the §30 BSIG standard - even if the CIR does not formally bind those entities.

Sources
  • Commission Implementing Regulation (EU) 2024/2690 of 17 October 2024 - Official Journal of the European Union, OJ L 2024/2690
  • EUR-Lex - Full text of CIR 2024/2690 (CELEX: 32024R2690)
  • Directive (EU) 2022/2555 (NIS2 Directive) - Official Journal of the European Union
  • ENISA - Technical guidance on NIS2 implementation measures (2024)
  • secuvera GmbH - Analysis of CIR 2024/2690 requirements and mapping to ISO 27001 (2024)
  • BSIG - §30 (Risikomanagementmaßnahmen), §32 (Meldepflichten), as amended by NIS2UmsuCG
Implement CIR Requirements Systematically
The platform maps every CIR Annex requirement to structured tasks with evidence uploads, deadline tracking, and management sign-offs - turning a 30-page regulation into actionable compliance steps.