Mapping des §30 BSIG auf den NIS2UmsVO

Wie komme ich von §30 BDSIG auf die konkreten Anforderungen, definiert im Annex der NIS2UmsVO?

Die Maßnahmen zum Risikomanagement finden sich für deutsche Unternehmen in §30 BSIG, der Umsetzung der NIS2-Richtlinie in deutsches Recht.

Für die in Art. 1 der NIS2UmsVO genannten Betreiber, insbesondere DNS-Anbieter, TLD-Provider, Cloud-Anbieter / Cloud Computing-Provider, RZ-Dienstleister, CDN-Anbieter, Such-, Managed-Services-Anbieter Managed-Security-Services-Anbieter, Online-Marketplaces, Social-Network-Anbieter, TrustServices-Provider, gilt nach §30 Abs. 4 BSIG vorrangig diese Vorordnung.

Die Vorordnung hat im Annex eine im Vergleich zu §30 BSIG sehr viel umfassendere und detailliertere Auflistung der Anforderungen, was die Umsetzung erheblich erleichtert, da es recht genau beschreibt, was gemeint ist bzw. sein könnte.
Diese werden hier auf das BSIG gemappt.

§30 BSIG

Annex der NIS2UmsVO

(2) Maßnahmen nach Absatz 1 sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen. Die Maßnahmen müssen zumindest Folgendes umfassen:
1. Konzepte in Bezug auf

  • die Risikoanalyse und
  • auf die Sicherheit in der Informationstechnik
1. KONZEPT FÜR DIE SICHERHEIT VON NETZ- UND INFORMATIONSSYSTEMEN

KONZEPT FÜR DAS RISIKOMANAGEMENT

2. Bewältigung von Sicherheitsvorfällen 3. BEWÄLTIGUNG VON SICHERHEITSVORFÄLLEN

3.

  • Aufrechterhaltung des Betriebs, wie
  • Backup-Management und Wiederherstellung nach einem Notfall, und
  • Krisenmanagement
4. BETRIEBSKONTINUITÄTS- UND KRISENMANAGEMENT

4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern 5. SICHERHEIT DER LIEFERKETTE

5. Sicherheitsmaßnahmen bei

  • Erwerb,
  • Entwicklung und
  • Wartung von informationstechnischen Systemen,
  • Komponenten und Prozessen, einschließlich
  • Management und Offenlegung von Schwachstellen
6. SICHERHEITSMAßNAHMEN BEI ERWERB, ENTWICKLUNG UND WARTUNG VON NETZ- UND INFORMATIONSSYSTEMEN

6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik 7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung 9. KRYPTOGRAFIE
9.

  • Sicherheit des Personals,
  • Konzepte für die Zugriffskontrolle und für das
  • Management von Anlagen
10. SICHERHEIT DES PERSONALS
10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.