Mapping des §30 BSIG auf den NIS2UmsVO
Wie komme ich von §30 BDSIG auf die konkreten Anforderungen, definiert im Annex der NIS2UmsVO?
Die Maßnahmen zum Risikomanagement finden sich für deutsche Unternehmen in §30 BSIG, der Umsetzung der NIS2-Richtlinie in deutsches Recht.
Für die in Art. 1 der NIS2UmsVO genannten Betreiber, insbesondere DNS-Anbieter, TLD-Provider, Cloud-Anbieter / Cloud Computing-Provider, RZ-Dienstleister, CDN-Anbieter, Such-, Managed-Services-Anbieter Managed-Security-Services-Anbieter, Online-Marketplaces, Social-Network-Anbieter, TrustServices-Provider, gilt nach §30 Abs. 4 BSIG vorrangig diese Vorordnung.
Die Vorordnung hat im Annex eine im Vergleich zu §30 BSIG sehr viel umfassendere und detailliertere Auflistung der Anforderungen, was die Umsetzung erheblich erleichtert, da es recht genau beschreibt, was gemeint ist bzw. sein könnte.
Diese werden hier auf das BSIG gemappt.
§30 BSIG |
– |
Annex der NIS2UmsVO |
---|---|---|
(2) Maßnahmen nach Absatz 1 sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen. Die Maßnahmen müssen zumindest Folgendes umfassen: | ||
1. Konzepte in Bezug auf
|
1. KONZEPT FÜR DIE SICHERHEIT VON NETZ- UND INFORMATIONSSYSTEMEN
KONZEPT FÜR DAS RISIKOMANAGEMENT |
|
2. Bewältigung von Sicherheitsvorfällen | 3. BEWÄLTIGUNG VON SICHERHEITSVORFÄLLEN
|
|
3.
|
4. BETRIEBSKONTINUITÄTS- UND KRISENMANAGEMENT
|
|
4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern | 5. SICHERHEIT DER LIEFERKETTE
|
|
5. Sicherheitsmaßnahmen bei
|
6. SICHERHEITSMAßNAHMEN BEI ERWERB, ENTWICKLUNG UND WARTUNG VON NETZ- UND INFORMATIONSSYSTEMEN
|
|
6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik | 7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT | |
7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik |
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
|
|
8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung | 9. KRYPTOGRAFIE | |
9.
|
10. SICHERHEIT DES PERSONALS
11. ZUGRIFFSKONTROLLE
12. ANLAGEN- UND WERTEMANAGEMENT |
|
10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung. |
|
|