Auf einen Blick
NIS2: Sind Sie vorbereitet?
Prüfen Sie, ob Ihr Unternehmen betroffen ist, und erfahren Sie, welche Maßnahmen nötig sind. Wir machen die Umsetzung für Sie einfach und praxisnah!
Mapping des §30 BSIG auf den NIS2UmsVO
Wie komme ich von §30 BDSIG auf die konkreten Anforderungen, definiert im Annex der NIS2UmsVO?
Die Maßnahmen zum Risikomanagement finden sich für deutsche Unternehmen in §30 BSIG, der Umsetzung der NIS2-Richtlinie in deutsches Recht.
Für die in Art. 1 der NIS2UmsVO genannten Betreiber, insbesondere DNS-Anbieter, TLD-Provider, Cloud-Anbieter / Cloud Computing-Provider, RZ-Dienstleister, CDN-Anbieter, Such-, Managed-Services-Anbieter Managed-Security-Services-Anbieter, Online-Marketplaces, Social-Network-Anbieter, TrustServices-Provider, gilt nach §30 Abs. 4 BSIG vorrangig diese Vorordnung.
Die Vorordnung hat im Annex eine im Vergleich zu §30 BSIG sehr viel umfassendere und detailliertere Auflistung der Anforderungen, was die Umsetzung erheblich erleichtert, da es recht genau beschreibt, was gemeint ist bzw. sein könnte.
Diese werden hier auf das BSIG gemappt.
§30 BSIG |
– |
Annex der NIS2UmsVO |
|---|---|---|
| (2) Maßnahmen nach Absatz 1 sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen. Die Maßnahmen müssen zumindest Folgendes umfassen: | ||
1. Konzepte in Bezug auf
|
1. KONZEPT FÜR DIE SICHERHEIT VON NETZ- UND INFORMATIONSSYSTEMEN
KONZEPT FÜR DAS RISIKOMANAGEMENT |
|
| 2. Bewältigung von Sicherheitsvorfällen | 3. BEWÄLTIGUNG VON SICHERHEITSVORFÄLLEN
|
|
3.
|
4. BETRIEBSKONTINUITÄTS- UND KRISENMANAGEMENT
|
|
| 4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern | 5. SICHERHEIT DER LIEFERKETTE
|
|
5. Sicherheitsmaßnahmen bei
|
6. SICHERHEITSMAßNAHMEN BEI ERWERB, ENTWICKLUNG UND WARTUNG VON NETZ- UND INFORMATIONSSYSTEMEN
|
|
| 6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik | 7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT | |
| 7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik |
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
|
|
| 8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung | 9. KRYPTOGRAFIE | |
9.
|
10. SICHERHEIT DES PERSONALS
11. ZUGRIFFSKONTROLLE
12. ANLAGEN- UND WERTEMANAGEMENT |
|
| 10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung. |
|
|
Über den Autor:
Ralf Becker
Geschäftsführer & Datenschutz- / Informationssicherheitsbeauftragter
Ralf Becker begann seine berufliche Laufbahn bei einer Strategie-Beratung, war in unterschiedlichen leiten-den Positionen im Telekom-Konzern tätig, bevor es ihn 2007 wieder in die Beratung zog. Seit 2009 ist er Geschäftsführer der daschug GmbH. Sowohl als zertifizierter Datenschutzbeauftrag-ter wie auch als externer Informationssicherheitsbeauftragter ist er seit mehr als 15 Jahren im Bereich IT-Compliance aktiv. Von ihm und seinem Team werden eine Reihe deutscher mittel-ständischer Unternehmen „hands-on“ betreut. Er verfügt über mehr als 10jährige Erfahrung mit ISO27001-Zertifizierung auch in kleinen Organisationen und dem Aufbau bzw. der Pflege von pragmatischen, tool-gestützten Informationssicherheits-Managementsystemen (ISMS) für KMUs.