NIS2-Anforderungen des NIS2UmsuCG / BSIG(neu) / Annex der NIS2UmsVO
NIS2-Anforderungen des NIS2UmsuCG bzw. der Neufassung des BSIG für wichtige und besonders wichtige Einrichtungen i.V.m. dem Entwurf der NIS2UmsVO
Sie wissen noch nicht, ob NIS2 Sie betrifft? –
Machen Sie den Check!
Liste von NIS2-Anforderungen aus dem neuen BSIG (nach NIS2UmsuCG) und dem Annex zur NIS2UmsVO
Besondere Zusatzanforderungen für Betreiber kritischer Infrastrukturen sind NICHT enthalten.
Unterschiedliche Quellen für die NIS2-Anforderungen
Direkte Quelle: Das neue BSIG als Inhalt des NIS2-Umsetzungsgesetzes
Die meisten Kommentatoren beziehen sich auf die NIS2-Richtlinie der EU, die zwar in Art. 21 NIS2RiLi Vorgaben macht, aber keine Vorordnung ist und daher nicht direkt auf Unternehmen anwendbar.
Die Richtlinie muss durch ein nationales Umsetzungsgesetz – in Deutschland das NIS2UmsuCG – in nationales Recht umgesetzt werden. Das NIS2UmsCG ändert aber als solches nur andere, bereits bestehende Gesetze, wie etwa das Gesetz über das Bundesamt für Sicherheit in der Informationstechnologie, kurz BSI-Gesetz oder BSIG. Dieses enthält die tatsächlichen Anforderungen an die betroffenen Unternehmen, insbesondere in §30 BSIG.
-
-
- Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik,
- Bewältigung von Sicherheitsvorfällen,
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik,
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen,
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
-
Sehr viel detaillierter: der Annex der NIS2-Umsetzungsverordnung (delegierter EU-Durchführungsrechtsakt)
Daneben hat sich die EU-Kommission viel Arbeit gemacht, indem Sie in einer Durchführungsbestimmung – NISs-Umsetzungs-Verordung (NIS2UmsVO) genannt – für bestimmte Gruppen von betroffenen Unternehmen die Anforderungen des Art. 21 NIS2RiLi ausformuliert hat und im Annex der NIS2UmsVO vergleichsweise leicht verständlich heruntergeschrieben hat. Diese Verordnung ist in Kraft, EU-weit gültig, in alle EU-Sprachen offiziell übersetzt und wird sich daher vermutlich zum „Goldstandard“ für die NIS2-Umsetzung und Cybersicherheit in Europa“ entwickeln. – Die folgenden Ausführungen sind daher i.W. basierend auf dieser Verordnung, da diese die mögliche Reichweite des „unschuldig“ daherkommenden §30 BSIG erst aufzeigt.
Übersicht über die NIS2-Anforderungen
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
Der §30 BSIG ist DIE ZENTRALE deutsche Norm für die NIS2-Anforderungen.
In den hier aufgeführten NIS2-Anforderungen verbergen sich jedoch weitreichendere Forderungen als der erste Anschein vermuten lässt. Diese Stammen aus dem Annex der NIS2-Umsetzungsverordnung, einem Dokument, wie sich die EU die Maßnahmen vorstellt. Es besteht Grund zur Annahme, dass dies der künftige Goldstandard sein wird, nicht nur Aufsichtsbehörden, sondern auch für Gerichte und Versicherungen.
Geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen
Klingt wie Art. 32 DSGVO: dort heißt es ebenso wie in §30 Abs. 2 BSIG “nach Stand der Technik” :
branchenübliche und angemessene SchutzmaßnahmenDie Maßnahmen sollen die “einschlägigen europäischen und internationalen Normen” berücksichtigen.
Damit ist vermutlich insbesondere ISO27001 gemeint (an die sich die NIS2 ja auch anlehnt), ob auch BSI-Grundschutz als deutsche oder TISAX als sehr deutsche Norm gemeint sind ist fraglich, aber nicht grundsätzlich “falsch”.Die Maßnahmen sollen auf Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering halten – dies ist als Schutzziel bei der Formulierung von Informationssicherheits-Leitlinien zu beachten.
Bei DORA sowie in der NIS2-Richtlinie ist zudem vom Schutzziel der Authentizität die Rede, die neben die oben genannten tritt und in Reisikobewertungen ebenfalls geprüft werden muss.Bei der Beurteilung der Verhältnismäßigkeit sind Risikoexposition, Unternehmensgröße, Umsetzungskosten, sowie Eintrittswahrscheinlichkeit und Schadensausmaß zu berücksichtigen, letzteres auch auf gesellschaftlicher Ebene. Es empfiehlt sich wohl, dies systematisch abzuprüfen und zu dokumentieren.
Grundlegendes Dokument dürfte eine Informationssicherheits-Leitlinie sein, wie schon aus der ISO27001 bekannt.
Daneben aber auch interne Richtlinien für IT-Sicherheit am Arbeitsplatz, Administrationsrichtlinien und andere spezifische Dokumente.Als KRITIS-Betreiber sind ggf. weitere Maßnahmen nach §31 BSIG umzusetzen.
Ferner gelten Audit- und Nachweispflichten nach §39 BSIG sowie Meldepflichten bei erstmaligem Einsatz nach §41 BSIG.
Ferner Pflicht zum Betrieb von Systemen zur Angriffserkennung (z.B. SIEM) nach §31 BSIG und zur Durchführung von Sicherheitstests und ggf. nachlaufender Maßnahmenplanung nach §39 BSIG.Ein Mapping der Anforderungen aus BSIG und NIS2UmsVO zeigt, dass es eine große Überlappung gibt, aber auch Abweichungen.
1. NIS2-Anforderung: Konzept für die Sicherheit von Netz und Informationssystemen
Konzept für die Sicherheit von Netz- und Informationssystemen
- Das Sicherheitskonzept soll als Top-Level-Dokument das Bekenntnis des Unternehmens zur Informationssicherheit darstellen und sollte daher auch vom Management freigegeben werden, vgl. EG 9 zur NIS2UmsVO.
- Inhalt des Sicherheitskonzepts (aka ISMS-Leitlinie):
- Management-/Strategieansatz: Darstellung des Ansatzes der Einrichtung für die Sicherheit von Netz- und Informationssystemen.
- Integration in die Geschäftsstrategie: Das Konzept muss die Geschäftsstrategie und Ziele der Einrichtung unterstützen und ergänzen.
Dazu kann auch eine Analyse der Stakeholder-Erwartungen gehören. - Sicherheitsziele: Darlegung spezifischer Ziele zur Sicherheit von Netz- und Informationssystemen.
- Kontinuierliche Verbesserung: Verpflichtung zur laufenden Verbesserung der Sicherheit.
- Bereitstellung von Ressourcen: Zusicherung der notwendigen personellen, finanziellen und technologischen Ressourcen für die Umsetzung.
- Kommunikation und Anerkennung: Das Konzept ist relevanten Mitarbeitenden und externen Beteiligten zu kommunizieren und von diesen anzuerkennen.
- Rollen und Verantwortlichkeiten: Klare Festlegung gemäß den Anforderungen der Einrichtung.
- Dokumentation und Aufbewahrung: Definition der aufzubewahrenden Unterlagen und der Aufbewahrungsdauer.
- Themenspezifische Konzepte: Verweis auf ergänzende Sicherheitskonzepte.
- Überwachung und Reifegrad: Festlegung von Indikatoren und Maßnahmen zur Überwachung der Umsetzung und Bewertung des Sicherheitsreifegrads. Definition einfach zu messende KPIs wie etwa Zahl der Incidents, ungeplante Wartungen, allgemeine Dienste-Verfügbarkeit oder Schulungsstatus der Mitarbeiter oder etwas mehr „advanced“ könnte MTBF – mean time between failure – durchschnittliche Zeit zwischen zwei Vorfällen / Ausfällen zu messen.
- Genehmigung durch die Leitungsorgane: Angabe des Datums der förmlichen Genehmigung des Konzepts.
- Regelmäßige Überprüfung und Aktualisierung:
- Das Konzept muss mindestens jährlich sowie bei Sicherheitsvorfällen oder wesentlichen Änderungen der Risiken oder Betriebsabläufe von den Leitungsorganen überprüft und bei Bedarf aktualisiert werden.
- Die Ergebnisse der Überprüfung sind zu dokumentieren, um die kontinuierliche Anpassung und Verbesserung sicherzustellen.
Rollen, Verantwortlichkeiten und Weisungsbefugnisse
- Festlegung und Zuordnung:
- Verantwortlichkeiten und Weisungsbefugnisse für die Sicherheit von Netz- und Informationssystemen müssen definiert, den entsprechenden Rollen zugeordnet und entsprechend dem Bedarf der Einrichtung festgelegt werden.
- Die Zuordnung ist den Leitungsorganen mitzuteilen, um eine klare Verantwortungsstruktur zu gewährleisten.
- Anwendung durch Mitarbeitende und Dritte:
- Alle Mitarbeitenden und Dritte sind verpflichtet, die Netz- und Informationssicherheit gemäß dem Sicherheitskonzept, den themenspezifischen Konzepten und den Verfahren der Einrichtung anzuwenden.
- Benennung eines Sicherheitsverantwortlichen:
- Mindestens eine Person muss direkt gegenüber den Leitungsorganen für die Netz- und Informationssicherheit verantwortlich sein (de facto Pflicht zur Bestellung eines Informationssicherheitsbeauftragten – ISB).
- Rollenstruktur:
- Abhängig von der Größe der Einrichtung können spezifische Rollen für die Netz- und Informationssicherheit geschaffen oder bestehende Rollen mit zusätzlichen Aufgaben betraut werden.
- Widerstrebende Pflichten und sich überschneidende Verantwortlichkeiten sind – soweit möglich – zu trennen, um Konflikte zu vermeiden.
- Regelmäßige Überprüfung und Anpassung:
- Die Rollen, Verantwortlichkeiten und Weisungsbefugnisse sind regelmäßig sowie bei wesentlichen Sicherheitsvorfällen oder Änderungen der Risiken oder Betriebsabläufe durch die Leitungsorgane zu überprüfen und bei Bedarf anzupassen.
- Festlegung und Zuordnung:
Anforderungen, die in diese NIS2-Anforderung hineininterpretiert werden können, finden sich in der
NIS2UmsVO unter Annex, hier insbesondere 1.1 und 1.2
2. NIS2-Anforderung: Konzepte in Bezug auf die Risikoanalyse
- Einführung und Pflege eines Risikomanagementrahmens:
- Einrichtungen müssen einen geeigneten Rahmen einführen, um Risiken für die Sicherheit von Netz- und Informationssystemen zu identifizieren, zu bewerten und zu behandeln (Verfahren zur Evaluation, Management und Mitigation von Risiken – Beschrieben in einer Richtlinie).
- Regelmäßige Risikobewertungen sind durchzuführen, zu dokumentieren und die Ergebnisse sowie Restrisiken von Leitungsorganen oder verantwortlichen Personen zu akzeptieren (Liste getragener Risiken).
- Dabei ist ein gefahrenübergreifender Ansatz zu wählen, dies schließt die ausschließliche Betrachtung einzelner Szenarien (etwa: nur für Ransomware) aus.
- Risikomanagementverfahren:
- Verfahren für die Ermittlung, Analyse, Bewertung und Behandlung von Risiken müssen fester Bestandteil des gesamten Risikomanagements der Einrichtung sein.
- Anforderungen umfassen:
- Verwendung einer Risikomanagementmethodik.
- Festlegung einer Risikotoleranzschwelle und relevanter Risikokriterien.
- Ermittlung und Dokumentation bestehender Risiken, einschließlich derer, die Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit betreffen, insbesondere in Bezug auf Dritte und punktuelle Ausfälle.
- Analyse der Risiken hinsichtlich Bedrohung, Wahrscheinlichkeit, Auswirkung und Risikoniveau.
- Bewertung der Risiken basierend auf festgelegten Kriterien.
- Bestimmung und Dokumentation von Maßnahmen zur Risikobehandlung in einem Risikobehandlungsplan.
- Behandlung und Überwachung von Risiken:
- Optionen und Maßnahmen zur Risikobehandlung sind zu bestimmen, umzusetzen und fortlaufend zu überwachen.
- Verantwortlichkeiten und Zeitpläne für die Umsetzung der Maßnahmen müssen klar definiert werden.
- Restrisiken sind zu dokumentieren und zu begründen.
- Berücksichtigung relevanter Faktoren:
- Risikomanagementoptionen und -maßnahmen müssen basierend auf den Ergebnissen der Risikobewertung, der Wirksamkeitsbewertung der Risikomanagementmaßnahmen, Kosten-Nutzen-Erwägungen, der Klassifizierung von Anlagen und Werten sowie der Analyse betrieblicher Auswirkungen priorisiert werden.
- Regelmäßige Überprüfung und Aktualisierung:
- Ergebnisse der Risikobewertung und der Risikobehandlungsplan sind mindestens jährlich sowie bei wesentlichen Änderungen oder Sicherheitsvorfällen zu überprüfen und bei Bedarf zu aktualisieren.
- Einführung und Pflege eines Risikomanagementrahmens:
- Regelmäßige Überprüfung der Einhaltung:
- Die Einhaltung der Sicherheitskonzepte, themenspezifischen Vorschriften (spezifische Richtlinien) und Normen ist regelmäßig zu überprüfen.
- Die Leitungsorgane sind durch regelmäßige Berichte über den Stand der Netz- und Informationssicherheit zu informieren.
- Berichterstattungssystem:
- Es ist ein wirksames System zur Berichterstattung über die Einhaltung der Bestimmungen einzurichten, das den spezifischen Strukturen, Betriebsumfeldern und Bedrohungslagen der Einrichtung entspricht.
- Dieses System muss den Leitungsorganen einen fundierten Überblick über den Status des Risikomanagements und der Sicherheitsmaßnahmen bieten.
- Zeitliche Planung und Anpassung:
- Maßnahmen zur Überwachung der Einhaltung sind regelmäßig sowie nach Sicherheitsvorfällen oder bei wesentlichen Änderungen der Betriebsabläufe oder Risiken durchzuführen, um eine kontinuierliche Sicherstellung der Einhaltung zu gewährleisten.
- Regelmäßige Überprüfung der Einhaltung:
Unabhängige Überprüfung der Netz- und Informationssicherheit
- Durchführung unabhängiger Überprüfungen:
- Es muss das Management der Netz- und Informationssicherheit (ISMS) sowie dessen Umsetzung, einschließlich Personen, Verfahren und Technologien, regelmäßig unabhängig überprüft werden.
- Diese Überprüfungen sollen von Personen mit angemessener Prüfungskompetenz durchgeführt werden, die nicht dem überprüften Bereich unterstellt sind (intern oder extern).
- Alternativ sind Maßnahmen zur Wahrung der Unparteilichkeit zu ergreifen, falls die Größe der Einrichtung eine vollständige Trennung der Befugnisse nicht erlaubt.
- Verfahren zur Überprüfung:
- Es müssen Verfahren für die Durchführung unabhängiger Überprüfungen („Richtlinie für Evaluation und internes Audit“)entwickelt und aufrechterhalten werden, das die Unabhängigkeit und die Qualität der Prüfung gewährleistet.
- Berichterstattung und Maßnahmen:
- Die Ergebnisse der Überprüfungen, einschließlich der Ergebnisse aus der Einhaltungskontrolle und der Überwachung sowie Messung, sind den Leitungsorganen zu melden (Reporting).
- Durchführung unabhängiger Überprüfungen:
Ob die Ansätze einer Risikoanalyse nach ISO27001 erforderlich sind, bleibt dahingestellt, sinnvoll wäre es vermutlich schon, wenn auch auf hohem Abstraktionsgrad. Allerdings können auch branchenspezifische Standards zur Anwendung kommen, z.B. B3S.
Weitere Details, was hier relevant sein könnte, liefert die NIS2UmsVO im Annex unter 2.1 ff
3. NIS2-Anforderung: Bewältigung von Sicherheitsvorfällen
Konzept für die Bewältigung von Sicherheitsvorfällen
- Entwicklung und Umsetzung eines Sicherheitsvorfallkonzepts (Incident-Management-Richtlinie):
- Einrichtungen müssen ein Konzept entwickeln, das die zeitnahe Erkennung, Analyse, Eindämmung oder Reaktion, Wiederherstellung, Dokumentation und Meldung von Sicherheitsvorfällen regelt.
- Rollen, Verantwortlichkeiten und Verfahren für alle Phasen des Vorfallsmanagements sind klar zu definieren.
Beispiel: Wer darf entscheiden „Alles abschalten!“ – und wer, wenn die Geschäftsleitung nicht erreichbar ist?
- Inhalt des Konzepts:
- Kategorisierungssystem:
Ein System zur Kategorisierung von Sicherheitsvorfällen, das mit der Bewertung und Klassifizierung von Ereignissen abgestimmt ist. - Kommunikationspläne:
Effektive Kommunikationsstrategien, einschließlich Eskalations- und Meldeverfahren. - Zuweisung von Rollen:
Kompetente Mitarbeitende sind für die Erkennung und angemessene Reaktion auf Sicherheitsvorfälle verantwortlich. - Unterstützende Dokumentation:
Bereitstellung von Dokumenten wie Anleitungen zur Reaktion (Playbooks), Eskalationsschemata, Kontaktlisten und Vorlagen / Templates für die Bearbeitung von Vorfällen, Kommunikationstemplates.
- Kategorisierungssystem:
- Kohärenz mit Notfallplänen:
- Das Konzept muss mit dem Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs übereinstimmen, um eine koordinierte Reaktion zu gewährleisten.
- Regelmäßige Tests und Aktualisierungen:
- Die festgelegten Rollen, Verantwortlichkeiten und Verfahren sind regelmäßig sowie nach wesentlichen Sicherheitsvorfällen oder Änderungen der Betriebsabläufe zu testen, zu überprüfen und bei Bedarf zu aktualisieren, um die Effektivität des Konzepts sicherzustellen.
- Entwicklung und Umsetzung eines Sicherheitsvorfallkonzepts (Incident-Management-Richtlinie):
Überwachung und Protokollierung
- Einrichtung von Überwachungs- und Protokollierungsverfahren:
- Verfahren und Instrumente sind einzurichten, um Aktivitäten in Netz- und Informationssystemen zu überwachen und zu protokollieren, um potenzielle Sicherheitsvorfälle zu erkennen und angemessen darauf zu reagieren.
- Die Überwachung soll – soweit möglich – automatisch erfolgen und kontinuierlich oder regelmäßig durchgeführt werden, um falsch positive und falsch negative Ergebnisse zu minimieren.
- Inhalte der Protokollierung:
- Protokolle müssen, soweit angemessen, folgende Aspekte erfassen:
- Netzverkehr (ein- und ausgehend),
- Änderungen an Nutzerkonten und Berechtigungen,
- Zugriffe auf Systeme, Anwendungen und kritische Dateien,
- Ereignisprotokolle von Sicherheitstools (z. B. Firewalls, Antivirenprogramme),
- Nutzung und Leistung der Systemressourcen,
- physischen Zugang und Netzwerkzugang,
- Aktivierung, Beendigung und Pausieren der Protokollierung.
- Protokolle müssen, soweit angemessen, folgende Aspekte erfassen:
- Überprüfung und Alarmsysteme:
- Protokolle sind regelmäßig auf ungewöhnliche oder unerwünschte Trends zu überprüfen.
- Geeignete Schwellenwerte für Alarme sind festzulegen. Überschreitungen müssen – soweit angemessen – automatisch Alarme auslösen, auf die zeitnah reagiert wird.
- Sicherung und Schutz der Protokolle:
- Protokolle sind für einen vorab definierten Zeitraum sicher aufzubewahren und vor unbefugtem Zugriff oder Änderungen zu schützen.
- Alle Systeme müssen zeitlich synchronisiert sein, um die Korrelation von Ereignissen zu erleichtern.
- Redundanz und Verfügbarkeit:
- Redundanzsysteme sind für die Überwachung und Protokollierung einzurichten.
- Überwachungs- und Protokollierungssysteme müssen unabhängig von den zu überwachenden Systemen überwacht werden, um ihre Verfügbarkeit sicherzustellen.
- Regelmäßige Überprüfung und Aktualisierung:
- Die Verfahren, die protokollierten Anlagen und Werte sowie die verwendeten Systeme sind regelmäßig und nach Sicherheitsvorfällen zu überprüfen und zu aktualisieren.
Hinweis: Die Umsetzung dieser Anforderungen entspricht weitgehend der Implementierung eines Security Information and Event Management (SIEM)-Systems, um eine umfassende Ereignisüberwachung und Protokollierung zu gewährleisten. Erfahren Sie, inwieweit ein SIEM eine NIS2-Anforderung ist und wie Sie pragmatisch vorgehen.
- Einrichtung von Überwachungs- und Protokollierungsverfahren:
- Einrichtung eines Meldesystems:
- Einrichtungen müssen einen einfachen Mechanismus schaffen, über den Mitarbeitende, Anbieter und Kunden verdächtige Ereignisse melden können.
- Information und Schulung:
- Anbieter und Kunden sind – soweit angemessen – über den Meldemechanismus zu informieren.
- Mitarbeitende sind regelmäßig zu schulen, um sicherzustellen, dass sie den Mechanismus korrekt und effizient nutzen können.
- Hinweis:
- Ähnlichkeiten zum Hinweisgeberschutzgesetz (HinSchG) bestehen insofern, als dass ein Meldesystem eingerichtet werden muss. Im Gegensatz zum HinSchG richtet sich diese Anforderung jedoch auch an externe Beteiligte wie Kunden und Anbieter und zielt explizit auf verdächtige Ereignisse im Kontext der Netz- und Informationssicherheit ab.
- Die Nutzung eines bereits bestehenden Hinweisgebersystems für diese Zwecke könnte technisch möglich sein, müsste jedoch den zusätzlichen Anforderungen (z. B. für externe Melder) angepasst werden.
- Einrichtung eines Meldesystems:
Bewertung und Klassifizierung von Ereignissen
- Ereignisbewertung und Sicherheitsvorfallklassifizierung:
- Einrichtungen müssen verdächtige Ereignisse bewerten, um festzustellen, ob es sich um Sicherheitsvorfälle handelt, deren Art und Schwere bestimmen und eine Priorisierung für die Eindämmung und Beseitigung vornehmen.
- Vorgehensweise bei der Bewertung:
- Kriterienbasiert und priorisiert: Vorab definierte Kriterien und eine Triage dienen der Priorisierung der Maßnahmen.
- Wiederholte Vorfälle: Vierteljährliche Bewertung, ob sich Vorfälle wiederholen und dadurch zusätzliche Maßnahmen gemäß Artikel 4 erforderlich werden.
- Protokollprüfung: Ereignisprotokolle sind regelmäßig zu überprüfen, um die Bewertung und Klassifizierung zu unterstützen.
- Korrelation und Analyse: Verfahren zur Korrelation und Analyse von Protokollen sind einzurichten, um Zusammenhänge zu erkennen und fundierte Entscheidungen zu treffen.
- Neubewertung: Ereignisse sind neu zu bewerten, wenn neue Informationen verfügbar werden oder bestehende Informationen erneut analysiert wurden.
- Trennung zwischen Security-Event und Incident:
- Die Definition und Unterscheidung zwischen Ereignissen (Security Events) und Sicherheitsvorfällen (Incidents) muss in einer Incident-Management-Policy festgelegt werden, um die Bewertung und Klassifizierung systematisch zu regeln.
- Ereignisbewertung und Sicherheitsvorfallklassifizierung:
Reaktion auf Sicherheitsvorfälle
- Zeitnahe Reaktion:
- Sicherheitsvorfälle müssen gemäß dokumentierten Verfahren schnell und effizient behandelt werden.
- Phasen der Reaktionsmaßnahmen:
- Eindämmung: Verhinderung der Ausbreitung der Folgen des Vorfalls.
- Beseitigung: Sicherstellung, dass der Vorfall beendet ist und nicht erneut auftritt.
- Wiederherstellung: Falls erforderlich, Wiederaufnahme des regulären Betriebs nach einem Vorfall.
- Kommunikation während der Vorfallreaktion:
- Externe Kommunikation: Pläne und Verfahren für die Zusammenarbeit mit Computer-Notfallteams (CSIRTs) oder zuständigen Behörden bei der Meldung von Sicherheitsvorfällen.
- Interne Kommunikation: Effektive Kommunikation zwischen Personalmitgliedern und relevanten Interessengruppen außerhalb der Einrichtung.
- Protokollierung und Nachweissicherung:
- Aktivitäten zur Reaktion auf Sicherheitsvorfälle sind gemäß den Protokollierungsverfahren zu dokumentieren, und relevante Nachweise sind zu sammeln.
- Regelmäßige Tests:
- Verfahren zur Reaktion auf Sicherheitsvorfälle müssen in regelmäßigen Abständen getestet werden, um ihre Wirksamkeit sicherzustellen und mögliche Schwachstellen zu identifizieren.
- Zeitnahe Reaktion:
Überprüfungen nach Sicherheitsvorfällen
- Nachträgliche Überprüfungen:
- Einrichtungen müssen nach Sicherheitsvorfällen Überprüfungen durchführen, sobald die Wiederherstellung abgeschlossen ist. Diese Überprüfungen sind darauf ausgerichtet, die Ursachen des Vorfalls zu identifizieren und Lehren daraus zu ziehen, um zukünftige Vorfälle und deren Folgen zu minimieren.
- Dokumentation und kontinuierliche Verbesserung:
- Die Ergebnisse der Überprüfungen sind zu dokumentieren und müssen dazu beitragen, die folgenden Bereiche zu verbessern:
- Konzept für Netz- und Informationssicherheit: Weiterentwicklung der Sicherheitsstrategie.
- Risikobehandlungsmaßnahmen: Anpassung von Maßnahmen zur Risikominimierung.
- Verfahren für Vorfallmanagement: Verbesserung der Erkennung, Reaktion und Bewältigung von Sicherheitsvorfällen.
- Die Ergebnisse der Überprüfungen sind zu dokumentieren und müssen dazu beitragen, die folgenden Bereiche zu verbessern:
- Regelmäßige Überprüfung der Nachbearbeitung:
- Es ist sicherzustellen, dass alle relevanten Sicherheitsvorfälle eine nachträgliche Überprüfung erfahren haben. Diese Überprüfungspflicht ist in regelmäßigen Abständen zu evaluieren.
- Nachträgliche Überprüfungen:
Weitere Informationen zur Auslegung finden sich in der NIS2UmsVO unter 3. Incident Handling – 3.1 bis 3.6
4. NIS2-Anforderung: Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs
- Es müssen Notfallpläne entwickelt werden, die Sicherheitsvorfälle adressieren und die Aufrechterhaltung sowie Wiederherstellung des Betriebs ermöglichen. (auch: „Playbooks“)
- Solche Pläne basiert auf einer Risikobewertung und beinhalten:
- Zweck, Umfang und Zielgruppe.
- Rollen und Verantwortlichkeiten.
- Kontaktangaben und Kommunikationskanäle (intern/extern).
- Bedingungen für Aktivierung und Deaktivierung.
- Priorisierung und Reihenfolge der Wiederherstellung.
- Wiederherstellungsziele und Pläne für spezifische Betriebsabläufe.
- Erforderliche Ressourcen, einschließlich Sicherungen und Redundanzen.
- Maßnahmen zur Wiederaufnahme regulärer Tätigkeiten nach vorübergehenden Lösungen.
- Die Auswirkungen schwerwiegender Störungen müssen analysiert und Kontinuitätsanforderungen für ihre Netz- und Informationssysteme festlegt werden.
- Regelmäßige Tests und Aktualisierungen:
- Der Notfallplan ist regelmäßig und bei wesentlichen Vorfällen oder Änderungen der Betriebsabläufe oder Risiken zu testen und zu überprüfen.
- Ergebnisse der Tests und die daraus gezogenen Lehren sind in den Plan zu integrieren, um die Effektivität kontinuierlich zu verbessern.
- Sicherstellung der Betriebswiederherstellung: Die Wiederherstellung der Betriebsabläufe erfolgt gemäß dem Plan, der eine strukturierte und priorisierte Rückkehr zur normalen Funktion gewährleistet.
Backup-Sicherungs- und Redundanzmanagement
- Es müssen Sicherungskopien von Daten angelegt und ausreichend Ressourcen bereitgestellt werden (Betriebsstätten, Netz- und Informationssysteme, Personal), um ein angemessenes Maß an Redundanz zu gewährleisten.
- Sicherungspläne und -maßnahmen:
- Wiederherstellungszeiten: Definition und Sicherstellung der Einhaltung (RTO: Recovery Time Objective).
- Sicherstellen, dass Sicherungskopien vollständig, korrekt und auch für Cloud-Computing-Daten gültig sind (Integrität).
- Speicherung an Orten außerhalb des Hauptsystems und in sicherer Entfernung, um bei Notfällen geschützt zu sein.
- Physische und logische Zugangsbeschränkungen basierend auf der Klassifizierungsstufe der Daten.
- Festlegung von Verfahren zur Wiederherstellung und Aufbewahrungsfristen gemäß regulatorischen Anforderungen.
- Redundanz und Verfügbarkeit:
- Netz- und Informationssysteme, Betriebsstätten, Ausrüstung, Verbrauchsmaterial, kompetentes Personal und Kommunikationskanäle müssen redundant verfügbar sein.
- Ressourcen müssen regelmäßig überprüft und angepasst werden, um die Anforderungen an Sicherung und Redundanz zu erfüllen.
- Regelmäßige Prüfungen und Tests:
- Regelmäßige Überprüfung der Vollständigkeit und Korrektheit von Sicherungskopien (Integritätsprüfungen).
- Wiederherstellungstests: Tests zur Überprüfung der Verlässlichkeit von Wiederherstellungsverfahren und -ressourcen. Testergebnisse sind zu dokumentieren und bei Bedarf Korrekturmaßnahmen zu ergreifen.
- Dokumentation und Risikobewertung: Alle Maßnahmen müssen auf der Grundlage einer Risikobewertung und des Betriebskontinuitätsplans erfolgen, einschließlich der Dokumentation von Testergebnissen und Anpassungen.
- Es müssen Verfahren für das Krisenmanagement entwickelt und umgesetzt werden.
- Es soll klare Rollen und Verantwortlichkeiten des Personals sowie ggf. von Anbietern und Diensteanbietern definieren, einschließlich spezifischer Schritte für Krisensituationen.
- Kommunikation und Informationsfluss:
- Geeignete Kommunikationsmittel zwischen der Einrichtung und den zuständigen Behörden müssen sichergestellt werden.
Dies umfasst obligatorische Mitteilungen (z. B. Sicherheitsvorfälle mit Fristen) und fakultative Mitteilungen. - Verfahren zur Verwaltung und Nutzung von Informationen zu Sicherheitsvorfällen, Schwachstellen oder Bedrohungen, die von CSIRTs oder zuständigen Behörden bereitgestellt werden, müssen etabliert sein.
- Geeignete Kommunikationsmittel zwischen der Einrichtung und den zuständigen Behörden müssen sichergestellt werden.
- Es sind Maßnahmen vorzusehen, die die Sicherheit der Netz- und Informationssysteme auch während Krisensituationen gewährleisten.
Weitere Informationen zur Interpretation finden sich in der NIS2UmsVO im Annex unter 4.1 bis 4.3
5. Sicherheit der Lieferkette / Verbundrisiken zwischen Anbietern oder Diensteanbietern
Konzept für die Sicherheit der Lieferkette
- Es ist ein Konzept für die Sicherheit der Lieferkette zu entwickeln, das die Beziehungen zu Anbietern und Diensteanbietern regelt, um Supply-Chain-Risiken zu mindern. Die eigene Rolle in der Lieferkette ist festzulegen und den Anbietern mitzuteilen.
- Kriterien für Auswahl und Auftragsvergabe:
- Berücksichtigung der Cybersicherheitsverfahren und der Entwicklungsprozesse von Anbietern.
- Bewertung der Fähigkeit/Möglichkeiten von Anbietern, die festgelegten Cybersicherheitsanforderungen zu erfüllen, sowie der Qualität und Resilienz ihrer Produkte und Dienstleistungen.
- Analyse der Möglichkeiten zur Diversifizierung von Versorgungsquellen und zur Begrenzung von Abhängigkeiten / Lock-In-Effekten.
- Vertragsanforderungen:
- Integration von Cybersicherheitsanforderungen, Sensibilisierungs- und Ausbildungsanforderungen sowie Zuverlässigkeitsüberprüfungen für Mitarbeitende in Verträge.
- Verpflichtung zur Meldung von Sicherheitsvorfällen, Behebung von Schwachstellen und Einhaltung von Unterauftragsvergaberegeln.
- Festlegung von Pflichten bei Vertragsbeendigung, wie Abruf und sichere Entsorgung von Informationen.
- Überwachung und Anpassung:
- Regelmäßige Überprüfung der Cybersicherheitsverfahren von Anbietern, insbesondere bei wesentlichen Änderungen, Sicherheitsvorfällen oder neuen Risiken.
- Nachverfolgung der Berichte zu Leistungsvereinbarungen, Überprüfung sicherheitsrelevanter Vorfälle und Durchführung außerplanmäßiger Überprüfungen (Lieferantenaudits) bei Bedarf.
- Analyse und Minderung von Risiken, die sich aus Änderungen bei IKT-Produkten und -Diensten ergeben.
- Das Konzept muss die Ergebnisse koordinierter Sicherheitsrisikobewertungen und individueller Risikobewertungen berücksichtigen, um eine robuste und dynamische Lieferkettensicherheit sicherzustellen.
Verträge sollten Regelungen enthalten zu (vgl. auch Art. 28 DSGVO! – hier jetzt für alle Lieferanten)
- IT-Sicherheits-Anforderungen, Skills, Training und Hintergrund von eingesetzten Mitarbeitern
- Informationspflichten bei Incidents, Service-Level, Audit-Rechte, Schwachstellenmanagement
- Unterauftragnehmern und Modalitäten einer Vertragsbeendigung
- ggf. Sicherstellung von Zertifizierung nach §58 Verordnung (EU) 2019/881 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) von IKT-Diensten, -Produkten und -Prozessen
Verzeichnis der Anbieter und Diensteanbieter
- Erstellung und Pflege eines Verzeichnisses: Einrichtungen müssen ein aktuelles Verzeichnis ihrer direkten Anbieter und Diensteanbieter führen. Dieses Verzeichnis soll wesentliche Informationen enthalten, darunter:
- Kontaktstellen: Angaben zu Ansprechpartnern für jeden Anbieter und Diensteanbieter.
- Leistungsverzeichnis: Eine Liste der von jedem Anbieter oder Diensteanbieter bereitgestellten IKT-Produkte, -Dienste und -Prozesse.
- Aktualisierung: Das Verzeichnis ist regelmäßig zu überprüfen und bei Änderungen zeitnah zu aktualisieren, um eine zuverlässige Grundlage für die Sicherheits- und Lieferkettenverwaltung zu gewährleisten.
- Erstellung und Pflege eines Verzeichnisses: Einrichtungen müssen ein aktuelles Verzeichnis ihrer direkten Anbieter und Diensteanbieter führen. Dieses Verzeichnis soll wesentliche Informationen enthalten, darunter:
Es sollen die Vorgaben aus der Art. 22 NIS2-Richtlinie beachtet werden, die Cluster-Risiken ermitteln sollen.
weitere Anforderungen können dem Annex der NIS2UmsVO unter Punkt 5.1 bis 5.2
6. NIS2-Anforderung: Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen / Management und Offenlegung von Schwachstellen
Sicherheitsmaßnahmen beim Erwerb von IKT-Diensten oder IKT-Produkten
- Einrichtungen müssen Verfahren (ein Richtliniendokument) auf Basis der Risikobewertung entwickeln, um Risiken aus dem Erwerb von IKT-Diensten oder -Produkten zu managen. Dieses Verfahren muss Sicherheits- und und Aktualisierungsanforderungen über den gesamten Produkt-Lebenszyklus berücksichtigen.
- Es sind Anforderungen an Sicherheitsfunktionen, Konfigurationen und Beschreibungen der Hardware- und Softwarekomponenten festzulegen.
- Es müssen Methoden und Nachweise bereitgestellt werden, dass die Produkte und Dienste die geforderten Sicherheitsstandards erfüllen, einschließlich Validierung und Dokumentation der Ergebnisse.
- Es müssen Vorschriften für die Sicherheit festgelegt werden, die alle Entwicklungsphasen (Spezifikation, Konzeption, Entwicklung, Umsetzung, Tests) abdecken. Das gilt auch bei ausgelagerter Entwicklung.
- Es sind Sicherheitsanforderungen in der Spezifikations- und Entwurfsphase zu festzulegen. Dazu gehören Grundsätze wie „Cybersicherheit durch Design“ und „Zero-Trust-Architekturen“.
- Es sind Sicherheitsanforderungen an Entwicklungsumgebungen, Sicherheitstests während des Entwicklungszyklus sowie die Bereinigung und Anonymisierung von Testdaten im Rahmen der Risikobewertungen zu stellen.
- Bei ausgelagerter Entwicklung sind zusätzlich die Grundsätze und Verfahren aus den Bereichen Risikomanagement und Beschaffungssicherheit anzuwenden.
- Die Vorschriften für die sichere Entwicklung sind regelmäßig zu überprüfen und bei Bedarf zu aktualisieren.
- Es müssen Konfigurationen, einschließlich Sicherheitskonfigurationen, für Hardware, Software, Dienste und Netzwerke festgelegt, dokumentiert, umsetzt und deren Sicherheit gewährleistet werden.
- Verfahren (Richtlinien) und Werkzeuge (Tools) sind zu implementieren, um die Einhaltung der festgelegten sicheren Konfigurationen für neu installierte Systeme und bestehende Systeme während ihrer gesamten Betriebsdauer zu gewährleisten bzw. zu erzwingen (z.B. via Gruppenrichtlinien).
- Konfigurationen sind regelmäßig sowie bei Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder Risiken zu überprüfen und bei Bedarf anzupassen.
Änderungsmanagement, Reparatur und Wartung
- Es müssen Verfahren zur Kontrolle von Änderungen an Netz- und Informationssystemen eingeführt, die Freigaben, reguläre Änderungen, Notfalländerungen und Konfigurationsänderungen abgedeckt und mit den allgemeinen Change-Management-Prinzipien im Einklang stehen.
- Änderungen müssen dokumentiert, getestet und basierend auf einer Risikobewertung bewertet werden, bevor sie umgesetzt werden.
Notfalländerungen sind ebenfalls zu dokumentieren, einschließlich der Gründe für die Abweichung von regulären Verfahren.
- Es muss ein Konzept und Verfahren für Sicherheitsprüfungen festgelegt, umgesetzt und angewendet werden, das die Notwendigkeit, den Umfang, die Häufigkeit und die Art der Prüfungen auf Basis einer Risikobewertung definiert.
- Sicherheitsprüfungen sind nach einer definierten Methode durchzuführen, die sich auf sicherheitsrelevante Komponenten konzentriert. Die Ergebnisse, einschließlich der Kritikalität und Risikominderungsmaßnahmen, sind umfassend zu dokumentieren, insbesondere im Falle kritischer Feststellungen.
-
- Es müssen Verfahren für das Patch-Management entwickelt und angewendet werden, die im Einklang mit Änderungs-, Schwachstellen- und Risikomanagementverfahren stehen.
- Es muss sichergestellt werden, dass Sicherheitspatches in angemessener Frist angewendet, zuvor getestet und auf Integrität geprüft werden sowie aus vertrauenswürdigen Quellen stammen.
- Wenn ein Sicherheitspatch nicht verfügbar oder nicht anwendbar ist, müssen alternative Sicherheitsmaßnahmen umgesetzt und verbleibende Restrisiken formell akzeptiert werden. Eine ordnungsgemäße Dokumentation der Gründe ist erforderlich.
- Sicherheitspatches können unterlassen werden, wenn ihre Nachteile die Vorteile für die Cybersicherheit überwiegen. Diese Entscheidung muss dokumentiert und begründet werden.
-
- Die Netzarchitektur muss verständlich und aktuell dokumentiert werden. Dies kann durch den Einsatz von Inventarisierungstools erfolgen, die neben der Netzwerkinventarisierung auch ein Inventar von physischen und virtuellen Maschinen sowie Software bereitstellen.
- Zugangskontrollen und Schutzmaßnahmen:
- Trennung interner Netzdomänen: Maßnahmen wie die Einrichtung einer Demilitarisierten Zone (DMZ), die Trennung virtueller Netze und Network Access Control (NAC) müssen implementiert werden, um unbefugten Zugriff zu verhindern.
- Einschränkung unnötiger Verbindungen: Netzverbindungen und Dienste, die nicht erforderlich sind, müssen deaktiviert oder durch Traffic-Filter blockiert werden. Dies gilt insbesondere für Geräte, die keinen externen Zugriff benötigen.
- Fernzugriffsregeln: Mitarbeiter, Partner oder Dienstleister, die sich über Webservices, VPN oder Fernwartungssysteme verbinden, dürfen dies nur nach definierten Sicherheitsrichtlinien tun.
- Sicherheitsrichtlinien für Netzwerk- und Informationssysteme:
- Isolierung sicherheitskritischer Systeme: Systeme, die Sicherheitskonzepte verwalten, dürfen nicht für andere Zwecke genutzt werden, um ihre Integrität zu gewährleisten.
- Genehmigungspflicht für Geräte und Dienste: Nur von der Einrichtung genehmigte Geräte dürfen Zugang erhalten. NAC-Systeme mit Zertifikaten oder vorab registrierten Geräten können diese Anforderungen unterstützen.
- Genehmigung von Dienstleisterzugängen: Dienstleister dürfen nur nach vorheriger Genehmigung und für einen festgelegten Zeitraum, beispielsweise für Wartungsarbeiten, auf Systeme zugreifen.
- Sicherstellung der sicheren Kommunikation:
- Vertrauenswürdige Kanäle: Kommunikation zwischen Systemen muss über logische, kryptografische oder physikalisch getrennte Kanäle erfolgen, die Endpunkte eindeutig identifizieren und die Daten vor Änderungen oder Offenlegung schützen. Beispiele hierfür sind SSL oder IPsec-gesicherte Verbindungen.
- Übergang zu modernen Protokollen: Es ist ein Plan für die schrittweise Migration auf die neueste Generation von Kommunikationsprotokollen zu entwickeln, einschließlich der schrittweisen Abschaltung veralteter Protokolle.
- E-Mail-Sicherheitsstandards: Pläne zur Einführung internationaler, moderner und interoperabler E-Mail-Standards sind umzusetzen, um Schwachstellen im Zusammenhang mit E-Mail-Bedrohungen zu minimieren.
- DNS- und Routing-Sicherheit: Es sind bewährte Verfahren für die DNS-Sicherheit und die Hygiene des Internet-Routings anzuwenden, um ein sicheres Management des Datenverkehrs innerhalb und außerhalb des Netzwerks sicherzustellen.
- Regelmäßige Überprüfung und Anpassung: Alle Netzsicherheitsmaßnahmen sind regelmäßig und bei wesentlichen Änderungen der Betriebsabläufe oder Risiken sowie nach Sicherheitsvorfällen zu überprüfen und entsprechend zu aktualisieren, um die Netzsicherheit kontinuierlich zu gewährleisten.
- Einrichtungen müssen ihre Netz- und Informationssysteme in Netze oder Zonen segmentieren, basierend auf den Ergebnissen einer Risikobewertung. Die Systeme und Netze der Einrichtung sind dabei von denen Dritter physisch und logisch zu trennen.
- Maßnahmen zur Netzsegmentierung:
- Funktionale, logische und physische Beziehungen, einschließlich des Standorts vertrauenswürdiger Systeme und Dienste, sind in der Segmentierung zu berücksichtigen.
- Der Zugang zu Netzen oder Zonen sowie die Kommunikation zwischen und innerhalb von Zonen ist auf das Notwendige für den Betrieb und die Sicherheit zu beschränken.
- Systeme, die für den Betrieb oder die Sicherheit der Einrichtung unverzichtbar sind, sind in gesicherte Zonen zu integrieren.
- Eine DMZ innerhalb der Kommunikationsnetze kann die Sicherheit der internen und externen Kommunikation zu gewährleisten.
- Das Netz für die Verwaltung von Systemen muss vom operativen Netz der Einrichtung getrennt werden. Ebenso sind Netzverwaltungskanäle vom allgemeinen Netzverkehr sowie Produktionssysteme von Entwicklungs- und Testsystemen zu isolieren.
Schutz gegen Schadsoftware und nicht genehmigte Software
- Einrichtungen müssen ihre Netz- und Informationssysteme vor der Nutzung von Schadsoftware und nicht autorisierter Software schützen. Dazu sind Maßnahmen zur Erkennung und Verhinderung solcher Software einzuführen.
- Netz- und Informationssysteme sollten mit geeigneter Software ausgestattet sein, die Schadsoftware und nicht genehmigte Software erkennt und darauf reagiert.
- Diese Software ist regelmäßig zu aktualisieren, wobei die Risikobewertung und vertragliche Vereinbarungen mit Anbietern zu berücksichtigen sind.
- Die eingesetzten Schutzmaßnahmen und Softwarelösungen sind im Einklang mit der Risikobewertung und den Anforderungen der Einrichtung regelmäßig zu überprüfen und anzupassen, um einen wirksamen Schutz zu gewährleisten.
Behandlung und Offenlegung von Schwachstellen
- Es müssen Informationen über Schwachstellen aus geeigneten Quellen (z. B. CSIRTs, Anbieter, Behörden) gesammelt, deren Relevanz bewertet und Maßnahmen zur Behebung ergriffen werden. Schwachstellen-Scans sind regelmäßig durchzuführen und die Ergebnisse zu dokumentieren.
- Behebung und Management von Schwachstellen:
- Kritische Schwachstellen sind unverzüglich zu beheben, wobei die Verfahren mit Änderungs-, Sicherheitspatch- und Risikomanagement sowie dem Management von Sicherheitsvorfällen abgestimmt sein müssen.
- Falls die Behebung nicht möglich oder erforderlich ist, ist ein Plan zur Risikominderung zu erstellen oder die Entscheidung zu dokumentieren und zu begründen.
- Einrichtungen müssen ein Verfahren für die koordinierte Offenlegung von Schwachstellen gemäß nationalen Konzepten entwickeln, um verantwortungsvoll mit Sicherheitslücken umzugehen.
- Die genutzten Kanäle zur Schwachstellenüberwachung und die entsprechenden Verfahren sind regelmäßig zu überprüfen und bei Bedarf zu aktualisieren, um sicherzustellen, dass sie den aktuellen Anforderungen und Risiken entsprechen.
Weitere Informationen unter Punkt 6.1 bis 6.10 im Annex der NIS2UmsVO
7. NIS2-Anforderung: Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik
- Einrichtung eines Bewertungsverfahrens:
- Die Informationssicherheitsleitlinie bzw. das ISMS soll darauf überprüft werden, ob sie/es effizient implementiert ist und weiterentwickelt wird.
- Dazu müssen Einrichtungen ein Konzept und Verfahren (z.B. „Richtlinie für Evaluation und interne Audits“) entwickeln, um die Wirksamkeit ihrer Cybersicherheits-Risikomanagementmaßnahmen zu überwachen, zu messen und zu bewerten. Dabei sind Ergebnisse aus Risikobewertungen und Sicherheitsvorfällen zu berücksichtigen.
- Einrichtung eines Bewertungsverfahrens:
- Bestimmung der Überwachungsparameter:
- Das Vorgehen zur Bewertung der effektiven Implementierung des ISMS soll überprüfen, ob, wie, wann und durch wen die Aktivitäten des Cyber-Risikomanagements auch überwacht und gemessen wird, wie auch das Vorgehen und die Maßnahmen. Ebenso ist festzulegen, wann und durch wen die Ergebnisse analysiert und bewertet werden.
- Bestimmung der Überwachungsparameter:
Diese Anforderungen können in einem internen Audit-Plan oder Management-Review-Richtlinien verankert werden, um eine systematische Umsetzung sicherzustellen. Die Richtlinie bzw. Vorgehen sollen in regelmäßigen Abständen geprüft und ggf. aktualisiert werden oder nach gravierenden Änderungen.
Weitere Informationen unter Punkt 7 im Annex der NIS2UmseVO
8. NIS2-Anforderung: Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen
Sensibilisierungsmaßnahmen und grundlegende Verfahren im Bereich der Cyberhygiene
- Mitarbeitende, Mitglieder von Leitungsorganen sowie – soweit angemessen – Externe und Dienstleister müssen über Cybersicherheitsrisiken, deren Bedeutung und die Anwendung von Verfahren im Bereich der Cyberhygiene informiert und geschult werden.
- Ein Programm ist anzubieten, das regelmäßig durchgeführt wird, neue Mitarbeitende erreicht und mit den Sicherheitskonzepten und Verfahren der Einrichtung abgestimmt ist. Es muss relevante Cyberbedrohungen, bestehende Risikomanagementmaßnahmen, Kontaktstellen und Ressourcen sowie Cyberhygiene-Verfahren abdecken. Das Programm kann Eingang in den „Plan für Training und Awareness“ nehmen.
- Die Wirksamkeit des Programms ist regelmäßig zu testen (z.B. über Phishing Simulationen) und es ist an Änderungen in der Bedrohungslage, den Verfahren und den Risiken der Einrichtung anzupassen. Die Umsetzung kann durch ein Learning-Management-System (LMS) erfolgen, das in angemessener Frequenz wiederholte Schulungen bzw. Lernpfade ermöglicht und die schnelle Integration neuer Mitarbeitender im Onboarding sicherstellt.
- Es sind die Mitarbeitenden zu identifizieren, deren Rollen sicherheitsrelevante Fähigkeiten erfordern.
Diese müssen regelmäßig zu Themen der Sicherheit von Netz- und Informationssystemen geschult werden. - Die Schulungen müssen auf den spezifischen Bedarf der jeweiligen Rolle abgestimmt sein und regelmäßig aktualisiert werden.
Eine allgemeine, Unternehmens-unspezifische Schulung ist dafür nicht ausreichend. - Ein Schulungsprogramm („plan für Training und Awareness“) ist zu entwickeln, das die relevanten Sicherheitskonzepte, bekannten Cyberbedrohungen und Maßnahmen zur sicheren Systemkonfiguration und zum Verhalten bei sicherheitsrelevanten Ereignissen abdeckt.
- Neue Mitarbeitende oder Mitarbeitende, die in sicherheitskritische Rollen wechseln, müssen entsprechend ihrer neuen Aufgaben geschult werden.
- Das Schulungsprogramm ist regelmäßig zu evaluieren und an neue Bedrohungen, technische Entwicklungen und Änderungen der Sicherheitsmaßnahmen anzupassen. Die Wirksamkeit der Schulungen ist anhand von festgelegten Kriterien zu bewerten, um sicherzustellen, dass sie den Anforderungen der Rollen und Positionen entsprechen.
- Es sind die Mitarbeitenden zu identifizieren, deren Rollen sicherheitsrelevante Fähigkeiten erfordern.
9. NIS2-Anforderung: Kryptografie
Anwendung von Kryptografie und Verschlüsselung im Rahmen der Entwicklung und Umsetzung eines Konzepts (Dokumentes!) zur Sicherstellung der Vertraulichkeit, Authentizität und Integrität von Daten, abgestimmt auf die Anlagen- und Werteklassifizierung sowie die Ergebnisse der Risikobewertung.
Basierend auf der Schutzbedarfsfeststellung der Assets: Entwicklung und Umsetzung einer Systematik zur Festlegung der Art, Stärke und Qualität kryptografischer Maßnahmen sowie der einzusetzenden Protokolle, Algorithmen und Lösungen im Einklang mit einem Krypto-Agilitätsansatz, um gespeicherte und übertragene Daten zu schützen.
Angemessenes Schlüsselmanagement: Einführung von dokumentierten Abläufen/ Prozessen für die Generierung, Verteilung, Speicherung, Änderung, Widerruf, Wiederherstellung, Sicherung und Vernichtung von Schlüsseln, einschließlich der Protokollierung aller relevanten Aktivitäten und der Festlegung von Aktivierungs- und Deaktivierungsfristen.
Kontinuierliche Anpassung an sich wandelnde technische Standards durch regelmäßige Überprüfung und Aktualisierung kryptografischer Verfahren, um neue Sicherheitsanforderungen und technologische Entwicklungen zu berücksichtigen.
Weitere Informationen unter Punkt 9 „Kryptografie“ im Annex der NIS2UmsVO
10. NIS2-Anforderung: Sicherheit des Personals
- Verständnis und Verpflichtung des Personals: Mitarbeitende, freie Mitarbeiter, Leiharbeiter und Dienstleister müssen ihre Verantwortlichkeit im Bereich der Sicherheit verstehen und sich zur Einhaltung geltender Regeln verpflichten, insbesondere das Verständnis und die Befolgung von Cyberhygiene-Standards sowie das Bewusstsein für Rollen, Verantwortlichkeiten und Weisungsbefugnisse – gerade bei Nutzern mit administrativen oder privilegierten Zugängen und Mitglieder der Leitungsorgane.
- Dies kann in der Praxis durch Regelungen in Arbeitsverträgen, Rollen- oder Projektbezogene NDAs bzw. Zusatzvereinbarungen oder regelmäßige Schulungen, etwa über ein Learning-Management-System (LMS) abgedeckt und im „Plan für Training und Awareness“ geregelt werden. Die Schulung für Leitungsorgane ist explizit auch nochmal in §38 BSIG geregelt.
- Qualifikation und Einstellung: Personal muss entsprechend seiner Rollenanforderungen qualifiziert sein. Dazu sind Verfahren wie Referenzprüfungen, Validierung von Zeugnissen, Überprüfungsverfahren oder schriftliche Tests zu verwenden, um sicherzustellen, dass die Mitarbeitenden den Sicherheitsanforderungen entsprechen.
- In der Praxis gewinnen aber auch (automatische) Assessments sowie die zuvor vereinbarte Einholung von Referenzen an Bedeutung. Das Vorgehen kann ebenfalls in der Personalarbeitsrichtlinie geregelt werden.
- Regelmäßige Überprüfung: Die Zuweisung von Rollen und die Personalressourcen sind mindestens einmal jährlich zu überprüfen und bei Bedarf anzupassen, um sicherzustellen, dass die Sicherheitsanforderungen der Netz- und Informationssysteme kontinuierlich erfüllt werden.
- Festlegung von Kriterien und Durchführung von Überprüfungen: Es sind klare Kriterien zu definieren, welche Rollen, Verantwortlichkeiten und Weisungsbefugnisse nur von überprüften Personen wahrgenommen werden dürfen. Zuverlässigkeitsüberprüfungen sind vor Übernahme solcher Rollen durchzuführen, unter Berücksichtigung geltender Gesetze, ethischer Normen, geschäftlicher Anforderungen und der Klassifizierung der Anlagen und Werte sowie wahrgenommener Risiken.
- Die Einholung von Führungszeugnissen wird dabei nicht nur aus datenschutzrechtlicher Sicht kritisch gesehen, sondern auch, weil eine dort eingetragene tatsächliche Verurteilung schon sehr weitreichend und daher eher selten ist. Die Referenzeinholung ist auch hier vermutlich ein besserer Weg.
- Die Regelung, wann welche Überprüfung anzuwenden ist und was bei Unmöglichkeit einer Überprüfung geschieht, kann in der Personalarbeitsrichtlinie festgelegt werden. Es ist festzulegen in welchem Rhythmus die Zuverlässigkeitsprüfungen wiederholt werden müssen.
- Voraussetzungen und zeitlicher Rahmen: Die Überprüfungen müssen vor Aufnahme der Tätigkeiten erfolgen und sicherstellen, dass nur geeignete Personen Zugang zu kritischen Netz- und Informationssystemen sowie sensiblen Bereichen erhalten.
Verfahren zur Beendigung oder Änderung des Beschäftigungsverhältnisses
- Vertragliche Festlegung von Sicherheitsverpflichtungen: Verantwortlichkeiten und Pflichten im Bereich der Sicherheit von Netz- und Informationssystemen, die auch nach Beendigung oder Änderung eines Beschäftigungsverhältnisses gültig bleiben, sind vertraglich festzulegen und durchzusetzen, z. B. durch Vertraulichkeitsklauseln.
- Integration in Vertragsbedingungen: Die entsprechenden Verpflichtungen sind in die Arbeits- und Beschäftigungsbedingungen, Verträge oder Vereinbarungen aufzunehmen, um sicherzustellen, dass die Sicherheitsanforderungen auch nach Vertragsende verbindlich bleiben.
- Während dies in Arbeitsverträgen durchaus üblich ist, gilt dies für freie Mitarbeiter, Leiharbeitskräfte oder externe Dienstleister oft nicht oder ist nur schwer durchsetzbar (bei größeren Vertragspartnern).
- Einrichtung und Bekanntmachung eines Disziplinarverfahrens: Ein Verfahren zum Umgang mit Verstößen gegen Sicherheitskonzepte für Netz- und Informationssysteme ist zu entwickeln, bekannt zu machen und aufrechtzuerhalten, wobei rechtliche, gesetzliche, vertragliche und geschäftliche Anforderungen zu berücksichtigen sind. Dies kann in der Personalarbeitsrichtlinie verankert werden.
Weitere Informationen unter Punkt 10 „Sicherheit des Personals“ im Annex der NIS2UmsVO
11. NIS2-Anforderung: Konzepte für die Zugriffskontrolle
Konzept für die Zugriffskontrolle
- Entwicklung und Umsetzung von Konzepten: Es sind Richtlinien für die logische und physische Zugriffskontrolle auf Netz- und Informationssysteme zu erstellen und umzusetzen. Diese Konzepte müssen auf geschäftlichen und sicherheitstechnischen Anforderungen basieren.
- Geltungsbereich der Zugriffskontrolle: Die Konzepte müssen den Zugang von Personen (einschließlich Personal, Besuchern und externen Anbietern) und sicherstellen, dass nur angemessen authentifizierte Nutzer Zugang erhalten.
Management von Zugangs- und Zugriffsrechten
- Verwaltung von Zugangs- und Zugriffsrechten: Zugangs- und Zugriffsrechte sind im Einklang mit der o.g. Richtlinie zu gewähren, zu ändern, zu löschen. Dabei sind die Grundsätze „Kenntnis nur, wenn nötig“ (Need-to-know), „Nutzungsnotwendigkeit“ (Need-to-use) und Aufgabentrennung zu berücksichtigen. Rechte müssen von zuständigen Personen genehmigt werden und insbesondere bei Beendigung oder Änderung des Beschäftigungsverhältnisses oder beim Zugang Dritter angepasst werden.
- Es muss neben einer IST-Dokumentation (etwa aus den Systemen), auch eine SOLL-Dokumentation geben, z.B. über ein Ticket-System oder User-Access-Sheets.
Privilegierte Konten und Systemverwaltungskonten
- Die Verwaltung von privilegierten Konten und Systemverwaltungskonten muss Teil der o.g. Richtlinie sein.
- Für solche Accounts müssen besonders starke Identifikations-, Authentifizierungs- (z. B. Multifaktor-Authentifizierung) und Genehmigungsverfahren bestehen.
- Für Systemverwaltungsaufgaben (z. B. Installation, Konfiguration, Wartung) sind spezielle Konten einzurichten, die ausschließlich für diese Zwecke genutzt werden dürfen. Andere Tätigkeiten (z.B. Webrecherche) sollen mit diesen Konten nicht stattfinden.
- Systemverwaltungsrechte sind individuell zuzuweisen und so weit wie möglich einzuschränken.
- Die Nutzung von Systemverwaltungskonten ist strikt zu beschränken und zu kontrollieren, basierend auf dem Zugriffskontrollkonzept.
- Systemverwaltungssysteme dürfen ausschließlich für Systemverwaltungszwecke verwendet werden und müssen logisch von nicht-systemverwaltungsbezogener Anwendungssoftware getrennt sein.
- Der Zugang zu Systemverwaltungssystemen ist durch robuste Authentifizierungsmechanismen und Verschlüsselung abzusichern.
- Der gesamte Lebenszyklus der Identitäten (Nutzer-)Kennungen und deren Nutzer ist zu verwalten, d.h. Verwendung eindeutiger Kennungen, die Verknüpfung von Nutzerkennungen mit einzelnen Personen (keine gemeinsamen / Gruppen-Kennungen) und die Protokollierung sowie Überwachung aller Identitätsmanagement-Aktivitäten.
- Umgang mit gemeinsamen Kennungen: Gemeinsame Kennungen dürfen nur bei geschäftlicher Notwendigkeit nach einem Genehmigungsverfahren verwendet werden und sind im Rahmen des Cybersicherheits-Risikomanagements zu berücksichtigen. Ihre Nutzung ist zu dokumentieren.
- Regelmäßige Überprüfung und Deaktivierung: Nutzer- und Systemkennungen sind regelmäßig zu überprüfen und unverzüglich zu deaktivieren, wenn sie nicht mehr benötigt werden.
- Authentifizierungsverfahren und -techniken müssen an die Klassifizierung der Anlagen und Werte angepasst sein, d.h. die Stärke der Authentifizierung muss dem Risiko und der Sensibilität der zugreifenden Systeme und Daten entsprechen. Dies kann in der Klassifizierungsrichtlinie entsprechend berücksichtigt werden.
- Es muss festgelegt sein, wie der Prozess der sicheren Verwaltung und Zuweisung von Zugangsdaten abläuft, der insbesondere deren Vertraulichkeit gewährleistet. Änderungen der Zugangsdaten sind regelmäßig, bei Beginn der Nutzung oder bei Verdacht auf Kompromittierung zu verlangen. Außerdem ist das Zurücksetzen der Daten sowie die Sperrung von Nutzern nach mehrfachen Fehlversuchen sicherzustellen.
- Inaktive Sitzungen sind nach festgelegten Zeiträumen automatisch zu beenden.
- Der Einsatz moderner Authentifizierungsmethoden ist anzustreben.
- Nutzer müssen – soweit angemessen und möglich – durch Multifaktor-Authentifizierung (MFA) oder kontinuierliche Authentifizierungsmechanismen für den Zugang authentifiziert werden, angepasst an die Klassifizierung der Anlagen oder Werte. Die Authentifizierungsstärke ist an die Sensibilität und Klassifizierung der Anlagen und Werte, auf die zugegriffen wird, anzupassen, um ein angemessenes Sicherheitsniveau zu gewährleisten.
Weitere Informationen unter Punkt 11 „Zugriffskontrolle“ im Annex der NIS2UmsVO
12. NIS2-Anforderung: Konzepte für das Management von Anlagen
Anlagen- und Werteklassifizierung
- Es ist ein Klassifizierungssystem zu entwickeln, das anhand der Kritikalität das erforderliche Schutzniveau für alle Anlagen und Werte (Assets) in den Netz- und Informationssystemen festlegt.
- Alle Anlagen und Werte sind entsprechend ihrer Sensibilität, Kritikalität, ihres Risikos und Geschäftswerts einer Klassifizierungsstufe zuzuordnen, um den angemessenen Schutz sicherzustellen.
- Die Verfügbarkeitsanforderungen der Anlagen und Werte sind an die Ziele für Bereitstellung und Wiederherstellung im Notfallplan anzupassen.
Behandlung von Anlagen und Werten
- Es ist ein auf Basis des Klassifizierungskonzeptes basierendes Konzept zur ordnungsgemäßen Behandlung von Anlagen und Werten (Assets) über ihren gesamten Lebenszyklus hinweg zu entwickeln, umzusetzen und anzuwenden (Behandlungskonzept). Es muss Aspekte wie Erwerb, Nutzung, Speicherung, Transport und Entsorgung berücksichtigen („Lebenszyklus“).
- Dieses Konzept muss alle relevanten Personen, die mit den Anlagen und Werten umgehen, erreichen – es ist idealerweise Teil des „Plans für Training & Awareness“ (o.ä.).
- Das Konzept muss klare Vorschriften enthalten, was mit welchen Assets wie geschehen darf, z.B. die sichere Verwendung, Speicherung, den Transport (unverschlüsselt?) sowie die unwiederbringliche Löschung und Vernichtung von Anlagen und Werten enthalten und eine sichere Übertragung entsprechend der Sensibilität der Werte gewährleisten.
Konzept für Wechseldatenträger
- Dies könnte ein vermeidbares Risiko sein: das Unterlassen der Verwendung von Wechseldatenträgern führt dazu, dass diese Anforderung nicht oder nicht vollumfänglich umgesetzt werden muss.
- Ansonsten ist ein Konzept für den sicheren Umgang mit Wechseldatenträgern zu entwickeln, umzusetzen und anzuwenden, das allen Mitarbeitenden und Dritten, die solche Datenträger nutzen, kommuniziert wird.
- Das Konzept soll sowohl für die Nutzung in den Räumlichkeiten der Einrichtungen als auch an anderen Orten gelten, etwa im Homeoffice, bei nomadischer Arbeit oder auf Reisen,
- Das Konzept muss die technische Sperrung von Wechseldatenträgerverbindungen an Clients vorsehen, es sei denn, es gibt organisatorische Gründe für deren Nutzung. Zusätzlich ist die automatische Datei-Ausführungen zu verhindern und unbekannte Datenträger sind aufgrund einer vor ihrem Einsatz auf Schadcodes zu scannen. Ggf. sind auf Wechseldatenträger gespeicherte Daten automatisch zu verschlüsseln (z.B. Windows Bitlocker).
- Erstellung und Pflege eines Inventars: Es ist ein vollständiges, genaues, aktuelles und kohärentes Inventar der Anlagen und Werte zu erstellen und zu pflegen. Änderungen im Inventar sind nachvollziehbar zu erfassen und zu dokumentieren, wobei die Granularität den spezifischen Bedürfnissen der Einrichtung entsprechen muss.
- Inhalt des Inventars: Das Inventar muss eine Liste der Betriebsabläufe/Prozesse und Dienste mit Beschreibung sowie eine Liste der Netz- und Informationssysteme und anderer zugehöriger Anlagen und Werte enthalten, die diese Abläufe und Dienste unterstützen.
- Regelmäßige Aktualisierung: Das Inventar und die dokumentierten Anlagen und Werte sind regelmäßig zu überprüfen, zu aktualisieren und der Verlauf der Änderungen ist nachvollziehbar zu dokumentieren.
Abgabe, Rückgabe oder Löschung von Anlagen und Werten bei Beendigung des Beschäftigungsverhältnisses
- Entwicklung und Umsetzung von Verfahren: Es sind Verfahren festzulegen, umzusetzen und anzuwenden, um sicherzustellen, dass bei Beendigung eines Beschäftigungsverhältnisses alle Anlagen und Werte, die sich in der Verwahrung des Mitarbeitenden befinden, ordnungsgemäß abgegeben, zurückgegeben oder gelöscht werden. Diese Vorgänge sind zu dokumentieren.
Die Verwaltung von Assets im Besitz von Mitarbeitern wird üblicherweise durch Onboarding- / Offboarding-Checklisten geregelt, der Prozess in der Personalarbeitsrichtlinie oder der Administrationsrichtlinie beschrieben. - Umgang mit nicht rückgabefähigen Anlagen und Werten: Kann eine Abgabe, Rückgabe oder Löschung nicht erfolgen, ist sicherzustellen, dass die betreffenden Anlagen und Werte keinen Zugriff mehr auf die Netz- und Informationssysteme der Einrichtung haben.
- Dokumentation und Kontrolle: Die Abgabe, Rückgabe und Löschung von Anlagen und Werten ist nachprüfbar zu dokumentieren und regelmäßig zu kontrollieren, um die Einhaltung sicherzustellen.
- Entwicklung und Umsetzung von Verfahren: Es sind Verfahren festzulegen, umzusetzen und anzuwenden, um sicherzustellen, dass bei Beendigung eines Beschäftigungsverhältnisses alle Anlagen und Werte, die sich in der Verwahrung des Mitarbeitenden befinden, ordnungsgemäß abgegeben, zurückgegeben oder gelöscht werden. Diese Vorgänge sind zu dokumentieren.
Weitere Informationen unter Punkt 12 „Anlagen- und Werte-Management“ (Asset-Management) im Annex der NIS2UmsVO
13. NIS2-Anforderung: Sicherheit des Umfelds und physische Sicherheit
Schutz von unterstützenden Versorgungsleistungen / Infrastrukturen (Absatz 13.1):
- Es soll über den Schutz vor Ausfällen von Strom, Telekommunikation, Wasser, Gas, Abwasser, Lüftung, Klimatisierung nachgedacht werden und erforderlichenfalls über redundante Versorgungsleistungen nachgedacht werden. Ggf. sollen Verträge über Notversorgung (etwa Brennstoff für Notstromaggregate) geschlossen werden.
- Insbesondere sollen Stromversorgung und Telekommunikationsleistungen vor Beschädigung oder Abhören geschützt werden.
- Versorgungsleistungen sollen überwacht werden und Meldung über Ereignissen außerhalb definierter Kontrollwerte erfolgen.
- Sicherstellung der kontinuierlichen Funktion der für den betrieb erforderlichen Systeme, d.h. auch der Überwachungssysteme inkl. Temperatur- und Feuchtigkeitsmonitoring.
Schutz vor physischen Bedrohungen und Bedrohungen des Umfelds:
- Umsetzung von Schutzmaßnahmen gegen Naturkatastrophen und andere vorsätzliche oder unbeabsichtigte Bedrohungen auf Basis der Risikoanalyse, zu der aufgrund der holistischen Betrachtung wohl auch Sabotage und Terrorgefahren gehören können, aber auch einfache kriminelle oder fahrlässige Handlungen.
- Definition von Mindest- und Höchstkontrollwerten für physische Bedrohungen und Überwachung von Umweltparameter; Meldung von Vorfällen außerhalb der Mindest- oder Höchstkontrollwerte.
Perimeter und physische Zutrittskontrolle
- Festlegung von Sicherheitszonen und Regeln für diese Zonen, insbesondere für Bereiche, in denen sich Netz- und Informationssysteme sowie zugehörige Anlagen befinden (Sicherheitszonenkonzept) und Schutz durch angemessene und geeignete Zutrittskontrollen und Zugangspunkte
- Planung und Umsetzung von angemessenen Maßnahmen zur physischen Sicherheit für Büros, Räume und Betriebsstätten
- kontinuierliche Überwachung auf unbefugten Zutritt, z.B. durch Alarmanlagen oder andere Formen des Monitorings
Weitere Informationen unter Punkt 13 „Sicherung des Umfelds und physische Sicherheit“ im Annex der NIS2UmsVO
Sicherstellung der Vertraulichkeit und Integrität: Implementierung von Maßnahmen, die gewährleisten, dass Kommunikationsinhalte vor unbefugtem Zugriff und Manipulation geschützt sind.
Einsatz starker Verschlüsselung: Verwendung von robusten Verschlüsselungstechnologien, um die Sicherheit der übermittelten Daten zu gewährleisten.
Verfügbarkeit von Notfallkommunikationssystemen: Einrichtung redundanter und unabhängiger Kommunikationswege, die im Falle eines Ausfalls der primären Systeme einsatzbereit sind.
Der §30 BSIG ist DIE ZENTRALE deutsche Norm für die NIS2-Anforderungen.
In den hier aufgeführten NIS2-Anforderungen verbergen sich jedoch weitreichendere Forderungen als der erste Anschein vermuten lässt. Diese Stammen aus dem Annex der NIS2-Umsetzungsverordnung, einem Dokument, wie sich die EU die Maßnahmen vorstellt. Es besteht Grund zur Annahme, dass dies der künftige Goldstandard sein wird, nicht nur Aufsichtsbehörden, sondern auch für Gerichte und Versicherungen.
Geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen
Klingt wie Art. 32 DSGVO: dort heißt es ebenso wie in §30 Abs. 2 BSIG “nach Stand der Technik” :
branchenübliche und angemessene SchutzmaßnahmenDie Maßnahmen sollen die “einschlägigen europäischen und internationalen Normen” berücksichtigen.
Damit ist vermutlich insbesondere ISO27001 gemeint (an die sich die NIS2 ja auch anlehnt), ob auch BSI-Grundschutz als deutsche oder TISAX als sehr deutsche Norm gemeint sind ist fraglich, aber nicht grundsätzlich “falsch”.Die Maßnahmen sollen auf Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering halten – dies ist als Schutzziel bei der Formulierung von Informationssicherheits-Leitlinien zu beachten.
Bei DORA sowie in der NIS2-Richtlinie ist zudem vom Schutzziel der Authentizität die Rede, die neben die oben genannten tritt und in Reisikobewertungen ebenfalls geprüft werden muss.Bei der Beurteilung der Verhältnismäßigkeit sind Risikoexposition, Unternehmensgröße, Umsetzungskosten, sowie Eintrittswahrscheinlichkeit und Schadensausmaß zu berücksichtigen, letzteres auch auf gesellschaftlicher Ebene. Es empfiehlt sich wohl, dies systematisch abzuprüfen und zu dokumentieren.
Grundlegendes Dokument dürfte eine Informationssicherheits-Leitlinie sein, wie schon aus der ISO27001 bekannt.
Daneben aber auch interne Richtlinien für IT-Sicherheit am Arbeitsplatz, Administrationsrichtlinien und andere spezifische Dokumente.Als KRITIS-Betreiber sind ggf. weitere Maßnahmen nach §31 BSIG umzusetzen.
Ferner gelten Audit- und Nachweispflichten nach §39 BSIG sowie Meldepflichten bei erstmaligem Einsatz nach §41 BSIG.
Ferner Pflicht zum Betrieb von Systemen zur Angriffserkennung (z.B. SIEM) nach §31 BSIG und zur Durchführung von Sicherheitstests und ggf. nachlaufender Maßnahmenplanung nach §39 BSIG.Ein Mapping der Anforderungen aus BSIG und NIS2UmsVO zeigt, dass es eine große Überlappung gibt, aber auch Abweichungen.
1. NIS2-Anforderung: Konzept für die Sicherheit von Netz und Informationssystemen
Konzept für die Sicherheit von Netz- und Informationssystemen
- Das Sicherheitskonzept soll als Top-Level-Dokument das Bekenntnis des Unternehmens zur Informationssicherheit darstellen und sollte daher auch vom Management freigegeben werden, vgl. EG 9 zur NIS2UmsVO.
- Inhalt des Sicherheitskonzepts (aka ISMS-Leitlinie):
- Management-/Strategieansatz: Darstellung des Ansatzes der Einrichtung für die Sicherheit von Netz- und Informationssystemen.
- Integration in die Geschäftsstrategie: Das Konzept muss die Geschäftsstrategie und Ziele der Einrichtung unterstützen und ergänzen.
Dazu kann auch eine Analyse der Stakeholder-Erwartungen gehören. - Sicherheitsziele: Darlegung spezifischer Ziele zur Sicherheit von Netz- und Informationssystemen.
- Kontinuierliche Verbesserung: Verpflichtung zur laufenden Verbesserung der Sicherheit.
- Bereitstellung von Ressourcen: Zusicherung der notwendigen personellen, finanziellen und technologischen Ressourcen für die Umsetzung.
- Kommunikation und Anerkennung: Das Konzept ist relevanten Mitarbeitenden und externen Beteiligten zu kommunizieren und von diesen anzuerkennen.
- Rollen und Verantwortlichkeiten: Klare Festlegung gemäß den Anforderungen der Einrichtung.
- Dokumentation und Aufbewahrung: Definition der aufzubewahrenden Unterlagen und der Aufbewahrungsdauer.
- Themenspezifische Konzepte: Verweis auf ergänzende Sicherheitskonzepte.
- Überwachung und Reifegrad: Festlegung von Indikatoren und Maßnahmen zur Überwachung der Umsetzung und Bewertung des Sicherheitsreifegrads. Definition einfach zu messende KPIs wie etwa Zahl der Incidents, ungeplante Wartungen, allgemeine Dienste-Verfügbarkeit oder Schulungsstatus der Mitarbeiter oder etwas mehr „advanced“ könnte MTBF – mean time between failure – durchschnittliche Zeit zwischen zwei Vorfällen / Ausfällen zu messen.
- Genehmigung durch die Leitungsorgane: Angabe des Datums der förmlichen Genehmigung des Konzepts.
- Regelmäßige Überprüfung und Aktualisierung:
- Das Konzept muss mindestens jährlich sowie bei Sicherheitsvorfällen oder wesentlichen Änderungen der Risiken oder Betriebsabläufe von den Leitungsorganen überprüft und bei Bedarf aktualisiert werden.
- Die Ergebnisse der Überprüfung sind zu dokumentieren, um die kontinuierliche Anpassung und Verbesserung sicherzustellen.
Rollen, Verantwortlichkeiten und Weisungsbefugnisse
- Festlegung und Zuordnung:
- Verantwortlichkeiten und Weisungsbefugnisse für die Sicherheit von Netz- und Informationssystemen müssen definiert, den entsprechenden Rollen zugeordnet und entsprechend dem Bedarf der Einrichtung festgelegt werden.
- Die Zuordnung ist den Leitungsorganen mitzuteilen, um eine klare Verantwortungsstruktur zu gewährleisten.
- Anwendung durch Mitarbeitende und Dritte:
- Alle Mitarbeitenden und Dritte sind verpflichtet, die Netz- und Informationssicherheit gemäß dem Sicherheitskonzept, den themenspezifischen Konzepten und den Verfahren der Einrichtung anzuwenden.
- Benennung eines Sicherheitsverantwortlichen:
- Mindestens eine Person muss direkt gegenüber den Leitungsorganen für die Netz- und Informationssicherheit verantwortlich sein (de facto Pflicht zur Bestellung eines Informationssicherheitsbeauftragten – ISB).
- Rollenstruktur:
- Abhängig von der Größe der Einrichtung können spezifische Rollen für die Netz- und Informationssicherheit geschaffen oder bestehende Rollen mit zusätzlichen Aufgaben betraut werden.
- Widerstrebende Pflichten und sich überschneidende Verantwortlichkeiten sind – soweit möglich – zu trennen, um Konflikte zu vermeiden.
- Regelmäßige Überprüfung und Anpassung:
- Die Rollen, Verantwortlichkeiten und Weisungsbefugnisse sind regelmäßig sowie bei wesentlichen Sicherheitsvorfällen oder Änderungen der Risiken oder Betriebsabläufe durch die Leitungsorgane zu überprüfen und bei Bedarf anzupassen.
- Festlegung und Zuordnung:
Anforderungen, die in diese NIS2-Anforderung hineininterpretiert werden können, finden sich in der
NIS2UmsVO unter Annex, hier insbesondere 1.1 und 1.2
2. NIS2-Anforderung: Konzepte in Bezug auf die Risikoanalyse
- Einführung und Pflege eines Risikomanagementrahmens:
- Einrichtungen müssen einen geeigneten Rahmen einführen, um Risiken für die Sicherheit von Netz- und Informationssystemen zu identifizieren, zu bewerten und zu behandeln (Verfahren zur Evaluation, Management und Mitigation von Risiken – Beschrieben in einer Richtlinie).
- Regelmäßige Risikobewertungen sind durchzuführen, zu dokumentieren und die Ergebnisse sowie Restrisiken von Leitungsorganen oder verantwortlichen Personen zu akzeptieren (Liste getragener Risiken).
- Dabei ist ein gefahrenübergreifender Ansatz zu wählen, dies schließt die ausschließliche Betrachtung einzelner Szenarien (etwa: nur für Ransomware) aus.
- Risikomanagementverfahren:
- Verfahren für die Ermittlung, Analyse, Bewertung und Behandlung von Risiken müssen fester Bestandteil des gesamten Risikomanagements der Einrichtung sein.
- Anforderungen umfassen:
- Verwendung einer Risikomanagementmethodik.
- Festlegung einer Risikotoleranzschwelle und relevanter Risikokriterien.
- Ermittlung und Dokumentation bestehender Risiken, einschließlich derer, die Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit betreffen, insbesondere in Bezug auf Dritte und punktuelle Ausfälle.
- Analyse der Risiken hinsichtlich Bedrohung, Wahrscheinlichkeit, Auswirkung und Risikoniveau.
- Bewertung der Risiken basierend auf festgelegten Kriterien.
- Bestimmung und Dokumentation von Maßnahmen zur Risikobehandlung in einem Risikobehandlungsplan.
- Behandlung und Überwachung von Risiken:
- Optionen und Maßnahmen zur Risikobehandlung sind zu bestimmen, umzusetzen und fortlaufend zu überwachen.
- Verantwortlichkeiten und Zeitpläne für die Umsetzung der Maßnahmen müssen klar definiert werden.
- Restrisiken sind zu dokumentieren und zu begründen.
- Berücksichtigung relevanter Faktoren:
- Risikomanagementoptionen und -maßnahmen müssen basierend auf den Ergebnissen der Risikobewertung, der Wirksamkeitsbewertung der Risikomanagementmaßnahmen, Kosten-Nutzen-Erwägungen, der Klassifizierung von Anlagen und Werten sowie der Analyse betrieblicher Auswirkungen priorisiert werden.
- Regelmäßige Überprüfung und Aktualisierung:
- Ergebnisse der Risikobewertung und der Risikobehandlungsplan sind mindestens jährlich sowie bei wesentlichen Änderungen oder Sicherheitsvorfällen zu überprüfen und bei Bedarf zu aktualisieren.
- Einführung und Pflege eines Risikomanagementrahmens:
- Regelmäßige Überprüfung der Einhaltung:
- Die Einhaltung der Sicherheitskonzepte, themenspezifischen Vorschriften (spezifische Richtlinien) und Normen ist regelmäßig zu überprüfen.
- Die Leitungsorgane sind durch regelmäßige Berichte über den Stand der Netz- und Informationssicherheit zu informieren.
- Berichterstattungssystem:
- Es ist ein wirksames System zur Berichterstattung über die Einhaltung der Bestimmungen einzurichten, das den spezifischen Strukturen, Betriebsumfeldern und Bedrohungslagen der Einrichtung entspricht.
- Dieses System muss den Leitungsorganen einen fundierten Überblick über den Status des Risikomanagements und der Sicherheitsmaßnahmen bieten.
- Zeitliche Planung und Anpassung:
- Maßnahmen zur Überwachung der Einhaltung sind regelmäßig sowie nach Sicherheitsvorfällen oder bei wesentlichen Änderungen der Betriebsabläufe oder Risiken durchzuführen, um eine kontinuierliche Sicherstellung der Einhaltung zu gewährleisten.
- Regelmäßige Überprüfung der Einhaltung:
Unabhängige Überprüfung der Netz- und Informationssicherheit
- Durchführung unabhängiger Überprüfungen:
- Es muss das Management der Netz- und Informationssicherheit (ISMS) sowie dessen Umsetzung, einschließlich Personen, Verfahren und Technologien, regelmäßig unabhängig überprüft werden.
- Diese Überprüfungen sollen von Personen mit angemessener Prüfungskompetenz durchgeführt werden, die nicht dem überprüften Bereich unterstellt sind (intern oder extern).
- Alternativ sind Maßnahmen zur Wahrung der Unparteilichkeit zu ergreifen, falls die Größe der Einrichtung eine vollständige Trennung der Befugnisse nicht erlaubt.
- Verfahren zur Überprüfung:
- Es müssen Verfahren für die Durchführung unabhängiger Überprüfungen („Richtlinie für Evaluation und internes Audit“)entwickelt und aufrechterhalten werden, das die Unabhängigkeit und die Qualität der Prüfung gewährleistet.
- Berichterstattung und Maßnahmen:
- Die Ergebnisse der Überprüfungen, einschließlich der Ergebnisse aus der Einhaltungskontrolle und der Überwachung sowie Messung, sind den Leitungsorganen zu melden (Reporting).
- Durchführung unabhängiger Überprüfungen:
Ob die Ansätze einer Risikoanalyse nach ISO27001 erforderlich sind, bleibt dahingestellt, sinnvoll wäre es vermutlich schon, wenn auch auf hohem Abstraktionsgrad. Allerdings können auch branchenspezifische Standards zur Anwendung kommen, z.B. B3S.
Weitere Details, was hier relevant sein könnte, liefert die NIS2UmsVO im Annex unter 2.1 ff
3. NIS2-Anforderung: Bewältigung von Sicherheitsvorfällen
Konzept für die Bewältigung von Sicherheitsvorfällen
- Entwicklung und Umsetzung eines Sicherheitsvorfallkonzepts (Incident-Management-Richtlinie):
- Einrichtungen müssen ein Konzept entwickeln, das die zeitnahe Erkennung, Analyse, Eindämmung oder Reaktion, Wiederherstellung, Dokumentation und Meldung von Sicherheitsvorfällen regelt.
- Rollen, Verantwortlichkeiten und Verfahren für alle Phasen des Vorfallsmanagements sind klar zu definieren.
Beispiel: Wer darf entscheiden „Alles abschalten!“ – und wer, wenn die Geschäftsleitung nicht erreichbar ist?
- Inhalt des Konzepts:
- Kategorisierungssystem:
Ein System zur Kategorisierung von Sicherheitsvorfällen, das mit der Bewertung und Klassifizierung von Ereignissen abgestimmt ist. - Kommunikationspläne:
Effektive Kommunikationsstrategien, einschließlich Eskalations- und Meldeverfahren. - Zuweisung von Rollen:
Kompetente Mitarbeitende sind für die Erkennung und angemessene Reaktion auf Sicherheitsvorfälle verantwortlich. - Unterstützende Dokumentation:
Bereitstellung von Dokumenten wie Anleitungen zur Reaktion (Playbooks), Eskalationsschemata, Kontaktlisten und Vorlagen / Templates für die Bearbeitung von Vorfällen, Kommunikationstemplates.
- Kategorisierungssystem:
- Kohärenz mit Notfallplänen:
- Das Konzept muss mit dem Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs übereinstimmen, um eine koordinierte Reaktion zu gewährleisten.
- Regelmäßige Tests und Aktualisierungen:
- Die festgelegten Rollen, Verantwortlichkeiten und Verfahren sind regelmäßig sowie nach wesentlichen Sicherheitsvorfällen oder Änderungen der Betriebsabläufe zu testen, zu überprüfen und bei Bedarf zu aktualisieren, um die Effektivität des Konzepts sicherzustellen.
- Entwicklung und Umsetzung eines Sicherheitsvorfallkonzepts (Incident-Management-Richtlinie):
Überwachung und Protokollierung
- Einrichtung von Überwachungs- und Protokollierungsverfahren:
- Verfahren und Instrumente sind einzurichten, um Aktivitäten in Netz- und Informationssystemen zu überwachen und zu protokollieren, um potenzielle Sicherheitsvorfälle zu erkennen und angemessen darauf zu reagieren.
- Die Überwachung soll – soweit möglich – automatisch erfolgen und kontinuierlich oder regelmäßig durchgeführt werden, um falsch positive und falsch negative Ergebnisse zu minimieren.
- Inhalte der Protokollierung:
- Protokolle müssen, soweit angemessen, folgende Aspekte erfassen:
- Netzverkehr (ein- und ausgehend),
- Änderungen an Nutzerkonten und Berechtigungen,
- Zugriffe auf Systeme, Anwendungen und kritische Dateien,
- Ereignisprotokolle von Sicherheitstools (z. B. Firewalls, Antivirenprogramme),
- Nutzung und Leistung der Systemressourcen,
- physischen Zugang und Netzwerkzugang,
- Aktivierung, Beendigung und Pausieren der Protokollierung.
- Protokolle müssen, soweit angemessen, folgende Aspekte erfassen:
- Überprüfung und Alarmsysteme:
- Protokolle sind regelmäßig auf ungewöhnliche oder unerwünschte Trends zu überprüfen.
- Geeignete Schwellenwerte für Alarme sind festzulegen. Überschreitungen müssen – soweit angemessen – automatisch Alarme auslösen, auf die zeitnah reagiert wird.
- Sicherung und Schutz der Protokolle:
- Protokolle sind für einen vorab definierten Zeitraum sicher aufzubewahren und vor unbefugtem Zugriff oder Änderungen zu schützen.
- Alle Systeme müssen zeitlich synchronisiert sein, um die Korrelation von Ereignissen zu erleichtern.
- Redundanz und Verfügbarkeit:
- Redundanzsysteme sind für die Überwachung und Protokollierung einzurichten.
- Überwachungs- und Protokollierungssysteme müssen unabhängig von den zu überwachenden Systemen überwacht werden, um ihre Verfügbarkeit sicherzustellen.
- Regelmäßige Überprüfung und Aktualisierung:
- Die Verfahren, die protokollierten Anlagen und Werte sowie die verwendeten Systeme sind regelmäßig und nach Sicherheitsvorfällen zu überprüfen und zu aktualisieren.
Hinweis: Die Umsetzung dieser Anforderungen entspricht weitgehend der Implementierung eines Security Information and Event Management (SIEM)-Systems, um eine umfassende Ereignisüberwachung und Protokollierung zu gewährleisten. Erfahren Sie, inwieweit ein SIEM eine NIS2-Anforderung ist und wie Sie pragmatisch vorgehen.
- Einrichtung von Überwachungs- und Protokollierungsverfahren:
- Einrichtung eines Meldesystems:
- Einrichtungen müssen einen einfachen Mechanismus schaffen, über den Mitarbeitende, Anbieter und Kunden verdächtige Ereignisse melden können.
- Information und Schulung:
- Anbieter und Kunden sind – soweit angemessen – über den Meldemechanismus zu informieren.
- Mitarbeitende sind regelmäßig zu schulen, um sicherzustellen, dass sie den Mechanismus korrekt und effizient nutzen können.
- Hinweis:
- Ähnlichkeiten zum Hinweisgeberschutzgesetz (HinSchG) bestehen insofern, als dass ein Meldesystem eingerichtet werden muss. Im Gegensatz zum HinSchG richtet sich diese Anforderung jedoch auch an externe Beteiligte wie Kunden und Anbieter und zielt explizit auf verdächtige Ereignisse im Kontext der Netz- und Informationssicherheit ab.
- Die Nutzung eines bereits bestehenden Hinweisgebersystems für diese Zwecke könnte technisch möglich sein, müsste jedoch den zusätzlichen Anforderungen (z. B. für externe Melder) angepasst werden.
- Einrichtung eines Meldesystems:
Bewertung und Klassifizierung von Ereignissen
- Ereignisbewertung und Sicherheitsvorfallklassifizierung:
- Einrichtungen müssen verdächtige Ereignisse bewerten, um festzustellen, ob es sich um Sicherheitsvorfälle handelt, deren Art und Schwere bestimmen und eine Priorisierung für die Eindämmung und Beseitigung vornehmen.
- Vorgehensweise bei der Bewertung:
- Kriterienbasiert und priorisiert: Vorab definierte Kriterien und eine Triage dienen der Priorisierung der Maßnahmen.
- Wiederholte Vorfälle: Vierteljährliche Bewertung, ob sich Vorfälle wiederholen und dadurch zusätzliche Maßnahmen gemäß Artikel 4 erforderlich werden.
- Protokollprüfung: Ereignisprotokolle sind regelmäßig zu überprüfen, um die Bewertung und Klassifizierung zu unterstützen.
- Korrelation und Analyse: Verfahren zur Korrelation und Analyse von Protokollen sind einzurichten, um Zusammenhänge zu erkennen und fundierte Entscheidungen zu treffen.
- Neubewertung: Ereignisse sind neu zu bewerten, wenn neue Informationen verfügbar werden oder bestehende Informationen erneut analysiert wurden.
- Trennung zwischen Security-Event und Incident:
- Die Definition und Unterscheidung zwischen Ereignissen (Security Events) und Sicherheitsvorfällen (Incidents) muss in einer Incident-Management-Policy festgelegt werden, um die Bewertung und Klassifizierung systematisch zu regeln.
- Ereignisbewertung und Sicherheitsvorfallklassifizierung:
Reaktion auf Sicherheitsvorfälle
- Zeitnahe Reaktion:
- Sicherheitsvorfälle müssen gemäß dokumentierten Verfahren schnell und effizient behandelt werden.
- Phasen der Reaktionsmaßnahmen:
- Eindämmung: Verhinderung der Ausbreitung der Folgen des Vorfalls.
- Beseitigung: Sicherstellung, dass der Vorfall beendet ist und nicht erneut auftritt.
- Wiederherstellung: Falls erforderlich, Wiederaufnahme des regulären Betriebs nach einem Vorfall.
- Kommunikation während der Vorfallreaktion:
- Externe Kommunikation: Pläne und Verfahren für die Zusammenarbeit mit Computer-Notfallteams (CSIRTs) oder zuständigen Behörden bei der Meldung von Sicherheitsvorfällen.
- Interne Kommunikation: Effektive Kommunikation zwischen Personalmitgliedern und relevanten Interessengruppen außerhalb der Einrichtung.
- Protokollierung und Nachweissicherung:
- Aktivitäten zur Reaktion auf Sicherheitsvorfälle sind gemäß den Protokollierungsverfahren zu dokumentieren, und relevante Nachweise sind zu sammeln.
- Regelmäßige Tests:
- Verfahren zur Reaktion auf Sicherheitsvorfälle müssen in regelmäßigen Abständen getestet werden, um ihre Wirksamkeit sicherzustellen und mögliche Schwachstellen zu identifizieren.
- Zeitnahe Reaktion:
Überprüfungen nach Sicherheitsvorfällen
- Nachträgliche Überprüfungen:
- Einrichtungen müssen nach Sicherheitsvorfällen Überprüfungen durchführen, sobald die Wiederherstellung abgeschlossen ist. Diese Überprüfungen sind darauf ausgerichtet, die Ursachen des Vorfalls zu identifizieren und Lehren daraus zu ziehen, um zukünftige Vorfälle und deren Folgen zu minimieren.
- Dokumentation und kontinuierliche Verbesserung:
- Die Ergebnisse der Überprüfungen sind zu dokumentieren und müssen dazu beitragen, die folgenden Bereiche zu verbessern:
- Konzept für Netz- und Informationssicherheit: Weiterentwicklung der Sicherheitsstrategie.
- Risikobehandlungsmaßnahmen: Anpassung von Maßnahmen zur Risikominimierung.
- Verfahren für Vorfallmanagement: Verbesserung der Erkennung, Reaktion und Bewältigung von Sicherheitsvorfällen.
- Die Ergebnisse der Überprüfungen sind zu dokumentieren und müssen dazu beitragen, die folgenden Bereiche zu verbessern:
- Regelmäßige Überprüfung der Nachbearbeitung:
- Es ist sicherzustellen, dass alle relevanten Sicherheitsvorfälle eine nachträgliche Überprüfung erfahren haben. Diese Überprüfungspflicht ist in regelmäßigen Abständen zu evaluieren.
- Nachträgliche Überprüfungen:
Weitere Informationen zur Auslegung finden sich in der NIS2UmsVO unter 3. Incident Handling – 3.1 bis 3.6
4. NIS2-Anforderung: Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs
- Es müssen Notfallpläne entwickelt werden, die Sicherheitsvorfälle adressieren und die Aufrechterhaltung sowie Wiederherstellung des Betriebs ermöglichen. (auch: „Playbooks“)
- Solche Pläne basiert auf einer Risikobewertung und beinhalten:
- Zweck, Umfang und Zielgruppe.
- Rollen und Verantwortlichkeiten.
- Kontaktangaben und Kommunikationskanäle (intern/extern).
- Bedingungen für Aktivierung und Deaktivierung.
- Priorisierung und Reihenfolge der Wiederherstellung.
- Wiederherstellungsziele und Pläne für spezifische Betriebsabläufe.
- Erforderliche Ressourcen, einschließlich Sicherungen und Redundanzen.
- Maßnahmen zur Wiederaufnahme regulärer Tätigkeiten nach vorübergehenden Lösungen.
- Die Auswirkungen schwerwiegender Störungen müssen analysiert und Kontinuitätsanforderungen für ihre Netz- und Informationssysteme festlegt werden.
- Regelmäßige Tests und Aktualisierungen:
- Der Notfallplan ist regelmäßig und bei wesentlichen Vorfällen oder Änderungen der Betriebsabläufe oder Risiken zu testen und zu überprüfen.
- Ergebnisse der Tests und die daraus gezogenen Lehren sind in den Plan zu integrieren, um die Effektivität kontinuierlich zu verbessern.
- Sicherstellung der Betriebswiederherstellung: Die Wiederherstellung der Betriebsabläufe erfolgt gemäß dem Plan, der eine strukturierte und priorisierte Rückkehr zur normalen Funktion gewährleistet.
Backup-Sicherungs- und Redundanzmanagement
- Es müssen Sicherungskopien von Daten angelegt und ausreichend Ressourcen bereitgestellt werden (Betriebsstätten, Netz- und Informationssysteme, Personal), um ein angemessenes Maß an Redundanz zu gewährleisten.
- Sicherungspläne und -maßnahmen:
- Wiederherstellungszeiten: Definition und Sicherstellung der Einhaltung (RTO: Recovery Time Objective).
- Sicherstellen, dass Sicherungskopien vollständig, korrekt und auch für Cloud-Computing-Daten gültig sind (Integrität).
- Speicherung an Orten außerhalb des Hauptsystems und in sicherer Entfernung, um bei Notfällen geschützt zu sein.
- Physische und logische Zugangsbeschränkungen basierend auf der Klassifizierungsstufe der Daten.
- Festlegung von Verfahren zur Wiederherstellung und Aufbewahrungsfristen gemäß regulatorischen Anforderungen.
- Redundanz und Verfügbarkeit:
- Netz- und Informationssysteme, Betriebsstätten, Ausrüstung, Verbrauchsmaterial, kompetentes Personal und Kommunikationskanäle müssen redundant verfügbar sein.
- Ressourcen müssen regelmäßig überprüft und angepasst werden, um die Anforderungen an Sicherung und Redundanz zu erfüllen.
- Regelmäßige Prüfungen und Tests:
- Regelmäßige Überprüfung der Vollständigkeit und Korrektheit von Sicherungskopien (Integritätsprüfungen).
- Wiederherstellungstests: Tests zur Überprüfung der Verlässlichkeit von Wiederherstellungsverfahren und -ressourcen. Testergebnisse sind zu dokumentieren und bei Bedarf Korrekturmaßnahmen zu ergreifen.
- Dokumentation und Risikobewertung: Alle Maßnahmen müssen auf der Grundlage einer Risikobewertung und des Betriebskontinuitätsplans erfolgen, einschließlich der Dokumentation von Testergebnissen und Anpassungen.
- Es müssen Verfahren für das Krisenmanagement entwickelt und umgesetzt werden.
- Es soll klare Rollen und Verantwortlichkeiten des Personals sowie ggf. von Anbietern und Diensteanbietern definieren, einschließlich spezifischer Schritte für Krisensituationen.
- Kommunikation und Informationsfluss:
- Geeignete Kommunikationsmittel zwischen der Einrichtung und den zuständigen Behörden müssen sichergestellt werden.
Dies umfasst obligatorische Mitteilungen (z. B. Sicherheitsvorfälle mit Fristen) und fakultative Mitteilungen. - Verfahren zur Verwaltung und Nutzung von Informationen zu Sicherheitsvorfällen, Schwachstellen oder Bedrohungen, die von CSIRTs oder zuständigen Behörden bereitgestellt werden, müssen etabliert sein.
- Geeignete Kommunikationsmittel zwischen der Einrichtung und den zuständigen Behörden müssen sichergestellt werden.
- Es sind Maßnahmen vorzusehen, die die Sicherheit der Netz- und Informationssysteme auch während Krisensituationen gewährleisten.
Weitere Informationen zur Interpretation finden sich in der NIS2UmsVO im Annex unter 4.1 bis 4.3
5. Sicherheit der Lieferkette / Verbundrisiken zwischen Anbietern oder Diensteanbietern
Konzept für die Sicherheit der Lieferkette
- Es ist ein Konzept für die Sicherheit der Lieferkette zu entwickeln, das die Beziehungen zu Anbietern und Diensteanbietern regelt, um Supply-Chain-Risiken zu mindern. Die eigene Rolle in der Lieferkette ist festzulegen und den Anbietern mitzuteilen.
- Kriterien für Auswahl und Auftragsvergabe:
- Berücksichtigung der Cybersicherheitsverfahren und der Entwicklungsprozesse von Anbietern.
- Bewertung der Fähigkeit/Möglichkeiten von Anbietern, die festgelegten Cybersicherheitsanforderungen zu erfüllen, sowie der Qualität und Resilienz ihrer Produkte und Dienstleistungen.
- Analyse der Möglichkeiten zur Diversifizierung von Versorgungsquellen und zur Begrenzung von Abhängigkeiten / Lock-In-Effekten.
- Vertragsanforderungen:
- Integration von Cybersicherheitsanforderungen, Sensibilisierungs- und Ausbildungsanforderungen sowie Zuverlässigkeitsüberprüfungen für Mitarbeitende in Verträge.
- Verpflichtung zur Meldung von Sicherheitsvorfällen, Behebung von Schwachstellen und Einhaltung von Unterauftragsvergaberegeln.
- Festlegung von Pflichten bei Vertragsbeendigung, wie Abruf und sichere Entsorgung von Informationen.
- Überwachung und Anpassung:
- Regelmäßige Überprüfung der Cybersicherheitsverfahren von Anbietern, insbesondere bei wesentlichen Änderungen, Sicherheitsvorfällen oder neuen Risiken.
- Nachverfolgung der Berichte zu Leistungsvereinbarungen, Überprüfung sicherheitsrelevanter Vorfälle und Durchführung außerplanmäßiger Überprüfungen (Lieferantenaudits) bei Bedarf.
- Analyse und Minderung von Risiken, die sich aus Änderungen bei IKT-Produkten und -Diensten ergeben.
- Das Konzept muss die Ergebnisse koordinierter Sicherheitsrisikobewertungen und individueller Risikobewertungen berücksichtigen, um eine robuste und dynamische Lieferkettensicherheit sicherzustellen.
Verträge sollten Regelungen enthalten zu (vgl. auch Art. 28 DSGVO! – hier jetzt für alle Lieferanten)
- IT-Sicherheits-Anforderungen, Skills, Training und Hintergrund von eingesetzten Mitarbeitern
- Informationspflichten bei Incidents, Service-Level, Audit-Rechte, Schwachstellenmanagement
- Unterauftragnehmern und Modalitäten einer Vertragsbeendigung
- ggf. Sicherstellung von Zertifizierung nach §58 Verordnung (EU) 2019/881 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) von IKT-Diensten, -Produkten und -Prozessen
Verzeichnis der Anbieter und Diensteanbieter
- Erstellung und Pflege eines Verzeichnisses: Einrichtungen müssen ein aktuelles Verzeichnis ihrer direkten Anbieter und Diensteanbieter führen. Dieses Verzeichnis soll wesentliche Informationen enthalten, darunter:
- Kontaktstellen: Angaben zu Ansprechpartnern für jeden Anbieter und Diensteanbieter.
- Leistungsverzeichnis: Eine Liste der von jedem Anbieter oder Diensteanbieter bereitgestellten IKT-Produkte, -Dienste und -Prozesse.
- Aktualisierung: Das Verzeichnis ist regelmäßig zu überprüfen und bei Änderungen zeitnah zu aktualisieren, um eine zuverlässige Grundlage für die Sicherheits- und Lieferkettenverwaltung zu gewährleisten.
- Erstellung und Pflege eines Verzeichnisses: Einrichtungen müssen ein aktuelles Verzeichnis ihrer direkten Anbieter und Diensteanbieter führen. Dieses Verzeichnis soll wesentliche Informationen enthalten, darunter:
Es sollen die Vorgaben aus der Art. 22 NIS2-Richtlinie beachtet werden, die Cluster-Risiken ermitteln sollen.
weitere Anforderungen können dem Annex der NIS2UmsVO unter Punkt 5.1 bis 5.2
6. NIS2-Anforderung: Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen / Management und Offenlegung von Schwachstellen
Sicherheitsmaßnahmen beim Erwerb von IKT-Diensten oder IKT-Produkten
- Einrichtungen müssen Verfahren (ein Richtliniendokument) auf Basis der Risikobewertung entwickeln, um Risiken aus dem Erwerb von IKT-Diensten oder -Produkten zu managen. Dieses Verfahren muss Sicherheits- und und Aktualisierungsanforderungen über den gesamten Produkt-Lebenszyklus berücksichtigen.
- Es sind Anforderungen an Sicherheitsfunktionen, Konfigurationen und Beschreibungen der Hardware- und Softwarekomponenten festzulegen.
- Es müssen Methoden und Nachweise bereitgestellt werden, dass die Produkte und Dienste die geforderten Sicherheitsstandards erfüllen, einschließlich Validierung und Dokumentation der Ergebnisse.
- Es müssen Vorschriften für die Sicherheit festgelegt werden, die alle Entwicklungsphasen (Spezifikation, Konzeption, Entwicklung, Umsetzung, Tests) abdecken. Das gilt auch bei ausgelagerter Entwicklung.
- Es sind Sicherheitsanforderungen in der Spezifikations- und Entwurfsphase zu festzulegen. Dazu gehören Grundsätze wie „Cybersicherheit durch Design“ und „Zero-Trust-Architekturen“.
- Es sind Sicherheitsanforderungen an Entwicklungsumgebungen, Sicherheitstests während des Entwicklungszyklus sowie die Bereinigung und Anonymisierung von Testdaten im Rahmen der Risikobewertungen zu stellen.
- Bei ausgelagerter Entwicklung sind zusätzlich die Grundsätze und Verfahren aus den Bereichen Risikomanagement und Beschaffungssicherheit anzuwenden.
- Die Vorschriften für die sichere Entwicklung sind regelmäßig zu überprüfen und bei Bedarf zu aktualisieren.
- Es müssen Konfigurationen, einschließlich Sicherheitskonfigurationen, für Hardware, Software, Dienste und Netzwerke festgelegt, dokumentiert, umsetzt und deren Sicherheit gewährleistet werden.
- Verfahren (Richtlinien) und Werkzeuge (Tools) sind zu implementieren, um die Einhaltung der festgelegten sicheren Konfigurationen für neu installierte Systeme und bestehende Systeme während ihrer gesamten Betriebsdauer zu gewährleisten bzw. zu erzwingen (z.B. via Gruppenrichtlinien).
- Konfigurationen sind regelmäßig sowie bei Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder Risiken zu überprüfen und bei Bedarf anzupassen.
Änderungsmanagement, Reparatur und Wartung
- Es müssen Verfahren zur Kontrolle von Änderungen an Netz- und Informationssystemen eingeführt, die Freigaben, reguläre Änderungen, Notfalländerungen und Konfigurationsänderungen abgedeckt und mit den allgemeinen Change-Management-Prinzipien im Einklang stehen.
- Änderungen müssen dokumentiert, getestet und basierend auf einer Risikobewertung bewertet werden, bevor sie umgesetzt werden.
Notfalländerungen sind ebenfalls zu dokumentieren, einschließlich der Gründe für die Abweichung von regulären Verfahren.
- Es muss ein Konzept und Verfahren für Sicherheitsprüfungen festgelegt, umgesetzt und angewendet werden, das die Notwendigkeit, den Umfang, die Häufigkeit und die Art der Prüfungen auf Basis einer Risikobewertung definiert.
- Sicherheitsprüfungen sind nach einer definierten Methode durchzuführen, die sich auf sicherheitsrelevante Komponenten konzentriert. Die Ergebnisse, einschließlich der Kritikalität und Risikominderungsmaßnahmen, sind umfassend zu dokumentieren, insbesondere im Falle kritischer Feststellungen.
-
- Es müssen Verfahren für das Patch-Management entwickelt und angewendet werden, die im Einklang mit Änderungs-, Schwachstellen- und Risikomanagementverfahren stehen.
- Es muss sichergestellt werden, dass Sicherheitspatches in angemessener Frist angewendet, zuvor getestet und auf Integrität geprüft werden sowie aus vertrauenswürdigen Quellen stammen.
- Wenn ein Sicherheitspatch nicht verfügbar oder nicht anwendbar ist, müssen alternative Sicherheitsmaßnahmen umgesetzt und verbleibende Restrisiken formell akzeptiert werden. Eine ordnungsgemäße Dokumentation der Gründe ist erforderlich.
- Sicherheitspatches können unterlassen werden, wenn ihre Nachteile die Vorteile für die Cybersicherheit überwiegen. Diese Entscheidung muss dokumentiert und begründet werden.
-
- Die Netzarchitektur muss verständlich und aktuell dokumentiert werden. Dies kann durch den Einsatz von Inventarisierungstools erfolgen, die neben der Netzwerkinventarisierung auch ein Inventar von physischen und virtuellen Maschinen sowie Software bereitstellen.
- Zugangskontrollen und Schutzmaßnahmen:
- Trennung interner Netzdomänen: Maßnahmen wie die Einrichtung einer Demilitarisierten Zone (DMZ), die Trennung virtueller Netze und Network Access Control (NAC) müssen implementiert werden, um unbefugten Zugriff zu verhindern.
- Einschränkung unnötiger Verbindungen: Netzverbindungen und Dienste, die nicht erforderlich sind, müssen deaktiviert oder durch Traffic-Filter blockiert werden. Dies gilt insbesondere für Geräte, die keinen externen Zugriff benötigen.
- Fernzugriffsregeln: Mitarbeiter, Partner oder Dienstleister, die sich über Webservices, VPN oder Fernwartungssysteme verbinden, dürfen dies nur nach definierten Sicherheitsrichtlinien tun.
- Sicherheitsrichtlinien für Netzwerk- und Informationssysteme:
- Isolierung sicherheitskritischer Systeme: Systeme, die Sicherheitskonzepte verwalten, dürfen nicht für andere Zwecke genutzt werden, um ihre Integrität zu gewährleisten.
- Genehmigungspflicht für Geräte und Dienste: Nur von der Einrichtung genehmigte Geräte dürfen Zugang erhalten. NAC-Systeme mit Zertifikaten oder vorab registrierten Geräten können diese Anforderungen unterstützen.
- Genehmigung von Dienstleisterzugängen: Dienstleister dürfen nur nach vorheriger Genehmigung und für einen festgelegten Zeitraum, beispielsweise für Wartungsarbeiten, auf Systeme zugreifen.
- Sicherstellung der sicheren Kommunikation:
- Vertrauenswürdige Kanäle: Kommunikation zwischen Systemen muss über logische, kryptografische oder physikalisch getrennte Kanäle erfolgen, die Endpunkte eindeutig identifizieren und die Daten vor Änderungen oder Offenlegung schützen. Beispiele hierfür sind SSL oder IPsec-gesicherte Verbindungen.
- Übergang zu modernen Protokollen: Es ist ein Plan für die schrittweise Migration auf die neueste Generation von Kommunikationsprotokollen zu entwickeln, einschließlich der schrittweisen Abschaltung veralteter Protokolle.
- E-Mail-Sicherheitsstandards: Pläne zur Einführung internationaler, moderner und interoperabler E-Mail-Standards sind umzusetzen, um Schwachstellen im Zusammenhang mit E-Mail-Bedrohungen zu minimieren.
- DNS- und Routing-Sicherheit: Es sind bewährte Verfahren für die DNS-Sicherheit und die Hygiene des Internet-Routings anzuwenden, um ein sicheres Management des Datenverkehrs innerhalb und außerhalb des Netzwerks sicherzustellen.
- Regelmäßige Überprüfung und Anpassung: Alle Netzsicherheitsmaßnahmen sind regelmäßig und bei wesentlichen Änderungen der Betriebsabläufe oder Risiken sowie nach Sicherheitsvorfällen zu überprüfen und entsprechend zu aktualisieren, um die Netzsicherheit kontinuierlich zu gewährleisten.
- Einrichtungen müssen ihre Netz- und Informationssysteme in Netze oder Zonen segmentieren, basierend auf den Ergebnissen einer Risikobewertung. Die Systeme und Netze der Einrichtung sind dabei von denen Dritter physisch und logisch zu trennen.
- Maßnahmen zur Netzsegmentierung:
- Funktionale, logische und physische Beziehungen, einschließlich des Standorts vertrauenswürdiger Systeme und Dienste, sind in der Segmentierung zu berücksichtigen.
- Der Zugang zu Netzen oder Zonen sowie die Kommunikation zwischen und innerhalb von Zonen ist auf das Notwendige für den Betrieb und die Sicherheit zu beschränken.
- Systeme, die für den Betrieb oder die Sicherheit der Einrichtung unverzichtbar sind, sind in gesicherte Zonen zu integrieren.
- Eine DMZ innerhalb der Kommunikationsnetze kann die Sicherheit der internen und externen Kommunikation zu gewährleisten.
- Das Netz für die Verwaltung von Systemen muss vom operativen Netz der Einrichtung getrennt werden. Ebenso sind Netzverwaltungskanäle vom allgemeinen Netzverkehr sowie Produktionssysteme von Entwicklungs- und Testsystemen zu isolieren.
Schutz gegen Schadsoftware und nicht genehmigte Software
- Einrichtungen müssen ihre Netz- und Informationssysteme vor der Nutzung von Schadsoftware und nicht autorisierter Software schützen. Dazu sind Maßnahmen zur Erkennung und Verhinderung solcher Software einzuführen.
- Netz- und Informationssysteme sollten mit geeigneter Software ausgestattet sein, die Schadsoftware und nicht genehmigte Software erkennt und darauf reagiert.
- Diese Software ist regelmäßig zu aktualisieren, wobei die Risikobewertung und vertragliche Vereinbarungen mit Anbietern zu berücksichtigen sind.
- Die eingesetzten Schutzmaßnahmen und Softwarelösungen sind im Einklang mit der Risikobewertung und den Anforderungen der Einrichtung regelmäßig zu überprüfen und anzupassen, um einen wirksamen Schutz zu gewährleisten.
Behandlung und Offenlegung von Schwachstellen
- Es müssen Informationen über Schwachstellen aus geeigneten Quellen (z. B. CSIRTs, Anbieter, Behörden) gesammelt, deren Relevanz bewertet und Maßnahmen zur Behebung ergriffen werden. Schwachstellen-Scans sind regelmäßig durchzuführen und die Ergebnisse zu dokumentieren.
- Behebung und Management von Schwachstellen:
- Kritische Schwachstellen sind unverzüglich zu beheben, wobei die Verfahren mit Änderungs-, Sicherheitspatch- und Risikomanagement sowie dem Management von Sicherheitsvorfällen abgestimmt sein müssen.
- Falls die Behebung nicht möglich oder erforderlich ist, ist ein Plan zur Risikominderung zu erstellen oder die Entscheidung zu dokumentieren und zu begründen.
- Einrichtungen müssen ein Verfahren für die koordinierte Offenlegung von Schwachstellen gemäß nationalen Konzepten entwickeln, um verantwortungsvoll mit Sicherheitslücken umzugehen.
- Die genutzten Kanäle zur Schwachstellenüberwachung und die entsprechenden Verfahren sind regelmäßig zu überprüfen und bei Bedarf zu aktualisieren, um sicherzustellen, dass sie den aktuellen Anforderungen und Risiken entsprechen.
Weitere Informationen unter Punkt 6.1 bis 6.10 im Annex der NIS2UmsVO
7. NIS2-Anforderung: Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik
- Einrichtung eines Bewertungsverfahrens:
- Die Informationssicherheitsleitlinie bzw. das ISMS soll darauf überprüft werden, ob sie/es effizient implementiert ist und weiterentwickelt wird.
- Dazu müssen Einrichtungen ein Konzept und Verfahren (z.B. „Richtlinie für Evaluation und interne Audits“) entwickeln, um die Wirksamkeit ihrer Cybersicherheits-Risikomanagementmaßnahmen zu überwachen, zu messen und zu bewerten. Dabei sind Ergebnisse aus Risikobewertungen und Sicherheitsvorfällen zu berücksichtigen.
- Einrichtung eines Bewertungsverfahrens:
- Bestimmung der Überwachungsparameter:
- Das Vorgehen zur Bewertung der effektiven Implementierung des ISMS soll überprüfen, ob, wie, wann und durch wen die Aktivitäten des Cyber-Risikomanagements auch überwacht und gemessen wird, wie auch das Vorgehen und die Maßnahmen. Ebenso ist festzulegen, wann und durch wen die Ergebnisse analysiert und bewertet werden.
- Bestimmung der Überwachungsparameter:
Diese Anforderungen können in einem internen Audit-Plan oder Management-Review-Richtlinien verankert werden, um eine systematische Umsetzung sicherzustellen. Die Richtlinie bzw. Vorgehen sollen in regelmäßigen Abständen geprüft und ggf. aktualisiert werden oder nach gravierenden Änderungen.
Weitere Informationen unter Punkt 7 im Annex der NIS2UmseVO
8. NIS2-Anforderung: Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen
Sensibilisierungsmaßnahmen und grundlegende Verfahren im Bereich der Cyberhygiene
- Mitarbeitende, Mitglieder von Leitungsorganen sowie – soweit angemessen – Externe und Dienstleister müssen über Cybersicherheitsrisiken, deren Bedeutung und die Anwendung von Verfahren im Bereich der Cyberhygiene informiert und geschult werden.
- Ein Programm ist anzubieten, das regelmäßig durchgeführt wird, neue Mitarbeitende erreicht und mit den Sicherheitskonzepten und Verfahren der Einrichtung abgestimmt ist. Es muss relevante Cyberbedrohungen, bestehende Risikomanagementmaßnahmen, Kontaktstellen und Ressourcen sowie Cyberhygiene-Verfahren abdecken. Das Programm kann Eingang in den „Plan für Training und Awareness“ nehmen.
- Die Wirksamkeit des Programms ist regelmäßig zu testen (z.B. über Phishing Simulationen) und es ist an Änderungen in der Bedrohungslage, den Verfahren und den Risiken der Einrichtung anzupassen. Die Umsetzung kann durch ein Learning-Management-System (LMS) erfolgen, das in angemessener Frequenz wiederholte Schulungen bzw. Lernpfade ermöglicht und die schnelle Integration neuer Mitarbeitender im Onboarding sicherstellt.
- Es sind die Mitarbeitenden zu identifizieren, deren Rollen sicherheitsrelevante Fähigkeiten erfordern.
Diese müssen regelmäßig zu Themen der Sicherheit von Netz- und Informationssystemen geschult werden. - Die Schulungen müssen auf den spezifischen Bedarf der jeweiligen Rolle abgestimmt sein und regelmäßig aktualisiert werden.
Eine allgemeine, Unternehmens-unspezifische Schulung ist dafür nicht ausreichend. - Ein Schulungsprogramm („plan für Training und Awareness“) ist zu entwickeln, das die relevanten Sicherheitskonzepte, bekannten Cyberbedrohungen und Maßnahmen zur sicheren Systemkonfiguration und zum Verhalten bei sicherheitsrelevanten Ereignissen abdeckt.
- Neue Mitarbeitende oder Mitarbeitende, die in sicherheitskritische Rollen wechseln, müssen entsprechend ihrer neuen Aufgaben geschult werden.
- Das Schulungsprogramm ist regelmäßig zu evaluieren und an neue Bedrohungen, technische Entwicklungen und Änderungen der Sicherheitsmaßnahmen anzupassen. Die Wirksamkeit der Schulungen ist anhand von festgelegten Kriterien zu bewerten, um sicherzustellen, dass sie den Anforderungen der Rollen und Positionen entsprechen.
- Es sind die Mitarbeitenden zu identifizieren, deren Rollen sicherheitsrelevante Fähigkeiten erfordern.
9. NIS2-Anforderung: Kryptografie
Anwendung von Kryptografie und Verschlüsselung im Rahmen der Entwicklung und Umsetzung eines Konzepts (Dokumentes!) zur Sicherstellung der Vertraulichkeit, Authentizität und Integrität von Daten, abgestimmt auf die Anlagen- und Werteklassifizierung sowie die Ergebnisse der Risikobewertung.
Basierend auf der Schutzbedarfsfeststellung der Assets: Entwicklung und Umsetzung einer Systematik zur Festlegung der Art, Stärke und Qualität kryptografischer Maßnahmen sowie der einzusetzenden Protokolle, Algorithmen und Lösungen im Einklang mit einem Krypto-Agilitätsansatz, um gespeicherte und übertragene Daten zu schützen.
Angemessenes Schlüsselmanagement: Einführung von dokumentierten Abläufen/ Prozessen für die Generierung, Verteilung, Speicherung, Änderung, Widerruf, Wiederherstellung, Sicherung und Vernichtung von Schlüsseln, einschließlich der Protokollierung aller relevanten Aktivitäten und der Festlegung von Aktivierungs- und Deaktivierungsfristen.
Kontinuierliche Anpassung an sich wandelnde technische Standards durch regelmäßige Überprüfung und Aktualisierung kryptografischer Verfahren, um neue Sicherheitsanforderungen und technologische Entwicklungen zu berücksichtigen.
Weitere Informationen unter Punkt 9 „Kryptografie“ im Annex der NIS2UmsVO
10. NIS2-Anforderung: Sicherheit des Personals
- Verständnis und Verpflichtung des Personals: Mitarbeitende, freie Mitarbeiter, Leiharbeiter und Dienstleister müssen ihre Verantwortlichkeit im Bereich der Sicherheit verstehen und sich zur Einhaltung geltender Regeln verpflichten, insbesondere das Verständnis und die Befolgung von Cyberhygiene-Standards sowie das Bewusstsein für Rollen, Verantwortlichkeiten und Weisungsbefugnisse – gerade bei Nutzern mit administrativen oder privilegierten Zugängen und Mitglieder der Leitungsorgane.
- Dies kann in der Praxis durch Regelungen in Arbeitsverträgen, Rollen- oder Projektbezogene NDAs bzw. Zusatzvereinbarungen oder regelmäßige Schulungen, etwa über ein Learning-Management-System (LMS) abgedeckt und im „Plan für Training und Awareness“ geregelt werden. Die Schulung für Leitungsorgane ist explizit auch nochmal in §38 BSIG geregelt.
- Qualifikation und Einstellung: Personal muss entsprechend seiner Rollenanforderungen qualifiziert sein. Dazu sind Verfahren wie Referenzprüfungen, Validierung von Zeugnissen, Überprüfungsverfahren oder schriftliche Tests zu verwenden, um sicherzustellen, dass die Mitarbeitenden den Sicherheitsanforderungen entsprechen.
- In der Praxis gewinnen aber auch (automatische) Assessments sowie die zuvor vereinbarte Einholung von Referenzen an Bedeutung. Das Vorgehen kann ebenfalls in der Personalarbeitsrichtlinie geregelt werden.
- Regelmäßige Überprüfung: Die Zuweisung von Rollen und die Personalressourcen sind mindestens einmal jährlich zu überprüfen und bei Bedarf anzupassen, um sicherzustellen, dass die Sicherheitsanforderungen der Netz- und Informationssysteme kontinuierlich erfüllt werden.
- Festlegung von Kriterien und Durchführung von Überprüfungen: Es sind klare Kriterien zu definieren, welche Rollen, Verantwortlichkeiten und Weisungsbefugnisse nur von überprüften Personen wahrgenommen werden dürfen. Zuverlässigkeitsüberprüfungen sind vor Übernahme solcher Rollen durchzuführen, unter Berücksichtigung geltender Gesetze, ethischer Normen, geschäftlicher Anforderungen und der Klassifizierung der Anlagen und Werte sowie wahrgenommener Risiken.
- Die Einholung von Führungszeugnissen wird dabei nicht nur aus datenschutzrechtlicher Sicht kritisch gesehen, sondern auch, weil eine dort eingetragene tatsächliche Verurteilung schon sehr weitreichend und daher eher selten ist. Die Referenzeinholung ist auch hier vermutlich ein besserer Weg.
- Die Regelung, wann welche Überprüfung anzuwenden ist und was bei Unmöglichkeit einer Überprüfung geschieht, kann in der Personalarbeitsrichtlinie festgelegt werden. Es ist festzulegen in welchem Rhythmus die Zuverlässigkeitsprüfungen wiederholt werden müssen.
- Voraussetzungen und zeitlicher Rahmen: Die Überprüfungen müssen vor Aufnahme der Tätigkeiten erfolgen und sicherstellen, dass nur geeignete Personen Zugang zu kritischen Netz- und Informationssystemen sowie sensiblen Bereichen erhalten.
Verfahren zur Beendigung oder Änderung des Beschäftigungsverhältnisses
- Vertragliche Festlegung von Sicherheitsverpflichtungen: Verantwortlichkeiten und Pflichten im Bereich der Sicherheit von Netz- und Informationssystemen, die auch nach Beendigung oder Änderung eines Beschäftigungsverhältnisses gültig bleiben, sind vertraglich festzulegen und durchzusetzen, z. B. durch Vertraulichkeitsklauseln.
- Integration in Vertragsbedingungen: Die entsprechenden Verpflichtungen sind in die Arbeits- und Beschäftigungsbedingungen, Verträge oder Vereinbarungen aufzunehmen, um sicherzustellen, dass die Sicherheitsanforderungen auch nach Vertragsende verbindlich bleiben.
- Während dies in Arbeitsverträgen durchaus üblich ist, gilt dies für freie Mitarbeiter, Leiharbeitskräfte oder externe Dienstleister oft nicht oder ist nur schwer durchsetzbar (bei größeren Vertragspartnern).
- Einrichtung und Bekanntmachung eines Disziplinarverfahrens: Ein Verfahren zum Umgang mit Verstößen gegen Sicherheitskonzepte für Netz- und Informationssysteme ist zu entwickeln, bekannt zu machen und aufrechtzuerhalten, wobei rechtliche, gesetzliche, vertragliche und geschäftliche Anforderungen zu berücksichtigen sind. Dies kann in der Personalarbeitsrichtlinie verankert werden.
Weitere Informationen unter Punkt 10 „Sicherheit des Personals“ im Annex der NIS2UmsVO
11. NIS2-Anforderung: Konzepte für die Zugriffskontrolle
Konzept für die Zugriffskontrolle
- Entwicklung und Umsetzung von Konzepten: Es sind Richtlinien für die logische und physische Zugriffskontrolle auf Netz- und Informationssysteme zu erstellen und umzusetzen. Diese Konzepte müssen auf geschäftlichen und sicherheitstechnischen Anforderungen basieren.
- Geltungsbereich der Zugriffskontrolle: Die Konzepte müssen den Zugang von Personen (einschließlich Personal, Besuchern und externen Anbietern) und sicherstellen, dass nur angemessen authentifizierte Nutzer Zugang erhalten.
Management von Zugangs- und Zugriffsrechten
- Verwaltung von Zugangs- und Zugriffsrechten: Zugangs- und Zugriffsrechte sind im Einklang mit der o.g. Richtlinie zu gewähren, zu ändern, zu löschen. Dabei sind die Grundsätze „Kenntnis nur, wenn nötig“ (Need-to-know), „Nutzungsnotwendigkeit“ (Need-to-use) und Aufgabentrennung zu berücksichtigen. Rechte müssen von zuständigen Personen genehmigt werden und insbesondere bei Beendigung oder Änderung des Beschäftigungsverhältnisses oder beim Zugang Dritter angepasst werden.
- Es muss neben einer IST-Dokumentation (etwa aus den Systemen), auch eine SOLL-Dokumentation geben, z.B. über ein Ticket-System oder User-Access-Sheets.
Privilegierte Konten und Systemverwaltungskonten
- Die Verwaltung von privilegierten Konten und Systemverwaltungskonten muss Teil der o.g. Richtlinie sein.
- Für solche Accounts müssen besonders starke Identifikations-, Authentifizierungs- (z. B. Multifaktor-Authentifizierung) und Genehmigungsverfahren bestehen.
- Für Systemverwaltungsaufgaben (z. B. Installation, Konfiguration, Wartung) sind spezielle Konten einzurichten, die ausschließlich für diese Zwecke genutzt werden dürfen. Andere Tätigkeiten (z.B. Webrecherche) sollen mit diesen Konten nicht stattfinden.
- Systemverwaltungsrechte sind individuell zuzuweisen und so weit wie möglich einzuschränken.
- Die Nutzung von Systemverwaltungskonten ist strikt zu beschränken und zu kontrollieren, basierend auf dem Zugriffskontrollkonzept.
- Systemverwaltungssysteme dürfen ausschließlich für Systemverwaltungszwecke verwendet werden und müssen logisch von nicht-systemverwaltungsbezogener Anwendungssoftware getrennt sein.
- Der Zugang zu Systemverwaltungssystemen ist durch robuste Authentifizierungsmechanismen und Verschlüsselung abzusichern.
- Der gesamte Lebenszyklus der Identitäten (Nutzer-)Kennungen und deren Nutzer ist zu verwalten, d.h. Verwendung eindeutiger Kennungen, die Verknüpfung von Nutzerkennungen mit einzelnen Personen (keine gemeinsamen / Gruppen-Kennungen) und die Protokollierung sowie Überwachung aller Identitätsmanagement-Aktivitäten.
- Umgang mit gemeinsamen Kennungen: Gemeinsame Kennungen dürfen nur bei geschäftlicher Notwendigkeit nach einem Genehmigungsverfahren verwendet werden und sind im Rahmen des Cybersicherheits-Risikomanagements zu berücksichtigen. Ihre Nutzung ist zu dokumentieren.
- Regelmäßige Überprüfung und Deaktivierung: Nutzer- und Systemkennungen sind regelmäßig zu überprüfen und unverzüglich zu deaktivieren, wenn sie nicht mehr benötigt werden.
- Authentifizierungsverfahren und -techniken müssen an die Klassifizierung der Anlagen und Werte angepasst sein, d.h. die Stärke der Authentifizierung muss dem Risiko und der Sensibilität der zugreifenden Systeme und Daten entsprechen. Dies kann in der Klassifizierungsrichtlinie entsprechend berücksichtigt werden.
- Es muss festgelegt sein, wie der Prozess der sicheren Verwaltung und Zuweisung von Zugangsdaten abläuft, der insbesondere deren Vertraulichkeit gewährleistet. Änderungen der Zugangsdaten sind regelmäßig, bei Beginn der Nutzung oder bei Verdacht auf Kompromittierung zu verlangen. Außerdem ist das Zurücksetzen der Daten sowie die Sperrung von Nutzern nach mehrfachen Fehlversuchen sicherzustellen.
- Inaktive Sitzungen sind nach festgelegten Zeiträumen automatisch zu beenden.
- Der Einsatz moderner Authentifizierungsmethoden ist anzustreben.
- Nutzer müssen – soweit angemessen und möglich – durch Multifaktor-Authentifizierung (MFA) oder kontinuierliche Authentifizierungsmechanismen für den Zugang authentifiziert werden, angepasst an die Klassifizierung der Anlagen oder Werte. Die Authentifizierungsstärke ist an die Sensibilität und Klassifizierung der Anlagen und Werte, auf die zugegriffen wird, anzupassen, um ein angemessenes Sicherheitsniveau zu gewährleisten.
Weitere Informationen unter Punkt 11 „Zugriffskontrolle“ im Annex der NIS2UmsVO
12. NIS2-Anforderung: Konzepte für das Management von Anlagen
Anlagen- und Werteklassifizierung
- Es ist ein Klassifizierungssystem zu entwickeln, das anhand der Kritikalität das erforderliche Schutzniveau für alle Anlagen und Werte (Assets) in den Netz- und Informationssystemen festlegt.
- Alle Anlagen und Werte sind entsprechend ihrer Sensibilität, Kritikalität, ihres Risikos und Geschäftswerts einer Klassifizierungsstufe zuzuordnen, um den angemessenen Schutz sicherzustellen.
- Die Verfügbarkeitsanforderungen der Anlagen und Werte sind an die Ziele für Bereitstellung und Wiederherstellung im Notfallplan anzupassen.
Behandlung von Anlagen und Werten
- Es ist ein auf Basis des Klassifizierungskonzeptes basierendes Konzept zur ordnungsgemäßen Behandlung von Anlagen und Werten (Assets) über ihren gesamten Lebenszyklus hinweg zu entwickeln, umzusetzen und anzuwenden (Behandlungskonzept). Es muss Aspekte wie Erwerb, Nutzung, Speicherung, Transport und Entsorgung berücksichtigen („Lebenszyklus“).
- Dieses Konzept muss alle relevanten Personen, die mit den Anlagen und Werten umgehen, erreichen – es ist idealerweise Teil des „Plans für Training & Awareness“ (o.ä.).
- Das Konzept muss klare Vorschriften enthalten, was mit welchen Assets wie geschehen darf, z.B. die sichere Verwendung, Speicherung, den Transport (unverschlüsselt?) sowie die unwiederbringliche Löschung und Vernichtung von Anlagen und Werten enthalten und eine sichere Übertragung entsprechend der Sensibilität der Werte gewährleisten.
Konzept für Wechseldatenträger
- Dies könnte ein vermeidbares Risiko sein: das Unterlassen der Verwendung von Wechseldatenträgern führt dazu, dass diese Anforderung nicht oder nicht vollumfänglich umgesetzt werden muss.
- Ansonsten ist ein Konzept für den sicheren Umgang mit Wechseldatenträgern zu entwickeln, umzusetzen und anzuwenden, das allen Mitarbeitenden und Dritten, die solche Datenträger nutzen, kommuniziert wird.
- Das Konzept soll sowohl für die Nutzung in den Räumlichkeiten der Einrichtungen als auch an anderen Orten gelten, etwa im Homeoffice, bei nomadischer Arbeit oder auf Reisen,
- Das Konzept muss die technische Sperrung von Wechseldatenträgerverbindungen an Clients vorsehen, es sei denn, es gibt organisatorische Gründe für deren Nutzung. Zusätzlich ist die automatische Datei-Ausführungen zu verhindern und unbekannte Datenträger sind aufgrund einer vor ihrem Einsatz auf Schadcodes zu scannen. Ggf. sind auf Wechseldatenträger gespeicherte Daten automatisch zu verschlüsseln (z.B. Windows Bitlocker).
- Erstellung und Pflege eines Inventars: Es ist ein vollständiges, genaues, aktuelles und kohärentes Inventar der Anlagen und Werte zu erstellen und zu pflegen. Änderungen im Inventar sind nachvollziehbar zu erfassen und zu dokumentieren, wobei die Granularität den spezifischen Bedürfnissen der Einrichtung entsprechen muss.
- Inhalt des Inventars: Das Inventar muss eine Liste der Betriebsabläufe/Prozesse und Dienste mit Beschreibung sowie eine Liste der Netz- und Informationssysteme und anderer zugehöriger Anlagen und Werte enthalten, die diese Abläufe und Dienste unterstützen.
- Regelmäßige Aktualisierung: Das Inventar und die dokumentierten Anlagen und Werte sind regelmäßig zu überprüfen, zu aktualisieren und der Verlauf der Änderungen ist nachvollziehbar zu dokumentieren.
Abgabe, Rückgabe oder Löschung von Anlagen und Werten bei Beendigung des Beschäftigungsverhältnisses
- Entwicklung und Umsetzung von Verfahren: Es sind Verfahren festzulegen, umzusetzen und anzuwenden, um sicherzustellen, dass bei Beendigung eines Beschäftigungsverhältnisses alle Anlagen und Werte, die sich in der Verwahrung des Mitarbeitenden befinden, ordnungsgemäß abgegeben, zurückgegeben oder gelöscht werden. Diese Vorgänge sind zu dokumentieren.
Die Verwaltung von Assets im Besitz von Mitarbeitern wird üblicherweise durch Onboarding- / Offboarding-Checklisten geregelt, der Prozess in der Personalarbeitsrichtlinie oder der Administrationsrichtlinie beschrieben. - Umgang mit nicht rückgabefähigen Anlagen und Werten: Kann eine Abgabe, Rückgabe oder Löschung nicht erfolgen, ist sicherzustellen, dass die betreffenden Anlagen und Werte keinen Zugriff mehr auf die Netz- und Informationssysteme der Einrichtung haben.
- Dokumentation und Kontrolle: Die Abgabe, Rückgabe und Löschung von Anlagen und Werten ist nachprüfbar zu dokumentieren und regelmäßig zu kontrollieren, um die Einhaltung sicherzustellen.
- Entwicklung und Umsetzung von Verfahren: Es sind Verfahren festzulegen, umzusetzen und anzuwenden, um sicherzustellen, dass bei Beendigung eines Beschäftigungsverhältnisses alle Anlagen und Werte, die sich in der Verwahrung des Mitarbeitenden befinden, ordnungsgemäß abgegeben, zurückgegeben oder gelöscht werden. Diese Vorgänge sind zu dokumentieren.
Weitere Informationen unter Punkt 12 „Anlagen- und Werte-Management“ (Asset-Management) im Annex der NIS2UmsVO
13. NIS2-Anforderung: Sicherheit des Umfelds und physische Sicherheit
Schutz von unterstützenden Versorgungsleistungen / Infrastrukturen (Absatz 13.1):
- Es soll über den Schutz vor Ausfällen von Strom, Telekommunikation, Wasser, Gas, Abwasser, Lüftung, Klimatisierung nachgedacht werden und erforderlichenfalls über redundante Versorgungsleistungen nachgedacht werden. Ggf. sollen Verträge über Notversorgung (etwa Brennstoff für Notstromaggregate) geschlossen werden.
- Insbesondere sollen Stromversorgung und Telekommunikationsleistungen vor Beschädigung oder Abhören geschützt werden.
- Versorgungsleistungen sollen überwacht werden und Meldung über Ereignissen außerhalb definierter Kontrollwerte erfolgen.
- Sicherstellung der kontinuierlichen Funktion der für den betrieb erforderlichen Systeme, d.h. auch der Überwachungssysteme inkl. Temperatur- und Feuchtigkeitsmonitoring.
Schutz vor physischen Bedrohungen und Bedrohungen des Umfelds:
- Umsetzung von Schutzmaßnahmen gegen Naturkatastrophen und andere vorsätzliche oder unbeabsichtigte Bedrohungen auf Basis der Risikoanalyse, zu der aufgrund der holistischen Betrachtung wohl auch Sabotage und Terrorgefahren gehören können, aber auch einfache kriminelle oder fahrlässige Handlungen.
- Definition von Mindest- und Höchstkontrollwerten für physische Bedrohungen und Überwachung von Umweltparameter; Meldung von Vorfällen außerhalb der Mindest- oder Höchstkontrollwerte.
Perimeter und physische Zutrittskontrolle
- Festlegung von Sicherheitszonen und Regeln für diese Zonen, insbesondere für Bereiche, in denen sich Netz- und Informationssysteme sowie zugehörige Anlagen befinden (Sicherheitszonenkonzept) und Schutz durch angemessene und geeignete Zutrittskontrollen und Zugangspunkte
- Planung und Umsetzung von angemessenen Maßnahmen zur physischen Sicherheit für Büros, Räume und Betriebsstätten
- kontinuierliche Überwachung auf unbefugten Zutritt, z.B. durch Alarmanlagen oder andere Formen des Monitorings
Weitere Informationen unter Punkt 13 „Sicherung des Umfelds und physische Sicherheit“ im Annex der NIS2UmsVO
Sicherstellung der Vertraulichkeit und Integrität: Implementierung von Maßnahmen, die gewährleisten, dass Kommunikationsinhalte vor unbefugtem Zugriff und Manipulation geschützt sind.
Einsatz starker Verschlüsselung: Verwendung von robusten Verschlüsselungstechnologien, um die Sicherheit der übermittelten Daten zu gewährleisten.
Verfügbarkeit von Notfallkommunikationssystemen: Einrichtung redundanter und unabhängiger Kommunikationswege, die im Falle eines Ausfalls der primären Systeme einsatzbereit sind.
Sind Sie bereit für NIS2? Lassen Sie sich gezielt unterstützen!
Unsere NIS2-Coaching-Pakete bieten Ihnen pragmatische Unterstützung bei der Umsetzung der NIS2-Anforderungen: bewährte Checklisten, Umfangreiche Bibliothek mit Mustern und Templates. Erklärung von Best Practices und „Shortcuts“ – insbesondere für kleine und mittelständische Unternehmen der leichte Weg zur NIS2-„Do-it-yourself“-Umsetzung ohne große Beratungsbudgets. Wählen Sie das passende Paket und starten Sie noch heute!