1. KONZEPT FÜR DIE SICHERHEIT VON NETZ- UND INFORMATIONSSYSTEMEN
2. KONZEPT FÜR DAS RISIKOMANAGEMENT
3. BEWÄLTIGUNG VON SICHERHEITSVORFÄLLEN
4. BETRIEBSKONTINUITÄTS- UND KRISENMANAGEMENT
5. SICHERHEIT DER LIEFERKETTE
6. SICHERHEITSMAßNAHMEN BEI ERWERB, ENTWICKLUNG UND WARTUNG VON NETZ- UND INFORMATIONSSYSTEMEN
7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE
10. SICHERHEIT DES PERSONALS
11. ZUGRIFFSKONTROLLE
12. ANLAGEN- UND WERTEMANAGEMENT
13. SICHERHEIT DES UMFELDS UND PHYSISCHE SICHERHEIT

ANNEX zur NIS2-Umsetzungsverordnung der EU

Inhalte der NIS2UmsVo

Annex zur NIS2-Umsetzungsverordnung: Ihr Leitfaden zur Cybersicherheit

Die NIS2-Umsetzungsverordnung (UmsVO) setzt neue Maßstäbe für Cybersicherheit in der Europäischen Union. Ein zentraler Bestandteil dieser Verordnung ist der Annex, der technische und methodische Anforderungen definiert, um Unternehmen und Organisationen gegen wachsende Cyberbedrohungen zu schützen. Dieser Annex bildet die Grundlage für die Umsetzung der NIS2-Richtlinie (EU) 2022/2555 und ist essenziell für alle Akteure, die kritische Infrastrukturen betreiben oder wesentliche Dienste anbieten.

Was regelt der Annex der NIS2-Umsetzungsverordnung?

Der Annex konkretisiert die Anforderungen der NIS2-Richtlinie und legt fest, wie Unternehmen die Risikomanagementmaßnahmen nach Art. 21 NIS2-Richtlinie bzw. §30 BSIG umzusetzen haben.

Es ist keine „Meinung selbsternannter Experten“, kein rein nationaler Standard wie (BSI-Grundschutz oder VDS), sondern eine offizielle EU-Norm, die in alle EU-Sprachen übersetzt ist und damit für international agierende Unternehmen überaus praktikabel!

Warum wir glauben, dass dies der „Goldstandard“ der Implementierung“ werden wird, haben wir in unserem Blog-Beitrag beschreiben. Ferner gibt es seitens der ENISA (dem EU-Äquivalent zum BSI) eine hervorragende, darauf abgestimmte Umsetzungs-Guidance!

Kernpunkte des Annex – deutlich umfangreicher und detaillierter als das BSIG!

  1. Informationssicherheitsmanagement: das Management muss für NIS2 Ziele, Rollen und Verantwortlichkeiten festlegen
  2. Risikomanagement: Unternehmen sind nach der NIS2 verpflichtet, Risiken systematisch zu identifizieren, zu bewerten und Maßnahmen zu deren Minimierung umzusetzen. Dies schließt die Dokumentation und regelmäßige unabhängige Überprüfung von Sicherheitsmaßnahmen ein.
  3. Vorfallmanagement: Die NIS2 fordert nicht nur Incident-Management-Prozesse, sondern auch Logging- und Überwachungskonzepte, Meldeprozesse, Bewertung und Klassifizierung von Ereignissen und Lessons-Learned-Prozesse
  4. Business Continuity-Management: dies enthält Maßnahmen zur Aufrechterhaltung des Betriebs, Backup-Management, Wiederherstellungsmanagement nach einem Notfall und Krisenmanagement
  5. Lieferkettensicherheit: Besondere Anforderungen gelten für die Zusammenarbeit mit Lieferanten und Dienstleistern. Unternehmen müssen sicherstellen, dass ihre Partner ebenfalls hohe Sicherheitsstandards einhalten.
  6. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen / Management und Offenlegung von Schwachstellen
  7. Konzepte zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
  8. Verfahren zur Cyberhygiene / Schulungen: Schulungen und Sensibilisierungsprogramme sind ein Muss. Alle Mitarbeitenden, insbesondere Führungskräfte und technische Teams, müssen in Bezug auf Cybersicherheit geschult werden.
  9. Kryptographie: Welche Verschlüsselungsverfahren sind wo und wie im Einsatz sowie zum Umgang mit Schlüsselmaterial
  10. Anforderungen an die Sicherheit des Personals: Umfasst Regelungen zum Peronalmanagement und Sicherstellung des Rollenbewusstseins, zum Schutz vor Innentätern z.B: durch Screening, On- und Offboarding, Disziplinarverfahren.
  11. Konzepte für die Zugriffskontrolle / Access-Management: Betrifft den physischen Zugang (auch von Besuchern) wie den systemtechnischen Zugang inkl. Identifizierung und Authentifizierung, inkl. einer Pflicht zur Einführung von MFA.
  12. Konzepte für das Management von Informationssicherheits-Assets: Beinhaltet Konzepte und Maßnahmen zur Klassifizierung, Behandlung und Inventarisierung von Anlagen und Werten (Informationssicherheits-Assets).
  13. Konzepte für die Sicherheit des physischen Umfeldes: Betrifft neben der klassischen Zutritts- und Perimetersicherheit auch Aspekte des phsischen Umfelds und Bedrohungen aus diesem sowie die Sicherheit von Versorgungsleitungen wie etwa Strom, Gas, Wasser.

Wie setze ich das um?

Die EU-Cybersicherheitsbehörde ENISA hat eine IMPLEMENTING GUIDANCE herausgegeben, die sich am Annex dieser NIS2UmsVO orientiert. Wir haben die Guidance unter den jeweiligen Kapiteln bereitgestellt, so dass Sie sich „nur noch“ durch dieses Dokument klicken müssen.
Weitere Hilfestellung finden Sie in unseren Umsetzungs-Paketen.

1. KONZEPT FÜR DIE SICHERHEIT VON NETZ- UND INFORMATIONSSYSTEMEN

1.1. Konzept für die Sicherheit von Netz- und Informationssystemen
1.2. Rollen, Verantwortlichkeiten und Weisungsbefugnisse

2. KONZEPT FÜR DAS RISIKOMANAGEMENT

2.1. Risikomanagementrahmen
2.2. Überwachung der Einhaltung
2.3. Unabhängige Überprüfung der Netz- und Informationssicherheit

3. BEWÄLTIGUNG VON SICHERHEITSVORFÄLLEN

3.1. Konzept für die Bewältigung von Sicherheitsvorfällen
3.2. Überwachung und Protokollierung
3.3. Meldung von Ereignissen
3.4. Bewertung und Klassifizierung von Ereignissen
3.5. Reaktion auf Sicherheitsvorfälle
3.6. Überprüfungen nach Sicherheitsvorfällen

4. BETRIEBSKONTINUITÄTS- UND KRISENMANAGEMENT

4.1. Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs
4.2. Backup-Sicherungs- und Redundanzmanagement
4.3. Krisenmanagement

5. SICHERHEIT DER LIEFERKETTE

5.1. Konzept für die Sicherheit der Lieferkette
5.2. Verzeichnis der Anbieter und Diensteanbieter

6. SICHERHEITSMAßNAHMEN BEI ERWERB, ENTWICKLUNG UND WARTUNG VON NETZ- UND INFORMATIONSSYSTEMEN

6.1. Sicherheitsmaßnahmen beim Erwerb von IKT-Diensten oder IKT-Produkten
6.2. Sicherer Entwicklungszyklus
6.3. Konfigurationsmanagement
6.4. Änderungsmanagement, Reparatur und Wartung
6.5. Sicherheitsprüfung
6.6. Sicherheitspatch-Management
6.7. Netzsicherheit
6.8. Netzsegmentierung
6.9. Schutz gegen Schadsoftware und nicht genehmigte Software
6.10. Behandlung und Offenlegung von Schwachstellen

7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT

7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT

8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT

8.1 Sensibilisierungsmaßnahmen und grundlegende Verfahren im Bereich der Cyberhygiene
8.2. Sicherheitsschulungen

9. KRYPTOGRAFIE

9. Kryptografie

10. SICHERHEIT DES PERSONALS

10.1. Sicherheit des Personals
10.2. Zuverlässigkeitsüberprüfung
10.3. Verfahren zur Beendigung oder Änderung des Beschäftigungsverhältnisses
10.4. Disziplinarverfahren

11. ZUGRIFFSKONTROLLE

11.1. Konzept für die Zugriffskontrolle
11.2. Management von Zugangs- und Zugriffsrechten
11.3. Privilegierte Konten und Systemverwaltungskonten
11.4. Systemverwaltungssysteme
11.5. Identifizierung
11.6. Authentifizierung
11.7. Multifaktor-Authentifizierung

12. ANLAGEN- UND WERTEMANAGEMENT

12.1. Anlagen- und Werteklassifizierung
12.2. Behandlung von Anlagen und Werten
12.3. Konzept für Wechseldatenträger
12.4. Anlagen- und Werteinventar
12.5. Abgabe, Rückgabe oder Löschung von Anlagen und Werten bei Beendigung des Beschäftigungsverhältnisses

13. SICHERHEIT DES UMFELDS UND PHYSISCHE SICHERHEIT

13.1. Unterstützende Versorgungsleistungen
13.2. Schutz vor physischen Bedrohungen und Bedrohungen des Umfelds
13.3. Perimeter und physische Zutrittskontrolle