1. KONZEPT FÜR DIE SICHERHEIT VON NETZ- UND INFORMATIONSSYSTEMEN
2. KONZEPT FÜR DAS RISIKOMANAGEMENT
3. BEWÄLTIGUNG VON SICHERHEITSVORFÄLLEN
4. BETRIEBSKONTINUITÄTS- UND KRISENMANAGEMENT
5. SICHERHEIT DER LIEFERKETTE
6. SICHERHEITSMAßNAHMEN BEI ERWERB, ENTWICKLUNG UND WARTUNG VON NETZ- UND INFORMATIONSSYSTEMEN
7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE
10. SICHERHEIT DES PERSONALS
11. ZUGRIFFSKONTROLLE
12. ANLAGEN- UND WERTEMANAGEMENT
13. SICHERHEIT DES UMFELDS UND PHYSISCHE SICHERHEIT

ANNEX zur NIS2-Umsetzungsverordnung der EU

Inhalte der NIS2UmsVo

Annex zur NIS2-Umsetzungsverordnung: Ihr Leitfaden zur Cybersicherheit

Die NIS2-Umsetzungsverordnung (UmsVO) setzt neue Maßstäbe für Cybersicherheit in der Europäischen Union. Ein zentraler Bestandteil dieser Verordnung ist der Annex, der technische und methodische Anforderungen definiert, um Unternehmen und Organisationen gegen wachsende Cyberbedrohungen zu schützen. Dieser Annex bildet die Grundlage für die Umsetzung der NIS2-Richtlinie (EU) 2022/2555 und ist essenziell für alle Akteure, die kritische Infrastrukturen betreiben oder wesentliche Dienste anbieten.

Was regelt der Annex der NIS2-Umsetzungsverordnung?

Der Annex konkretisiert die Anforderungen der NIS2-Richtlinie und legt fest, wie Unternehmen die Risikomanagementmaßnahmen nach Art. 21  NIS2-Richtlinie bzw. §30 BSIG umzusetzen haben. – Es ist keine „Meinung selbsternannter Experten“, kein rein nationaler Standard wie (BSI-GS oder VDS), sondern eine offizielle EU-Norm!

Kernpunkte des Annex – deutlich umfangreicher und detaillierter als das BSIG!

  1. Informationssicherheitsmanagement: das Management muss für NIS2 Ziele, Rollen und Verantwortlichkeiten festlegen
  2. Risikomanagement: Unternehmen sind nach der NIS2 verpflichtet, Risiken systematisch zu identifizieren, zu bewerten und Maßnahmen zu deren Minimierung umzusetzen. Dies schließt die Dokumentation und regelmäßige unabhängige Überprüfung von Sicherheitsmaßnahmen ein.
  3. Vorfallmanagement: Die NIS2 fordert nicht nur Incident-Management-Prozesse, sondern auch Logging- und Überwachungskonzepte, Meldeprozesse, Bewertung und Klassifizierung von Ereignissen und Lessons-Learned-Prozesse
  4. Business Continuity-Management: dies enthält Maßnahmen zur Aufrechterhaltung des Betriebs, Backup-Management, Wiederherstellungsmanagement nach einem Notfall und Krisenmanagement
  5. Lieferkettensicherheit: Besondere Anforderungen gelten für die Zusammenarbeit mit Lieferanten und Dienstleistern. Unternehmen müssen sicherstellen, dass ihre Partner ebenfalls hohe Sicherheitsstandards einhalten.
  6. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen / Management und Offenlegung von Schwachstellen
  7. Konzepte zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
  8. Verfahren zur Cyberhygiene / Schulungen: Schulungen und Sensibilisierungsprogramme sind ein Muss. Alle Mitarbeitenden, insbesondere Führungskräfte und technische Teams, müssen in Bezug auf Cybersicherheit geschult werden.
  9. Kryptographie
  10. Anforderungen an die Sicherheit des Personals
  11. Konzepte für die Zugriffskontrolle / Access-Management
  12. Konzepte für das Management von Informationssicherheits-Assets
  13. Konzepte für die Sicherheit des physischen Umfeldes

Wie setze ich das um?

Die EU-Cybersicherheitsbehörde ENISA hat eine IMPLEMENTING GUIDANCE herausgegeben, die sich am Annex dieser NIS2UmsVO orientiert. Wir haben die Guidance unter den jeweiligen Kapiteln bereitgestellt, so dass Sie sich „nur noch“ durch dieses Dokument klicken müssen.
Weitere Hilfestellung finden Sie in unseren Coaching-Paketen.

1. KONZEPT FÜR DIE SICHERHEIT VON NETZ- UND INFORMATIONSSYSTEMEN

1.1. Konzept für die Sicherheit von Netz- und Informationssystemen
1.2. Rollen, Verantwortlichkeiten und Weisungsbefugnisse

2. KONZEPT FÜR DAS RISIKOMANAGEMENT

2.1. Risikomanagementrahmen
2.2. Überwachung der Einhaltung
2.3. Unabhängige Überprüfung der Netz- und Informationssicherheit

3. BEWÄLTIGUNG VON SICHERHEITSVORFÄLLEN

3.1. Konzept für die Bewältigung von Sicherheitsvorfällen
3.2. Überwachung und Protokollierung
3.3. Meldung von Ereignissen
3.4. Bewertung und Klassifizierung von Ereignissen
3.5. Reaktion auf Sicherheitsvorfälle
3.6. Überprüfungen nach Sicherheitsvorfällen

4. BETRIEBSKONTINUITÄTS- UND KRISENMANAGEMENT

4.1. Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs
4.2. Backup-Sicherungs- und Redundanzmanagement
4.3. Krisenmanagement

5. SICHERHEIT DER LIEFERKETTE

5.1. Konzept für die Sicherheit der Lieferkette
5.2. Verzeichnis der Anbieter und Diensteanbieter

6. SICHERHEITSMAßNAHMEN BEI ERWERB, ENTWICKLUNG UND WARTUNG VON NETZ- UND INFORMATIONSSYSTEMEN

6.1. Sicherheitsmaßnahmen beim Erwerb von IKT-Diensten oder IKT-Produkten
6.2. Sicherer Entwicklungszyklus
6.3. Konfigurationsmanagement
6.4. Änderungsmanagement, Reparatur und Wartung
6.5. Sicherheitsprüfung
6.6. Sicherheitspatch-Management
6.7. Netzsicherheit
6.8. Netzsegmentierung
6.9. Schutz gegen Schadsoftware und nicht genehmigte Software
6.10. Behandlung und Offenlegung von Schwachstellen

7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT

7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT

8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT

8.1 Sensibilisierungsmaßnahmen und grundlegende Verfahren im Bereich der Cyberhygiene
8.2. Sicherheitsschulungen

9. KRYPTOGRAFIE

9. Kryptografie

10. SICHERHEIT DES PERSONALS

10.1. Sicherheit des Personals
10.2. Zuverlässigkeitsüberprüfung
10.3. Verfahren zur Beendigung oder Änderung des Beschäftigungsverhältnisses
10.4. Disziplinarverfahren

11. ZUGRIFFSKONTROLLE

11.1. Konzept für die Zugriffskontrolle
11.2. Management von Zugangs- und Zugriffsrechten
11.3. Privilegierte Konten und Systemverwaltungskonten
11.4. Systemverwaltungssysteme
11.5. Identifizierung
11.6. Authentifizierung
11.7. Multifaktor-Authentifizierung

12. ANLAGEN- UND WERTEMANAGEMENT

12.1. Anlagen- und Werteklassifizierung
12.2. Behandlung von Anlagen und Werten
12.3. Konzept für Wechseldatenträger
12.4. Anlagen- und Werteinventar
12.5. Abgabe, Rückgabe oder Löschung von Anlagen und Werten bei Beendigung des Beschäftigungsverhältnisses

13. SICHERHEIT DES UMFELDS UND PHYSISCHE SICHERHEIT

13.1. Unterstützende Versorgungsleistungen
13.2. Schutz vor physischen Bedrohungen und Bedrohungen des Umfelds
13.3. Perimeter und physische Zutrittskontrolle