1. KONZEPT FÜR DIE SICHERHEIT VON NETZ- UND INFORMATIONSSYSTEMEN
2. KONZEPT FÜR DAS RISIKOMANAGEMENT
3. BEWÄLTIGUNG VON SICHERHEITSVORFÄLLEN
4. BETRIEBSKONTINUITÄTS- UND KRISENMANAGEMENT
5. SICHERHEIT DER LIEFERKETTE
6. SICHERHEITSMAßNAHMEN BEI ERWERB, ENTWICKLUNG UND WARTUNG VON NETZ- UND INFORMATIONSSYSTEMEN
7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE
10. SICHERHEIT DES PERSONALS
11. ZUGRIFFSKONTROLLE
12. ANLAGEN- UND WERTEMANAGEMENT
13. SICHERHEIT DES UMFELDS UND PHYSISCHE SICHERHEIT

1.1. Konzept für die Sicherheit von Netz- und Informationssystemen

1.1.1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe a der Richtlinie (EU) 2022/2555 muss das Konzept für die Sicherheit von Netz- und Informationssystemen

a) den Ansatz der betreffenden Einrichtungen für das Management der Sicherheit ihrer Netz- und Informationssysteme darlegen;

b) für die Geschäftsstrategie und die Ziele der betreffenden Einrichtungen geeignet sein und diese ergänzen;

c) die Ziele der Sicherheit von Netz- und Informationssystemen darlegen;

d) eine Verpflichtung zur kontinuierlichen Verbesserung der Sicherheit von Netz- und Informationssystemen enthalten;

e) eine Verpflichtung enthalten, die für seine Umsetzung erforderlichen angemessenen Ressourcen bereitzustellen, einschließlich des erforderlichen Personals, der erforderlichen Finanzmittel sowie der Verfahren, Instrumente und Technologien;

f) den einschlägigen Mitarbeitenden und interessierten externen Beteiligten mitgeteilt und von ihnen anerkannt werden;

g) die Festlegung der Rollen und Verantwortlichkeiten gemäß Nummer 1.2 enthalten;

h) die aufzubewahrenden Unterlagen und die Dauer ihrer Aufbewahrung aufführen;

i) die themenspezifischen Konzepte aufführen;

j) Indikatoren und Maßnahmen zur Überwachung seiner Umsetzung und des aktuellen Reifegrads der Netz- und Informationssicherheit in den betreffenden Einrichtungen festlegen;

k) das Datum der förmlichen Genehmigung durch die Leitungsorgane der betreffenden Einrichtungen (im Folgenden „Leitungsorgane“) enthalten.

1.1.2. Das Konzept für die Sicherheit von Netz- und Informationssystemen wird von den Leitungsorganen mindestens jährlich sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken überprüft und – soweit angemessen – aktualisiert. Das Ergebnis der Überprüfung wird dokumentiert.

 

Stand: 17.10.2024

- Festlegung einer Richtlinie für die Sicherheit von Netz- und Informationssystemen für Systeme, Vermögenswerte und/oder Verfahren, die in den Geltungsbereich der Richtlinie fallen.
- Stellen Sie sicher, dass das Personal sowie alle Dritten8 (z. B. Auftragnehmer, Lieferanten) die Richtlinie für die Sicherheit von Netz- und Informationssystemen anerkennen, in der Regel durch ein unterzeichnetes Dokument oder eine digitale gegebenenfalls durch ein unterzeichnetes Dokument oder eine digitale Bestätigung, und was dies für ihre Arbeit bedeutet.

Vereinfachte Erklärung der Anforderungen aus 1.1.1 und 1.1.2 der NIS2UmsVO

Damit ein Sicherheitskonzept für Netz- und Informationssysteme die Anforderungen der NIS2-Richtlinie erfüllt, muss es Folgendes beinhalten:

1.1.1 Anforderungen an das Sicherheitskonzept bzw. eine Leitlinie

a) Ansatz für Sicherheit: Das Konzept muss erklären, wie die Einrichtung die Sicherheit ihrer Netz- und IT-Systeme managt.

b) Anpassung an Geschäftsziele: Das Konzept muss zur Geschäftsstrategie und den Zielen der Organisation passen und diese unterstützen.

c) Sicherheitsziele: Es muss die spezifischen Ziele für die Sicherheit der Netz- und IT-Systeme definieren.

d) Kontinuierliche Verbesserung: Das Konzept sollte eine klare Verpflichtung enthalten, die Sicherheit der Systeme kontinuierlich zu verbessern.

e) Ressourcenbereitstellung: Die Organisation muss sicherstellen, dass ausreichend Ressourcen (Personal, Budget, Tools, Technologien) für die Umsetzung des Konzepts bereitgestellt werden.

f) Kommunikation: Mitarbeitende und externe Partner müssen über das Konzept informiert sein und es anerkennen.

g) Rollen und Verantwortlichkeiten: Es müssen klare Rollen und Verantwortlichkeiten definiert werden (siehe Abschnitt 1.2).

h) Dokumentation: Das Konzept muss festlegen, welche Dokumente aufzubewahren sind und wie lange sie gespeichert werden sollen.

i) Spezifische Themen: Das Konzept sollte auch spezielle Sicherheitsbereiche oder -themen abdecken.

j) Überwachung: Es müssen Kennzahlen und Methoden enthalten sein, um den Fortschritt und Reifegrad der Sicherheitsmaßnahmen zu messen.

k) Genehmigung: Das Konzept muss formal von der Geschäftsleitung genehmigt werden, mit einem klaren Datum der Zustimmung.

1.1.2 Überprüfung und Aktualisierung

Das Sicherheitskonzept muss regelmäßig überprüft werden:

  • Mindestens einmal im Jahr.
  • Zusätzlich bei größeren Sicherheitsvorfällen, Änderungen im Betrieb oder neuen Risiken.
    Die Ergebnisse der Überprüfung müssen dokumentiert werden, und das Konzept sollte bei Bedarf angepasst werden.

Dieses Vorgehen stellt sicher, dass Ihre Organisation alle Vorgaben der NIS2-Richtlinie erfüllt und auf aktuelle Bedrohungen vorbereitet bleibt.

Fragenkatalog für 1.1. Konzept für die Sicherheit von Netz- und Informationssystemen

Diese Fragen sind nur auszugsweise - den vollständigen Fragenkatalog erhalten Sie in unserem Coaching-Paket.

1. Allgemeine Anforderungen an das Sicherheitskonzept

  1. Ist ein schriftliches Konzept für die Sicherheit von Netz- und Informationssystemen vorhanden?
  2. Beschreibt das Konzept den Ansatz für das Management der Sicherheit der Netz- und Informationssysteme? (Bezug zu 1.1.1 a)
  3. Ist das Konzept mit der Geschäftsstrategie und den Zielen der Organisation abgestimmt und ergänzt es diese? (Bezug zu 1.1.1 b)
  4. Werden die Sicherheitsziele der Netz- und Informationssysteme im Konzept eindeutig definiert? (Bezug zu 1.1.1 c)
  5. Enthält das Konzept eine Verpflichtung zur kontinuierlichen Verbesserung der Sicherheitsmaßnahmen? (Bezug zu 1.1.1 d)
  6. Sind angemessene Ressourcen (Personal, Budget, Technologien) für die Umsetzung des Konzepts vorgesehen und dokumentiert? (Bezug zu 1.1.1 e)

2. Kommunikation und Verantwortlichkeiten

  1. Wurde das Konzept den relevanten Mitarbeitenden und externen Beteiligten mitgeteilt und von ihnen anerkannt? (Bezug zu 1.1.1 f)
  2. Werden die Rollen und Verantwortlichkeiten im Konzept klar festgelegt? (Bezug zu 1.1.1 g)

3. Dokumentation und spezifische Anforderungen

  • Sind die aufzubewahrenden Unterlagen und deren Aufbewahrungsdauer im Konzept definiert? (Bezug zu 1.1.1 h)
  • Gibt es themenspezifische Konzepte, die im Konzept erwähnt und eingebunden sind? (Bezug zu 1.1.1 i)
  • Sind Indikatoren und Maßnahmen zur Überwachung der Umsetzung des Konzepts und des Reifegrads der Netz- und Informationssicherheit festgelegt? (Bezug zu 1.1.1 j)
  • Wird das Datum der Genehmigung des Konzepts durch die Leitungsorgane dokumentiert? (Bezug zu 1.1.1 k)

4. Überprüfung und Aktualisierung

  • Wird das Konzept mindestens einmal jährlich durch die Leitungsorgane überprüft? (Bezug zu 1.1.2)
  • Werden bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder Risiken zeitnah Überprüfungen des Konzepts durchgeführt? (Bezug zu 1.1.2)
  • Sind die Ergebnisse der Überprüfungen dokumentiert und in das Konzept eingeflossen? (Bezug zu 1.1.2)

- Dokumentierte Strategie für die Sicherheit von Netz- und Informationssystemen, die die Elemente die in den Punkten 1.1.1 (a) bis 1.1.1 (k) des Anhangs der Verordnung gefordert werden.
- Die Strategie für die Sicherheit von Netz- und Informationssystemen sowie themenspezifische Strategien werden von der obersten Leitung genehmigt.
- Das Datum der förmlichen Genehmigung durch die Leitungsorgane der betreffenden Stellen ist in der Strategie
- Das Datum der förmlichen Genehmigung durch die Leitungsorgane der betreffenden Stellen ist in der Richtlinie zur Sicherheit von Netz- und Informationssystemen angegeben.
- Das Personal kennt die Politik für die Sicherheit von Netz- und Informationssystemen und weiß, was sie für seine Arbeit bedeutet
- Unterzeichnete Bestätigungsformulare von Mitarbeitern des Auftragnehmers, die bestätigen, dass sie die Sicherheitsrichtlinien gelesen und verstanden haben.
- Befragung der obersten Führungsebene, um ihre Beteiligung am Informationssicherheitsmanagement zu überprüfen.
- Nachweis, dass die oberste Führungsebene ihre Rolle, Verantwortlichkeiten und Befugnisse 253 in Bezug auf die Netz- und Informationssicherheit versteht.
Dies kann Folgendes beinhalten, ist aber nicht darauf beschränkt:
o Zuteilung von Ressourcen für die Umsetzung von Richtlinien;
o Aufforderung an das Personal, die Netz- und Informationssicherheit in Übereinstimmung mit den festgelegten Richtlinien und Verfahren anzuwenden; und
o alle Initiativen, die darauf hinweisen, dass die Leitung Verbesserungen im Bereich der Netz- und Informationssicherheit fördert.

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!