7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

1.1. Konzept für die Sicherheit von Netz- und Informationssystemen

1.1.1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe a der Richtlinie (EU) 2022/2555 muss das Konzept für die Sicherheit von Netz- und Informationssystemen

a) den Ansatz der betreffenden Einrichtungen für das Management der Sicherheit ihrer Netz- und Informationssysteme darlegen;

b) für die Geschäftsstrategie und die Ziele der betreffenden Einrichtungen geeignet sein und diese ergänzen;

c) die Ziele der Sicherheit von Netz- und Informationssystemen darlegen;

d) eine Verpflichtung zur kontinuierlichen Verbesserung der Sicherheit von Netz- und Informationssystemen enthalten;

e) eine Verpflichtung enthalten, die für seine Umsetzung erforderlichen angemessenen Ressourcen bereitzustellen, einschließlich des erforderlichen Personals, der erforderlichen Finanzmittel sowie der Verfahren, Instrumente und Technologien;

f) den einschlägigen Mitarbeitenden und interessierten externen Beteiligten mitgeteilt und von ihnen anerkannt werden;

g) die Festlegung der Rollen und Verantwortlichkeiten gemäß Nummer 1.2 enthalten;

h) die aufzubewahrenden Unterlagen und die Dauer ihrer Aufbewahrung aufführen;

i) die themenspezifischen Konzepte aufführen;

j) Indikatoren und Maßnahmen zur Überwachung seiner Umsetzung und des aktuellen Reifegrads der Netz- und Informationssicherheit in den betreffenden Einrichtungen festlegen;

k) das Datum der förmlichen Genehmigung durch die Leitungsorgane der betreffenden Einrichtungen (im Folgenden „Leitungsorgane“) enthalten.


1.1.2. Das Konzept für die Sicherheit von Netz- und Informationssystemen wird von den Leitungsorganen mindestens jährlich sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken überprüft und – soweit angemessen – aktualisiert. Das Ergebnis der Überprüfung wird dokumentiert.


 

Stand: 17.10.2024

Ein gut strukturiertes Sicherheitskonzept (aka ISMS-Leitlinie) ist essenziell, um Netz- und Informationssysteme effektiv zu schützen. Es muss bestimmte Mindestinhalte enthalten, kontinuierlich an die Geschäftsstrategie angepasst, regelmäßig überprüft und bei Bedarf aktualisiert werden. Die klare Kommunikation und Genehmigung durch die Geschäftsleitung stellen die Umsetzung sicher.

Vereinfachte Erklärung der Anforderungen aus 1.1.1 und 1.1.2 der NIS2UmsVO

Damit ein Sicherheitskonzept für Netz- und Informationssysteme die Anforderungen der NIS2-Richtlinie erfüllt, muss es Folgendes beinhalten:

1.1.1 Anforderungen an das Sicherheitskonzept bzw. eine Leitlinie

a) Ansatz für Sicherheit: Das Konzept muss erklären, wie die Einrichtung die Sicherheit ihrer Netz- und IT-Systeme managt.

b) Anpassung an Geschäftsziele: Das Konzept muss zur Geschäftsstrategie und den Zielen der Organisation passen und diese unterstützen.

c) Sicherheitsziele: Es muss die spezifischen Ziele für die Sicherheit der Netz- und IT-Systeme definieren.

d) Kontinuierliche Verbesserung: Das Konzept sollte eine klare Verpflichtung enthalten, die Sicherheit der Systeme kontinuierlich zu verbessern.

e) Ressourcenbereitstellung: Die Organisation muss sicherstellen, dass ausreichend Ressourcen (Personal, Budget, Tools, Technologien) für die Umsetzung des Konzepts bereitgestellt werden.

f) Kommunikation: Mitarbeitende und externe Partner müssen über das Konzept informiert sein und es anerkennen.

g) Rollen und Verantwortlichkeiten: Es müssen klare Rollen und Verantwortlichkeiten definiert werden (siehe Abschnitt 1.2).

h) Dokumentation: Das Konzept muss festlegen, welche Dokumente aufzubewahren sind und wie lange sie gespeichert werden sollen.

i) Spezifische Themen: Das Konzept sollte auch spezielle Sicherheitsbereiche oder -themen abdecken.

j) Überwachung: Es müssen Kennzahlen und Methoden enthalten sein, um den Fortschritt und Reifegrad der Sicherheitsmaßnahmen zu messen.

k) Genehmigung: Das Konzept muss formal von der Geschäftsleitung genehmigt werden, mit einem klaren Datum der Zustimmung.

1.1.2 Überprüfung und Aktualisierung

Das Sicherheitskonzept muss regelmäßig überprüft werden:

  • Mindestens einmal im Jahr.
  • Zusätzlich bei größeren Sicherheitsvorfällen, Änderungen im Betrieb oder neuen Risiken.
    Die Ergebnisse der Überprüfung müssen dokumentiert werden, und das Konzept sollte bei Bedarf angepasst werden.

Dieses Vorgehen stellt sicher, dass Ihre Organisation alle Vorgaben der NIS2-Richtlinie erfüllt und auf aktuelle Bedrohungen vorbereitet bleibt.

Fragenkatalog für 1.1. Konzept für die Sicherheit von Netz- und Informationssystemen

Diese Fragen sind nur auszugsweise - den vollständigen Fragenkatalog erhalten Sie in unserem Coaching-Paket.

1. Allgemeine Anforderungen an das Sicherheitskonzept

  1. Ist ein schriftliches Konzept für die Sicherheit von Netz- und Informationssystemen vorhanden?
  2. Beschreibt das Konzept den Ansatz für das Management der Sicherheit der Netz- und Informationssysteme? (Bezug zu 1.1.1 a)
  3. Ist das Konzept mit der Geschäftsstrategie und den Zielen der Organisation abgestimmt und ergänzt es diese? (Bezug zu 1.1.1 b)
  4. Werden die Sicherheitsziele der Netz- und Informationssysteme im Konzept eindeutig definiert? (Bezug zu 1.1.1 c)
  5. Enthält das Konzept eine Verpflichtung zur kontinuierlichen Verbesserung der Sicherheitsmaßnahmen? (Bezug zu 1.1.1 d)
  6. Sind angemessene Ressourcen (Personal, Budget, Technologien) für die Umsetzung des Konzepts vorgesehen und dokumentiert? (Bezug zu 1.1.1 e)

2. Kommunikation und Verantwortlichkeiten

  1. Wurde das Konzept den relevanten Mitarbeitenden und externen Beteiligten mitgeteilt und von ihnen anerkannt? (Bezug zu 1.1.1 f)
  2. Werden die Rollen und Verantwortlichkeiten im Konzept klar festgelegt? (Bezug zu 1.1.1 g)

3. Dokumentation und spezifische Anforderungen

  • Sind die aufzubewahrenden Unterlagen und deren Aufbewahrungsdauer im Konzept definiert? (Bezug zu 1.1.1 h)
  • Gibt es themenspezifische Konzepte, die im Konzept erwähnt und eingebunden sind? (Bezug zu 1.1.1 i)
  • Sind Indikatoren und Maßnahmen zur Überwachung der Umsetzung des Konzepts und des Reifegrads der Netz- und Informationssicherheit festgelegt? (Bezug zu 1.1.1 j)
  • Wird das Datum der Genehmigung des Konzepts durch die Leitungsorgane dokumentiert? (Bezug zu 1.1.1 k)

4. Überprüfung und Aktualisierung

  • Wird das Konzept mindestens einmal jährlich durch die Leitungsorgane überprüft? (Bezug zu 1.1.2)
  • Werden bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder Risiken zeitnah Überprüfungen des Konzepts durchgeführt? (Bezug zu 1.1.2)
  • Sind die Ergebnisse der Überprüfungen dokumentiert und in das Konzept eingeflossen? (Bezug zu 1.1.2)

Hier haben wir noch nichts öffentlich eingestellt.

Mehr Informationen und Muster gibt es in unserem NIS2-Coaching-Angebot.

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!