7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

1.2. Rollen, Verantwortlichkeiten und Weisungsbefugnisse

1.2.1. Im Rahmen ihres Konzepts für die Sicherheit von Netz- und Informationssystemen gemäß Nummer 1.1 legen die betreffenden Einrichtungen Verantwortlichkeiten und Weisungsbefugnisse für die Sicherheit von Netz- und Informationssystemen fest und ordnen sie den Rollen zu, weisen sie entsprechend dem Bedarf der jeweiligen Einrichtungen zu und teilen dies den Leitungsorganen mit.


1.2.2. Die betreffenden Einrichtungen verlangen von allen Mitarbeitenden und Dritten, die Netz- und Informationssystemsicherheit entsprechend dem festgelegten Konzept für die Sicherheit von Netz- und Informationssystemen, den themenspezifischen Konzepten und den Verfahren der betreffenden Einrichtungen anzuwenden.


1.2.3. Mindestens eine Person muss gegenüber den Leitungsorganen direkt für Fragen der Sicherheit von Netz- und Informationssystemen verantwortlich sein (Anm. d. Redaktion: de facto Pflicht zur Bestellung eines Informationssicherheitsbeauftragten / ISB).


1.2.4. Je nach Größe der betreffenden Einrichtungen wird die Sicherheit von Netz- und Informationssystemen durch spezielle Rollen oder Aufgaben abgedeckt, die zusätzlich zu den bestehenden Rollen übernommen werden.


1.2.5. Widerstrebende Pflichten und sich widersprechende Verantwortlichkeiten werden – soweit anwendbar – getrennt.


1.2.6. Die Rollen, Verantwortlichkeiten und Weisungsbefugnisse werden von den Leitungsorganen in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken überprüft und – soweit angemessen – aktualisiert.


 

Stand: 17.10.2024

vereinfachte Erklärung der Anforderungen aus 1.2: Rollen, Verantwortlichkeiten und Weisungsbefugnisse

1.2.1 Klare Verantwortlichkeiten

Jede Organisation muss festlegen, wer für die Sicherheit ihrer Netz- und IT-Systeme verantwortlich ist. Diese Verantwortlichkeiten und Entscheidungsbefugnisse müssen auf die Rollen der Mitarbeitenden abgestimmt sein und den Leitungsorganen kommuniziert werden.

1.2.2 Verpflichtung zur Umsetzung

Alle Mitarbeitenden und externe Partner müssen die Sicherheitsrichtlinien der Organisation einhalten. Dies gilt sowohl für allgemeine Sicherheitskonzepte als auch für spezifische Vorgaben.

1.2.3 Benennung eines Verantwortlichen

Mindestens eine Person muss direkt gegenüber der Geschäftsleitung für alle Fragen der Netz- und Informationssicherheit verantwortlich sein. Dies entspricht in der Regel der Rolle eines Informationssicherheitsbeauftragten (ISB).

1.2.4 Spezielle Rollen je nach Größe

In kleineren Organisationen können Sicherheitsaufgaben zusätzlich zu bestehenden Rollen übernommen werden. In größeren Organisationen sind dedizierte Sicherheitsrollen oder Teams erforderlich.

1.2.5 Trennung von widersprüchlichen Aufgaben

Wenn Aufgaben oder Verantwortlichkeiten potenziell im Konflikt stehen, müssen diese getrennt werden.

1.2.6 Regelmäßige Überprüfung und Aktualisierung

Die festgelegten Rollen und Verantwortlichkeiten müssen regelmäßig geprüft und bei Bedarf angepasst werden:

  • In geplanten Zeitabständen.
  • Nach größeren Sicherheitsvorfällen oder Änderungen der Betriebsabläufe oder Risiken.

Diese Maßnahmen stellen sicher, dass klare Verantwortlichkeiten bestehen und die Sicherheitsstrategie flexibel an neue Herausforderungen angepasst werden kann.

Fragenkatalog: Rollen, Verantwortlichkeiten und Weisungsbefugnisse

1. Definition und Zuweisung von Rollen und Verantwortlichkeiten

  • Sind Verantwortlichkeiten und Weisungsbefugnisse für die Sicherheit von Netz- und Informationssystemen im Konzept klar definiert? (Bezug zu 1.2.1)
  • Sind die Verantwortlichkeiten und Weisungsbefugnisse spezifischen Rollen zugeordnet? (Bezug zu 1.2.1)
  • Wurden die zugewiesenen Rollen und Verantwortlichkeiten den Leitungsorganen mitgeteilt? (Bezug zu 1.2.1)

2. Einhaltung durch Mitarbeitende und Dritte

  • Wird von allen Mitarbeitenden und Dritten verlangt, die Sicherheitsmaßnahmen entsprechend dem festgelegten Konzept und den themenspezifischen Verfahren einzuhalten? (Bezug zu 1.2.2)
  • Sind entsprechende Anweisungen und Schulungen vorhanden, um sicherzustellen, dass Mitarbeitende und Dritte die Sicherheitsmaßnahmen verstehen und anwenden? (Bezug zu 1.2.2)

3. Verantwortliche für Sicherheitsfragen

  • Wurde mindestens eine Person benannt, die direkt gegenüber den Leitungsorganen für die Sicherheit von Netz- und Informationssystemen verantwortlich ist? (Bezug zu 1.2.3)
  • Ist diese Person als Informationssicherheitsbeauftragte/r (ISB) de facto benannt und entsprechend geschult? (Bezug zu 1.2.3)

4. Zusätzliche Rollen und Trennung von Verantwortlichkeiten

  • Werden je nach Größe der Organisation zusätzliche spezielle Rollen oder Aufgaben für die Sicherheit von Netz- und Informationssystemen definiert und übernommen? (Bezug zu 1.2.4)
  • Sind widerstrebende Pflichten und widersprüchliche Verantwortlichkeiten identifiziert und – soweit anwendbar – voneinander getrennt? (Bezug zu 1.2.5)

5. Regelmäßige Überprüfung und Aktualisierung

  • Werden die Rollen, Verantwortlichkeiten und Weisungsbefugnisse regelmäßig von den Leitungsorganen überprüft? (Bezug zu 1.2.6)
  • Erfolgt eine Überprüfung bei erheblichen Sicherheitsvorfällen, wesentlichen Änderungen der Betriebsabläufe oder Risiken? (Bezug zu 1.2.6)
  • Werden erforderliche Änderungen bei der Überprüfung dokumentiert und umgesetzt? (Bezug zu 1.2.6)

Hier haben wir noch nichts öffentlich eingestellt.

Mehr Informationen und Muster gibt es in unserem NIS2-Coaching-Angebot.

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!