7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

10.1. Sicherheit des Personals

10.1.1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe i der Richtlinie (EU) 2022/2555 stellen die betreffenden Einrichtungen sicher, dass ihre Mitarbeitenden und gegebenenfalls ihre direkten Anbieter und Diensteanbieter ihre Verantwortlichkeiten im Bereich der Sicherheit verstehen und sich zu ihrer Einhaltung verpflichten, soweit dies für die angebotenen Dienste und den Arbeitsplatz angemessen ist und mit dem Konzept der betreffenden Einrichtungen für die Sicherheit von Netz- und Informationssystemen im Einklang steht.


10.1.2. Die unter Nummer 10.1.1 genannte Anforderung umfasst Folgendes:

a) Mechanismen, mit denen sichergestellt wird, dass alle Mitarbeitenden, direkten Anbieter und Diensteanbieter gegebenenfalls die von den betreffenden Einrichtungen gemäß Nummer 8.1 angewandten Standardverfahren im Bereich der Cyberhygiene verstehen und befolgen;

b) Mechanismen, mit denen sichergestellt wird, dass sich alle Nutzer mit administrativem oder privilegiertem Zugang ihrer Rollen, Verantwortlichkeiten und Weisungsbefugnisse bewusst sind und entsprechend handeln;

c) Mechanismen, mit denen sichergestellt wird, dass die Mitglieder der Leitungsorgane ihre Rollen, Verantwortlichkeiten und Weisungsbefugnisse in Bezug auf die Sicherheit von Netz- und Informationssystemen verstehen und entsprechend handeln;

d) Mechanismen für die Einstellung von Personal, das für die jeweiligen Rollen qualifiziert ist, wie z. B. Überprüfung der Referenzen, Überprüfungsverfahren, Validierung von Zeugnissen oder schriftliche Prüfungen.


10.1.3. Die betreffenden Einrichtungen überprüfen die Zuweisung von Personal zu bestimmten Rollen gemäß Nummer 1.2 sowie ihre Mittel für Personal in geplanten Zeitabständen und mindestens einmal jährlich.

Sie aktualisieren die Zuweisung der Rollen erforderlichenfalls.


Hinweis:

Stand: 17.10.2024

Durch klare Mechanismen zur Schulung, Überprüfung und Zuweisung von sicherheitsrelevantem Personal stellen Organisationen sicher, dass alle Mitarbeitenden, Anbieter und Führungskräfte ihre Sicherheitsverantwortung verstehen und umsetzen. Regelmäßige Überprüfungen und Anpassungen fördern die Einhaltung der NIS2-Anforderungen und stärken die Sicherheitskultur nachhaltig.

 

Vereinfachte Erklärung der Anforderungen aus 10.1: Sicherheit des Personals

10.1.1 Verpflichtung zur Sicherheit

Organisationen müssen sicherstellen, dass:

  • Mitarbeitende, Anbieter und Dienstleister ihre Verantwortlichkeiten im Bereich der Sicherheit verstehen.
  • Diese Verpflichtung mit dem Sicherheitskonzept der Organisation im Einklang steht.

10.1.2 Mechanismen zur Sicherstellung der Sicherheit

Die Organisationen müssen Mechanismen einführen, die folgende Punkte abdecken:

a) Cyberhygiene: Sicherstellen, dass alle Mitarbeitenden, Anbieter und Dienstleister die standardisierten Cyberhygiene-Verfahren (gemäß Abschnitt 8.1) verstehen und einhalten.

b) Administrativer Zugang: Nutzer mit administrativem oder privilegiertem Zugang müssen ihre Rollen, Verantwortlichkeiten und Befugnisse kennen und entsprechend handeln.

c) Leitungsorgane: Mitglieder der Leitungsorgane müssen ihre sicherheitsbezogenen Rollen und Verantwortlichkeiten verstehen und entsprechend handeln.

d) Einstellung qualifizierten Personals: Verfahren wie Überprüfung von Referenzen, Validierung von Zeugnissen und Prüfungen sicherstellen, dass Personal den Anforderungen der jeweiligen Rolle entspricht.


10.1.3 Regelmäßige Überprüfung und Aktualisierung

  • Jährliche Überprüfung: Die Zuweisung von Personal zu sicherheitsrelevanten Rollen muss regelmäßig und mindestens einmal jährlich überprüft werden.
  • Anpassung: Rollen und Verantwortlichkeiten werden bei Bedarf aktualisiert, um aktuellen Anforderungen gerecht zu werden.

Fragenkatalog: Sicherheit des Personals

1. Sicherstellung von Verantwortlichkeiten

  • Gibt es Mechanismen, um sicherzustellen, dass alle Mitarbeitenden, direkten Anbieter und Diensteanbieter ihre Verantwortlichkeiten im Bereich der Sicherheit kennen und einhalten? (Bezug zu 10.1.1)
  • Wie wird überprüft, ob die Sicherheitsverantwortlichkeiten mit dem Konzept der Netz- und Informationssicherheit der Einrichtung im Einklang stehen? (Bezug zu 10.1.1)

2. Mechanismen zur Förderung von Sicherheitsbewusstsein

  • Existieren Mechanismen, die sicherstellen, dass alle Mitarbeitenden, Anbieter und Diensteanbieter die Standardverfahren im Bereich der Cyberhygiene verstehen und anwenden? (Bezug zu 10.1.2a)
  • Wie wird sichergestellt, dass Nutzer mit administrativem oder privilegiertem Zugang ihre Rollen, Verantwortlichkeiten und Weisungsbefugnisse kennen und entsprechend handeln? (Bezug zu 10.1.2b)
  • Welche Maßnahmen sind implementiert, um sicherzustellen, dass die Mitglieder der Leitungsorgane ihre Sicherheitsverantwortlichkeiten verstehen und erfüllen? (Bezug zu 10.1.2c)

3. Einstellung und Qualifikation von Personal

  • Werden bei der Einstellung von Personal Überprüfungsverfahren wie Referenzprüfungen, Validierung von Zeugnissen oder schriftliche Prüfungen durchgeführt? (Bezug zu 10.1.2d)
  • Gibt es festgelegte Kriterien, um die Qualifikation des Personals für sicherheitsrelevante Rollen zu bewerten? (Bezug zu 10.1.2d)

4. Überprüfung und Anpassung von Rollen

  • Wird die Zuweisung von Personal zu bestimmten Rollen regelmäßig überprüft? (Bezug zu 10.1.3)
  • Wie häufig werden die Rollen und Verantwortlichkeiten überprüft und bei Bedarf aktualisiert? (Bezug zu 10.1.3)
  • Existieren dokumentierte Prozesse für die jährliche Überprüfung und Anpassung der Personalzuweisungen? (Bezug zu 10.1.3)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!