10.2. Zuverlässigkeitsüberprüfung
10.2.1. Die betreffenden Einrichtungen stellen – soweit durchführbar – sicher, dass Zuverlässigkeitsüberprüfungen ihrer Mitarbeitenden und – soweit anwendbar – der direkten Anbieter und Diensteanbieter gemäß Nummer 5.1.4 durchgeführt werden, wenn dies für deren Rollen, Verantwortlichkeiten und Weisungsbefugnisse erforderlich ist.
10.2.2. Für die Zwecke von Nummer 10.2.1 müssen die betreffenden Einrichtungen
a) Kriterien festlegen, in denen aufgeführt ist, welche Rollen, Verantwortlichkeiten und Weisungsbefugnisse nur von Personen wahrgenommen werden dürfen, deren Zuverlässigkeit überprüft wurde;
b) sicherstellen, dass bei diesen Personen Überprüfungen gemäß Nummer 10.2.1 durchgeführt werden, bevor sie mit der Wahrnehmung dieser Rollen, Verantwortlichkeiten und Weisungsbefugnisse beginnen, wobei die geltenden Gesetze, Vorschriften und ethischen Normen im Verhältnis zu den geschäftlichen Anforderungen, der Klassifizierung der Anlagen und Werte gemäß Nummer 12.1 und den Netz- und Informationssystemen, auf die zugegriffen werden soll, sowie den wahrgenommenen Risiken zu berücksichtigen sind.
10.2.3. Die betreffenden Einrichtungen überprüfen ihr Konzept in geplanten Zeitabständen und aktualisieren es – soweit angemessen.
Redaktioneller Hinweis
- Diese Anforderungen können etwa im Rahmen einer „Personalarbeitsrichtlinie“ o.ä. umgesetzt/geregelt werden. Ein Musterdokument ist in unserem NIS2-Coaching enthalten.
- siehe hierzu auch Erwägungsgrund 21
Die Zuverlässigkeitsüberprüfung stellt sicher, dass nur vertrauenswürdige Personen Zugang zu sensiblen Rollen und Systemen erhalten. Durch klare Kriterien, vorausschauende Überprüfungen und regelmäßige Anpassungen gewährleisten Organisationen die Einhaltung der NIS2-Anforderungen und stärken die Sicherheit ihrer Netz- und Informationssysteme.
Vereinfachte Erklärung der Anforderungen aus 10.2: Zuverlässigkeitsüberprüfung
10.2.1 Sicherstellung von Zuverlässigkeitsüberprüfungen
Organisationen müssen – sofern machbar – Zuverlässigkeitsüberprüfungen durchführen:
- Für Mitarbeitende: Die in sicherheitsrelevanten Rollen tätig sind.
- Für Anbieter und Dienstleister: Wenn deren Rollen und Verantwortlichkeiten dies erfordern (gemäß Abschnitt 5.1.4).
10.2.2 Anforderungen an die Zuverlässigkeitsüberprüfung
Organisationen müssen folgende Maßnahmen umsetzen:
a) Kriterien festlegen:
- Bestimmen, welche Rollen, Verantwortlichkeiten und Befugnisse nur Personen zugewiesen werden, deren Zuverlässigkeit überprüft wurde.
b) Überprüfungen vor Beginn der Tätigkeit:
- Personen in sicherheitsrelevanten Rollen dürfen erst nach einer erfolgreichen Überprüfung ihrer Zuverlässigkeit tätig werden.
- Berücksichtigung von:
- Geltenden Gesetzen und Vorschriften.
- Ethischen Standards.
- Geschäftlichen Anforderungen.
- Klassifikation der Anlagen und Werte (gemäß Abschnitt 12.1).
- Netz- und Informationssystemen, auf die zugegriffen wird.
- Wahrgenommenen Risiken.
10.2.3 Regelmäßige Überprüfung des Konzepts
- Überprüfung: Das Konzept für Zuverlässigkeitsüberprüfungen muss regelmäßig auf Aktualität geprüft werden.
- Anpassung: Änderungen werden vorgenommen, wenn dies erforderlich ist, um neue Risiken oder Anforderungen zu berücksichtigen.
Fragenkatalog: Zuverlässigkeitsüberprüfung
1. Durchführung von Zuverlässigkeitsüberprüfungen
- Werden Zuverlässigkeitsüberprüfungen für Mitarbeitende sowie für direkte Anbieter und Diensteanbieter durchgeführt, wenn dies für deren Rollen, Verantwortlichkeiten und Weisungsbefugnisse erforderlich ist? (Bezug zu 10.2.1)
- Wie wird sichergestellt, dass diese Überprüfungen vor der Wahrnehmung sicherheitskritischer Rollen erfolgen? (Bezug zu 10.2.1)
- Sind die Zuverlässigkeitsüberprüfungen mit den Vorgaben aus Nummer 5.1.4 abgestimmt? (Bezug zu 10.2.1)
2. Kriterien für Zuverlässigkeitsanforderungen
- Gibt es definierte Kriterien, die festlegen, welche Rollen, Verantwortlichkeiten und Weisungsbefugnisse nur von Personen mit einer erfolgreichen Zuverlässigkeitsüberprüfung übernommen werden dürfen? (Bezug zu 10.2.2a)
- Sind die Kriterien für Zuverlässigkeitsüberprüfungen dokumentiert und mit den geschäftlichen Anforderungen sowie Sicherheitsanforderungen abgestimmt? (Bezug zu 10.2.2a)
3. Durchführung und Dokumentation der Überprüfungen
- Wie wird sichergestellt, dass Zuverlässigkeitsüberprüfungen gemäß geltenden Gesetzen, Vorschriften und ethischen Normen durchgeführt werden? (Bezug zu 10.2.2b)
- Werden die Ergebnisse der Überprüfungen dokumentiert und aufbewahrt? (Bezug zu 10.2.2b)
- Wie werden bei den Überprüfungen spezifische Risiken berücksichtigt, die mit der Klassifizierung von Anlagen und Werten gemäß Nummer 12.1 verbunden sind? (Bezug zu 10.2.2b)
4. Überprüfung und Aktualisierung des Konzepts
- Wird das Konzept für Zuverlässigkeitsüberprüfungen in regelmäßigen Zeitabständen überprüft? (Bezug zu 10.2.3)
- Welche Prozesse existieren, um das Konzept basierend auf Änderungen in Vorschriften, Risiken oder Betriebsanforderungen zu aktualisieren? (Bezug zu 10.2.3)
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!