7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

10.3. Verfahren zur Beendigung oder Änderung des Beschäftigungsverhältnisses

10.3.1. Die betreffenden Einrichtungen stellen sicher, dass die Verantwortlichkeiten und Pflichten in Bezug auf die Sicherheit von Netz- und Informationssystemen, die auch nach der Beendigung oder der Änderung des Beschäftigungsverhältnisses ihrer Mitarbeitenden gültig bleiben, vertraglich festgelegt und durchgesetzt werden.


10.3.2. Für die Zwecke von Nummer 10.3.1 nehmen die betreffenden Einrichtungen in die Arbeits- und Beschäftigungsbedingungen, den Vertrag oder die Vereinbarung der betreffenden Person die Verantwortlichkeiten und Pflichten auf, die auch nach Beendigung des Beschäftigungsverhältnisses oder des Vertrags gültig bleiben, wie z. B. Vertraulichkeitsklauseln.


Hinweis:

  • Es empfiehlt sich, On- wie auch Offboarding-Prozesse für Mitarbeiter wie auch Freelancer etwa im Rahmen einer Personalarbeits-Richtlinie festzulegen.
  • Dies kann durch Checklisten zum Onboarding oder Offboarding flankiert werden. Musterdokumente sind in unserem NIS2-Coaching enthalten.
  • siehe hierzu auch Erwägungsgrund 21
Stand: 17.10.2024

Durch die vertragliche Regelung von Sicherheitsverpflichtungen stellen Organisationen sicher, dass ehemalige Mitarbeitende und Vertragspartner weiterhin an sicherheitskritische Regeln gebunden sind. Dies schützt sensible Daten und Systeme vor potenziellen Risiken nach dem Ende einer Beschäftigung und erfüllt die Anforderungen der NIS2-Richtlinie.

Vereinfachte Erklärung der Anforderungen aus 10.3: Verfahren zur Beendigung oder Änderung des Beschäftigungsverhältnisses

10.3.1 Sicherstellung von Sicherheitsverpflichtungen nach Beschäftigungsende

Organisationen müssen sicherstellen, dass Verantwortlichkeiten und Pflichten im Bereich der Sicherheit von Netz- und Informationssystemen, die auch nach der Beendigung oder Änderung eines Beschäftigungsverhältnisses gelten, vertraglich geregelt und durchgesetzt werden.


10.3.2 Inhalte der vertraglichen Regelungen

  • Arbeits- und Beschäftigungsbedingungen: In Arbeitsverträgen oder Vereinbarungen müssen klare Regelungen zu Verantwortlichkeiten und Pflichten enthalten sein, die über das Ende des Beschäftigungsverhältnisses hinaus bestehen.
  • Beispiele für solche Pflichten:
    • Vertraulichkeitsklauseln, die die Weitergabe sensibler Informationen verbieten.

Fragenkatalog: Verfahren zur Beendigung oder Änderung des Beschäftigungsverhältnisses

1. Festlegung und Durchsetzung von Verantwortlichkeiten nach Beendigung des Beschäftigungsverhältnisses

  • Sind die Verantwortlichkeiten und Pflichten in Bezug auf die Sicherheit von Netz- und Informationssystemen, die nach der Beendigung oder Änderung des Beschäftigungsverhältnisses gültig bleiben, klar definiert? (Bezug zu 10.3.1)
  • Wie wird sichergestellt, dass diese Verantwortlichkeiten und Pflichten vertraglich festgelegt und durchgesetzt werden? (Bezug zu 10.3.1)
  • Wer ist dafür verantwortlich, die Einhaltung dieser Verpflichtungen nach Beendigung des Beschäftigungsverhältnisses zu überwachen? (Bezug zu 10.3.1)

2. Integration in Arbeits- und Beschäftigungsbedingungen

  • Sind Verantwortlichkeiten und Pflichten, die über das Ende des Beschäftigungsverhältnisses hinaus bestehen, in die Arbeits- und Beschäftigungsbedingungen aufgenommen? (Bezug zu 10.3.2)
  • Werden diese Verantwortlichkeiten und Pflichten in Arbeitsverträgen und anderen relevanten Vereinbarungen explizit genannt? (Bezug zu 10.3.2)
  • Werden die Mitarbeitenden und Dritten bei Vertragsabschluss über diese Klauseln informiert? (Bezug zu 10.3.2)

3. Vertraulichkeitsklauseln und andere Schutzmaßnahmen

  • Werden Vertraulichkeitsklauseln in allen relevanten Verträgen standardmäßig aufgenommen? (Bezug zu 10.3.2)
  • Wie wird sichergestellt, dass diese Klauseln auch nach Beendigung des Arbeitsverhältnisses durchsetzbar bleiben? (Bezug zu 10.3.2)

4. Überwachung und Aktualisierung

  • Gibt es Prozesse, um sicherzustellen, dass alle relevanten Verträge regelmäßig überprüft und bei Änderungen der rechtlichen oder geschäftlichen Anforderungen aktualisiert werden? (Bezug zu 10.3.1 und 10.3.2)
  • Werden Änderungen der Beschäftigungsbedingungen (z. B. interne Versetzungen oder Beförderungen) auf bestehende Verantwortlichkeiten und Pflichten abgestimmt? (Bezug zu 10.3.1 und 10.3.2)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!