10.4. Disziplinarverfahren
10.4.1. Die betreffenden Einrichtungen führen ein Disziplinarverfahren für den Umgang mit Verstößen gegen die Konzepte für die Sicherheit von Netz- und Informationssystemen ein, machen es bekannt und erhalten es aufrecht.
In dem Verfahren sind die einschlägigen rechtlichen, gesetzlichen, vertraglichen und geschäftlichen Anforderungen zu berücksichtigen.
10.4.2. Die betreffenden Einrichtungen überprüfen das Disziplinarverfahren in geplanten Zeitabständen sowie – soweit angemessen – bei rechtlichen Änderungen oder bei wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren es gegebenenfalls.
Hinweis:
- siehe hierzu auch Erwägungsgrund 21
Ein klares und bekanntes Disziplinarverfahren stellt sicher, dass Verstöße gegen Sicherheitskonzepte konsequent und rechtlich einwandfrei behandelt werden. Regelmäßige Überprüfungen und Anpassungen garantieren, dass das Verfahren aktuellen Anforderungen entspricht und die NIS2-Richtlinie erfüllt.
Vereinfachte Erklärung der Anforderungen aus 10.4: Disziplinarverfahren
10.4.1 Einführung eines Disziplinarverfahrens
Organisationen müssen ein Disziplinarverfahren einführen, um Verstöße gegen Sicherheitskonzepte für Netz- und Informationssysteme zu behandeln.
- Bekanntmachung: Das Verfahren muss allen relevanten Personen bekannt gemacht werden.
- Einhaltung von Anforderungen: Das Verfahren muss rechtliche, gesetzliche, vertragliche und geschäftliche Anforderungen berücksichtigen.
10.4.2 Regelmäßige Überprüfung und Aktualisierung
- Geplante Überprüfung: Das Disziplinarverfahren wird regelmäßig auf Aktualität geprüft.
- Anlassbezogene Anpassung: Aktualisierungen erfolgen bei rechtlichen Änderungen, wesentlichen Änderungen der Betriebsabläufe oder neuen Risiken.
Fragenkatalog: Disziplinarverfahren
1. Einführung eines Disziplinarverfahrens
- Gibt es ein formal dokumentiertes Disziplinarverfahren für den Umgang mit Verstößen gegen die Konzepte für die Sicherheit von Netz- und Informationssystemen? (Bezug zu 10.4.1)
- Wurde das Disziplinarverfahren den Mitarbeitenden und anderen relevanten Stakeholdern bekannt gemacht? (Bezug zu 10.4.1)
- Wie wird sichergestellt, dass das Disziplinarverfahren von allen Mitarbeitenden verstanden und akzeptiert wird? (Bezug zu 10.4.1)
2. Berücksichtigung rechtlicher und geschäftlicher Anforderungen
- Wurden bei der Erstellung des Disziplinarverfahrens alle einschlägigen rechtlichen, gesetzlichen, vertraglichen und geschäftlichen Anforderungen berücksichtigt? (Bezug zu 10.4.1)
- Wie wird sichergestellt, dass das Disziplinarverfahren den geltenden arbeitsrechtlichen und datenschutzrechtlichen Vorschriften entspricht? (Bezug zu 10.4.1)
- Wer ist dafür verantwortlich, rechtliche und geschäftliche Anforderungen im Disziplinarverfahren zu überwachen und zu integrieren? (Bezug zu 10.4.1)
3. Überprüfung und Aktualisierung des Verfahrens
- Wird das Disziplinarverfahren regelmäßig in geplanten Zeitabständen überprüft? (Bezug zu 10.4.2)
- Gibt es Mechanismen, um rechtliche Änderungen oder Änderungen der Betriebsabläufe und Risiken im Disziplinarverfahren zu berücksichtigen? (Bezug zu 10.4.2)
- Wer ist für die Überprüfung und Aktualisierung des Disziplinarverfahrens verantwortlich? (Bezug zu 10.4.2)
- Wie wird sichergestellt, dass Änderungen am Disziplinarverfahren kommuniziert und umgesetzt werden? (Bezug zu 10.4.2)
4. Wirksamkeit des Verfahrens
- Wird die Wirksamkeit des Disziplinarverfahrens durch Audits oder Feedback von Mitarbeitenden überprüft? (Bezug zu 10.4.1 und 10.4.2)
- Gibt es dokumentierte Fälle oder Berichte über Verstöße und die Umsetzung von Disziplinarmaßnahmen? Wenn ja, wie werden diese ausgewertet? (Bezug zu 10.4.1)
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!