7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

12.1. Anlagen- und Werteklassifizierung

12.1.1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe i der Richtlinie (EU) 2022/2555 legen die betreffenden Einrichtungen für alle Anlagen und Werte (einschließlich Informationen), die in den Anwendungsbereich ihrer Netz- und Informationssysteme fallen, Klassifizierungsstufen für das erforderliche Schutzniveau fest.


12.1.2. Für die Zwecke von Nummer 12.1.1 müssen die betreffenden Einrichtungen

a) ein System von Klassifizierungsstufen für Anlagen und Werte festlegen;

b) allen Anlagen und Werte eine Klassifizierungsstufe zuordnen, die auf Vertraulichkeits-, Integritäts-, Authentizitäts- und Verfügbarkeitsanforderungen beruht, um den entsprechend ihrer Sensibilität, ihrer Kritikalität, ihres Risikos und ihres Geschäftswerts erforderlichen Schutz anzugeben;

c) die Verfügbarkeitsanforderungen in Bezug auf die Anlagen und Werte an die in ihrem Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs festgelegten Ziele für die Bereitstellung und Wiederherstellung anpassen.


12.1.3. Die betreffenden Einrichtungen überprüfen regelmäßig die Klassifizierungsstufen der Anlagen und Werte und aktualisieren sie – soweit angemessen.


 

Stand: 17.10.2024

Ein robustes Klassifizierungssystem für Anlagen und Werte ermöglicht es Organisationen, Schutzmaßnahmen auf Basis der Sensibilität und Kritikalität ihrer Ressourcen zu priorisieren. Durch regelmäßige Überprüfungen und Anpassungen bleiben die Klassifizierungen aktuell und erfüllen die Anforderungen der NIS2-Richtlinie.

Vereinfachte Erklärung der Anforderungen aus 12.1: Anlagen- und Werteklassifizierung

12.1.1 Einführung einer Klassifizierung

Organisationen müssen für alle Anlagen und Werte (einschließlich Informationen), die unter ihre Netz- und Informationssysteme fallen, Klassifizierungsstufen festlegen.

  • Ziel: Definition des erforderlichen Schutzniveaus basierend auf der Bedeutung der Anlagen und Werte.

12.1.2 Anforderungen an die Klassifizierung

a) Klassifizierungssystem:

  • Ein System mit verschiedenen Klassifizierungsstufen entwickeln, das die Schutzbedarfe der Anlagen und Werte beschreibt.

b) Zuordnung von Klassifizierungsstufen:

  • Jeder Anlage und jedem Wert eine Klassifizierungsstufe zuweisen.
  • Die Klassifizierungsstufe basiert auf den Anforderungen an:
    • Vertraulichkeit: Schutz vor unbefugtem Zugriff.
    • Integrität: Sicherstellung der Unveränderlichkeit von Daten.
    • Authentizität: Bestätigung der Echtheit von Informationen.
    • Verfügbarkeit: Sicherstellung, dass Systeme und Daten zugänglich sind, wenn sie benötigt werden.
  • Die Zuweisung berücksichtigt Sensibilität, Kritikalität, Risiko und Geschäftswert.

c) Verfügbarkeitsanforderungen:

  • Verfügbarkeitsziele der Klassifizierung müssen mit den Zielen im Notfallplan für die Wiederherstellung und Bereitstellung übereinstimmen.

12.1.3 Regelmäßige Überprüfung

  • Prüfung: Die Klassifizierungsstufen der Anlagen und Werte müssen regelmäßig überprüft werden.
  • Aktualisierung: Anpassungen sind bei Bedarf vorzunehmen, z. B. bei veränderten Risiken oder geschäftlichen Anforderungen.

Fragenkatalog: Anlagen- und Werteklassifizierung

1. Festlegung eines Klassifizierungssystems

  • Existiert ein dokumentiertes System von Klassifizierungsstufen für Anlagen und Werte? (Bezug zu 12.1.2 a)
  • Wie wird sichergestellt, dass das Klassifizierungssystem die Anforderungen an Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit berücksichtigt? (Bezug zu 12.1.2 b)
  • Wer ist für die Festlegung und Genehmigung des Klassifizierungssystems verantwortlich? (Bezug zu 12.1.2 a)

2. Zuordnung von Klassifizierungsstufen

  • Wurden allen Anlagen und Werten im Geltungsbereich der Netz- und Informationssysteme Klassifizierungsstufen zugeordnet? (Bezug zu 12.1.2 b)
  • Wie wird sichergestellt, dass die Klassifizierungsstufen die Sensibilität, Kritikalität, Risiken und den Geschäftswert der Anlagen und Werte reflektieren? (Bezug zu 12.1.2 b)
  • Wie wird überprüft, ob die Klassifizierungsstufen korrekt und konsistent angewendet wurden? (Bezug zu 12.1.2 b)

3. Anpassung an Verfügbarkeitsanforderungen

  • Wie werden die Verfügbarkeitsanforderungen der Anlagen und Werte an die Ziele des Notfallplans angepasst? (Bezug zu 12.1.2 c)
  • Wer ist für die Abstimmung zwischen den Klassifizierungsstufen und den Zielen des Notfallplans verantwortlich? (Bezug zu 12.1.2 c)

4. Regelmäßige Überprüfung und Aktualisierung

  • Wie oft werden die Klassifizierungsstufen der Anlagen und Werte überprüft? (Bezug zu 12.1.3)
  • Welche Kriterien oder Auslöser führen zur Aktualisierung der Klassifizierungsstufen? (Bezug zu 12.1.3)
  • Wer führt die Überprüfungen und Aktualisierungen durch, und wie wird dies dokumentiert? (Bezug zu 12.1.3)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!