12.2. Behandlung von Anlagen und Werten
12.2.1. Die betreffenden Einrichtungen legen ein Konzept für die ordnungsgemäße Behandlung von Anlagen und Werten (einschließlich Informationen) im Einklang mit ihrem Konzept für die Sicherheit ihrer Netz- und Informationssysteme fest, setzen es um und wenden es an und teilen dieses Konzept für die ordnungsgemäße Behandlung von Anlagen und Werten allen Personen mit, die Anlagen und Werte nutzen oder damit umgehen.
12.2.2. Das Konzept muss
a) den gesamten Lebenszyklus der Anlagen und Werte abdecken, einschließlich
-
- Erwerb,
- Verwendung,
- Speicherung,
- Transport und
- Entsorgung;
b) Vorschriften für
-
- die sichere Verwendung,
- die sichere Speicherung,
- den sicheren Transport und
- die unwiederbringliche Löschung und
- Vernichtung
der Anlagen und Werte;
c) vorsehen, dass die Übertragung unter Berücksichtigung der Art der zu übertragenden Anlage bzw. des zu übertragenden Werts sicher erfolgt.
12.2.3. Die betreffenden Einrichtungen überprüfen das Konzept in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren dieses – soweit angemessen.
Ein durchdachtes Konzept zur Behandlung von Anlagen und Werten schützt diese während ihres gesamten Lebenszyklus. Mit klaren Richtlinien für Verwendung, Speicherung, Transport und Entsorgung sowie regelmäßigen Überprüfungen erfüllen Organisationen die Anforderungen der NIS2-Richtlinie und gewährleisten den Schutz sensibler Ressourcen.
Vereinfachte Erklärung der Anforderungen aus 12.2: Behandlung von Anlagen und Werten
12.2.1 Konzept für die Behandlung von Anlagen und Werten
Organisationen müssen ein Konzept entwickeln, um Anlagen und Werte (einschließlich Informationen) sicher zu behandeln.
- Umsetzung und Anwendung: Das Konzept muss umgesetzt und eingehalten werden.
- Kommunikation: Alle Personen, die Anlagen und Werte nutzen oder damit umgehen, müssen über das Konzept informiert werden.
12.2.2 Anforderungen an das Konzept
a) Abdeckung des gesamten Lebenszyklus:
Das Konzept muss den vollständigen Lebenszyklus der Anlagen und Werte berücksichtigen, einschließlich:
- Erwerb: Sichere Beschaffung der Anlagen.
- Verwendung: Festlegung sicherer Nutzungsrichtlinien.
- Speicherung: Sichere Aufbewahrung von Anlagen und Werten.
- Transport: Schutz der Anlagen während der Übertragung.
- Entsorgung: Sichere und unwiederbringliche Löschung oder Vernichtung.
b) Vorschriften für den Umgang mit Anlagen und Werten:
Das Konzept muss klare Regeln für folgende Aspekte enthalten:
- Sichere Verwendung: Vermeidung von Missbrauch oder unbeabsichtigten Sicherheitsrisiken.
- Sichere Speicherung: Schutz vor unbefugtem Zugriff.
- Sicherer Transport: Schutz vor Verlust oder Kompromittierung während der Übertragung.
- Löschung und Vernichtung: Unwiederbringliche Entfernung von Daten oder physischen Anlagen.
c) Sichere Übertragung:
Die Übertragung von Anlagen und Werten muss basierend auf deren Sensibilität und Kritikalität sicher erfolgen.
12.2.3 Überprüfung und Aktualisierung
- Regelmäßige Überprüfung: Das Konzept muss regelmäßig auf Aktualität geprüft werden.
- Anpassung bei Bedarf: Aktualisierungen erfolgen bei:
- Erheblichen Sicherheitsvorfällen.
- Änderungen der Betriebsabläufe oder der Risiken.
Fragenkatalog: Behandlung von Anlagen und Werten
1. Konzept für die Behandlung von Anlagen und Werten
- Existiert ein dokumentiertes Konzept für die ordnungsgemäße Behandlung von Anlagen und Werten, das mit dem Konzept für die Sicherheit von Netz- und Informationssystemen abgestimmt ist? (Bezug zu 12.2.1)
- Wurde das Konzept allen Personen, die mit Anlagen und Werten umgehen, mitgeteilt? Wie wird die Einhaltung sichergestellt? (Bezug zu 12.2.1)
- Wer ist für die Entwicklung, Genehmigung und Pflege des Konzepts verantwortlich? (Bezug zu 12.2.1)
2. Abdeckung des Lebenszyklus
- Deckt das Konzept den gesamten Lebenszyklus der Anlagen und Werte ab, einschließlich Erwerb, Verwendung, Speicherung, Transport und Entsorgung? (Bezug zu 12.2.2 a)
- Welche Prozesse oder Verfahren sind für die sichere Verwendung, Speicherung, den Transport und die Vernichtung von Anlagen und Werten festgelegt? (Bezug zu 12.2.2 b)
- Wie wird sichergestellt, dass die Entsorgung von Anlagen und Werten unwiederbringlich und sicher erfolgt? (Bezug zu 12.2.2 b)
3. Sicherheit bei der Übertragung
- Welche Maßnahmen wurden implementiert, um die sichere Übertragung von Anlagen und Werten entsprechend ihrer Sensibilität und ihres Typs zu gewährleisten? (Bezug zu 12.2.2 c)
- Gibt es definierte Verfahren zur Kontrolle und Nachverfolgung der Übertragung von Anlagen und Werten? (Bezug zu 12.2.2 c)
4. Regelmäßige Überprüfung und Aktualisierung
- Wie oft wird das Konzept zur Behandlung von Anlagen und Werten überprüft? (Bezug zu 12.2.3)
- Welche Kriterien oder Auslöser führen zu einer Aktualisierung des Konzepts? (Bezug zu 12.2.3)
- Wer führt die Überprüfungen und Aktualisierungen durch, und wie wird dies dokumentiert? (Bezug zu 12.2.3)
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!