1. KONZEPT FÜR DIE SICHERHEIT VON NETZ- UND INFORMATIONSSYSTEMEN
2. KONZEPT FÜR DAS RISIKOMANAGEMENT
3. BEWÄLTIGUNG VON SICHERHEITSVORFÄLLEN
4. BETRIEBSKONTINUITÄTS- UND KRISENMANAGEMENT
5. SICHERHEIT DER LIEFERKETTE
6. SICHERHEITSMAßNAHMEN BEI ERWERB, ENTWICKLUNG UND WARTUNG VON NETZ- UND INFORMATIONSSYSTEMEN
7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE
10. SICHERHEIT DES PERSONALS
11. ZUGRIFFSKONTROLLE
12. ANLAGEN- UND WERTEMANAGEMENT
13. SICHERHEIT DES UMFELDS UND PHYSISCHE SICHERHEIT

12.3. Konzept für Wechseldatenträger

12.3.1. Die betreffenden Einrichtungen legen ein Konzept für das Management von Wechseldatenträgern fest, setzen es um und wenden es an und teilen es ihren Mitarbeitenden und Dritten mit, die Wechseldatenträger in den Räumlichkeiten der betreffenden Einrichtungen oder an anderen Orten, an denen die Wechseldatenträger mit den Netz- und Informationssystemen der betreffenden Einrichtungen verbunden sind, benutzen.

12.3.2. Das Konzept muss

a) eine technische Sperrung von Verbindungen mit Wechseldatenträgern vorsehen, es sei denn, es liegen organisatorische Gründe für deren Nutzung vor;

b) vorsehen, dass die Selbstausführung von Dateien von solchen Datenträgern verhindert wird und die Datenträger auf Schadcodes gescannt werden, bevor sie in den Systemen der betreffenden Einrichtungen verwendet werden können;

c) Maßnahmen zur Kontrolle und zum Schutz von tragbaren Speichergeräten, die gespeicherte und gerade übermittelte Daten enthalten, vorsehen;

d) gegebenenfalls Maßnahmen für den Einsatz kryptografischer Verfahren zum Schutz von Daten auf Wechseldatenträgern vorsehen.

12.3.3. Die betreffenden Einrichtungen überprüfen das Konzept in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren dieses – soweit angemessen.

 

Stand: 17.10.2024

Ein umfassendes Konzept für Wechseldatenträger minimiert Risiken durch unkontrollierte oder unsichere Nutzung. Durch Sperrungen, Scans, Schutzmaßnahmen und gegebenenfalls Kryptografie können Organisationen die Sicherheit ihrer Netz- und Informationssysteme gewährleisten und die Anforderungen der NIS2-Richtlinie erfüllen.

Vereinfachte Erklärung der Anforderungen aus 12.3: Konzept für Wechseldatenträger

12.3.1 Einführung eines Konzepts für Wechseldatenträger

Organisationen müssen ein Konzept für den sicheren Umgang mit Wechseldatenträgern entwickeln, umsetzen und kommunizieren.

  • Zielgruppe: Mitarbeitende und Dritte, die Wechseldatenträger nutzen, entweder in den Räumlichkeiten der Organisation oder an anderen Orten, wo diese mit Netz- und Informationssystemen verbunden sind.

12.3.2 Anforderungen an das Konzept

a) Technische Sperrung:

  • Verbindungen mit Wechseldatenträgern müssen technisch blockiert sein, außer wenn organisatorische Gründe ihre Nutzung rechtfertigen.

b) Schutz vor Schadcodes:

  • Automatische Ausführung von Dateien auf Wechseldatenträgern muss verhindert werden.
  • Wechseldatenträger müssen vor ihrer Nutzung auf Schadcodes gescannt werden.

c) Kontrolle und Schutz:

  • Maßnahmen zum Schutz tragbarer Speichergeräte, die gespeicherte oder übertragene Daten enthalten, müssen festgelegt werden.

d) Kryptografische Verfahren:

  • Falls erforderlich, sollen kryptografische Methoden verwendet werden, um Daten auf Wechseldatenträgern zu schützen.

12.3.3 Regelmäßige Überprüfung und Aktualisierung

  • Regelmäßige Prüfungen: Das Konzept für Wechseldatenträger muss regelmäßig überprüft werden.
  • Anpassung bei Vorfällen: Aktualisierungen erfolgen bei erheblichen Sicherheitsvorfällen, Änderungen der Betriebsabläufe oder neuen Risiken.

Fragenkatalog: Konzept für Wechseldatenträger

1. Erstellung und Kommunikation des Konzepts

  • Existiert ein dokumentiertes Konzept für das Management von Wechseldatenträgern? (Bezug zu 12.3.1)
  • Wurde das Konzept den Mitarbeitenden und Dritten, die Wechseldatenträger verwenden, mitgeteilt? Wie wird dessen Einhaltung überprüft? (Bezug zu 12.3.1)
  • Wer ist verantwortlich für die Erstellung, Pflege und Durchsetzung des Konzepts? (Bezug zu 12.3.1)

2. Technische Maßnahmen und Schutzvorkehrungen

  • Ist eine technische Sperrung von Verbindungen mit Wechseldatenträgern implementiert, es sei denn, es liegen organisatorische Gründe für deren Nutzung vor? (Bezug zu 12.3.2 a)
  • Wie wird sichergestellt, dass die Selbstausführung von Dateien auf Wechseldatenträgern verhindert wird? (Bezug zu 12.3.2 b)
  • Welche Verfahren und Tools werden eingesetzt, um Wechseldatenträger vor der Nutzung auf Schadcodes zu scannen? (Bezug zu 12.3.2 b)
  • Welche Maßnahmen wurden implementiert, um tragbare Speichergeräte und die darauf gespeicherten oder übermittelten Daten zu kontrollieren und zu schützen? (Bezug zu 12.3.2 c)
  • Werden kryptografische Verfahren für den Schutz von Daten auf Wechseldatenträgern eingesetzt? Falls ja, welche Methoden werden verwendet? (Bezug zu 12.3.2 d)

3. Überprüfung und Aktualisierung

  • Wie oft wird das Konzept für Wechseldatenträger überprüft? (Bezug zu 12.3.3)
  • Welche Ereignisse oder Kriterien lösen eine außerplanmäßige Überprüfung oder Aktualisierung des Konzepts aus? (Bezug zu 12.3.3)
  • Wer ist für die Überprüfung und Aktualisierung des Konzepts verantwortlich, und wie werden die Ergebnisse dokumentiert? (Bezug zu 12.3.3)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!