7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

13.1. Unterstützende Versorgungsleistungen

13.1.1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe c der Richtlinie (EU) 2022/2555 verhindern die betreffenden Einrichtungen Verluste, Schäden oder Beeinträchtigungen von Netz- und Informationssystemen oder Unterbrechungen ihres Betriebs aufgrund des Ausfalls und der Störung unterstützender Versorgungsleistungen.


13.1.2. Für diese Zwecke müssen die betreffenden Einrichtungen – soweit angemessen –

a) ihre Betriebsstätten vor Stromausfällen und anderen Störungen schützen, die durch Ausfälle bei unterstützenden Versorgungsunternehmen z. B. für Strom, Telekommunikation, Wasser, Gas, Abwasser, Lüftung und Klimatisierung verursacht werden;

b) die Nutzung von Redundanzsystemen für Versorgungsleistungen in Erwägung ziehen;

c) Versorgungsleistungen, die Strom und Telekommunikationsdienste für den Transport von Daten oder für den Betrieb von Netz- und Informationssystemen bereitstellen, vor Abhörung und Beschädigung schützen;

d) die unter Buchstabe c genannten Versorgungsleistungen überwachen und dem zuständigen internen oder externen Personal die Ereignisse melden, die außerhalb der in Nummer 13.2.2 Buchstabe b genannten Mindest- und Höchstkontrollwerte liegen und Auswirkungen auf die Versorgungsleistungen haben;

e) Verträge über die Notversorgung mit entsprechenden Leistungen abschließen, z. B. für Brennstoff für die Notstromversorgung;

f) die kontinuierliche Wirksamkeit, Überwachung, Wartung und Erprobung der Netz- und Informationssysteme, die für den Betrieb des angebotenen Dienstes erforderlich sind, gewährleisten, insbesondere Strom, Temperatur- und Feuchtigkeitsregelung, Telekommunikation und Internetverbindung.


13.1.3. Die betreffenden Einrichtungen testen die Schutzmaßnahmen in geplanten Zeitabständen oder nach erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren sie – soweit angemessen.


 

Stand: 17.10.2024

Durch den Schutz kritischer Versorgungsleistungen und den Einsatz von Redundanzsystemen gewährleisten Organisationen den ununterbrochenen Betrieb ihrer Netz- und Informationssysteme. Regelmäßige Tests und Überwachungsmechanismen helfen dabei, potenzielle Ausfälle rechtzeitig zu erkennen und die Anforderungen der NIS2-Richtlinie zu erfüllen.

 

Vereinfachte Erklärung der Anforderungen aus 13.1: Unterstützende Versorgungsleistungen

13.1.1 Vermeidung von Ausfällen und Unterbrechungen

Organisationen müssen sicherstellen, dass ihre Netz- und Informationssysteme sowie deren Betrieb nicht durch Ausfälle oder Störungen unterstützender Versorgungsleistungen beeinträchtigt werden.


13.1.2 Maßnahmen zur Sicherstellung der Versorgung

a) Schutz der Betriebsstätten:

  • Betriebsstätten müssen vor Stromausfällen und anderen Störungen geschützt werden, die durch Versorgungsdienste wie Strom, Telekommunikation, Wasser, Gas, Lüftung oder Klimatisierung entstehen können.

b) Redundanzsysteme:

  • Die Nutzung von Redundanzsystemen (z. B. Notstromgeneratoren) sollte in Betracht gezogen werden, um Versorgungsausfälle abzufangen.

c) Schutz vor Abhörung und Beschädigung:

  • Strom- und Telekommunikationsdienste, die für Datenübertragungen oder den Betrieb von Netz- und Informationssystemen genutzt werden, müssen vor Abhörung und physischen Schäden geschützt werden.

d) Überwachung und Meldung:

  • Diese Versorgungsleistungen müssen überwacht werden. Ereignisse, die außerhalb der definierten Kontrollwerte liegen, müssen dem zuständigen internen oder externen Personal gemeldet werden.

e) Notfallverträge:

  • Organisationen sollten Verträge für die Notversorgung abschließen, z. B. zur Sicherstellung von Brennstoff für Notstromsysteme.

f) Kontinuierliche Wirksamkeit:

  • Die kontinuierliche Überwachung, Wartung und Erprobung kritischer Systeme wie Stromversorgung, Temperatur- und Feuchtigkeitsregelung, Telekommunikation und Internetverbindungen muss gewährleistet werden.

13.1.3 Regelmäßige Tests und Anpassungen

  • Tests: Schutzmaßnahmen müssen in regelmäßigen Abständen oder nach Sicherheitsvorfällen getestet werden.
  • Aktualisierungen: Bei Bedarf müssen Schutzmaßnahmen entsprechend angepasst werden.

Fragenkatalog: Unterstützende Versorgungsleistungen

1. Schutz vor Ausfällen und Störungen

  • Welche Maßnahmen sind implementiert, um Betriebsstätten vor Stromausfällen und anderen Störungen, die durch Versorgungsunternehmen verursacht werden, zu schützen? (Bezug zu 13.1.2a)
  • Gibt es Redundanzsysteme für kritische Versorgungsleistungen wie Strom, Telekommunikation und Wasser? (Bezug zu 13.1.2b)
  • Wie wird sichergestellt, dass Versorgungsleistungen wie Strom und Telekommunikation vor Abhörung und Beschädigung geschützt sind? (Bezug zu 13.1.2c)

2. Überwachung und Berichterstattung

  • Werden Versorgungsleistungen kontinuierlich überwacht, und wie werden Abweichungen außerhalb der Mindest- und Höchstkontrollwerte gemeldet? (Bezug zu 13.1.2d)
  • Wer ist verantwortlich für die Überwachung und das Management von Ereignissen, die Versorgungsleistungen beeinträchtigen? (Bezug zu 13.1.2d)

3. Notfallmanagement

  • Sind Verträge über Notversorgungsleistungen (z. B. Brennstoff für Notstromversorgung) vorhanden? (Bezug zu 13.1.2e)
  • Welche Prozesse sind etabliert, um sicherzustellen, dass die Notversorgung im Ernstfall verfügbar ist? (Bezug zu 13.1.2e)

4. Kontinuierliche Wirksamkeit

  • Wie wird die Wirksamkeit der Netz- und Informationssysteme (z. B. Strom, Temperatur- und Feuchtigkeitsregelung, Internetverbindung) kontinuierlich überwacht und getestet? (Bezug zu 13.1.2f)
  • Werden regelmäßige Wartungen und Tests durchgeführt, um die Funktionalität und Verfügbarkeit der unterstützenden Systeme zu gewährleisten? (Bezug zu 13.1.2f)

5. Tests und Updates der Schutzmaßnahmen

  • Wie häufig werden die Schutzmaßnahmen gegen Ausfälle von Versorgungsleistungen getestet? (Bezug zu 13.1.3)
  • Welche Verfahren sind implementiert, um Schutzmaßnahmen nach Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder Risiken zu aktualisieren? (Bezug zu 13.1.3)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!