13.1. Unterstützende Versorgungsleistungen
13.1.1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe c der Richtlinie (EU) 2022/2555 verhindern die betreffenden Einrichtungen Verluste, Schäden oder Beeinträchtigungen von Netz- und Informationssystemen oder Unterbrechungen ihres Betriebs aufgrund des Ausfalls und der Störung unterstützender Versorgungsleistungen.
13.1.2. Für diese Zwecke müssen die betreffenden Einrichtungen – soweit angemessen –
a) ihre Betriebsstätten vor Stromausfällen und anderen Störungen schützen, die durch Ausfälle bei unterstützenden Versorgungsunternehmen z. B. für Strom, Telekommunikation, Wasser, Gas, Abwasser, Lüftung und Klimatisierung verursacht werden;
b) die Nutzung von Redundanzsystemen für Versorgungsleistungen in Erwägung ziehen;
c) Versorgungsleistungen, die Strom und Telekommunikationsdienste für den Transport von Daten oder für den Betrieb von Netz- und Informationssystemen bereitstellen, vor Abhörung und Beschädigung schützen;
d) die unter Buchstabe c genannten Versorgungsleistungen überwachen und dem zuständigen internen oder externen Personal die Ereignisse melden, die außerhalb der in Nummer 13.2.2 Buchstabe b genannten Mindest- und Höchstkontrollwerte liegen und Auswirkungen auf die Versorgungsleistungen haben;
e) Verträge über die Notversorgung mit entsprechenden Leistungen abschließen, z. B. für Brennstoff für die Notstromversorgung;
f) die kontinuierliche Wirksamkeit, Überwachung, Wartung und Erprobung der Netz- und Informationssysteme, die für den Betrieb des angebotenen Dienstes erforderlich sind, gewährleisten, insbesondere Strom, Temperatur- und Feuchtigkeitsregelung, Telekommunikation und Internetverbindung.
13.1.3. Die betreffenden Einrichtungen testen die Schutzmaßnahmen in geplanten Zeitabständen oder nach erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren sie – soweit angemessen.
Durch den Schutz kritischer Versorgungsleistungen und den Einsatz von Redundanzsystemen gewährleisten Organisationen den ununterbrochenen Betrieb ihrer Netz- und Informationssysteme. Regelmäßige Tests und Überwachungsmechanismen helfen dabei, potenzielle Ausfälle rechtzeitig zu erkennen und die Anforderungen der NIS2-Richtlinie zu erfüllen.
Vereinfachte Erklärung der Anforderungen aus 13.1: Unterstützende Versorgungsleistungen
13.1.1 Vermeidung von Ausfällen und Unterbrechungen
Organisationen müssen sicherstellen, dass ihre Netz- und Informationssysteme sowie deren Betrieb nicht durch Ausfälle oder Störungen unterstützender Versorgungsleistungen beeinträchtigt werden.
13.1.2 Maßnahmen zur Sicherstellung der Versorgung
a) Schutz der Betriebsstätten:
- Betriebsstätten müssen vor Stromausfällen und anderen Störungen geschützt werden, die durch Versorgungsdienste wie Strom, Telekommunikation, Wasser, Gas, Lüftung oder Klimatisierung entstehen können.
b) Redundanzsysteme:
- Die Nutzung von Redundanzsystemen (z. B. Notstromgeneratoren) sollte in Betracht gezogen werden, um Versorgungsausfälle abzufangen.
c) Schutz vor Abhörung und Beschädigung:
- Strom- und Telekommunikationsdienste, die für Datenübertragungen oder den Betrieb von Netz- und Informationssystemen genutzt werden, müssen vor Abhörung und physischen Schäden geschützt werden.
d) Überwachung und Meldung:
- Diese Versorgungsleistungen müssen überwacht werden. Ereignisse, die außerhalb der definierten Kontrollwerte liegen, müssen dem zuständigen internen oder externen Personal gemeldet werden.
e) Notfallverträge:
- Organisationen sollten Verträge für die Notversorgung abschließen, z. B. zur Sicherstellung von Brennstoff für Notstromsysteme.
f) Kontinuierliche Wirksamkeit:
- Die kontinuierliche Überwachung, Wartung und Erprobung kritischer Systeme wie Stromversorgung, Temperatur- und Feuchtigkeitsregelung, Telekommunikation und Internetverbindungen muss gewährleistet werden.
13.1.3 Regelmäßige Tests und Anpassungen
- Tests: Schutzmaßnahmen müssen in regelmäßigen Abständen oder nach Sicherheitsvorfällen getestet werden.
- Aktualisierungen: Bei Bedarf müssen Schutzmaßnahmen entsprechend angepasst werden.
Fragenkatalog: Unterstützende Versorgungsleistungen
1. Schutz vor Ausfällen und Störungen
- Welche Maßnahmen sind implementiert, um Betriebsstätten vor Stromausfällen und anderen Störungen, die durch Versorgungsunternehmen verursacht werden, zu schützen? (Bezug zu 13.1.2a)
- Gibt es Redundanzsysteme für kritische Versorgungsleistungen wie Strom, Telekommunikation und Wasser? (Bezug zu 13.1.2b)
- Wie wird sichergestellt, dass Versorgungsleistungen wie Strom und Telekommunikation vor Abhörung und Beschädigung geschützt sind? (Bezug zu 13.1.2c)
2. Überwachung und Berichterstattung
- Werden Versorgungsleistungen kontinuierlich überwacht, und wie werden Abweichungen außerhalb der Mindest- und Höchstkontrollwerte gemeldet? (Bezug zu 13.1.2d)
- Wer ist verantwortlich für die Überwachung und das Management von Ereignissen, die Versorgungsleistungen beeinträchtigen? (Bezug zu 13.1.2d)
3. Notfallmanagement
- Sind Verträge über Notversorgungsleistungen (z. B. Brennstoff für Notstromversorgung) vorhanden? (Bezug zu 13.1.2e)
- Welche Prozesse sind etabliert, um sicherzustellen, dass die Notversorgung im Ernstfall verfügbar ist? (Bezug zu 13.1.2e)
4. Kontinuierliche Wirksamkeit
- Wie wird die Wirksamkeit der Netz- und Informationssysteme (z. B. Strom, Temperatur- und Feuchtigkeitsregelung, Internetverbindung) kontinuierlich überwacht und getestet? (Bezug zu 13.1.2f)
- Werden regelmäßige Wartungen und Tests durchgeführt, um die Funktionalität und Verfügbarkeit der unterstützenden Systeme zu gewährleisten? (Bezug zu 13.1.2f)
5. Tests und Updates der Schutzmaßnahmen
- Wie häufig werden die Schutzmaßnahmen gegen Ausfälle von Versorgungsleistungen getestet? (Bezug zu 13.1.3)
- Welche Verfahren sind implementiert, um Schutzmaßnahmen nach Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder Risiken zu aktualisieren? (Bezug zu 13.1.3)
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!