7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

13.3. Perimeter und physische Zutrittskontrolle

13.3.1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe i der Richtlinie (EU) 2022/2555 verhindern und überwachen die betreffenden Einrichtungen unbefugten physischen Zutritt zu, Beschädigungen von und Eingriffe in ihre Netz- und Informationssysteme.


13.3.2. Für diese Zwecke müssen die betreffenden Einrichtungen

a) auf der Grundlage der gemäß Nummer 2.1 durchgeführten Risikobewertung Sicherheitsperimeter festlegen und nutzen, um Bereiche zu schützen, in denen sich Netz- und Informationssysteme und andere zugehörige Anlagen befinden;

b) die unter Buchstabe a genannten Bereiche durch geeignete Zutrittskontrollen und Zugangspunkte schützen;

c) Maßnahmen für die physische Sicherheit von Büros, Räumen und Betriebsstätten konzipieren und umsetzen;

d) ihrer Räumlichkeiten kontinuierlich in Bezug auf unbefugten physischen Zutritt überwachen.


13.3.3. Die betreffenden Einrichtungen testen die Maßnahmen zur physischen Zutrittskontrolle in geplanten Zeitabständen oder nach erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren sie – soweit angemessen.


 

Stand: 17.10.2024

 

13.3. Perimeter und physische Zutrittskontrolle

13.3.1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe i der Richtlinie (EU) 2022/2555 verhindern und überwachen die betreffenden Einrichtungen unbefugten physischen Zutritt zu, Beschädigungen von und Eingriffe in ihre Netz- und Informationssysteme.


13.3.2. Für diese Zwecke müssen die betreffenden Einrichtungen

a) auf der Grundlage der gemäß Nummer 2.1 durchgeführten Risikobewertung Sicherheitsperimeter festlegen und nutzen, um Bereiche zu schützen, in denen sich Netz- und Informationssysteme und andere zugehörige Anlagen befinden;

b) die unter Buchstabe a genannten Bereiche durch geeignete Zutrittskontrollen und Zugangspunkte schützen;

c) Maßnahmen für die physische Sicherheit von Büros, Räumen und Betriebsstätten konzipieren und umsetzen;

d) ihrer Räumlichkeiten kontinuierlich in Bezug auf unbefugten physischen Zutritt überwachen.


13.3.3. Die betreffenden Einrichtungen testen die Maßnahmen zur physischen Zutrittskontrolle in geplanten Zeitabständen oder nach erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren sie – soweit angemessen.

Fragenkatalog: Perimeter und physische Zutrittskontrolle

1. Definition und Nutzung von Sicherheitsperimetern

  • Wurden Sicherheitsperimeter auf der Grundlage der Risikobewertung definiert? (Bezug zu 13.3.2a)
  • Wie werden die definierten Sicherheitsperimeter genutzt, um Bereiche zu schützen, in denen Netz- und Informationssysteme und zugehörige Anlagen untergebracht sind? (Bezug zu 13.3.2a)

2. Zutrittskontrollen und Zugangspunkte

  • Welche geeigneten Zutrittskontrollen und Zugangspunkte sind implementiert, um den Zugang zu Sicherheitsbereichen zu regulieren? (Bezug zu 13.3.2b)
  • Wie wird sichergestellt, dass nur autorisierte Personen Zugang zu geschützten Bereichen erhalten? (Bezug zu 13.3.2b)
  • Wer ist verantwortlich für die Verwaltung der Zutrittsrechte und wie werden Änderungen dokumentiert? (Bezug zu 13.3.2b)

3. Physische Sicherheitsmaßnahmen

  • Welche Maßnahmen zur physischen Sicherheit sind für Büros, Räume und Betriebsstätten konzipiert und umgesetzt worden? (Bezug zu 13.3.2c)
  • Wie werden diese Maßnahmen regelmäßig auf ihre Wirksamkeit überprüft? (Bezug zu 13.3.3)

4. Überwachung und Kontrolle

  • Wie wird der unbefugte physische Zutritt zu Räumlichkeiten kontinuierlich überwacht? (Bezug zu 13.3.2d)
  • Welche Technologien (z. B. Kameras, Sensoren, Alarme) werden für die Überwachung verwendet, und wie wird deren Funktionalität sichergestellt? (Bezug zu 13.3.2d)
  • Wie werden erkannte Vorfälle von unbefugtem Zutritt gemeldet und bearbeitet? (Bezug zu 13.3.2d)

5. Tests und Aktualisierung der Maßnahmen

  • Wie häufig werden die Maßnahmen zur physischen Zutrittskontrolle getestet? (Bezug zu 13.3.3)
  • Welche Prozesse existieren, um die Maßnahmen nach Sicherheitsvorfällen oder Änderungen der Betriebsabläufe oder Risiken zu aktualisieren? (Bezug zu 13.3.3)
  • Wer ist verantwortlich für die Koordination und Dokumentation von Tests und Aktualisierungen? (Bezug zu 13.3.3)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!