7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

2.2. Überwachung der Einhaltung

2.2.1. Die betreffenden Einrichtungen überprüfen regelmäßig die Einhaltung ihrer Konzepte für die Sicherheit von Netz- und Informationssystemen, themenspezifischen Konzepten, Vorschriften und Normen.

Die Leitungsorgane werden durch regelmäßige Berichterstattung auf der Grundlage der Überprüfungen der Einhaltung über den Stand der Netz- und Informationssicherheit unterrichtet.


2.2.2. Die betreffenden Einrichtungen führen ein wirksames System für die Berichterstattung über die Einhaltung der Bestimmungen ein, das ihren Strukturen, Betriebsumfeldern und Bedrohungslandschaften angemessen ist.

Das System für die Berichterstattung über die Einhaltung muss den Leitungsorganen einen fundierten Überblick über den aktuellen Stand des Risikomanagements der betreffenden Einrichtungen geben können.


2.2.3. Die betreffenden Einrichtungen führen in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken Maßnahmen zur Überwachung der Einhaltung durch.


 

Stand: 17.10.2024

Die regelmäßige Überprüfung und Berichterstattung sorgt dafür, dass Organisationen den Überblick über die Einhaltung ihrer Sicherheitsvorgaben behalten und schnell auf Veränderungen oder Sicherheitsvorfälle reagieren können. Ein wirksames System zur Einhaltung und Überwachung ist entscheidend für die Umsetzung der NIS2-Anforderungen.

Vereinfachte Erklärung der Anforderungen aus 2.2: Überwachung der Einhaltung

2.2.1 Regelmäßige Überprüfung

Organisationen müssen regelmäßig überprüfen, ob ihre Sicherheitskonzepte, spezifischen Richtlinien und Standards korrekt umgesetzt werden.

  • Berichterstattung: Die Ergebnisse der Überprüfungen müssen regelmäßig an die Leitungsorgane weitergegeben werden, damit diese über den aktuellen Stand der Netz- und Informationssicherheit informiert sind.

2.2.2 Berichterstattungssystem

Ein wirksames System zur Berichterstattung über die Einhaltung der Sicherheitsvorgaben ist erforderlich. Dieses System muss:

  • An die Struktur und das Umfeld der Organisation sowie an die relevanten Bedrohungen angepasst sein.
  • Den Leitungsorganen klare Einblicke in den Status des Risikomanagements ermöglichen.

2.2.3 Maßnahmen zur Überwachung

Die Organisation muss regelmäßig Maßnahmen zur Überwachung der Einhaltung durchführen:

  • Zeitpläne: Diese Überprüfungen erfolgen nach einem definierten Zeitplan.
  • Reaktion auf Vorfälle: Zusätzliche Überprüfungen werden bei größeren Sicherheitsvorfällen oder wesentlichen Änderungen im Betrieb oder bei Risiken durchgeführt.

Fragenkatalog: Überwachung der Einhaltung

1. Regelmäßige Überprüfung der Einhaltung

  • Werden die Konzepte für die Sicherheit von Netz- und Informationssystemen, themenspezifischen Konzepte, Vorschriften und Normen regelmäßig auf Einhaltung überprüft? (Bezug zu 2.2.1)
  • Werden die Ergebnisse der Überprüfung dokumentiert und den Leitungsorganen vorgelegt? (Bezug zu 2.2.1)
  • Werden die Leitungsorgane regelmäßig über den Stand der Netz- und Informationssicherheit informiert? (Bezug zu 2.2.1)

2. System für die Berichterstattung

  • Ist ein wirksames System für die Berichterstattung über die Einhaltung der Bestimmungen implementiert? (Bezug zu 2.2.2)
  • Ist das Berichtssystem an die Strukturen, Betriebsumfelder und Bedrohungslandschaften der Organisation angepasst? (Bezug zu 2.2.2)
  • Bietet das Berichtssystem den Leitungsorganen einen umfassenden Überblick über den aktuellen Stand des Risikomanagements? (Bezug zu 2.2.2)

3. Maßnahmen zur Überwachung der Einhaltung

  • Werden Maßnahmen zur Überwachung der Einhaltung in geplanten Zeitabständen durchgeführt? (Bezug zu 2.2.3)
  • Werden Überwachungsmaßnahmen bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken durchgeführt? (Bezug zu 2.2.3)
  • Sind die Ergebnisse der Überwachungsmaßnahmen dokumentiert und werden sie zur Verbesserung der Sicherheitsmaßnahmen verwendet? (Bezug zu 2.2.3)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!