7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

2.3. Unabhängige Überprüfung der Netz- und Informationssicherheit

2.3.1. Die betreffenden Einrichtungen überprüfen unabhängig ihren Ansatz für das Management der Sicherheit von Netz- und Informationssystemen und dessen Umsetzung, einschließlich Personen, Verfahren und Technologien.


2.3.2. Die betreffenden Einrichtungen entwickeln Verfahren zur Durchführung unabhängiger Überprüfungen durch Personen mit angemessener Prüfungskompetenz und pflegen diese Verfahren.

Wird die unabhängige Überprüfung von Mitgliedern des Personals der betreffenden Einrichtung durchgeführt, so dürfen die Personen, die die Überprüfungen durchführen, nicht dem Personal des zu überprüfenden Bereichs unterstellt sein.

Lässt die Größe der betreffenden Einrichtungen eine solche Trennung der Befugnisse nicht zu, so ergreifen die betreffenden Einrichtungen alternative Maßnahmen, um die Unparteilichkeit der Überprüfungen zu gewährleisten.


2.3.3. Die Ergebnisse der unabhängigen Überprüfungen, einschließlich der Ergebnisse der Überwachung der Einhaltung gemäß Nummer 2.2 und der Überwachung und Messung gemäß Nummer 7, werden den Leitungsorganen gemeldet.

Gemäß den Risikoakzeptanzkriterien der betreffenden Einrichtungen sind Korrekturmaßnahmen zu ergreifen oder Restrisiken zu akzeptieren.


2.3.4. Die unabhängigen Überprüfungen finden in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken statt.


 

Stand: 17.10.2024

Unabhängige Überprüfungen gewährleisten, dass die Sicherheitsstrategie objektiv bewertet wird. Sie fördern Transparenz, helfen Schwachstellen zu identifizieren, und stellen sicher, dass die Leitungsebene über den Sicherheitsstatus informiert bleibt. Damit erfüllen Organisationen die NIS2-Anforderungen und stärken ihre Sicherheitsstruktur nachhaltig.

Vereinfachte Erklärung der Anforderungen aus 2.3: Unabhängige Überprüfung der Netz- und Informationssicherheit

2.3.1 Unabhängige Überprüfung des Sicherheitsmanagements

Organisationen müssen regelmäßig unabhängig überprüfen, wie effektiv sie die Sicherheit ihrer Netz- und IT-Systeme managen. Dabei werden Personen, Prozesse und Technologien betrachtet.


2.3.2 Verfahren für unabhängige Überprüfungen

  • Prüfungskompetenz: Die Überprüfung erfolgt durch Personen mit ausreichender Expertise.
  • Interne Prüfungen: Wenn eigenes Personal Prüfungen durchführt, darf dieses nicht dem Bereich angehören, der überprüft wird.
  • Alternative Maßnahmen: Falls eine Trennung der Befugnisse (z. B. in kleinen Organisationen) nicht möglich ist, müssen alternative Maßnahmen getroffen werden, um die Unparteilichkeit sicherzustellen.

2.3.3 Berichterstattung und Maßnahmen

  • Berichterstattung: Ergebnisse der Überprüfungen müssen an die Leitungsorgane gemeldet werden.
  • Maßnahmen: Basierend auf den Ergebnissen sind entweder Korrekturmaßnahmen durchzuführen oder Restrisiken bewusst zu akzeptieren, gemäß den festgelegten Risikoakzeptanzkriterien.

2.3.4 Regelmäßige und ereignisbasierte Überprüfungen

  • Geplante Überprüfungen: Diese finden regelmäßig nach einem festgelegten Zeitplan statt.
  • Reaktion auf Vorfälle: Zusätzliche Überprüfungen erfolgen bei großen Sicherheitsvorfällen, Änderungen im Betrieb oder neuen Risiken.

Auditfragenkatalog: Unabhängige Überprüfung der Netz- und Informationssicherheit

1. Unabhängigkeit der Überprüfung

  • Wird der Ansatz für das Management der Sicherheit von Netz- und Informationssystemen unabhängig überprüft? (Bezug zu 2.3.1)
  • Umfasst die unabhängige Überprüfung Personen, Verfahren und Technologien? (Bezug zu 2.3.1)

2. Verfahren für unabhängige Überprüfungen

  • Sind Verfahren zur Durchführung unabhängiger Überprüfungen durch Personen mit angemessener Prüfungskompetenz definiert und implementiert? (Bezug zu 2.3.2)
  • Werden unabhängige Überprüfungen von Personen durchgeführt, die nicht dem zu überprüfenden Bereich unterstellt sind? (Bezug zu 2.3.2)
  • Falls eine Trennung der Befugnisse nicht möglich ist, sind alternative Maßnahmen zur Sicherstellung der Unparteilichkeit definiert und umgesetzt? (Bezug zu 2.3.2)

3. Berichterstattung und Maßnahmen

  • Werden die Ergebnisse der unabhängigen Überprüfungen regelmäßig den Leitungsorganen gemeldet? (Bezug zu 2.3.3)
  • Umfassen die Berichte auch Ergebnisse aus der Überwachung der Einhaltung (2.2) und der Überwachung und Messung (7)? (Bezug zu 2.3.3)
  • Werden auf Basis der Überprüfungsergebnisse Korrekturmaßnahmen ergriffen oder Restrisiken akzeptiert, sofern diese den Risikoakzeptanzkriterien entsprechen? (Bezug zu 2.3.3)

4. Häufigkeit und Anlass für Überprüfungen

  • Werden unabhängige Überprüfungen in geplanten Zeitabständen durchgeführt? (Bezug zu 2.3.4)
  • Finden Überprüfungen zusätzlich nach erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken statt? (Bezug zu 2.3.4)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!