7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

3.4. Bewertung und Klassifizierung von Ereignissen

3.4.1. Die betreffenden Einrichtungen bewerten verdächtige Ereignisse, um festzustellen, ob es sich um Sicherheitsvorfälle handelt, und – falls dies der Fall ist – um deren Art und Schwere zu bestimmen.


3.4.2. Für die Zwecke von Nummer 3.4.1 gehen die betreffenden Einrichtungen wie folgt vor:

a) Sie führen die Bewertung auf der Grundlage vorab festgelegter Kriterien und einer Triage durch, um die Priorisierung der Eindämmung und Beseitigung von Sicherheitsvorfällen zu bestimmen,

b) sie bewerten vierteljährlich, ob wiederholte Sicherheitsvorfälle gemäß Artikel 4 dieser Verordnung vorliegen,

c) sie überprüfen die betreffenden Protokolle für die Zwecke der Bewertung und Klassifizierung von Ereignissen,

d) sie führen ein Verfahren für die Korrelation und Analyse von Protokollen ein, und

e) sie bewerten und klassifizieren Ereignisse neu, falls neue Informationen verfügbar werden, oder nach der Auswertung zuvor verfügbarer Informationen.


Redaktioneller Hinweise:

  • Trennung zwischen Security-Event und Incident – festzulegen in Incident-Management-Policy
    Eine Muster-Policy ist Teil unseres Coaching-Paketes.

 

Stand: 17.10.2024

Die strukturierte Bewertung und Klassifizierung von Ereignissen ermöglicht es Organisationen, Sicherheitsvorfälle effektiv zu erkennen, zu priorisieren und zu bewältigen. Regelmäßige Überprüfungen und Anpassungen gewährleisten eine dynamische und präzise Reaktion auf Bedrohungen und erfüllen die Anforderungen der NIS2-Verordnung.

Vereinfachte Erklärung der Anforderungen aus 3.4: Bewertung und Klassifizierung von Ereignissen

3.4.1 Bewertung und Klassifizierung von Ereignissen

Organisationen müssen verdächtige Ereignisse analysieren, um festzustellen:

  • Handelt es sich um einen Sicherheitsvorfall?
  • Welche Art und Schwere hat der Vorfall?

3.4.2 Vorgehen bei der Bewertung und Klassifizierung

Organisationen gehen bei der Bewertung und Klassifizierung von Ereignissen wie folgt vor:
a) Triage und Priorisierung: Ereignisse werden anhand vorher festgelegter Kriterien bewertet und priorisiert, um Maßnahmen wie Eindämmung und Beseitigung gezielt anzugehen.

b) Wiederholung von Vorfällen: Quartalsweise Überprüfung, ob sich ähnliche Sicherheitsvorfälle wiederholt haben, gemäß den Vorgaben von Artikel 4 der Verordnung.

c) Protokollanalyse: Protokolle werden systematisch überprüft, um die Bewertung und Klassifizierung von Ereignissen zu unterstützen.

d) Korrelation und Analyse: Ein Verfahren zur Verknüpfung und Analyse von Protokollen wird eingesetzt, um Zusammenhänge zwischen Ereignissen zu erkennen.

e) Neubewertung: Ereignisse werden neu bewertet, wenn neue Informationen verfügbar sind oder frühere Daten erneut analysiert wurden.

Fragenkatalog: Bewertung und Klassifizierung von Ereignissen

1. Bewertung verdächtiger Ereignisse

  • Wird ein dokumentiertes Verfahren angewendet, um verdächtige Ereignisse zu bewerten und festzustellen, ob es sich um Sicherheitsvorfälle handelt? (Bezug zu 3.4.1)
  • Werden Art und Schwere der Sicherheitsvorfälle im Rahmen der Bewertung eindeutig bestimmt? (Bezug zu 3.4.1)

2. Vorgehen bei der Bewertung und Klassifizierung

  • Werden vorab festgelegte Kriterien und eine Triage verwendet, um die Priorisierung der Eindämmung und Beseitigung von Sicherheitsvorfällen zu bestimmen? (Bezug zu 3.4.2 a)
  • Erfolgt vierteljährlich eine Bewertung, ob wiederholte Sicherheitsvorfälle gemäß Artikel 4 der Verordnung vorliegen? (Bezug zu 3.4.2 b)
  • Werden relevante Protokolle regelmäßig überprüft, um Ereignisse zu bewerten und zu klassifizieren? (Bezug zu 3.4.2 c)
  • Ist ein Verfahren für die Korrelation und Analyse von Protokollen eingeführt und dokumentiert? (Bezug zu 3.4.2 d)
  • Werden Ereignisse neu bewertet und klassifiziert, wenn neue Informationen verfügbar werden oder bestehende Daten neu analysiert werden? (Bezug zu 3.4.2 e)

3. Regelmäßigkeit und Anpassung

  • Werden die Verfahren für Bewertung und Klassifizierung regelmäßig überprüft und bei Bedarf aktualisiert? (Bezug zu 3.4.1 und 3.4.2)
  • Wird dokumentiert, wie Ergebnisse der Bewertung und Klassifizierung in nachfolgende Maßnahmen einfließen? (Bezug zu 3.4.1 und 3.4.2)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!