3.5. Reaktion auf Sicherheitsvorfälle
3.5.1. Die betreffenden Einrichtungen reagieren auf Sicherheitsvorfälle zeitnah gemäß dokumentierten Verfahren.
3.5.2. Die Verfahren für Reaktionsmaßnahmen bei Sicherheitsvorfällen umfassen folgende Phasen:
a) Eindämmung des Sicherheitsvorfalls, um zu verhindern, dass sich dessen Folgen ausbreiten;
b) Beseitigung, um zu verhindern, dass der Sicherheitsvorfall andauert oder erneut auftritt;
c) erforderlichenfalls Wiederherstellung nach dem Sicherheitsvorfall.
3.5.3. Die betreffenden Einrichtungen erstellen Pläne und Verfahren für die Kommunikation
a) mit den Computer-Notfallteams (CSIRTs) oder – soweit anwendbar – mit den zuständigen Behörden im Zusammenhang mit der Meldung von Sicherheitsvorfällen;
b) zwischen den Mitgliedern des Personals der betreffenden Einrichtung und mit einschlägigen Interessenträgern außerhalb der betreffenden Einrichtung.
3.5.4. Die betreffenden Einrichtungen protokollieren die Tätigkeiten zur Reaktion auf Sicherheitsvorfälle gemäß den in Nummer 3.2.1 genannten Verfahren und sammeln Nachweise.
3.5.5. Die betreffenden Einrichtungen testen ihre Verfahren zur Reaktion auf Sicherheitsvorfälle in geplanten Zeitabständen.
Ein strukturierter Ansatz zur Vorfallsreaktion stellt sicher, dass Organisationen Sicherheitsvorfälle schnell eindämmen, die Ursachen beseitigen und den Betrieb wiederherstellen können. Die regelmäßige Überprüfung und das Testen dieser Verfahren gewährleistet eine kontinuierliche Verbesserung und Einhaltung der NIS2-Anforderungen.
Vereinfachte Erklärung der Anforderungen aus 3.5: Reaktion auf Sicherheitsvorfälle
3.5.1 Zeitnahe Reaktion
Organisationen müssen Sicherheitsvorfälle schnell und entsprechend dokumentierten Verfahren bearbeiten, um Schäden zu minimieren.
3.5.2 Phasen der Reaktion
Die Verfahren zur Reaktion auf Sicherheitsvorfälle müssen folgende Schritte umfassen:
a) Eindämmung: Verhindern, dass sich die Auswirkungen des Vorfalls ausbreiten.
b) Beseitigung: Maßnahmen, um die Ursache des Vorfalls zu beheben und erneutes Auftreten zu verhindern.
c) Wiederherstellung: Falls erforderlich, Maßnahmen zur Wiederherstellung des normalen Betriebs.
3.5.3 Kommunikationspläne
Organisationen müssen Pläne und Verfahren für die Kommunikation erstellen:
a) Mit externen Stellen: Austausch mit Computer-Notfallteams (CSIRTs) oder zuständigen Behörden bei der Meldung von Sicherheitsvorfällen.
b) Intern und extern: Klare Kommunikation innerhalb der Organisation und mit relevanten externen Stakeholdern.
3.5.4 Protokollierung und Nachweissicherung
- Protokollierung: Alle Aktivitäten im Rahmen der Vorfallsreaktion müssen dokumentiert werden.
- Nachweise: Es ist wichtig, Beweise zu sammeln und sicher aufzubewahren, um die Ursache zu analysieren und ggf. regulatorische Anforderungen zu erfüllen.
3.5.5 Test der Reaktionsverfahren
Die Verfahren zur Reaktion auf Sicherheitsvorfälle müssen regelmäßig getestet werden, um sicherzustellen, dass sie effektiv sind und bei Bedarf optimiert werden können.
Auditfragenkatalog: Reaktion auf Sicherheitsvorfälle
1. Zeitnahe Reaktion
- Werden Sicherheitsvorfälle zeitnah gemäß dokumentierten Verfahren behandelt? (Bezug zu 3.5.1)
- Sind die Verfahren für die Reaktion auf Sicherheitsvorfälle klar dokumentiert und allen relevanten Parteien zugänglich? (Bezug zu 3.5.1)
2. Phasen der Reaktion
- Werden Sicherheitsvorfälle in der Eindämmungsphase behandelt, um die Ausbreitung ihrer Folgen zu verhindern? (Bezug zu 3.5.2 a)
- Gibt es dokumentierte Maßnahmen zur Beseitigung von Sicherheitsvorfällen, um deren Wiederauftreten zu verhindern? (Bezug zu 3.5.2 b)
- Wird erforderlichenfalls eine Wiederherstellung nach Sicherheitsvorfällen durchgeführt, und sind die Verfahren dafür dokumentiert? (Bezug zu 3.5.2 c)
3. Kommunikation
- Existieren Pläne und Verfahren zur Kommunikation mit Computer-Notfallteams (CSIRTs) und zuständigen Behörden im Zusammenhang mit der Meldung von Sicherheitsvorfällen? (Bezug zu 3.5.3 a)
- Sind Kommunikationskanäle zwischen den Mitarbeitenden der Einrichtung und relevanten externen Interessenträgern definiert und dokumentiert? (Bezug zu 3.5.3 b)
4. Protokollierung und Nachweisführung
- Werden die Reaktionsmaßnahmen gemäß den in Nummer 3.2.1 definierten Verfahren protokolliert? (Bezug zu 3.5.4)
- Werden Nachweise im Rahmen der Reaktion auf Sicherheitsvorfälle gesammelt und sicher verwahrt? (Bezug zu 3.5.4)
5. Regelmäßige Tests der Verfahren
- Werden die Verfahren zur Reaktion auf Sicherheitsvorfälle in geplanten Zeitabständen getestet? (Bezug zu 3.5.5)
- Werden die Ergebnisse der Tests dokumentiert und zur Verbesserung der Reaktionsverfahren verwendet? (Bezug zu 3.5.5)
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!