7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

4.1. Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs

4.1.1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe c der Richtlinie (EU) 2022/2555 legen die betreffenden Einrichtungen einen Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs fest, der bei Sicherheitsvorfällen Anwendung findet.


4.1.2. Die Abläufe der betreffenden Einrichtungen werden gemäß dem Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs wiederhergestellt.

Der Plan beruht auf den Ergebnissen der gemäß Nummer 2.1 durchgeführten Risikobewertung ein und umfasst – soweit angemessen – Folgendes:

a) Zweck, Umfang und Zielgruppe;

b) Rollen und Verantwortlichkeiten;

c) wichtige Kontaktangaben und (interne und externe) Kommunikationskanäle;

d) Bedingungen für die Aktivierung und die Deaktivierung des Plans;

e) Reihenfolge der Wiederherstellung der Betriebsabläufe;

f) Wiederherstellungspläne für bestimmte Betriebsabläufe, einschließlich der Wiederherstellungsziele;

g) erforderliche Ressourcen, einschließlich Sicherungen und Redundanzen;

h) Wiederherstellung und Wiederaufnahme der Tätigkeiten nach vorübergehenden Maßnahmen.


4.1.3. Die betreffenden Einrichtungen führen eine Analyse der betrieblichen Auswirkungen durch, um die möglichen Auswirkungen schwerwiegender Störungen auf ihre Betriebsabläufe zu bewerten, und legen auf der Grundlage der Ergebnisse Kontinuitätsanforderungen für die Netz- und Informationssysteme fest.


4.1.4. Der Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs wird in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken getestet, überprüft und – soweit angemessen – aktualisiert.

Die betreffenden Einrichtungen stellen sicher, dass die aus diesen Tests gezogenen Lehren in die Pläne einfließen.


 

Stand: 17.10.2024

Ein gut strukturierter Notfallplan gewährleistet, dass Organisationen auch bei Sicherheitsvorfällen handlungsfähig bleiben und ihre Betriebsabläufe schnell wiederherstellen können. Regelmäßige Tests und Aktualisierungen sind unerlässlich, um sicherzustellen, dass der Plan an neue Herausforderungen angepasst bleibt.

Vereinfachte Erklärung der Anforderungen aus 4.1: Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs

4.1.1 Notfallplan erstellen

Organisationen müssen einen Notfallplan entwickeln, der beschreibt, wie Betriebsabläufe im Falle eines Sicherheitsvorfalls aufrechterhalten und wiederhergestellt werden können.


4.1.2 Inhalte des Notfallplans

Der Notfallplan basiert auf einer Risikobewertung (siehe Abschnitt 2.1) und sollte Folgendes enthalten:
a) Zweck, Umfang und Zielgruppe: Klärung, wofür der Plan gedacht ist, was er abdeckt und wer ihn nutzen soll.
b) Rollen und Verantwortlichkeiten: Definition der Zuständigkeiten im Notfall.
c) Kontaktdaten und Kommunikationskanäle: Übersicht über interne und externe Ansprechpartner und Kommunikationswege.
d) Aktivierung und Deaktivierung: Bedingungen, unter denen der Plan in Kraft tritt oder außer Kraft gesetzt wird.
e) Wiederherstellungsreihenfolge: Priorisierung der Betriebsabläufe, die zuerst wiederhergestellt werden müssen.
f) Wiederherstellungspläne: Detaillierte Pläne für spezifische Betriebsabläufe, einschließlich Wiederherstellungsziele (z. B. RTO/RPO).
g) Ressourcen: Sicherstellung, dass Backups, Redundanzen und andere Ressourcen verfügbar sind.
h) Übergang zur Normalität: Maßnahmen zur Wiederaufnahme regulärer Tätigkeiten nach provisorischen Lösungen.


4.1.3 Analyse der betrieblichen Auswirkungen

Organisationen müssen die Auswirkungen schwerwiegender Störungen auf ihre Betriebsabläufe analysieren.

  • Ziel: Festlegung der Anforderungen an die Kontinuität von Netz- und IT-Systemen, basierend auf diesen Analysen.

4.1.4 Regelmäßige Tests und Aktualisierungen

  • Tests: Der Notfallplan muss regelmäßig geprüft werden, z. B. bei größeren Sicherheitsvorfällen oder Änderungen im Betrieb oder bei Risiken.
  • Lernen aus Tests: Erkenntnisse aus Tests müssen in den Notfallplan integriert werden, um dessen Effektivität zu verbessern.

Fragenkatalog: Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs

1. Erstellung und Dokumentation des Notfallplans

  • Wurde ein Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs erstellt, der bei Sicherheitsvorfällen Anwendung findet? (Bezug zu 4.1.1)
  • Beruht der Notfallplan auf den Ergebnissen der Risikobewertung gemäß Nummer 2.1? (Bezug zu 4.1.2)
  • Sind im Notfallplan die folgenden Elemente dokumentiert?
    • Zweck, Umfang und Zielgruppe (Bezug zu 4.1.2 a)
    • Rollen und Verantwortlichkeiten (Bezug zu 4.1.2 b)
    • Wichtige Kontaktangaben und Kommunikationskanäle (Bezug zu 4.1.2 c)
    • Bedingungen für Aktivierung und Deaktivierung des Plans (Bezug zu 4.1.2 d)
    • Reihenfolge der Wiederherstellung der Betriebsabläufe (Bezug zu 4.1.2 e)
    • Wiederherstellungspläne, einschließlich Wiederherstellungsziele (Bezug zu 4.1.2 f)
    • Erforderliche Ressourcen (Sicherungen, Redundanzen) (Bezug zu 4.1.2 g)
    • Wiederherstellung und Wiederaufnahme nach vorübergehenden Maßnahmen (Bezug zu 4.1.2 h)

2. Analyse der betrieblichen Auswirkungen

  • Wurde eine Analyse der betrieblichen Auswirkungen durchgeführt, um schwerwiegende Störungen auf die Betriebsabläufe zu bewerten? (Bezug zu 4.1.3)
  • Werden auf Basis der Analyse Kontinuitätsanforderungen für Netz- und Informationssysteme festgelegt? (Bezug zu 4.1.3)

3. Überprüfung und Aktualisierung des Plans

  • Wird der Notfallplan in geplanten Zeitabständen getestet und überprüft? (Bezug zu 4.1.4)
  • Erfolgen zusätzliche Tests und Überprüfungen des Notfallplans nach erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder Risiken? (Bezug zu 4.1.4)
  • Werden die aus Tests und Überprüfungen gezogenen Lehren dokumentiert und in den Notfallplan integriert? (Bezug zu 4.1.4)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!