7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

4.2. Backup-Sicherungs- und Redundanzmanagement

4.2.1. Die betreffenden Einrichtungen machen Sicherungskopien der Daten und stellen ausreichend verfügbare Ressourcen, einschließlich Betriebsstätten, Netz- und Informationssysteme sowie Personal, bereit, um ein angemessenes Maß an Redundanz zu gewährleisten.


4.2.2. Auf der Grundlage der Ergebnisse der gemäß Nummer 2.1 durchgeführten Risikobewertung und des Betriebskontinuitätsplans legen die betreffenden Einrichtungen Sicherungspläne fest, die Folgendes umfassen:

a) Wiederherstellungszeiten;

b) Gewährleistung, dass Sicherungskopien vollständig und genau sind, einschließlich Konfigurationsdaten und Daten, die in der Umgebung von Cloud-Computing-Diensten gespeichert sind;

c) Speicherung von Sicherungskopien (online oder offline) an einem oder mehreren sicheren Orten, die sich nicht im selben Netz wie das System sowie in ausreichend großer Entfernung befinden, um Schäden durch einen Notfall am Hauptstandort zu vermeiden;

d) geeignete physische und logische Zugangskontrollen zu Sicherungskopien entsprechend der Klassifizierungsstufe der Anlagen und Werte;

e) Wiederherstellung von Daten aus Sicherungskopien;

f) Aufbewahrungsfristen entsprechend geschäftlichen und regulatorischen Anforderungen.


4.2.3. Die betreffenden Einrichtungen führen regelmäßige Integritätsprüfungen der Sicherungskopien durch.


4.2.4. Auf der Grundlage der Ergebnisse der gemäß Nummer 2.1 durchgeführten Risikobewertung und des Betriebskontinuitätsplans sorgen die betreffenden Einrichtungen für eine ausreichende Verfügbarkeit von Ressourcen durch eine zumindest teilweise Redundanz der folgenden Elemente:

a) Netz- und Informationssysteme;

b) Anlagen und Werte, einschließlich Betriebsstätten, Ausrüstung und Verbrauchsmaterial;

c) Personal mit der erforderlichen Verantwortlichkeit, Weisungsbefugnis und Kompetenz;

d) geeignete Kommunikationskanäle.


4.2.5. Die betreffenden Einrichtungen stellen – soweit angemessen – sicher, dass sich die Überwachung und Anpassung der Ressourcen, einschließlich Betriebsstätten, Systeme und Personal, ordnungsgemäß auf die Anforderungen an die Sicherung und Redundanz stützen.


4.2.6. Die betreffenden Einrichtungen führen regelmäßige Tests der Wiederherstellung von Sicherungskopien und Redundanzen durch, um sicherzustellen, dass sie bei der Wiederherstellung zuverlässig sind und alle Kopien, Verfahren und Kenntnisse abdecken, die nötig sind, um eine wirksame Wiederherstellung durchzuführen.

Die betreffenden Einrichtungen dokumentieren die Testergebnisse und ergreifen erforderlichenfalls Korrekturmaßnahmen.

Stand: 17.10.2024

Fragenkatalog: Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs

1. Erstellung und Dokumentation des Notfallplans

  • Wurde ein Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs erstellt, der bei Sicherheitsvorfällen Anwendung findet? (Bezug zu 4.1.1)
  • Beruht der Notfallplan auf den Ergebnissen der Risikobewertung gemäß Nummer 2.1? (Bezug zu 4.1.2)
  • Sind im Notfallplan die folgenden Elemente dokumentiert?
    • Zweck, Umfang und Zielgruppe (Bezug zu 4.1.2 a)
    • Rollen und Verantwortlichkeiten (Bezug zu 4.1.2 b)
    • Wichtige Kontaktangaben und Kommunikationskanäle (Bezug zu 4.1.2 c)
    • Bedingungen für Aktivierung und Deaktivierung des Plans (Bezug zu 4.1.2 d)
    • Reihenfolge der Wiederherstellung der Betriebsabläufe (Bezug zu 4.1.2 e)
    • Wiederherstellungspläne, einschließlich Wiederherstellungsziele (Bezug zu 4.1.2 f)
    • Erforderliche Ressourcen (Sicherungen, Redundanzen) (Bezug zu 4.1.2 g)
    • Wiederherstellung und Wiederaufnahme nach vorübergehenden Maßnahmen (Bezug zu 4.1.2 h)

2. Analyse der betrieblichen Auswirkungen

  • Wurde eine Analyse der betrieblichen Auswirkungen durchgeführt, um schwerwiegende Störungen auf die Betriebsabläufe zu bewerten? (Bezug zu 4.1.3)
  • Werden auf Basis der Analyse Kontinuitätsanforderungen für Netz- und Informationssysteme festgelegt? (Bezug zu 4.1.3)

3. Überprüfung und Aktualisierung des Plans

  • Wird der Notfallplan in geplanten Zeitabständen getestet und überprüft? (Bezug zu 4.1.4)
  • Erfolgen zusätzliche Tests und Überprüfungen des Notfallplans nach erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder Risiken? (Bezug zu 4.1.4)
  • Werden die aus Tests und Überprüfungen gezogenen Lehren dokumentiert und in den Notfallplan integriert? (Bezug zu 4.1.4)

Vereinfachte Erklärung der Anforderungen aus 4.2: Backup-Sicherungs- und Redundanzmanagement

4.2.1 Sicherungskopien und Ressourcen

Organisationen müssen regelmäßig Sicherungskopien ihrer Daten erstellen und sicherstellen, dass ausreichende Ressourcen wie Betriebsstätten, Netz- und IT-Systeme sowie qualifiziertes Personal verfügbar sind, um Redundanz zu gewährleisten.


4.2.2 Sicherungspläne

Sicherungspläne basieren auf einer Risikobewertung und dem Betriebskontinuitätsplan und umfassen:
a) Wiederherstellungszeiten: Festlegung der Zeitrahmen für die Wiederherstellung.
b) Vollständigkeit und Genauigkeit: Sicherstellung, dass Backups vollständig und korrekt sind, einschließlich Cloud-Daten und Konfigurationsdaten.
c) Sicherer Speicherort: Backups müssen an einem sicheren Ort außerhalb des Hauptsystems aufbewahrt werden, um Schäden bei Notfällen zu vermeiden.
d) Zugangskontrollen: Physische und logische Zugangskontrollen, abgestimmt auf die Sensibilität der Daten.
e) Datenwiederherstellung: Sicherstellung der effektiven Wiederherstellung von Daten.
f) Aufbewahrungsfristen: Einhaltung der regulatorischen und geschäftlichen Anforderungen.


4.2.3 Integritätsprüfungen

Organisationen müssen regelmäßig die Integrität der Sicherungskopien überprüfen, um sicherzustellen, dass die Backups einsatzbereit sind.


4.2.4 Redundanzmaßnahmen

Basierend auf der Risikobewertung und dem Kontinuitätsplan müssen Organisationen mindestens teilweise Redundanz für folgende Bereiche gewährleisten:
a) Netz- und IT-Systeme.
b) Betriebsstätten, Ausrüstung und Verbrauchsmaterialien.
c) Verantwortliches und kompetentes Personal.
d) Kommunikationskanäle.


4.2.5 Überwachung und Anpassung

Es ist sicherzustellen, dass Ressourcen wie Systeme, Betriebsstätten und Personal regelmäßig überwacht und an die Anforderungen an Sicherung und Redundanz angepasst werden.


4.2.6 Wiederherstellungstests

Organisationen müssen regelmäßig Tests zur Wiederherstellung aus Sicherungskopien und Redundanzsystemen durchführen, um sicherzustellen, dass:

  • Die Backups und Verfahren zuverlässig sind.
  • Alle relevanten Daten und Prozesse abgedeckt werden.
  • Testergebnisse dokumentiert werden und nötige Korrekturen erfolgen.

Fragenkatalog: Backup-Sicherungs- und Redundanzmanagement

1. Erstellung von Sicherungskopien

  • Werden regelmäßig Sicherungskopien der Daten erstellt, einschließlich Konfigurationsdaten und Daten aus Cloud-Computing-Diensten? (Bezug zu 4.2.1 und 4.2.2 b)
  • Sind ausreichende Ressourcen (Betriebsstätten, Netz- und Informationssysteme, Personal) vorhanden, um ein angemessenes Maß an Redundanz sicherzustellen? (Bezug zu 4.2.1)

2. Sicherungspläne

  • Gibt es dokumentierte Sicherungspläne, die Folgendes enthalten?
    • Wiederherstellungszeiten (Bezug zu 4.2.2 a)
    • Speicherung von Sicherungskopien an sicheren Orten (online oder offline) außerhalb des Hauptnetzwerks (Bezug zu 4.2.2 c)
    • Physische und logische Zugangskontrollen für Sicherungskopien gemäß der Klassifizierung der Anlagen und Werte (Bezug zu 4.2.2 d)
    • Wiederherstellungsstrategien und Aufbewahrungsfristen gemäß geschäftlichen und regulatorischen Anforderungen (Bezug zu 4.2.2 e, f)

3. Integritätsprüfungen

  • Werden regelmäßige Integritätsprüfungen der Sicherungskopien durchgeführt, um deren Genauigkeit und Vollständigkeit sicherzustellen? (Bezug zu 4.2.3)

4. Redundanzmanagement

  • Wird auf Basis der Risikobewertung und des Betriebskontinuitätsplans eine Redundanz der folgenden Elemente gewährleistet?
    • Netz- und Informationssysteme (Bezug zu 4.2.4 a)
    • Betriebsstätten, Ausrüstung und Verbrauchsmaterial (Bezug zu 4.2.4 b)
    • Kompetentes Personal mit klar definierten Verantwortlichkeiten (Bezug zu 4.2.4 c)
    • Geeignete Kommunikationskanäle (Bezug zu 4.2.4 d)

5. Überwachung und Anpassung

  • Werden Ressourcen wie Betriebsstätten, Systeme und Personal regelmäßig überwacht und angepasst, um die Anforderungen an Sicherung und Redundanz zu erfüllen? (Bezug zu 4.2.5)

6. Wiederherstellung und Tests

  • Werden regelmäßige Tests der Wiederherstellung von Sicherungskopien durchgeführt, um deren Zuverlässigkeit zu prüfen? (Bezug zu 4.2.6)
  • Decken die Wiederherstellungstests alle Kopien, Verfahren und Kenntnisse ab, die für eine wirksame Wiederherstellung erforderlich sind? (Bezug zu 4.2.6)
  • Werden die Ergebnisse der Wiederherstellungstests dokumentiert, und werden bei Bedarf Korrekturmaßnahmen ergriffen? (Bezug zu 4.2.6)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!