7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

4.3. Krisenmanagement

4.3.1. Die betreffenden Einrichtungen legen ein Verfahren für das Krisenmanagement fest.


4.3.2. Sie sorgen dafür, dass das Krisenmanagementverfahren mindestens die folgenden Elemente abdeckt:

a) Rollen und Verantwortlichkeiten des Personals und – soweit angemessen – der Anbieter und Diensteanbieter, wobei die Zuweisung der Rollen in Krisensituationen, einschließlich spezifischer zu befolgender Schritte, festgelegt wird;

b) geeignete Kommunikationsmittel zwischen den betreffenden Einrichtungen und den jeweils zuständigen Behörden;

c) Anwendung angemessener Maßnahmen zur Gewährleistung der Aufrechterhaltung der Sicherheit von Netz- und Informationssystemen in Krisensituationen.

Für die Zwecke von Buchstabe b umfasst der Informationsfluss zwischen den betreffenden Einrichtungen und den jeweils zuständigen Behörden sowohl obligatorische Mitteilungen wie Meldungen von Sicherheitsvorfällen und entsprechende Fristen als auch fakultative Mitteilungen.


4.3.3. Die betreffenden Einrichtungen führen ein Verfahren für die Verwaltung und Nutzung der von den CSIRTs oder – soweit anwendbar – den zuständigen Behörden erhaltenen Informationen über Sicherheitsvorfälle, Schwachstellen, Bedrohungen oder mögliche Risikominderungsmaßnahmen ein.


4.3.4. Die betreffenden Einrichtungen testen den Krisenmanagementplan in geplanten Zeitabständen oder nach erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren ihn – soweit angemessen.


 

Stand: 17.10.2024

Ein effektives Krisenmanagementverfahren hilft Organisationen, in Sicherheitskrisen gezielt zu reagieren und die Sicherheit ihrer Netz- und IT-Systeme aufrechtzuerhalten. Regelmäßige Tests und der Umgang mit Informationen von Behörden und CSIRTs gewährleisten, dass der Plan praxisnah bleibt und kontinuierlich verbessert wird.

Vereinfachte Erklärung der Anforderungen aus 4.3: Krisenmanagement

4.3.1 Einführung eines Krisenmanagementverfahrens

Organisationen müssen ein Verfahren für das Krisenmanagement einrichten, das sie in der Lage versetzt, Sicherheitskrisen effektiv zu bewältigen.


4.3.2 Inhalte des Krisenmanagementverfahrens

Das Verfahren muss mindestens folgende Punkte abdecken:
a) Rollen und Verantwortlichkeiten: Definition der Aufgaben von Personal, Anbietern und Dienstleistern während einer Krise, einschließlich klarer Schritte, die in Krisensituationen zu befolgen sind.
b) Kommunikation: Sicherstellung der geeigneten Kommunikationsmittel zwischen der Organisation und den zuständigen Behörden.

  • Pflichtmitteilungen: Wie z. B. Meldungen von Sicherheitsvorfällen und deren Fristen.
  • Freiwillige Mitteilungen: Zusätzliche Informationen, die bei Bedarf ausgetauscht werden können.
    c) Sicherheitsmaßnahmen: Anwendung von Maßnahmen zur Aufrechterhaltung der Sicherheit von Netz- und IT-Systemen in Krisensituationen.

4.3.3 Umgang mit Informationen

Organisationen müssen ein Verfahren einführen, um Informationen von CSIRTs (Computer Security Incident Response Teams) oder zuständigen Behörden zu Sicherheitsvorfällen, Schwachstellen, Bedrohungen oder Risikominderungsmaßnahmen zu verwalten und zu nutzen.


4.3.4 Tests und Aktualisierungen

Der Krisenmanagementplan muss regelmäßig getestet werden, um dessen Effektivität zu gewährleisten:

  • Geplante Tests: Nach einem definierten Zeitplan.
  • Ereignisbasierte Tests: Nach größeren Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder Risiken.
  • Aktualisierung: Anpassungen basierend auf den Testergebnissen oder neuen Anforderungen.

Fragenkatalog: Krisenmanagement

1. Erstellung des Krisenmanagementverfahrens

  • Wurde ein dokumentiertes Verfahren für das Krisenmanagement festgelegt? (Bezug zu 4.3.1)
  • Ist das Krisenmanagementverfahren für alle relevanten Beteiligten zugänglich und verständlich? (Bezug zu 4.3.1)

2. Inhalte des Krisenmanagementverfahrens

  • Deckt das Krisenmanagementverfahren die Zuweisung von Rollen und Verantwortlichkeiten des Personals sowie – soweit angemessen – der Anbieter und Diensteanbieter ab? (Bezug zu 4.3.2 a)
  • Sind spezifische Schritte definiert, die in Krisensituationen befolgt werden müssen? (Bezug zu 4.3.2 a)
  • Gibt es geeignete Kommunikationsmittel zwischen der Einrichtung und den zuständigen Behörden? (Bezug zu 4.3.2 b)
  • Wird die Sicherheit der Netz- und Informationssysteme in Krisensituationen durch angemessene Maßnahmen gewährleistet? (Bezug zu 4.3.2 c)
  • Wird der Informationsfluss mit den zuständigen Behörden geregelt, einschließlich obligatorischer und fakultativer Mitteilungen? (Bezug zu 4.3.2 b)

3. Umgang mit Informationen von Behörden

  • Existiert ein Verfahren für die Verwaltung und Nutzung von Informationen zu Sicherheitsvorfällen, Schwachstellen, Bedrohungen oder Risikominderungsmaßnahmen, die von CSIRTs oder zuständigen Behörden bereitgestellt werden? (Bezug zu 4.3.3)
  • Werden diese Informationen regelmäßig überprüft und in den Krisenmanagementplan integriert? (Bezug zu 4.3.3)

4. Tests und Aktualisierungen des Krisenmanagementplans

  • Wird der Krisenmanagementplan in geplanten Zeitabständen getestet? (Bezug zu 4.3.4)
  • Werden zusätzliche Tests durchgeführt, wenn es zu erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder Risiken kommt? (Bezug zu 4.3.4)
  • Werden die Ergebnisse der Tests dokumentiert und für die Aktualisierung des Krisenmanagementplans verwendet? (Bezug zu 4.3.4)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!