7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

6.7. Netzsicherheit

6.7.1. Die betreffenden Einrichtungen ergreifen geeignete Maßnahmen, um ihre Netz- und Informationssysteme vor Cyberbedrohungen zu schützen.


6.7.2. Für die Zwecke von Nummer 6.7.1 müssen die betreffenden Einrichtungen

a) die Architektur des Netzes verständlich und aktuell dokumentieren;

b) Kontrollen festlegen und durchführen, um die internen Netzdomänen der betreffenden Einrichtungen vor unbefugtem Zugriff zu schützen;

c) die Kontrollen so konfigurieren, dass Zugriffe und Netzkommunikation verhindert werden, wenn dies für den Betrieb der betreffenden Einrichtungen nicht erforderlich ist;

d) die Kontrollen für den Fernzugriff auf Netz- und Informationssysteme, einschließlich des Zugangs von Diensteanbietern, festlegen und durchführen;

e) keine Systeme verwenden, die für die Verwaltung der Umsetzung der Sicherheitskonzepte für andere Zwecke verwendet werden;

f) nicht benötigte Verbindungen und Dienste ausdrücklich verbieten oder deaktivieren;

g) – soweit angemessen – den Zugang zu ihren Netz- und Informationssystemen ausschließlich mit von den betreffenden Einrichtungen genehmigten Geräten gewähren;

h) Verbindungen von Diensteanbietern nur nach einem Genehmigungsantrag und für einen bestimmten Zeitraum, z. B. für die Dauer von Wartungsarbeiten, zulassen;

i) die Kommunikation zwischen verschiedenen Systemen nur über vertrauenswürdige Kanäle herstellen, die durch logische, kryptografische oder physikalische Trennung von anderen Kommunikationskanälen isoliert sind, und eine sichere Identifizierung ihrer Endpunkte und den Schutz der Kanaldaten vor Änderung oder Offenlegung ermöglichen;

j) einen Durchführungsplan für den sicheren, angemessenen und schrittweisen vollständigen Übergang zur neuesten Generation der Kommunikationsprotokolle für die Netzwerkschicht annehmen und Maßnahmen zur Beschleunigung dieses Übergangs festlegen;

k) einen Durchführungsplan für die Einführung international vereinbarter und interoperabler moderner E-Mail-Kommunikationsnormen annehmen, um die E-Mail-Kommunikation zur Minderung von Schwachstellen im Zusammenhang mit E-Mail-Bedrohungen zu sichern, und Maßnahmen zur Beschleunigung dieser Einführung festlegen;

l) bewährte Verfahren für die Sicherheit des DNS sowie für die Sicherheit und Hygiene des Internet-Routings bei Verkehr, der aus dem Netz stammt und für das Netz bestimmt ist, anwenden.


6.7.3. Die betreffenden Einrichtungen überprüfen diese Maßnahmen in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren sie – soweit angemessen.


Redaktionelle Hinweise:

  • Das Wort „Kontrollen“ ist teilweise vom englischen „Controls“ abgeleitet, das so viel heist wie Maßnahmen. 
  • Versuch der Übersetzung der o.g. Anforderungen:

    a) die Architektur des Netzes verständlich und aktuell dokumentieren;
    -> Erstellung von Netzplänen und -dokumentationen, einfach realisierbar durch entsprechende Inventarisierungstools, die idealerweise auch die Inventarisierung von Maschinen (physischen wie virtuellen) sowie ein Softwareinventar erstellen

    b) Kontrollen festlegen und durchführen, um die internen Netzdomänen der betreffenden Einrichtungen vor unbefugtem Zugriff zu schützen;
    -> strenge Access-Controls für interne Netze, etwa durch Einrichtung einer DMZ und Trennung virtueller Netze, aber auch NAC kann darunter subsumiert werden.

    c) die Kontrollen so konfigurieren, dass Zugriffe und Netzkommunikation verhindert werden, wenn dies für den Betrieb der betreffenden Einrichtungen nicht erforderlich ist;
    -> Es sollen nur die Netzverbindungen zugelassen werden, die auch erforderlich ist. Dies kann durch entsprechende Traffic-Filterung geschehen für Ziel-Domains/-IPs aber auch durch Unterdrückung von Traffic von Geräten, die üblicherweise nicht nach außen kommunizieren müssen.

    d) die Kontrollen für den Fernzugriff auf Netz- und Informationssysteme, einschließlich des Zugangs von Diensteanbietern, festlegen und durchführen;
    -> Mitarbeiter, Kunden, Partner und Dienstleister, die sich über Webservices, VPN oder Fernwartungsprogramme verbinden, sollen dies nach vorgegeben Regeln tun,

    e) keine Systeme verwenden, die für die Verwaltung der Umsetzung der Sicherheitskonzepte für andere Zwecke verwendet werden;

    f) nicht benötigte Verbindungen und Dienste ausdrücklich verbieten oder deaktivieren;
    -> nicht benötigte Verbindungen oder Dienste sollen unterdrückt bzw. ausgefiltert werden.

    g) – soweit angemessen – den Zugang zu ihren Netz- und Informationssystemen ausschließlich mit von den betreffenden Einrichtungen genehmigten Geräten gewähren;
    -> NAC nur mit Zertifikat oder anderweitig vorab registrierten Geräten

    h) Verbindungen von Diensteanbietern nur nach einem Genehmigungsantrag und für einen bestimmten Zeitraum, z. B. für die Dauer von Wartungsarbeiten, zulassen;
    -> Dienstleister sollen Zugriffe, etwa für Fernwartung, nur angekündigt und genehmigt und nur für bestimmten Zeitraum durchführen können

    i) die Kommunikation zwischen verschiedenen Systemen nur über vertrauenswürdige Kanäle herstellen, die durch logische, kryptografische oder physikalische Trennung von anderen Kommunikationskanälen isoliert sind, und eine sichere Identifizierung ihrer Endpunkte und den Schutz der Kanaldaten vor Änderung oder Offenlegung ermöglichen;
    -> z.B. über SSL oder IPsec abgesicherte Verbindungen

    j) einen Durchführungsplan für den sicheren, angemessenen und schrittweisen vollständigen Übergang zur neuesten Generation der Kommunikationsprotokolle für die Netzwerkschicht annehmen und Maßnahmen zur Beschleunigung dieses Übergangs festlegen;
    -> Projektplan für den Übergang bei neuen Protokollen, inkl. der Abschaltung, alter / obsoleter Protokolle

    k) einen Durchführungsplan für die Einführung international vereinbarter und interoperabler moderner E-Mail-Kommunikationsnormen annehmen, um die E-Mail-Kommunikation zur Minderung von Schwachstellen im Zusammenhang mit E-Mail-Bedrohungen zu sichern, und Maßnahmen zur Beschleunigung dieser Einführung festlegen;
    -> s.o.

    l) bewährte Verfahren für die Sicherheit des DNS sowie für die Sicherheit und Hygiene des Internet-Routings bei Verkehr, der aus dem Netz stammt und für das Netz bestimmt ist, anwenden.

Stand: 17.10.2024

Mit umfassenden Sicherheitsmaßnahmen für Netzwerke und klare Kontrollen für Zugriffe und Kommunikation können Organisationen ihre Netz- und Informationssysteme effektiv vor Bedrohungen schützen. Regelmäßige Überprüfungen und die Einführung moderner Standards gewährleisten die Einhaltung der NIS2-Anforderungen und eine stetige Verbesserung der Netzsicherheit.

Vereinfachte Erklärung der Anforderungen aus 6.7: Netzsicherheit

6.7.1 Schutz vor Cyberbedrohungen

Organisationen müssen geeignete Maßnahmen ergreifen, um ihre Netz- und Informationssysteme vor Cyberbedrohungen zu schützen.


6.7.2 Anforderungen an die Netzsicherheit

Für einen effektiven Schutz müssen folgende Maßnahmen umgesetzt werden:

a) Netzarchitektur dokumentieren: Die Architektur des Netzwerks muss verständlich und aktuell dokumentiert werden.

b) Schutz vor unbefugtem Zugriff: Kontrollen einführen, um interne Netzdomänen vor unbefugtem Zugriff zu schützen.

c) Minimaler Zugriff: Nur notwendige Zugriffe und Netzkommunikation zulassen, um unnötige Verbindungen zu vermeiden.

d) Fernzugriff kontrollieren: Klare Kontrollen für den Fernzugriff auf Netzwerke, auch für Anbieter, implementieren.

e) Trennung von Verwaltungssystemen: Systeme, die Sicherheitskonzepte verwalten, dürfen nicht für andere Zwecke genutzt werden.

f) Nicht benötigte Verbindungen deaktivieren: Nicht benötigte Verbindungen und Dienste explizit verbieten oder deaktivieren.

g) Genehmigte Geräte: Zugang nur mit von der Organisation genehmigten Geräten erlauben.

h) Beschränkte Dienstleister-Verbindungen: Verbindungen von Dienstleistern nur nach Genehmigung und für eine festgelegte Dauer (z. B. Wartung) zulassen.

i) Sichere Kommunikation: Kommunikation zwischen Systemen nur über isolierte und vertrauenswürdige Kanäle durchführen, z. B. durch kryptografische oder physikalische Trennung.

j) Moderne Kommunikationsprotokolle: Pläne für die schrittweise Einführung der neuesten Netzwerkschicht-Protokolle erstellen und deren Umsetzung beschleunigen.

k) Sichere E-Mail-Kommunikation: Pläne zur Einführung moderner, international vereinbarter E-Mail-Kommunikationsstandards entwickeln, um E-Mail-Bedrohungen zu reduzieren.

l) Best Practices für DNS und Routing: Bewährte Verfahren für DNS-Sicherheit und Internet-Routing anwenden, um die Sicherheit und Hygiene des Netzverkehrs zu gewährleisten.


6.7.3 Regelmäßige Überprüfung

Die Netzsicherheitsmaßnahmen müssen regelmäßig überprüft und bei Bedarf aktualisiert werden:

  • Zeitplan: Nach festgelegten Intervallen.
  • Ereignisbasierte Anpassungen: Bei großen Sicherheitsvorfällen oder Änderungen im Betrieb oder den Risiken.

Fragenkatalog: Netzsicherheit

1. Allgemeine Maßnahmen zum Schutz der Netz- und Informationssysteme

  • Sind geeignete Maßnahmen definiert und implementiert, um die Netz- und Informationssysteme vor Cyberbedrohungen zu schützen? (Bezug zu 6.7.1)

2. Dokumentation und Architektur des Netzwerks

  • Ist die Netzwerkarchitektur klar, verständlich und aktuell dokumentiert? (Bezug zu 6.7.2 a)

3. Schutz der Netzdomänen und Kontrollen

  • Gibt es definierte Kontrollen zum Schutz der internen Netzdomänen vor unbefugtem Zugriff? (Bezug zu 6.7.2 b)
  • Sind diese Kontrollen so konfiguriert, dass Zugriffe und Netzkommunikation nur erlaubt sind, wenn sie für den Betrieb erforderlich sind? (Bezug zu 6.7.2 c)

4. Fernzugriff und Diensteanbieterkontrollen

  • Gibt es spezifische Kontrollen für den Fernzugriff auf Netz- und Informationssysteme, einschließlich des Zugangs von Diensteanbietern? (Bezug zu 6.7.2 d)
  • Werden Systeme, die zur Verwaltung von Sicherheitskonzepten verwendet werden, ausschließlich für diesen Zweck genutzt? (Bezug zu 6.7.2 e)

5. Management von Verbindungen und Diensten

  • Werden nicht benötigte Verbindungen und Dienste explizit verboten oder deaktiviert? (Bezug zu 6.7.2 f)
  • Wird der Zugang zu Netz- und Informationssystemen nur mit von den betreffenden Einrichtungen genehmigten Geräten gewährt? (Bezug zu 6.7.2 g)
  • Werden Verbindungen von Diensteanbietern nur nach Genehmigung und für einen definierten Zeitraum zugelassen? (Bezug zu 6.7.2 h)

6. Sichere Kommunikationskanäle

  • Wird die Kommunikation zwischen verschiedenen Systemen nur über vertrauenswürdige und isolierte Kanäle hergestellt? (Bezug zu 6.7.2 i)
  • Werden Kanaldaten vor Änderungen oder Offenlegungen geschützt, und erfolgt eine sichere Identifizierung der Endpunkte? (Bezug zu 6.7.2 i)

7. Protokolle und E-Mail-Sicherheitsstandards

  • Wurde ein Plan für den Übergang zu modernen Kommunikationsprotokollen für die Netzwerkschicht erstellt und Maßnahmen zur Beschleunigung implementiert? (Bezug zu 6.7.2 j)
  • Wurde ein Plan für die Einführung internationaler moderner E-Mail-Kommunikationsnormen erstellt, und wurden Maßnahmen zur Minderung von E-Mail-Bedrohungen ergriffen? (Bezug zu 6.7.2 k)

8. DNS- und Internet-Routing-Sicherheit

  • Wenden die Einrichtungen bewährte Verfahren für die Sicherheit des DNS und die Sicherheit sowie Hygiene des Internet-Routings an? (Bezug zu 6.7.2 l)

9. Überprüfung und Aktualisierung

  • Werden die Maßnahmen zur Netzsicherheit regelmäßig überprüft und bei Bedarf aktualisiert? (Bezug zu 6.7.3)
  • Finden Überprüfungen auch bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe statt? (Bezug zu 6.7.3)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!