7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT

7.1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe f der Richtlinie (EU) 2022/2555 legen die betreffenden Einrichtungen ein Konzept und Verfahren fest, setzen sie um und wenden sie an, um zu bewerten, ob die ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit wirksam umgesetzt und aufrechterhalten werden.


7.2. Das in Nummer 7.1 genannte Konzept und die entsprechenden Verfahren tragen den Ergebnissen der Risikobewertung gemäß Nummer 2.1 und früheren erheblichen Sicherheitsvorfällen Rechnung.

Die betreffenden Einrichtungen müssen Folgendes bestimmen:

a) welche Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu überwachen und zu messen sind, einschließlich Verfahren und Kontrollen;

b) die Methoden zur Überwachung, Messung, Analyse und Bewertung, sofern zutreffend, um gültige Ergebnisse sicherzustellen;

c) wann die Überwachung und Messung durchzuführen ist;

d) wer für die Überwachung und die Messung der Wirksamkeit der Risikomanagementmaßnahmen im Bereich der Cybersicherheit zuständig ist;

e) wann die Ergebnisse der Überwachung und der Messung zu analysieren und zu bewerten sind;

f) wer diese Ergebnisse analysieren und bewerten muss.


7.3. Die betreffenden Einrichtungen überprüfen das Konzept und die Verfahren in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren sie – soweit angemessen.


Redaktionelle Anmerkung:

  • Diese Regelungen können in einer Richtlinie bzw. Plan zum Internen Audit und zum Management-Review untergebracht werden.
    Beide Dokumente und wie das pragmatisch umgesetzt werden kann erfahren Sie in unserem Coaching-Paket.

 

Stand: 17.10.2024

Durch die Entwicklung eines Konzepts zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen können Organisationen sicherstellen, dass ihre Cybersicherheitsmaßnahmen zuverlässig funktionieren. Mit klaren Zuständigkeiten, regelmäßigen Überprüfungen und Anpassungen erfüllen sie die Anforderungen der NIS2-Richtlinie und verbessern kontinuierlich ihre Sicherheitsstrategie.

Vereinfachte Erklärung der Anforderungen aus 7: Bewertung der Wirksamkeit von Risikomanagementmaßnahmen

7.1 Konzept und Verfahren entwickeln

Organisationen müssen ein Konzept und Verfahren erstellen, um zu bewerten, ob ihre Risikomanagementmaßnahmen im Bereich der Cybersicherheit:

  • Wirksam umgesetzt werden und
  • dauerhaft aufrechterhalten bleiben.

7.2 Inhalte des Konzepts

Das Konzept und die Verfahren müssen die Ergebnisse der Risikobewertung und vergangene Sicherheitsvorfälle berücksichtigen. Organisationen müssen Folgendes festlegen:

a) Zu bewertende Maßnahmen: Welche Risikomanagementmaßnahmen, Verfahren und Kontrollen überwacht und gemessen werden sollen.

b) Methoden: Wie Überwachung, Messung, Analyse und Bewertung durchgeführt werden, um aussagekräftige Ergebnisse zu erhalten.

c) Zeitpunkt der Überwachung: Wann die Überwachung und Messung stattfinden sollen.

d) Verantwortlichkeiten: Wer für die Durchführung der Überwachung und Messung zuständig ist.

e) Analysezeitpunkt: Wann die Ergebnisse der Überwachung analysiert und bewertet werden müssen.

f) Zuständige Personen: Wer die Ergebnisse analysieren und bewerten soll.


7.3 Regelmäßige Überprüfung und Aktualisierung

Das Konzept und die Verfahren zur Bewertung der Wirksamkeit müssen:

  • Regelmäßig überprüft werden, z. B. nach einem festgelegten Zeitplan.
  • Anlassbezogen aktualisiert werden, etwa bei großen Sicherheitsvorfällen oder Änderungen der Betriebsabläufe oder Risiken.

Fragenkatalog: Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit

1. Festlegung des Konzepts und der Verfahren

  • Wurde ein Konzept und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit festgelegt? (Bezug zu 7.1)
  • Wird das Konzept regelmäßig angewendet und aufrechterhalten? (Bezug zu 7.1)

2. Berücksichtigung von Risikobewertungen und Vorfällen

  • Trägt das Konzept den Ergebnissen der gemäß Nummer 2.1 durchgeführten Risikobewertung Rechnung? (Bezug zu 7.2)
  • Wurden frühere Sicherheitsvorfälle in das Konzept und die Verfahren einbezogen? (Bezug zu 7.2)

3. Überwachung und Messung

  • Welche Risikomanagementmaßnahmen im Bereich der Cybersicherheit werden überwacht und gemessen? (Bezug zu 7.2a)
  • Wurden spezifische Methoden zur Überwachung, Messung, Analyse und Bewertung definiert? (Bezug zu 7.2b)
  • Wie wird sichergestellt, dass die Methoden valide Ergebnisse liefern? (Bezug zu 7.2b)
  • Sind Zeitpunkte definiert, wann Überwachung und Messung durchzuführen sind? (Bezug zu 7.2c)
  • Wer ist für die Überwachung und Messung der Wirksamkeit der Risikomanagementmaßnahmen verantwortlich? (Bezug zu 7.2d)

4. Analyse und Bewertung der Ergebnisse

  • Sind Zeitpunkte definiert, wann die Ergebnisse der Überwachung und Messung analysiert und bewertet werden sollen? (Bezug zu 7.2e)
  • Wer ist für die Analyse und Bewertung der Ergebnisse zuständig? (Bezug zu 7.2f)

5. Überprüfung und Aktualisierung

  • Wird das Konzept in geplanten Zeitabständen überprüft? (Bezug zu 7.3)
  • Werden Überprüfungen nach erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken durchgeführt? (Bezug zu 7.3)
  • Wie wird dokumentiert, dass das Konzept und die Verfahren nach Überprüfungen aktualisiert wurden? (Bezug zu 7.3)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!