7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

8.1 Sensibilisierungsmaßnahmen und grundlegende Verfahren im Bereich der Cyberhygiene

8.1.1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe g der Richtlinie (EU) 2022/2555 stellen die betreffenden Einrichtungen sicher, dass sich ihre Mitarbeitenden, einschließlich der Mitglieder von Leitungsorganen, sowie direkte Anbieter und Diensteanbieter

  • der Risiken bewusst sind,
  • über die Bedeutung der Cybersicherheit informiert werden und
  • Verfahren im Bereich der Cyberhygiene anwenden.

8.1.2. Für die Zwecke von Nummer 8.1.1 bieten die betreffenden Einrichtungen ihren Mitarbeitenden, den Mitgliedern ihrer Leitungsorgane sowie – soweit angemessen – direkten Anbietern und Diensteanbietern gemäß Nummer 5.1.4 ein Sensibilisierungsprogramm an, das

a) zeitlich so geplant ist, dass die Maßnahmen wiederholt werden und neue Mitarbeitende erreichen;

b) mit dem

    • Konzept für die Sicherheit von Netz- und Informationssystemen,
    • den themenspezifischen Konzepten und
    • den einschlägigen Verfahren für die Sicherheit von Netz- und Informationssystemen

im Einklang steht;

c)

    • einschlägige Cyberbedrohungen,
    • bestehende Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
    • Kontaktstellen und Ressourcen für zusätzliche Informationen und Beratung zu Cybersicherheitsfragen sowie
    • Verfahren im Bereich der Cyberhygiene

für Nutzer abdeckt.


8.1.3. Das Sensibilisierungsprogramm wird – soweit angemessen – in geplanten Zeitabständen im Hinblick auf seine Wirksamkeit getestet.

Das Sensibilisierungsprogramm wird in geplanten Zeitabständen aktualisiert und angeboten, wobei Änderungen der Verfahren im Bereich der Cyberhygiene sowie die aktuelle Bedrohungslage und die Risiken für die betreffenden Einrichtungen zu berücksichtigen sind.


Redaktionelle Anmerkung:

  • Prinzipiell sind diese Anforderungen über ein LMS (learning-Management-System) abzudecken, das regelmäßige und repetitive Schulungen vorsieht und bei dem neue Mitarbeiter im Rahmen des Onboardings registriert werden. Diese Plattformen sind heute als Managed Service auch für kleine Unternehmen buchbar.

 

Stand: 17.10.2024

Durch regelmäßige Sensibilisierungsmaßnahmen fördern Organisationen das Bewusstsein für Cybersicherheitsrisiken und stärken die Sicherheitskultur. Mit wiederkehrenden Programmen, praxisnahen Inhalten und einer kontinuierlichen Überprüfung erfüllen sie die Anforderungen der NIS2-Richtlinie und reduzieren Risiken durch unsicheres Verhalten.

Vereinfachte Erklärung der Anforderungen aus 8.1: Sensibilisierungsmaßnahmen und Cyberhygiene

8.1.1 Bewusstsein und Anwendung von Cyberhygiene

Organisationen müssen sicherstellen, dass:

  • Mitarbeitende, Leitungsorgane sowie direkte Anbieter und Dienstleister sich der Risiken bewusst sind, die Cybersicherheit verstehen und Verfahren zur Cyberhygiene anwenden.

8.1.2 Sensibilisierungsprogramme

Organisationen müssen Sensibilisierungsprogramme für Mitarbeitende, Leitungsorgane und, soweit relevant, Anbieter und Dienstleister anbieten. Diese Programme müssen:

a) Regelmäßigkeit und Zugänglichkeit:

  • Wiederholt durchgeführt werden.
  • Neue Mitarbeitende zeitnah einbeziehen.

b) Einklang mit Sicherheitskonzepten:

  • Auf das Konzept für Netz- und Informationssicherheit sowie themenspezifische Konzepte und Sicherheitsverfahren abgestimmt sein.

c) Inhalte abdecken:

  • Relevante Cyberbedrohungen.
  • Bestehende Risikomanagementmaßnahmen.
  • Kontaktstellen und Ressourcen für zusätzliche Informationen und Beratung zu Cybersicherheitsfragen.
  • Verfahren für Cyberhygiene zur Förderung sicherer Verhaltensweisen.

8.1.3 Test und Aktualisierung

  • Wirksamkeitstests: Das Sensibilisierungsprogramm wird regelmäßig getestet, um seine Effektivität zu überprüfen.
  • Aktualisierung: Es wird regelmäßig aktualisiert, um:
    • Änderungen in den Cyberhygiene-Verfahren.
    • Neue Bedrohungen und Risiken.
    • Anforderungen der Organisation zu berücksichtigen.

Fragenkatalog: Sensibilisierungsmaßnahmen und grundlegende Verfahren im Bereich der Cyberhygiene

1. Bewusstsein für Risiken und Bedeutung der Cybersicherheit

  • Wie wird sichergestellt, dass Mitarbeitende, Mitglieder der Leitungsorgane, direkte Anbieter und Diensteanbieter der Cybersicherheitsrisiken bewusst sind? (Bezug zu 8.1.1)
  • Wie werden diese Zielgruppen über die Bedeutung der Cybersicherheit informiert? (Bezug zu 8.1.1)
  • Welche Maßnahmen gewährleisten, dass Verfahren im Bereich der Cyberhygiene von den relevanten Zielgruppen angewendet werden? (Bezug zu 8.1.1)

2. Sensibilisierungsprogramm

  • Existiert ein Sensibilisierungsprogramm für Mitarbeitende, Leitungsorgane, Anbieter und Diensteanbieter? (Bezug zu 8.1.2)
  • Wie wird sichergestellt, dass das Sensibilisierungsprogramm regelmäßig wiederholt wird, um neue Mitarbeitende zu erreichen? (Bezug zu 8.1.2a)
  • Steht das Sensibilisierungsprogramm im Einklang mit dem Konzept für die Sicherheit von Netz- und Informationssystemen sowie themenspezifischen Konzepten? (Bezug zu 8.1.2b)

3. Inhalte des Sensibilisierungsprogramms

  • Werden die Teilnehmenden über einschlägige Cyberbedrohungen informiert? (Bezug zu 8.1.2c)
  • Deckt das Programm bestehende Risikomanagementmaßnahmen im Bereich der Cybersicherheit ab? (Bezug zu 8.1.2c)
  • Wird auf Kontaktstellen und Ressourcen für zusätzliche Informationen und Beratung zu Cybersicherheitsfragen hingewiesen? (Bezug zu 8.1.2c)
  • Werden Verfahren im Bereich der Cyberhygiene im Rahmen des Programms vermittelt? (Bezug zu 8.1.2c)

4. Prüfung und Aktualisierung

  • Wird die Wirksamkeit des Sensibilisierungsprogramms regelmäßig getestet? (Bezug zu 8.1.3)
  • Wie häufig wird das Programm überprüft und aktualisiert, um Änderungen der Verfahren und der aktuellen Bedrohungslage zu berücksichtigen? (Bezug zu 8.1.3)
  • Werden die Risiken für die betreffenden Einrichtungen bei der Aktualisierung des Programms berücksichtigt? (Bezug zu 8.1.3)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!