9. Kryptografie
9.1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe h der Richtlinie (EU) 2022/2555 legen die betreffenden Einrichtungen ein Konzept und Verfahren in Bezug auf Kryptografie fest, setzen sie um und wenden sie an, um eine angemessene und wirksame Nutzung von Kryptografie sicherzustellen, damit die Vertraulichkeit, Authentizität und Integrität der Daten im Einklang mit der Anlagen- und Werteklassifizierung der betreffenden Einrichtungen und den Ergebnissen der gemäß Nummer 2.1 durchgeführten Risikobewertung geschützt sind.
9.2. In dem Konzept und den Verfahren gemäß Nummer 9.1 wird Folgendes festgelegt:
a) im Einklang mit der Einstufung der Anlagen und Werte der betreffenden Einrichtungen die Art, Stärke und Qualität der kryptografischen Maßnahmen, die zum Schutz der Anlagen und Werte der betreffenden Einrichtungen erforderlich sind, einschließlich der Daten, die gespeichert sind oder gerade übermittelt werden;
b) die auf der Grundlage von Buchstabe a anzunehmenden Protokolle oder Protokollfamilien sowie kryptografische Algorithmen, Kryptierungsstärke, kryptografische Lösungen und Nutzungsverfahren, die zu genehmigen und für die Verwendung in den betreffenden Einrichtungen erforderlich sind, – soweit angemessen – nach einem Krypto-Agilitätsansatz;
c) der Ansatz der betreffenden Einrichtungen in Bezug auf das Schlüsselmanagement, – soweit angemessen – einschließlich der Methoden für
i) die Generierung verschiedener Schlüssel für kryptografische Systeme und Anwendungen;
ii) die Ausstellung und Erlangung von Public-Key-Zertifikaten;
iii) die Verteilung von Schlüsseln an die vorgesehenen Einrichtungen, einschließlich wie der Schlüssel nach Erhalt zu aktivieren ist;
iv) die Speicherung von Schlüsseln, einschließlich wie autorisierte Nutzer Zugang zu Schlüsseln erhalten;
v) die Änderung oder Aktualisierung von Schlüsseln, einschließlich Vorschriften darüber, wann und wie Schlüssel geändert werden können;
vi) den Umgang mit beeinträchtigten Schlüsseln;
vii) den Widerruf von Schlüsseln, einschließlich wie Schlüssel zurückzuziehen oder zu deaktivieren sind;
viii) die Wiederherstellung verlorener oder beschädigter Schlüssel;
ix) die Sicherung oder Archivierung von Schlüsseln;
x) die Vernichtung von Schlüsseln;
xi) die Protokollierung und Prüfung von Managementtätigkeiten im Zusammenhang mit Schlüsseln;
xii) die Festlegung von Aktivierungs- und Deaktivierungsfristen für Schlüssel, damit die Schlüssel nur für den angegebenen Zeitraum gemäß den Vorschriften der Organisation für das Schlüsselmanagement verwendet werden können.
9.3. Die betreffenden Einrichtungen überprüfen ihr Konzept und ihre Verfahren in geplanten Zeitabständen und aktualisieren sie – soweit angemessen –, wobei sie dem Stand der Technik im Bereich der Kryptografie Rechnung tragen.
Ein durchdachtes Kryptografie-Konzept gewährleistet den Schutz sensibler Daten. Mit klar definierten Anforderungen, einem umfassenden Schlüsselmanagement und regelmäßigen Anpassungen an neue Technologien erfüllen Organisationen die NIS2-Anforderungen und gewährleisten langfristige Sicherheit ihrer Netz- und Informationssysteme.
9.1 Konzept und Verfahren für Kryptografie
Organisationen müssen ein Konzept und Verfahren für die Nutzung von Kryptografie entwickeln, um die Vertraulichkeit, Authentizität und Integrität ihrer Daten zu gewährleisten.
- Grundlage: Die Maßnahmen richten sich nach der Klassifizierung der Anlagen und Werte sowie den Ergebnissen der Risikobewertung.
9.2 Inhalte des Konzepts und der Verfahren
a) Art und Qualität der kryptografischen Maßnahmen:
- Definition der erforderlichen Art, Stärke und Qualität der Kryptografie basierend auf der Klassifizierung der Daten.
- Schutz von Daten während der Speicherung und Übertragung.
b) Auswahl kryptografischer Technologien:
- Festlegung der zu verwendenden kryptografischen Protokolle, Algorithmen, Kryptierungsstärken und Lösungen.
- Beachtung eines Krypto-Agilitätsansatzes, der flexible Anpassungen an neue Technologien ermöglicht.
c) Schlüsselmanagement:
Ein umfassender Ansatz für den Umgang mit kryptografischen Schlüsseln, einschließlich:
- Generierung: Erzeugung sicherer Schlüssel.
- Verteilung: Sichere Weitergabe der Schlüssel an berechtigte Nutzer oder Systeme.
- Speicherung: Sichere Aufbewahrung der Schlüssel und kontrollierter Zugriff.
- Änderung und Aktualisierung: Richtlinien zur Änderung von Schlüsseln.
- Umgang mit beeinträchtigten Schlüsseln: Maßnahmen zur Reaktion auf kompromittierte Schlüssel.
- Widerruf: Verfahren zum Zurückziehen oder Deaktivieren von Schlüsseln.
- Wiederherstellung: Prozesse zur Wiederherstellung verlorener oder beschädigter Schlüssel.
- Archivierung: Langfristige Sicherung und mögliche Vernichtung von Schlüsseln.
- Protokollierung: Dokumentation und Überwachung aller Schlüsselmanagementaktivitäten.
- Nutzungsfristen: Festlegung von Aktivierungs- und Deaktivierungszeiträumen für Schlüssel.
9.3 Regelmäßige Überprüfung und Aktualisierung
- Technologische Anpassung: Das Konzept und die Verfahren müssen regelmäßig überprüft und an den aktuellen Stand der Technik angepasst werden.
Auditfragenkatalog: Kryptografie
1. Konzept und Verfahren für Kryptografie
- Gibt es ein dokumentiertes Konzept und Verfahren für die Nutzung von Kryptografie, das die Vertraulichkeit, Authentizität und Integrität von Daten sicherstellt? (Bezug zu 9.1)
- Wie wird sichergestellt, dass die Kryptografieverfahren mit der Klassifizierung der Anlagen und Werte sowie den Ergebnissen der Risikobewertung übereinstimmen? (Bezug zu 9.1)
2. Festlegung kryptografischer Maßnahmen
- Werden Art, Stärke und Qualität der kryptografischen Maßnahmen entsprechend der Einstufung der Anlagen und Werte festgelegt? (Bezug zu 9.2a)
- Welche Protokolle, kryptografischen Algorithmen und Kryptierungsstärken werden für die jeweilige Anwendung genehmigt? (Bezug zu 9.2b)
- Wird ein Krypto-Agilitätsansatz verfolgt, um auf Veränderungen in der Kryptografie-Technologie flexibel zu reagieren? (Bezug zu 9.2b)
3. Schlüsselmanagement
- Gibt es dokumentierte Verfahren für die Generierung, Verteilung und Speicherung kryptografischer Schlüssel? (Bezug zu 9.2c, i–iv)
- Wie wird der Zugang zu Schlüsseln geregelt und autorisierten Nutzern gewährt? (Bezug zu 9.2c, iv)
- Werden Änderungen oder Updates von Schlüsseln regelmäßig durchgeführt und dokumentiert? (Bezug zu 9.2c, v)
- Welche Maßnahmen werden bei beeinträchtigten Schlüsseln ergriffen? (Bezug zu 9.2c, vi)
- Existieren Verfahren für den Widerruf und die Deaktivierung von Schlüsseln? (Bezug zu 9.2c, vii)
- Wie wird die Wiederherstellung verlorener oder beschädigter Schlüssel gewährleistet? (Bezug zu 9.2c, viii)
- Gibt es Mechanismen zur Sicherung, Archivierung und Vernichtung von Schlüsseln? (Bezug zu 9.2c, ix–x)
4. Protokollierung und Überwachung
- Werden kryptografische Managementaktivitäten protokolliert und regelmäßig geprüft? (Bezug zu 9.2c, xi)
- Wie wird sichergestellt, dass Schlüssel nur innerhalb festgelegter Aktivierungs- und Deaktivierungsfristen genutzt werden? (Bezug zu 9.2c, xii)
5. Überprüfung und Aktualisierung
- Wird das Konzept für Kryptografie regelmäßig überprüft und aktualisiert? (Bezug zu 9.3)
- Wie wird sichergestellt, dass das Konzept dem aktuellen Stand der Technik im Bereich Kryptografie entspricht? (Bezug zu 9.3)
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!