Um zu verhindern, dass Mitarbeitende beispielsweise ihre Zugangs- und Zugriffsrechte innerhalb der betreffenden Einrichtung missbrauchen können, um Schaden anzurichten, sollten die betreffenden Einrichtungen angemessene Maßnahmen für das Sicherheitsmanagement hinsichtlich ihrer Mitarbeitenden in Erwägung ziehen und ihr Personal für solche Risiken sensibilisieren.

Die betreffenden Einrichtungen sollten für den Umgang mit Verstößen gegen ihre Konzepte für die Sicherheit von Netz- und Informationssystemen ein Disziplinarverfahren einführen, bekannt machen und aufrechterhalten, das in andere Disziplinarverfahren der betreffenden Einrichtung eingebettet sein kann.

Zuverlässigkeitsüberprüfungen der Mitarbeitenden und – soweit anwendbar – der direkten Anbieter und Diensteanbieter der betreffenden Einrichtungen sollten dem Ziel der Sicherheit des Personals in den betreffenden Einrichtungen dienen und können Maßnahmen wie die Abfrage des Strafregistereintrags einer Person oder die Prüfung der bisherigen Erfüllung ihrer beruflichen Pflichten umfassen, soweit dies für die Aufgaben der Person in der betreffenden Einrichtung angemessen ist und mit dem Konzept der betreffenden Einrichtung für die Sicherheit von Netz- und Informationssystemen im Einklang steht.

Hinweise:

• Der Erwägungsgrund bezieht sich vor allem auf Annex, 10.1. Sicherheit des Personals und die folgenden Kapitel