Annex zur NIS2-Umetzungsverordnung mit Anforderungen an Unternehmen
Der Anhang (Annex) zur NIS2UmsVO (delegierter Rechtsakt) enthält eine Auflistung von Anforderungen, die sehr viel detaillierter und umfangreicher ist, als Art. 21 NIS2-Richtlinie bzw. §30 BSIG vermuten lassen.
Um die Verknüpfung und den Umgang mit ihnen zu erleichtern, werden sie HIER detailliert und durchblätterbar aufgeführt.
Übersicht über die Anforderungen im Annex der NIS2UmsVO
0. Allgemeine Regelungen
- Maßnahmen müssen branchenüblich und „nach Stand der Technik“ sein, gemäß §30 BSIG und Art. 32 DSGVO.
- Ziel: Schutz der Verfügbarkeit, Integrität und Vertraulichkeit informationstechnischer Systeme.
- Normen: Berücksichtigung internationaler Standards (z. B. ISO27001), ergänzt durch nationale Normen wie BSI-Grundschutz.
Im Folgenden eine ZUSAMMENFASSUNG der Inhalte
(Details auf den Detailseiten!)
1. Konzept für die Sicherheit von Netz- und Informationssystemen
1.1. Konzept für die Sicherheit von Netz- und Informationssystemen
- Definition eines ISMS, das:
- Sicherheitsziele definiert.
- Kontinuierliche Verbesserung sicherstellt.
- Klare Rollen und Verantwortlichkeiten benennt.
- Ressourcen für Sicherheit bereitstellt.
- Indikatoren für Überwachung und Bewertung enthält.
- Jährliche Überprüfung und Anpassung durch die Leitungsorgane.
1.2. Rollen, Verantwortlichkeiten und Weisungsbefugnisse
- Zuordnung klarer Verantwortlichkeiten für die Informationssicherheit.
- Pflicht zur Benennung eines Informationssicherheitsbeauftragten (ISB).
- Regelmäßige Überprüfung der Rollenverteilung.
2. Konzept für das Risikomanagement
2.1. Risikomanagementrahmen
- Einführung eines Rahmens zur Identifikation, Bewertung und Behandlung von Risiken.
- Dokumentation und regelmäßige Überprüfung der Risikobewertungen und -pläne.
2.2. Überwachung der Einhaltung
- Regelmäßige Kontrolle der Einhaltung von Sicherheitskonzepten und -richtlinien.
- Berichtspflicht an die Leitungsorgane.
2.3. Unabhängige Überprüfung der Netz- und Informationssicherheit
- Durchführung unabhängiger interner oder externer Audits.
- Berichterstattung der Ergebnisse an die Leitungsorgane.
3. Bewältigung von Sicherheitsvorfällen
3.1. Konzept für die Bewältigung von Sicherheitsvorfällen
- Einführung eines Vorfallmanagements mit klaren Prozessen:
- Erkennung, Eindämmung, Wiederherstellung, Dokumentation und Meldung.
- Integration in den Notfallplan.
3.2. Überwachung und Protokollierung
- Einrichtung von Protokollierungsmechanismen, einschließlich:
- Überwachung von Netzwerkverkehr, Änderungen an Nutzerrechten und Zugriffsversuchen.
- Regelmäßige Prüfung und Sicherung der Protokolle.
3.3. Meldung von Ereignissen
- Einfacher Mechanismus zur Meldung verdächtiger Ereignisse durch Mitarbeitende, Anbieter und Kunden.
- Regelmäßige Schulung der Mitarbeitenden zur korrekten Nutzung.
3.4. Bewertung und Klassifizierung von Ereignissen
- Bewertung verdächtiger Ereignisse anhand vorab definierter Kriterien.
- Korrelation und Analyse von Ereignissen zur Entscheidungsunterstützung.
3.5. Reaktion auf Sicherheitsvorfälle
- Dokumentierte Verfahren zur:
- Eindämmung, Beseitigung und Wiederherstellung nach Sicherheitsvorfällen.
- Protokollierung aller Aktivitäten und Sammlung von Nachweisen.
3.6. Überprüfungen nach Sicherheitsvorfällen
- Analyse der Ursachen von Vorfällen und Ableitung von Verbesserungsmaßnahmen.
- Dokumentation der Ergebnisse zur Optimierung zukünftiger Prozesse.
4. Betriebskontinuitäts- und Krisenmanagement
4.1. Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs
- Erstellung von Plänen zur Fortführung kritischer Betriebsprozesse bei Sicherheitsvorfällen.
- Regelmäßige Tests und Anpassungen der Pläne.
4.2. Backup-Sicherungs- und Redundanzmanagement
- Sicherstellung von Datenintegrität und Redundanz durch:
- Externe Sicherungskopien.
- Regelmäßige Tests der Wiederherstellungsverfahren.
4.3. Krisenmanagement
- Einrichtung von Krisenmanagementverfahren mit definierten Rollen und Kommunikationswegen.
- Sicherstellung der Betriebssicherheit auch in Krisensituationen.
5. Sicherheit der Lieferkette
5.1. Konzept für die Sicherheit der Lieferkette
- Entwicklung eines Konzepts zur Minimierung von Lieferkettenrisiken.
- Sicherheitsanforderungen in Verträgen mit Anbietern und Dienstleistern.
5.2. Verzeichnis der Anbieter und Diensteanbieter
- Pflege eines aktuellen Verzeichnisses mit Informationen zu Kontaktstellen und erbrachten Leistungen.
6. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
6.1. Sicherheitsmaßnahmen beim Erwerb von IKT-Diensten oder IKT-Produkten
- Verfahren zur Sicherstellung der Sicherheitsanforderungen über den gesamten Produktlebenszyklus.
6.2. Sicherer Entwicklungszyklus
- Sicherheitsanforderungen für alle Phasen der Systementwicklung (Spezifikation, Design, Test).
6.3. Konfigurationsmanagement
- Dokumentation und Sicherstellung sicherer Konfigurationen von IT-Systemen.
6.4. Änderungsmanagement, Reparatur und Wartung
- Prozesse zur Kontrolle von Änderungen, einschließlich Notfalländerungen.
6.5. Sicherheitsprüfung
- Regelmäßige Tests der sicherheitsrelevanten Systemkomponenten.
6.6. Sicherheitspatch-Management
- Verfahren zur zeitnahen Anwendung und Prüfung von Sicherheitspatches.
6.7. Netzsicherheit
- Maßnahmen wie Netzsegmentierung, DMZs und verschlüsselte Kommunikation.
6.8. Netzsegmentierung
- Logische und physische Trennung kritischer Systeme und Netzwerke.
6.9. Schutz gegen Schadsoftware und nicht genehmigte Software
- Einsatz von Schutzsoftware und regelmäßige Updates.
6.10. Behandlung und Offenlegung von Schwachstellen
- Identifikation und Behebung kritischer Schwachstellen.
7. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
- Entwicklung eines Verfahrens zur Bewertung der Effizienz von Sicherheitsmaßnahmen.
- Berücksichtigung von Sicherheitsvorfällen und Risikobewertungen.
8. Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen
8.1. Sensibilisierungsmaßnahmen und grundlegende Verfahren im Bereich der Cyberhygiene
- Regelmäßige Schulungen zu Cybersicherheitsrisiken und -hygiene für alle Mitarbeitenden.
8.2. Sicherheitsschulungen
- Spezielle Schulungen für sicherheitskritische Rollen, angepasst an aktuelle Bedrohungen.
9. Kryptografie
- Nutzung starker Verschlüsselungstechnologien und Dokumentation des Schlüsselmanagements.
- Regelmäßige Überprüfung und Anpassung kryptografischer Verfahren.
10. Sicherheit des Personals
10.1. Sicherheit des Personals
- Schulungen und Verpflichtungen zur Einhaltung von Sicherheitsstandards.
10.2. Zuverlässigkeitsüberprüfung
- Sicherstellung, dass sicherheitskritische Rollen nur von geprüften Personen übernommen werden.
10.3. Verfahren zur Beendigung oder Änderung des Beschäftigungsverhältnisses
- Rückgabe oder Löschung aller zugewiesenen Ressourcen.
10.4. Disziplinarverfahren
- Entwicklung und Umsetzung eines Verfahrens zur Handhabung von Sicherheitsverstößen.
11. Zugriffskontrolle
11.1. Konzept für die Zugriffskontrolle
- Definition von Richtlinien für logischen und physischen Zugang.
11.2. Management von Zugangs- und Zugriffsrechten
- Regelmäßige Überprüfung und Anpassung von Berechtigungen.
11.3. Privilegierte Konten und Systemverwaltungskonten
- Einführung strenger Authentifizierungs- und Genehmigungsverfahren.
11.4. Systemverwaltungssysteme
- Beschränkung und Kontrolle der Nutzung von Verwaltungssystemen.
11.5. Identifizierung
- Verwaltung des gesamten Lebenszyklus von Nutzerkennungen.
11.6. Authentifizierung
- Verwendung starker Authentifizierungsverfahren.
11.7. Multifaktor-Authentifizierung
- Pflicht zur Nutzung von MFA bei sensiblen Zugriffen.
12. Anlagen- und Werte-Management
12.1. Anlagen- und Werteklassifizierung
- Entwicklung eines Klassifizierungssystems für sensible Daten.
12.2. Behandlung von Anlagen und Werten
- Regelungen zur sicheren Nutzung und Entsorgung.
12.3. Konzept für Wechseldatenträger
- Kontrolle der Nutzung und automatische Verschlüsselung von Wechseldatenträgern.
12.4. Anlagen- und Werteinventar
- Pflege eines aktuellen Inventars aller Anlagen.
12.5. Abgabe, Rückgabe oder Löschung von Anlagen und Werten bei Beendigung des Beschäftigungsverhältnisses
- Sicherstellung der Rückgabe oder Löschung bei Ausscheiden von Mitarbeitenden.
13. Sicherheit des Umfelds und physische Sicherheit
13.1. Unterstützende Versorgungsleistungen
- Sicherstellung der Versorgung durch redundante Systeme.
13.2. Schutz vor physischen Bedrohungen und Bedrohungen des Umfelds
- Schutzmaßnahmen gegen Naturkatastrophen und kriminelle Handlungen.
13.3. Perimeter und physische Zutrittskontrolle
- Definition von Sicherheitszonen und Zugangskontrollen.
Für eine Zusammenfassung der Anforderungen:
0. Geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen
- Die Maßnahmen müssen branchenüblich und angemessen sein („Stand der Technik“ gemäß §30 BSIG und Art. 32 DSGVO).
- Normen:
- Einschlägige europäische und internationale Standards wie ISO27001 werden herangezogen.
- BSI-Grundschutz und TISAX könnten als nationale Standards genutzt werden.
- Ziele:
- Schutz der Verfügbarkeit, Integrität und Vertraulichkeit informationstechnischer Systeme.
- Minimierung der Auswirkungen von Sicherheitsvorfällen.
Berücksichtigung der Verhältnismäßigkeit:
- Faktoren:
- Risikoexposition, Unternehmensgröße, Umsetzungskosten.
- Eintrittswahrscheinlichkeit und Schadensausmaß (auch gesellschaftliche Auswirkungen).
- Empfehlung:
- Systematische Prüfung und Dokumentation dieser Faktoren.
Dokumentation:
- Informationssicherheits-Leitlinie (z. B. nach ISO27001).
- Ergänzende Richtlinien wie IT-Sicherheitsrichtlinien, Administrationsrichtlinien.
1. Konzept für Netz- und Informationssicherheit
Inhalte eines Sicherheitskonzepts:
- Strategieansatz:
- Darstellung des Sicherheitsmanagements im Einklang mit der Geschäftsstrategie.
- Sicherheitsziele:
- Definition und kontinuierliche Verbesserung der Sicherheitsmaßnahmen.
- Ressourcenbereitstellung:
- Ausreichende finanzielle, personelle und technische Mittel.
- Kommunikation und Anerkennung:
- Konzept ist Mitarbeitenden und relevanten Externen zu vermitteln.
- Überwachung:
- Einführung von KPIs wie Anzahl von Sicherheitsvorfällen oder Verfügbarkeit.
- Genehmigung und regelmäßige Aktualisierung:
- Konzept wird jährlich geprüft und angepasst.
Rollen und Verantwortlichkeiten:
- Zuordnung von Verantwortlichkeiten:
- Pflicht zur Benennung eines Informationssicherheitsbeauftragten (ISB).
- Überprüfung und Anpassung:
- Regelmäßige Evaluierung von Rollen und Zuständigkeiten.
2. Risikoanalyse und Risikomanagement
Risikomanagementrahmen:
- Entwicklung eines Verfahrens zur Identifikation, Analyse und Behandlung von Risiken.
- Durchführung regelmäßiger Risikobewertungen.
- Berücksichtigung von:
- Toleranzschwellen, Kosten-Nutzen-Verhältnissen und Ergebnissen der Risikoanalyse.
Überwachung und Einhaltung:
- Regelmäßige Prüfung:
- Sicherstellung der Einhaltung von Konzepten und Normen.
- Berichterstattung:
- Leitungsorgane erhalten regelmäßige Berichte zum Sicherheitsstatus.
Unabhängige Überprüfungen:
- Externe oder interne Prüfungen durch unabhängige und qualifizierte Personen.
- Ergebnisse werden an die Leitungsorgane gemeldet.
3. Sicherheitsvorfälle und Krisenmanagement
Bewältigung von Sicherheitsvorfällen:
- Konzept:
- Zeitnahe Erkennung, Eindämmung, Beseitigung und Wiederherstellung.
- Einführung eines Kategorisierungssystems und Eskalationsprozesses.
- Kommunikation:
- Austausch mit CSIRTs und relevanten Behörden.
- Protokollierung:
- Dokumentation aller Maßnahmen und Sammlung von Nachweisen.
Nachträgliche Überprüfungen:
- Ursachenanalyse und Optimierung der Sicherheitsmaßnahmen nach Vorfällen.
Krisenmanagement:
- Notfallpläne:
- Sicherstellung der Betriebswiederherstellung und -kontinuität.
- Tests und regelmäßige Updates zur Wirksamkeit.
4. Sicherheit der Lieferkette
Sicherheitsmaßnahmen:
- Entwicklung eines Lieferkettensicherheitskonzepts.
- Kriterien:
- Sicherheitsstandards der Anbieter und Fähigkeit zur Erfüllung von Anforderungen.
- Verträge:
- Einbindung von Sicherheitsanforderungen und Schwachstellenmanagement.
- Überwachung:
- Regelmäßige Überprüfung der Cybersicherheitsverfahren von Anbietern.
Anbieter- und Dienstleisterverzeichnis:
- Erstellung und Pflege einer aktuellen Liste aller Anbieter und ihrer Leistungen.
5. Sicherheitsmaßnahmen für Systeme und Prozesse
Sicherer Entwicklungszyklus:
- Vorgaben:
- Sicherheitsanforderungen für alle Entwicklungsphasen und Testdaten.
- Auslagerung:
- Anwendung der gleichen Sicherheitsstandards auf externe Entwickler.
Änderungs- und Konfigurationsmanagement:
- Änderungen und Konfigurationen müssen dokumentiert und regelmäßig überprüft werden.
Schwachstellenmanagement:
- Maßnahmen:
- Scans, Behebung und Dokumentation von Schwachstellen.
- Koordinierte Offenlegung nach nationalen Vorgaben.
6. Zugriffskontrolle und Identitätsmanagement
Zugriffsrichtlinien:
- Regelung des physischen und logischen Zugangs.
- Management:
- Rechtevergabe nach „Need-to-know“ und „Need-to-use“.
Authentifizierung:
- Einsatz starker Verfahren wie Multifaktor-Authentifizierung.
- Regulierung inaktiver Sitzungen und privilegierter Konten.
7. Sensibilisierung und Schulungen
- Schulungsprogramme:
- Regelmäßige Unterweisungen in Cyberhygiene und sicherem Verhalten.
- Personalsicherheit:
- Zuverlässigkeitsprüfungen für sicherheitskritische Rollen.
8. Kryptografie
- Sicherstellung der Vertraulichkeit, Integrität und Authentizität durch Kryptografie.
- Verwendung geeigneter Schlüsselmanagementverfahren und Verschlüsselungstechnologien.
10. Anlagen- und Werteverwaltung
Inventarisierung und Klassifizierung:
- Einführung eines Systems zur Kategorisierung und Verwaltung sensibler Anlagen.
- Richtlinien für Wechseldatenträger:
- Sperrung oder strikte Kontrolle der Nutzung.
Offboarding:
- Rückgabe oder sichere Löschung von Anlagen bei Beendigung des Beschäftigungsverhältnisses
Stand: 27.06.2024
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!