Im Mittelpunkt der NIS-2-Anforderungen für wichtige und besonders wichtige Einrichtungen stehen die Maßnahmen zum Risikomanagement. Diese Maßnahmen müssen gemäß Artikel 21 den „Stand der Technik“ und ggf. „einschlägige europäische und internationale Normen“ berücksichtigen. Im aktuellen Diskussionspapier zum „Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit“ (NIS2UmsuCG) wird konkretisiert:
„Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Sötrungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit […] zu vermeiden […)“
Ein bewährtes Verfahren, um dieses Ziel zu erreichen, besteht in der Einführung eines Informationssicherheitsmanagementsystems (ISMS). Dabei gilt ISO 27001:2022 als international anerkannter Standard, der durch die detaillierten Implementierungsempfehlungen der ISO 27002:2022 ergänztwird
Die nachfolgende Zuordnung der NIS-2-Anforderungen zur ISO 27001/27002 gibt einen Überblick über die relevanten Maßnahmen. Diese Übersicht ist unter Vorbehalt zu sehen. Es besteht kein Anspruch auf Richtigkeit oder Vollständigkeit. Zudem sind zusätzliche Maßnahmen notwendig, die z.B. aus Artikel 20 (Governance) abgeleitet werden können. Auf diese wird hier nicht weiter eingegangen.
Artikel 21: Risikomanagementmaßnahmen im Bereich der Cybersicherheit
a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
- 6.1 Maßnahmen zum Umgang mit Risiken und Chancen
- 8.2 Informationssicherheitsrisikobeurteilung
- 8.3 Informationssicherheitsrisikobehandlung
- A.5.1 Informationssicherheitsrichtlinien
b) Bewältigung von Sicherheitsvorfällen
- A.5.5 Kontakt mit Behörden
- A.5.6 Kontakt mit speziellen Interessensgruppen
- A.5.24 Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen
- A.5.25 Beurteilung und Entscheidung über Informationssicherheitsereignisse
- A.5.26 Reaktion auf Informationssicherheitsvorfälle
- A.5.27 Erkenntnisse aus Informationssicherheitsvorfällen
- A.5.28 Sammeln von Beweismaterial
- A.6.8 Meldung von Informationssicherheitsereignissen
- A.8.16 Überwachung von Aktivitäten
c) Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
- A.5.29 Informationssicherheit bei Störungen
- A.5.30 IKT-Bereitschaft für Business Continuity
- A.8.13 Sicherung von Information
- A.8.14 Redundanz von informationsverarbeitenden Einrichtungen
- A.8.15 Protokollierung
- A.8.16 Überwachung von Aktivitäten
d) Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
- A.5.19 Informationssicherheit in Lieferantenbeziehungen
- A.5.20 Behandlung von Informationssicherheit in Lieferantenvereinbarungen
- A.5.21 Umgang mit der Informationssicherheit in der IKT-Lieferkette
- A.5.22 Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
- A.5.23 Informationssicherheit für die Nutzung von Cloud-Diensten
e) Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
- A.5.20 Behandlung von Informationssicherheit in Lieferantenvereinbarungen
- A.5.24 Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen
- A.5.37 Dokumentierte Betriebsabläufe
- A.6.8 Meldung von Informationssicherheitsereignissen
- A.8.8 Handhabung von technischen Schwachstellen
- A.8.9 Konfigurationsmanagement
- A.8.20 Netzwerksicherheit
- A.8.21 Sicherheit von Netzwerkdiensten
f) Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- 9 Bewertung der Leistung
- A.5.35 Unabhängige Überprüfung der Informationssicherheit
- A.5.36 Einhaltung von Richtlinien, Vorschriften und Normen für die Informationssicherheit
g) grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
- 7.3 Bewusstsein
- 7.4 Kommunikation
- A.5.15 Zugangssteuerung
- A.5.16 Identitätsmanagement
- A.5.18 Zugangsrechte
- A.5.24 Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen
- A.6.3 Informationssicherheitsbewusstsein, -ausbildung und -schulung
- A.6.5 Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung
- A.6.8 Meldung von Informationssicherheitsereignissen
- A.8.2 Privilegierte Zugangsrechte
- A.8.3 Informationszugangsbeschränkung
- A.8.5 Sichere Authentifizierung
- A.8.7 Schutz gegen Schadsoftware
- A.8.9 Konfigurationsmanagement
- A.8.13 Sicherung von Information
- A.8.15 Protokollierung
- A.8.19 Installation von Software auf Systemen im Betrieb
- A.8.22 Trennung von Netzwerken
h) Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
- A.8.24 Verwendung von Kryptographie
i) Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
- A.5.9 Inventar der Informationen und anderen damit verbundenen Werten
- A.5.10 Zulässiger Gebrauch von Informationen und anderen damit verbundenen Werten
- A.5.11 Rückgabe von Werten
- A.5.15 Zugangssteuerung
- A.6.16 Identitätsmanagement
- A.5.17 Informationen zur Authentifizierung
- A.5.18 Zugangsrechte
- A.6.1 Sicherheitsüberprüfung
- A.6.2 Beschäftigungs- und Vertragsbedingungen
- A.6.4 Maßregelungsprozess
- A.6.5 Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung
- A.6.6 Vertraulichkeits- oder Geheimhaltungsvereinbarungen
j) Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
- A.5.14 Informationsübertragung
- A.5.16 Identitätsmanagement
- A.5.17 Informationen zur Authentifizierung
