Bezüglich NIS-2 sind Vorgaben und Anforderungen im Fluss.
Die aktuellsten Aussagen des BSI zu NIS-2 sind aus dem Oktober 2024.
Diese Aussagen und Hinweise werden sich evtl. noch geringfügig ändern, aber nicht mehr entfallen.
Die aktuellsten Aussagen des BSI zu NIS-2 sind aus dem Oktober 2024.
Diese Aussagen und Hinweise werden sich evtl. noch geringfügig ändern, aber nicht mehr entfallen.
1. Die NIS-2 Richtlinie gilt für staatliche Institutionen und für die Privatwirtschaft.
2. Die NIS-2 Richtlinie gilt nicht für Landesbehörden und deren öffentlichen Verwaltungen (Städte usw.). Die Bundesländer sind aber verpflichtet NIS-2 in Landesrecht zu überführen.
3. Eine ISO-27001-Zertifizierung wird als Nachweis der Anforderungserfüllung seitens des BSI nicht als Nachweis akzeptiert.
4. Die Informationssicherheit muss kontinuierlich verbessert werden.
Folgende Themen sind zu adressieren, also umzusetzen und die Erfüllung nachzuweisen.
Um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten sind technische und organisatorische Maßnahmen zu ergreifen. Diese müssen dem Stand der Technik und anerkannten Normen entsprechen. Dies sind:
- Konzept zur Risikoanalyse
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs, durch Backupmanagement, Wiederherstellung nach Notfall, Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheitsmaßnahmen bzgl. Erwerb, Entwicklung, Wartung von IT-Systemen, Komponenten und Prozessen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von getroffenen Maßnahmen
- Konzepte und Verfahren zur Cyberhygiene und Schulungen
- Konzepte und Verfahren zu Kryptografie und Verschlüsselung
- Sicherheit des Personals, Konzepte zur Zugriffskontrolle, Anlagenmanagement
- Lösungen zur Multi-Faktor-Authentifizierung/kontinuierliche Authentifizierung
- Gesicherte Sprach-, Video- und Textkommunikation
- Ggf. gesicherte Notfallkommunikation innerhalb der Institution
Nach meiner Meinung sind zur Umsetzung und zum Nachweis der oben genannten Anforderungen der IT-Grundschutz (200-3) sowie das Business-Continuity-Management des BSI (200-4) bestens geeignet.
Ich weise darauf hin, dass es nicht verlangt wird den IT-Grundschutz umzusetzen – da aber dort das allermeiste der NIS-2-Anforderungen bereits beschrieben/angeleitet ist, eignet er sich besonders gut um diesen Aufgaben schnell, wirtschaftlich, wirksam und prüfungssicher Genüge zu tun.
Ich weise darauf hin, dass es nicht verlangt wird den IT-Grundschutz umzusetzen – da aber dort das allermeiste der NIS-2-Anforderungen bereits beschrieben/angeleitet ist, eignet er sich besonders gut um diesen Aufgaben schnell, wirtschaftlich, wirksam und prüfungssicher Genüge zu tun.
Weil Sie bis hierher durchgehalten haben, gebe ich Ihnen noch einen Hinweis was dem BSI besonders am Herzen liegt: „das Wichtigste ist Schulung“ … so die Aussage des BSI während des NIS-2-Workshop im Okt. 2024.
Schauen Sie sich bitte opus i an. Ich zeige es Ihnen gerne.
Schauen Sie sich bitte opus i an. Ich zeige es Ihnen gerne.