Cloud-Compliance Kompetenz

Kernforderungen des NIS2UmsuCG

von

admin
in

Wenn man den Referentenentwurf und das Diskussionspapier zum NIS-2 Umsetzungsgesetz nach konkreten Anforderungen durchsucht, muss man etwas Geduld mitbringen.

Natürlich werden zunächst die Begrifflichkeiten erläutert und festgelegt, an wen sich die Regulierung genau wendet.

Wenn man aber bei §30 angekommen ist, wird es plötzlich ganz konkret. Dort steht „plötzlich“ folgendes.

Maßnahmen nach Absatz 1 sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einemgefahrenübergreifenden Ansatz beruhen. Die Maßnahmen müssen zumindest Folgendesumfassen:

  1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
  2. Bewältigung von Sicherheitsvorfällen,
  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nacheinem Notfall, und Krisenmanagement,
  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
  7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
  8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Der Dreh- und Angelpunkt steht ganz oben und während die meisten Folgepunkte abstrakt bleiben wird es in Satz 10 sehr konkret.

§30 (und §31) gelten übrigens nicht für die Telekommunikations- und Energienetzbetrieber sowie die Gesellschaft für Telematik und Betreiber von Telematikinfrastruktur.

Das Diskussionspapier zum NIS2umsuCG ist hier verfügbar:
https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/referentenentwuerfe/CI1/NIS-2-UmsetzungWirtschaft_DisP.html

Die originale NIS-2 Richtlinie ist hier verfügbar:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555