Links, die zurück auf diese Seite führen

• 1.1.1 Sicherheitskonzept inhaltlich festlegen
• 1.2.1 Verantwortlichkeiten und Weisungsbefugnisse festlegen
• 1.2.3 Direkte Sicherheitsverantwortung gegenüber den Leitungsorganen benennen
• 1.2.4 Spezielle Sicherheitsrollen und -aufgaben einrichten
• 1.2.5 Widersprechende Pflichten und Verantwortlichkeiten trennen
• 1.2.6 Rollen und Befugnisse regelmäßig überprüfen
• 1 Konzept für die Sicherheit von Netz- und Informationssystemen
• 2.1.1 Risikomanagementrahmen einführen und aufrechterhalten
• 2.1.3 Risikobehandlungsoptionen risikobasiert priorisieren
• 2.1.4 Risikobewertung und Risikobehandlungsplan regelmäßig aktualisieren
• 2.2.3 Maßnahmen zur Überwachung der Einhaltung durchführen
• 2.3.1 Sicherheitsmanagement unabhängig überprüfen
• 2.3.2 Verfahren für unabhängige Überprüfungen festlegen
• 2.3.3 Prüfergebnisse berichten und Korrekturmaßnahmen einleiten
• 2.3.4 Unabhängige Überprüfungen regelmäßig durchführen
• 3.1.1 Konzept zur Bewältigung von Sicherheitsvorfällen festlegen
• 3.1.2 Inhalte des Konzepts zur Vorfallbewältigung festlegen
• 3.1.3 Rollen und Verfahren der Vorfallbewältigung testen und aktualisieren
• 3.2.1 Systemaktivitäten überwachen und protokollieren
• 3.2.2 Überwachung automatisieren und Fehlmeldungen minimieren
• 3.2.3 Umfang und Inhalte der Protokollierung festlegen
• 3.2.4 Protokolle auswerten und Alarmierung sicherstellen
• 3.2.5 Protokolle aufbewahren und schützen
• 3.2.6 Zeitsynchronisation und Verfügbarkeit der Protokollierung sicherstellen
• 3.2.7 Protokollierungsverfahren und erfasste Anlagen regelmäßig überprüfen
• 3.3.1 Meldemechanismus für verdächtige Ereignisse einrichten
• 3.3.2 Anbieter, Kunden und Mitarbeitende zum Meldemechanismus informieren
• 3.4.1 Verdächtige Ereignisse bewerten und klassifizieren
• 3.4.2 Kriterien und Verfahren zur Ereignisklassifizierung anwenden
• 3.5.1 Auf Sicherheitsvorfälle zeitnah reagieren
• 3.5.2 Sicherheitsvorfälle eindämmen, beseitigen und Wiederherstellung einleiten
• 3.5.3 Kommunikation bei Sicherheitsvorfällen planen
• 3.5.4 Reaktionstätigkeiten protokollieren und Nachweise sichern
• 3.5.5 Verfahren zur Vorfallreaktion regelmäßig testen
• 3.6.1 Nachträgliche Überprüfungen von Sicherheitsvorfällen durchführen
• 3.6.2 Erkenntnisse aus Sicherheitsvorfällen in Verbesserungen überführen
• 3.6.3 Durchführung nachträglicher Überprüfungen regelmäßig kontrollieren
• 4.1.1 Notfallplan zur Aufrechterhaltung und Wiederherstellung festlegen
• 4.1.2 Inhalte und Wiederherstellungsabläufe des Notfallplans festlegen
• 4.1.3 Betriebliche Auswirkungen analysieren und Kontinuitätsanforderungen bestimmen
• 4.1.4 Notfallplan regelmäßig testen und aktualisieren
• 4.2.1 Datensicherungen und redundante Ressourcen bereitstellen
• 4.2.2 Sicherungspläne festlegen
• 4.2.3 Integrität der Sicherungskopien regelmäßig prüfen
• 4.2.4 Ausreichende Ressourcenredundanz gewährleisten
• 4.2.5 Ressourcen an Sicherungs- und Redundanzanforderungen ausrichten
• 4.2.6 Wiederherstellung und Redundanzen regelmäßig testen
• 4.3.1 Verfahren für das Krisenmanagement festlegen
• 4.3.2 Rollen, Kommunikation und Sicherheitsmaßnahmen für Krisen festlegen
• 4.3.3 Behördliche Sicherheitsinformationen verwalten und nutzen
• 4.3.4 Krisenmanagementplan regelmäßig testen und aktualisieren
• 4 Betriebskontinuitäts- und Krisenmanagement
• 5.1.1 Konzept für die Sicherheit der Lieferkette festlegen und umsetzen
• 5.1.2 Auswahlkriterien für Anbieter und Diensteanbieter festlegen
• 5.1.3 Koordinierte Risikobewertungen kritischer Lieferketten berücksichtigen
• 5.1.4 Cybersicherheitsanforderungen vertraglich vereinbaren
• 5.1.5 Sicherheitskriterien bei Auswahl und Vergabe anwenden
• 5.1.6 Lieferkettensicherheit und Anbieteränderungen überwachen
• 5.1.7 Anbieterleistungen, Sicherheitsvorfälle und Risiken überprüfen
• 5.2 Anbieter- und Diensteanbieterverzeichnis führen
• 6.1.1 Sicherheitsrisiken beim Erwerb von IKT managen
• 6.1.2 Sicherheitsanforderungen für den IKT-Erwerb festlegen
• 6.1.3 Verfahren für den IKT-Erwerb regelmäßig überprüfen
• 6.2.1 Vorschriften für sichere Entwicklung festlegen und anwenden
• 6.2.2 Sicherheitsanforderungen im Entwicklungszyklus umsetzen
• 6.2.3 Sicherheitsvorgaben bei ausgelagerter Entwicklung anwenden
• 6.2.4 Entwicklungsvorschriften regelmäßig überprüfen
• 6.3.1 Sichere Konfigurationen festlegen, dokumentieren und überwachen
• 6.3.2 Sichere Konfigurationen durchsetzen
• 6.3.3 Konfigurationen regelmäßig überprüfen und aktualisieren
• 6.4.1 Verfahren für das Änderungsmanagement anwenden
• 6.4.2 Änderungen dokumentieren, testen und bewerten
• 6.4.3 Notfalländerungen nachträglich dokumentieren
• 6.4.4 Änderungsmanagementverfahren regelmäßig überprüfen
• 6.5.1 Konzept und Verfahren für Sicherheitsprüfungen festlegen
• 6.5.2 Sicherheitsprüfungen risikobasiert planen und durchführen
• 6.5.3 Sicherheitsprüfungskonzept regelmäßig überprüfen
• 6.6.1 Sicherheitspatches kontrolliert und zeitnah anwenden
• 6.6.2 Verzicht auf Sicherheitspatches dokumentieren und begründen
• 6.7.1 Netz- und Informationssysteme vor Cyberbedrohungen schützen
• 6.7.2 Maßnahmen zur Netzwerksicherheit umsetzen
• 6.7.3 Maßnahmen zur Netzwerksicherheit regelmäßig überprüfen
• 6.8.1 Systeme und Netze risikobasiert segmentieren
• 6.8.2 Sicherheitsanforderungen an Netzsegmente und Zonen umsetzen
• 6.8.3 Netzsegmentierung regelmäßig überprüfen
• 6.9.1 Systeme vor Schadsoftware und nicht genehmigter Software schützen
• 6.9.2 Schadsoftware und nicht genehmigte Software erkennen und verhindern
• 6.10.1 Technische Schwachstellen identifizieren und behandeln
• 6.10.2 Verfahren für das Schwachstellenmanagement umsetzen
• 6.10.3 Schwachstellenminderung planen oder Verzicht begründen
• 6.10.4 Informationskanäle zu Schwachstellen regelmäßig überprüfen
• 6 Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
• 7.1 Wirksamkeitsbewertung von Cybersicherheitsmaßnahmen festlegen
• 7.2 Überwachung und Messung der Maßnahmenwirksamkeit bestimmen
• 7.3 Verfahren zur Wirksamkeitsbewertung regelmäßig überprüfen
• 8.1.1 Bewusstsein für Cyberrisiken und Cyberhygiene sicherstellen
• 8.1.2 Sensibilisierungsprogramm einführen und durchführen
• 8.1.3 Wirksamkeit des Sensibilisierungsprogramms prüfen und aktualisieren
• 8.2.1 Sicherheitsrelevante Rollen ermitteln und regelmäßig schulen
• 8.2.2 Rollenbezogenes Schulungsprogramm einführen
• 8.2.3 Schulungsinhalte festlegen und Wirksamkeit bewerten
• 8.2.4 Mitarbeitende bei Wechsel in sicherheitsrelevante Rollen schulen
• 8.2.5 Schulungsprogramm regelmäßig aktualisieren und durchführen
• 9.1 Konzept und Verfahren für Kryptografie festlegen
• 9.2 Kryptografische Maßnahmen und Schlüsselmanagement regeln
• 9.3 Kryptografiekonzept regelmäßig überprüfen
• 10.1.1 Sicherheitsverantwortung von Personal und Anbietern verbindlich machen
• 10.1.2 Verständnis und Einhaltung der Sicherheitsverantwortung sicherstellen
• 10.1.3 Rollen- und Ressourcenzuweisung regelmäßig überprüfen
• 10.2.1 Zuverlässigkeitsüberprüfungen risikobasiert durchführen
• 10.2.2 Kriterien und Ablauf für Zuverlässigkeitsüberprüfungen festlegen
• 10.2.3 Konzept für Zuverlässigkeitsüberprüfungen regelmäßig aktualisieren
• 10.3.1 Fortgeltende Sicherheitspflichten vertraglich festlegen
• 10.3.2 Fortgeltende Pflichten in Vertragsbedingungen aufnehmen
• 10.4.1 Disziplinarverfahren bei Sicherheitsverstößen einführen
• 10.4.2 Disziplinarverfahren regelmäßig überprüfen
• 11.1.1 Konzepte für logische und physische Zugriffskontrolle festlegen
• 11.1.2 Geltungsbereich und Authentifizierung der Zugriffskontrolle bestimmen
• 11.1.3 Zugriffskontrollkonzepte regelmäßig überprüfen
• 11.2.1 Zugangs- und Zugriffsrechte verwalten und dokumentieren
• 11.2.2 Grundsätze für die Vergabe und Entziehung von Rechten anwenden
• 11.2.3 Zugangs- und Zugriffsrechte regelmäßig überprüfen
• 11.3.1 Privilegierte Konten und Verwaltungskonten geregelt verwalten
• 11.3.2 Sicherheitsanforderungen für privilegierte Konten umsetzen
• 11.3.3 Privilegierte Zugriffsrechte regelmäßig überprüfen
• 11.4.1 Nutzung von Systemverwaltungssystemen beschränken und kontrollieren
• 11.4.2 Systemverwaltungssysteme trennen und schützen
• 11.5.1 Identitätslebenszyklus vollständig verwalten
• 11.5.2 Eindeutige Kennungen einrichten und überwachen
• 11.5.3 Gemeinsam genutzte Kennungen kontrolliert genehmigen
• 11.5.4 Kennungen regelmäßig überprüfen und deaktivieren
• 11.6.1 Sichere Authentifizierungsverfahren einsetzen
• 11.6.2 Authentifizierungsinformationen sicher verwalten
• 11.6.3 Moderne risikogerechte Authentifizierungsmethoden verwenden
• 11.6.4 Authentifizierungsverfahren regelmäßig überprüfen
• 11.7.1 Mehrfaktor- oder kontinuierliche Authentifizierung einsetzen
• 11.7.2 Authentifizierungsstärke an die Schutzklasse anpassen
• 12.1.1 Schutzklassen für Anlagen, Werte und Informationen festlegen
• 12.1.2 Klassifizierungssystem einführen und Werte zuordnen
• 12.1.3 Klassifizierungsstufen regelmäßig überprüfen
• 12.2.1 Konzept zur sicheren Behandlung von Anlagen und Werten festlegen
• 12.2.2 Sichere Behandlung über den gesamten Lebenszyklus regeln
• 12.2.3 Behandlungskonzept regelmäßig überprüfen
• 12.3.1 Konzept für das Management von Wechseldatenträgern festlegen
• 12.3.2 Wechseldatenträger technisch kontrollieren und schützen
• 12.3.3 Wechseldatenträgerkonzept regelmäßig überprüfen
• 12.4.1 Vollständiges Anlagen- und Werteinventar führen
• 12.4.2 Inhalt und Granularität des Inventars festlegen
• 12.4.3 Inventar regelmäßig aktualisieren und Änderungen dokumentieren
• 12.5 Anlagen und Werte bei Vertragsende zurückgeben oder löschen
• 13.1.1 Ausfälle unterstützender Versorgungsleistungen beherrschen
• 13.1.2 Schutz und Redundanz der Versorgungsleistungen sicherstellen
• 13.1.3 Schutzmaßnahmen für Versorgungsleistungen regelmäßig testen
• 13.2.1 Folgen physischer und umgebungsbezogener Bedrohungen begrenzen
• 13.2.2 Umgebungsschutz und Kontrollwerte festlegen und überwachen
• 13.2.3 Schutzmaßnahmen gegen Umgebungsbedrohungen regelmäßig testen
• 13.3.1 Unbefugten physischen Zutritt verhindern und überwachen
• 13.3.2 Sicherheitsperimeter und physische Zutrittskontrollen umsetzen
• 13.3.3 Physische Zutrittskontrollen regelmäßig testen
• NIS2-Maßnahmenkatalog