====== 1.1.1 Sicherheitskonzept inhaltlich festlegen ====== ===== Quelle / Referenzanforderung ===== ^ Feld ^ Eintrag ^ | Referenz | Durchführungsverordnung (EU) 2024/2690, Anhang, Nummer 1.1.1 | | Quelltitel | Konzept für die Sicherheit von Netz- und Informationssystemen | | Kontrolltyp | Governance / Policy | | Rechtscharakter im Katalog | Referenzanforderung; konkrete Anwendbarkeit kundenseitig zu bewerten | Für die Zwecke von Artikel 21 Absatz 2 Buchstabe a der Richtlinie (EU) 2022/2555 muss das Konzept für die Sicherheit von Netz- und Informationssystemen * a) den Ansatz der betreffenden Einrichtungen für das Management der Sicherheit ihrer Netz- und Informationssysteme darlegen; * b) für die Geschäftsstrategie und die Ziele der betreffenden Einrichtungen geeignet sein und diese ergänzen; * c) die Ziele der Sicherheit von Netz- und Informationssystemen darlegen; * d) eine Verpflichtung zur kontinuierlichen Verbesserung der Sicherheit von Netz- und Informationssystemen enthalten; * e) eine Verpflichtung enthalten, die für seine Umsetzung erforderlichen angemessenen Ressourcen bereitzustellen, einschließlich des erforderlichen Personals, der erforderlichen Finanzmittel sowie der Verfahren, Instrumente und Technologien; * f) den einschlägigen Mitarbeitenden und interessierten externen Beteiligten mitgeteilt und von ihnen anerkannt werden; * g) die Festlegung der Rollen und Verantwortlichkeiten gemäß Nummer 1.2 enthalten; * h) die aufzubewahrenden Unterlagen und die Dauer ihrer Aufbewahrung aufführen; * i) die themenspezifischen Konzepte aufführen; * j) Indikatoren und Maßnahmen zur Überwachung seiner Umsetzung und des aktuellen Reifegrads der Netz- und Informationssicherheit in den betreffenden Einrichtungen festlegen; * k) das Datum der förmlichen Genehmigung durch die Leitungsorgane der betreffenden Einrichtungen (im Folgenden „Leitungsorgane“) enthalten. ===== Allgemeine Erläuterung der Maßnahme ===== Die Maßnahme fordert ein verbindliches, von den Leitungsorganen genehmigtes Sicherheitskonzept. Es muss zur Geschäftsstrategie passen, Ziele und Verantwortlichkeiten festlegen, Ressourcen absichern und die Grundlage für themenspezifische Regelungen sowie die kontinuierliche Verbesserung bilden. ==== Allgemeine SOLL-Ableitung ==== ^ Anforderung ^ Erwartetes Ergebnis ^ | Geltungs- und Steuerungsansatz | Der Ansatz zum Management der Netz- und Informationssicherheit ist beschrieben. | | Geschäftsbezug | Sicherheitsziele unterstützen Geschäftsstrategie und Unternehmensziele. | | Verantwortung und Ressourcen | Rollen, Weisungsbefugnisse, Personal, Finanzmittel, Verfahren und Technologien sind berücksichtigt. | | Kommunikation | Relevante Mitarbeitende und externe Beteiligte kennen und bestätigen die für sie geltenden Vorgaben. | | Dokumentationssystem | Aufbewahrung, themenspezifische Konzepte und mitgeltende Unterlagen sind geregelt. | | Überwachung | Indikatoren für Umsetzung und Reifegrad sind festgelegt. | | Genehmigung | Das Leitungsorgan genehmigt das Konzept förmlich und nachvollziehbar. | ===== Fachliche Vorbelegung aus dem Katalog ===== Die folgenden Werte sind Startvorschläge. Sie sind bei der kundenspezifischen Bearbeitung zu bestätigen oder begründet anzupassen. ^ Feld ^ Vorbelegung ^ | Priorität | mittel | | Verantwortliche Rolle | ISB / NIS2-Koordination | | Kontrollfrequenz | jährlich | | Allgemeiner Nachweishinweis | Leitlinien, Richtlinien, Organigramm, Verantwortlichkeiten, Beschluss des Leitungsorgans | ===== Kundenspezifische Bearbeitung ===== {(improg>type=improg |value=5 |id=010101 |name=1.1.1 Sicherheitskonzept inhaltlich festlegen )} ^ Feld ^ Aktueller Eintrag ^ | Anwendbarkeit / Relevanz | offen; kundenseitig zu bewerten | | Erwartungshaltung | offen; aus der allgemeinen SOLL-Ableitung kundenspezifisch zu bestimmen | | Betroffene Bereiche | aus Unternehmens- und Leistungsstruktur abzuleiten | | Verantwortlichkeit | ISB / NIS2-Koordination; Vorbelegung, zu bestätigen | | Mitwirkende | Leitungsorgan, Fachbereiche, IT/OT und relevante Dienstleister; zu konkretisieren | | Priorität | mittel; Vorbelegung, zu bestätigen | | Zieltermin | offen | | Kontrollfrequenz | jährlich; Vorbelegung, zu bestätigen | | Aktueller Stand | noch nicht erhoben | | Kommentar | keine kundenspezifische Bewertung vorgenommen | | bearbeitet am | offen | | bearbeitet von | offen | ===== Offene Punkte / nächste Schritte ===== ^ Erwartetes Ergebnis ^ Aktueller Stand ^ Nächster Schritt ^ Verantwortlich ^ Status ^ | Sicherheitskonzept ist vorhanden und formal genehmigt. | nicht erhoben | Vorhandene Konzepte und Beschlüsse ermitteln. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen | | Geschäfts- und Sicherheitsziele sind miteinander verknüpft. | nicht erhoben | Strategie, Ziele und Sicherheitsziele abgleichen. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen | | Rollen und Ressourcen sind verbindlich geregelt. | nicht erhoben | Rollen, Weisungsbefugnisse und Ressourcen dokumentieren. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen | | Kommunikation und Anerkennung sind nachweisbar. | nicht erhoben | Adressaten, Kommunikationsweg und Bestätigung festlegen. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen | | Dokumentation, Aufbewahrung und Teilkonzepte sind geregelt. | nicht erhoben | Dokumentenstruktur und Aufbewahrungsregeln erfassen. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen | | Umsetzung und Reifegrad werden überwacht. | nicht erhoben | geeignete Kennzahlen und Berichtswege bestimmen. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen | ===== Nachweise ===== ^ Nachweisart ^ Erwarteter Nachweis / Standort ^ Status ^ | Sicherheitskonzept | freigegebenes Konzept mit Version, Geltungsbereich und Genehmigungsdatum | {{:intern:1star.gif?nolink|offen}} offen | | Beschluss des Leitungsorgans | Protokoll oder formaler Genehmigungsnachweis | {{:intern:1star.gif?nolink|offen}} offen | | Rollen- und Ressourcenfestlegung | Organigramm, Rollenbeschreibung, Budget- oder Ressourcenentscheidung | {{:intern:1star.gif?nolink|offen}} offen | | Kommunikationsnachweis | Veröffentlichung, Schulung, Kenntnisnahme oder Verpflichtung | {{:intern:1star.gif?nolink|offen}} offen | | Dokumenten- und Aufbewahrungsregelung | Dokumentenliste, Aufbewahrungsfristen und themenspezifische Konzepte | {{:intern:1star.gif?nolink|offen}} offen | | Wirksamkeitsnachweis | Kennzahlen, Managementbericht und dokumentierte Verbesserungen | {{:intern:1star.gif?nolink|offen}} offen | * [[https://demo.nis2-isms.de/doku.php?id=nis2:nachweise:formular&%40Ma%C3%9Fnahmen-ID%40=010101&%40Ma%C3%9Fnahmenseite%40=nis2%3Amassnahmen%3A01%3A01%3A01|Nachweisdatei im Wiki erfassen]] * [[https://demo.nis2-isms.de/doku.php?id=nis2:nachweise:formular_extern&%40Ma%C3%9Fnahmen-ID%40=010101&%40Ma%C3%9Fnahmenseite%40=nis2%3Amassnahmen%3A01%3A01%3A01|Extern abgelegten Nachweis erfassen]] * [[https://demo.nis2-isms.de/doku.php?id=start&do=search&q=%40nis2%3Anachweise%3A010101|Nachweise dieser Maßnahme anzeigen]] ===== Verknüpfungen ===== * Kategorie: [[nis2:massnahmen:01:start|1 Konzept für die Sicherheit von Netz- und Informationssystemen]] * Unterkategorie: [[nis2:massnahmen:01:start|1.1 Konzept für die Sicherheit von Netz- und Informationssystemen]] * Erläuterungen: [[nis2:massnahmen:erlaeuterungen|Status, Vorbelegungen und Bearbeitung]] ===== Änderungshistorie ===== Die redaktionellen Änderungen dieser Maßnahmenseite werden automatisch von DokuWiki geführt. * [[https://demo.nis2-isms.de/doku.php?id=nis2:massnahmen:01:01:01&do=revisions|Versionen und Änderungen dieser Maßnahme]] Die Wiki-Historie ersetzt nicht den fachlichen Umsetzungs- oder Wirksamkeitsnachweis.