====== 9.2 Kryptografische Maßnahmen und Schlüsselmanagement regeln ======

===== Quelle / Referenzanforderung =====

^ Feld ^ Eintrag ^
| Referenz | Durchführungsverordnung (EU) 2024/2690, Anhang, Nummer 9.2 |
| Quelltitel | Anlagen und Werte |
| Kontrolltyp | Access / Assets / HR |
| Rechtscharakter im Katalog | Referenzanforderung; konkrete Anwendbarkeit kundenseitig zu bewerten |

<WRAP box>
In  dem  Konzept  und  den  Verfahren  gemäß  Nummer 9.1  wird  Folgendes festgelegt:  a) im Einklang mit der Einstufung der Anlagen und Werte der betreffenden Einrichtungen die Art, Stärke und Qualität der kryptografischen Maßnahmen, die zum Schutz der Anlagen und Werte der betreffenden Einrichtungen erforderlich sind, einschließlich der Daten, die gespeichert sind oder gerade übermittelt werden;  b) die auf der Grundlage von Buchstabe a anzunehmenden Protokolle oder Protokollfamilien sowie kryptografische Algorithmen, Kryptierungsstärke, kryptografische Lösungen und Nutzungsverfahren, die zu genehmigen und für die Verwendung in den betreffenden Einrichtungen erforderlich sind, – soweit angemessen – nach einem Krypto-Agilitätsansatz;  c) der Ansatz der betreffenden Einrichtungen in Bezug auf das Schlüsselmanagement, – soweit angemessen – einschließlich der Methoden für  d) die Generierung verschiedener Schlüssel für kryptografische Systeme und Anwendungen; i e) die Ausstellung und Erlangung von Public-Key-Zertifikaten; ii f) die Verteilung von Schlüsseln an die vorgesehenen Einrichtungen, einschließlich wie der Schlüssel nach Erhalt zu aktivieren ist; i g) die Speicherung von Schlüsseln, einschließlich wie autorisierte Nutzer Zugang zu Schlüsseln erhalten;  h) die Änderung oder Aktualisierung von Schlüsseln, einschließlich Vorschriften darüber, wann und wie Schlüssel geändert werden können; v i) den Umgang mit beeinträchtigten Schlüsseln; vi j) den Widerruf von Schlüsseln, einschließlich wie Schlüssel zurückzuziehen oder zu deaktivieren sind; vii k) die Wiederherstellung verlorener oder beschädigter Schlüssel; i l) die Sicherung oder Archivierung von Schlüsseln;  m) die Vernichtung von Schlüsseln; x n) die Protokollierung und Prüfung von Managementtätigkeiten im Zusammenhang mit Schlüsseln; xi o) die Festlegung von Aktivierungs- und Deaktivierungsfristen für Schlüssel, damit die Schlüssel nur für den angegebenen Zeitraum gemäß den Vorschriften der Organisation für das Schlüsselmanagement verwendet werden können.
</WRAP>

===== Allgemeine Erläuterung der Maßnahme =====

Diese Maßnahme konkretisiert die Unterkategorie //Anlagen und Werte//. Sie verlangt, dass die oben beschriebene Referenzanforderung für die jeweilige Einrichtung angemessen umgesetzt, dokumentiert und überprüft wird. Die konkrete Ausgestaltung ist aus Organisationsstruktur, Betriebsumfeld, Risiken und rechtlicher Anwendbarkeit abzuleiten.

==== Allgemeine SOLL-Ableitung ====

^ Anforderung ^ Erwartetes Ergebnis ^
| Anwendbarkeit klären | Rechtliche, vertragliche und risikobezogene Relevanz ist nachvollziehbar bewertet. |
| Umsetzung festlegen | Die Referenzanforderung ist in geeignete organisatorische oder technische Regelungen überführt. |
| Verantwortung zuordnen | Verantwortliche und mitwirkende Rollen sind festgelegt. |
| Nachweisbarkeit herstellen | Umsetzung, Entscheidungen und Ergebnisse sind nachvollziehbar dokumentiert. |
| Wirksamkeit überprüfen | Angemessenheit und Wirksamkeit werden risikobasiert oder in vorgegebenen Intervallen überprüft. |

===== Fachliche Vorbelegung aus dem Katalog =====

Die folgenden Werte sind Startvorschläge. Sie sind bei der kundenspezifischen Bearbeitung zu bestätigen oder begründet anzupassen.

^ Feld ^ Vorbelegung ^
| Priorität | hoch |
| Verantwortliche Rolle | IAM-Owner (IT) |
| Kontrollfrequenz | quartal |
| Allgemeiner Nachweishinweis | IAM-Richtlinie, JML-Prozesse, Rezertifizierungen, CMDB/Inventar |

===== Kundenspezifische Bearbeitung =====

{(improg>type=improg
  |value=4
  |id=090201
  |name=9.2 Kryptografische Maßnahmen und Schlüsselmanagement regeln
)}

^ Feld ^ Aktueller Eintrag ^
| Anwendbarkeit / Relevanz | offen; kundenseitig zu bewerten |
| Erwartungshaltung | offen; aus der allgemeinen SOLL-Ableitung kundenspezifisch zu bestimmen |
| Betroffene Bereiche | aus Unternehmens- und Leistungsstruktur abzuleiten |
| Verantwortlichkeit | IAM-Owner (IT); Vorbelegung, zu bestätigen |
| Mitwirkende | kundenspezifisch zu bestimmen |
| Priorität | hoch; Vorbelegung, zu bestätigen |
| Zieltermin | offen |
| Kontrollfrequenz | quartal; Vorbelegung, zu bestätigen |
| Aktueller Stand | noch nicht erhoben |
| Kommentar | keine kundenspezifische Bewertung vorgenommen |
| bearbeitet am | offen |
| bearbeitet von | offen |

===== Offene Punkte / nächste Schritte =====

^ Erwartetes Ergebnis ^ Aktueller Stand ^ Nächster Schritt ^ Verantwortlich ^ Status ^
| Anwendbarkeit ist bewertet. | nicht erhoben | Relevanz und Geltungsbereich mit der Einrichtung klären. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen |
| Erwartungshaltung ist festgelegt. | nicht erhoben | Referenzanforderung in ein kundenspezifisches Ergebnis überführen. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen |
| Aktueller Stand ist erhoben. | nicht erhoben | Vorhandene Regelungen, Verfahren, Systeme und Nachweise aufnehmen. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen |
| Abweichungen und Maßnahmen sind bestimmt. | nicht erhoben | Offene Punkte priorisieren und nächste Schritte festlegen. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen |
| Wirksamkeit ist nachweisbar. | nicht erhoben | Prüfkriterien und geeignete Nachweise festlegen. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen |

===== Nachweise =====

^ Nachweisart ^ Erwarteter Nachweis / Standort ^ Status ^
| Kataloghinweis | IAM-Richtlinie, JML-Prozesse, Rezertifizierungen, CMDB/Inventar; konkreter Nachweis und Ablageort sind kundenspezifisch festzulegen | {{:intern:1star.gif?nolink|offen}} offen |
| Umsetzungsnachweis | geeignete Richtlinie, Verfahrensbeschreibung, Konfiguration, Protokollierung oder sonstiger Umsetzungsbeleg | {{:intern:1star.gif?nolink|offen}} offen |
| Wirksamkeitsnachweis | dokumentierte Prüfung, Kennzahl, Bericht oder nachvollziehbares Prüfergebnis | {{:intern:1star.gif?nolink|offen}} offen |

  * [[https://demo.nis2-isms.de/doku.php?id=nis2:nachweise:formular&%40Ma%C3%9Fnahmen-ID%40=090201&%40Ma%C3%9Fnahmenseite%40=nis2%3Amassnahmen%3A09%3A02%3A01|Nachweisdatei im Wiki erfassen]]
  * [[https://demo.nis2-isms.de/doku.php?id=nis2:nachweise:formular_extern&%40Ma%C3%9Fnahmen-ID%40=090201&%40Ma%C3%9Fnahmenseite%40=nis2%3Amassnahmen%3A09%3A02%3A01|Extern abgelegten Nachweis erfassen]]
  * [[https://demo.nis2-isms.de/doku.php?id=start&do=search&q=%40nis2%3Anachweise%3A090201|Nachweise dieser Maßnahme anzeigen]]

===== Verknüpfungen =====

  * Kategorie: [[nis2:massnahmen:09:start|9 Kryptografie]]
  * Unterkategorie: [[nis2:massnahmen:09:start|Anlagen und Werte]]
  * Erläuterungen: [[nis2:massnahmen:erlaeuterungen|Status, Vorbelegungen und Bearbeitung]]

===== Änderungshistorie =====

Die redaktionellen Änderungen dieser Maßnahmenseite werden automatisch von DokuWiki geführt.

  * [[https://demo.nis2-isms.de/doku.php?id=nis2:massnahmen:09:02:01&do=revisions|Versionen und Änderungen dieser Maßnahme]]

Die Wiki-Historie ersetzt nicht den fachlichen Umsetzungs- oder Wirksamkeitsnachweis.