====== 10.1.2 Verständnis und Einhaltung der Sicherheitsverantwortung sicherstellen ====== ===== Quelle / Referenzanforderung ===== ^ Feld ^ Eintrag ^ | Referenz | Durchführungsverordnung (EU) 2024/2690, Anhang, Nummer 10.1.2 | | Quelltitel | Sicherheit des Personals | | Kontrolltyp | Secure Communications / MFA | | Rechtscharakter im Katalog | Referenzanforderung; konkrete Anwendbarkeit kundenseitig zu bewerten | Die unter Nummer 10.1.1 genannte Anforderung umfasst Folgendes: a) Mechanismen, mit denen sichergestellt wird, dass alle Mitarbeitenden, direkten Anbieter und Diensteanbieter gegebenenfalls die von den betreffenden Einrichtungen gemäß Nummer 8.1 angewandten Standardverfahren im Bereich der Cyberhygiene verstehen und befolgen; b) Mechanismen, mit denen sichergestellt wird, dass sich alle Nutzer mit administrativem oder privilegiertem Zugang ihrer Rollen, Verantwortlichkeiten und Weisungsbefugnisse bewusst sind und entsprechend handeln; c) Mechanismen, mit denen sichergestellt wird, dass die Mitglieder der Leitungsorgane ihre Rollen, Verantwortlichkeiten und Weisungsbefugnisse in Bezug auf die Sicherheit von Netz- und Informationssystemen verstehen und entsprechend handeln; d) Mechanismen für die Einstellung von Personal, das für die jeweiligen Rollen qualifiziert ist, wie z. B. Überprüfung der Referenzen, Überprüfungsverfahren, Validierung von Zeugnissen oder schriftliche Prüfungen. ===== Allgemeine Erläuterung der Maßnahme ===== Diese Maßnahme konkretisiert die Unterkategorie //Sicherheit des Personals//. Sie verlangt, dass die oben beschriebene Referenzanforderung für die jeweilige Einrichtung angemessen umgesetzt, dokumentiert und überprüft wird. Die konkrete Ausgestaltung ist aus Organisationsstruktur, Betriebsumfeld, Risiken und rechtlicher Anwendbarkeit abzuleiten. ==== Allgemeine SOLL-Ableitung ==== ^ Anforderung ^ Erwartetes Ergebnis ^ | Anwendbarkeit klären | Rechtliche, vertragliche und risikobezogene Relevanz ist nachvollziehbar bewertet. | | Umsetzung festlegen | Die Referenzanforderung ist in geeignete organisatorische oder technische Regelungen überführt. | | Verantwortung zuordnen | Verantwortliche und mitwirkende Rollen sind festgelegt. | | Nachweisbarkeit herstellen | Umsetzung, Entscheidungen und Ergebnisse sind nachvollziehbar dokumentiert. | | Wirksamkeit überprüfen | Angemessenheit und Wirksamkeit werden risikobasiert oder in vorgegebenen Intervallen überprüft. | ===== Fachliche Vorbelegung aus dem Katalog ===== Die folgenden Werte sind Startvorschläge. Sie sind bei der kundenspezifischen Bearbeitung zu bestätigen oder begründet anzupassen. ^ Feld ^ Vorbelegung ^ | Priorität | hoch | | Verantwortliche Rolle | Netzwerk/Security (TL) | | Kontrollfrequenz | jährlich | | Allgemeiner Nachweishinweis | MFA-Rollout, sichere Kanäle (TLS/VPN), E-Mail-Schutz (SPF/DKIM/DMARC) | ===== Kundenspezifische Bearbeitung ===== {(improg>type=improg |value=3 |id=100102 |name=10.1.2 Verständnis und Einhaltung der Sicherheitsverantwortung sicherstellen )} ^ Feld ^ Aktueller Eintrag ^ | Anwendbarkeit / Relevanz | offen; kundenseitig zu bewerten | | Erwartungshaltung | offen; aus der allgemeinen SOLL-Ableitung kundenspezifisch zu bestimmen | | Betroffene Bereiche | aus Unternehmens- und Leistungsstruktur abzuleiten | | Verantwortlichkeit | Netzwerk/Security (TL); Vorbelegung, zu bestätigen | | Mitwirkende | kundenspezifisch zu bestimmen | | Priorität | hoch; Vorbelegung, zu bestätigen | | Zieltermin | offen | | Kontrollfrequenz | jährlich; Vorbelegung, zu bestätigen | | Aktueller Stand | noch nicht erhoben | | Kommentar | keine kundenspezifische Bewertung vorgenommen | | bearbeitet am | offen | | bearbeitet von | offen | ===== Offene Punkte / nächste Schritte ===== ^ Erwartetes Ergebnis ^ Aktueller Stand ^ Nächster Schritt ^ Verantwortlich ^ Status ^ | Anwendbarkeit ist bewertet. | nicht erhoben | Relevanz und Geltungsbereich mit der Einrichtung klären. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen | | Erwartungshaltung ist festgelegt. | nicht erhoben | Referenzanforderung in ein kundenspezifisches Ergebnis überführen. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen | | Aktueller Stand ist erhoben. | nicht erhoben | Vorhandene Regelungen, Verfahren, Systeme und Nachweise aufnehmen. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen | | Abweichungen und Maßnahmen sind bestimmt. | nicht erhoben | Offene Punkte priorisieren und nächste Schritte festlegen. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen | | Wirksamkeit ist nachweisbar. | nicht erhoben | Prüfkriterien und geeignete Nachweise festlegen. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen | ===== Nachweise ===== ^ Nachweisart ^ Erwarteter Nachweis / Standort ^ Status ^ | Kataloghinweis | MFA-Rollout, sichere Kanäle (TLS/VPN), E-Mail-Schutz (SPF/DKIM/DMARC); konkreter Nachweis und Ablageort sind kundenspezifisch festzulegen | {{:intern:1star.gif?nolink|offen}} offen | | Umsetzungsnachweis | geeignete Richtlinie, Verfahrensbeschreibung, Konfiguration, Protokollierung oder sonstiger Umsetzungsbeleg | {{:intern:1star.gif?nolink|offen}} offen | | Wirksamkeitsnachweis | dokumentierte Prüfung, Kennzahl, Bericht oder nachvollziehbares Prüfergebnis | {{:intern:1star.gif?nolink|offen}} offen | * [[https://demo.nis2-isms.de/doku.php?id=nis2:nachweise:formular&%40Ma%C3%9Fnahmen-ID%40=100102&%40Ma%C3%9Fnahmenseite%40=nis2%3Amassnahmen%3A10%3A01%3A02|Nachweisdatei im Wiki erfassen]] * [[https://demo.nis2-isms.de/doku.php?id=nis2:nachweise:formular_extern&%40Ma%C3%9Fnahmen-ID%40=100102&%40Ma%C3%9Fnahmenseite%40=nis2%3Amassnahmen%3A10%3A01%3A02|Extern abgelegten Nachweis erfassen]] * [[https://demo.nis2-isms.de/doku.php?id=start&do=search&q=%40nis2%3Anachweise%3A100102|Nachweise dieser Maßnahme anzeigen]] ===== Verknüpfungen ===== * Kategorie: [[nis2:massnahmen:10:start|10 Sicherheit des Personals]] * Unterkategorie: [[nis2:massnahmen:10:start|Sicherheit des Personals]] * Erläuterungen: [[nis2:massnahmen:erlaeuterungen|Status, Vorbelegungen und Bearbeitung]] ===== Änderungshistorie ===== Die redaktionellen Änderungen dieser Maßnahmenseite werden automatisch von DokuWiki geführt. * [[https://demo.nis2-isms.de/doku.php?id=nis2:massnahmen:10:01:02&do=revisions|Versionen und Änderungen dieser Maßnahme]] Die Wiki-Historie ersetzt nicht den fachlichen Umsetzungs- oder Wirksamkeitsnachweis.