Inhaltsverzeichnis

1.1.1 Sicherheitskonzept inhaltlich festlegen

Quelle / Referenzanforderung

Feld Eintrag
Referenz Durchführungsverordnung (EU) 2024/2690, Anhang, Nummer 1.1.1
Quelltitel Konzept für die Sicherheit von Netz- und Informationssystemen
Kontrolltyp Governance / Policy
Rechtscharakter im Katalog Referenzanforderung; konkrete Anwendbarkeit kundenseitig zu bewerten

Für die Zwecke von Artikel 21 Absatz 2 Buchstabe a der Richtlinie (EU) 2022/2555 muss das Konzept für die Sicherheit von Netz- und Informationssystemen

  • a) den Ansatz der betreffenden Einrichtungen für das Management der Sicherheit ihrer Netz- und Informationssysteme darlegen;
  • b) für die Geschäftsstrategie und die Ziele der betreffenden Einrichtungen geeignet sein und diese ergänzen;
  • c) die Ziele der Sicherheit von Netz- und Informationssystemen darlegen;
  • d) eine Verpflichtung zur kontinuierlichen Verbesserung der Sicherheit von Netz- und Informationssystemen enthalten;
  • e) eine Verpflichtung enthalten, die für seine Umsetzung erforderlichen angemessenen Ressourcen bereitzustellen, einschließlich des erforderlichen Personals, der erforderlichen Finanzmittel sowie der Verfahren, Instrumente und Technologien;
  • f) den einschlägigen Mitarbeitenden und interessierten externen Beteiligten mitgeteilt und von ihnen anerkannt werden;
  • g) die Festlegung der Rollen und Verantwortlichkeiten gemäß Nummer 1.2 enthalten;
  • h) die aufzubewahrenden Unterlagen und die Dauer ihrer Aufbewahrung aufführen;
  • i) die themenspezifischen Konzepte aufführen;
  • j) Indikatoren und Maßnahmen zur Überwachung seiner Umsetzung und des aktuellen Reifegrads der Netz- und Informationssicherheit in den betreffenden Einrichtungen festlegen;
  • k) das Datum der förmlichen Genehmigung durch die Leitungsorgane der betreffenden Einrichtungen (im Folgenden „Leitungsorgane“) enthalten.

Allgemeine Erläuterung der Maßnahme

Die Maßnahme fordert ein verbindliches, von den Leitungsorganen genehmigtes Sicherheitskonzept. Es muss zur Geschäftsstrategie passen, Ziele und Verantwortlichkeiten festlegen, Ressourcen absichern und die Grundlage für themenspezifische Regelungen sowie die kontinuierliche Verbesserung bilden.

Allgemeine SOLL-Ableitung

Anforderung Erwartetes Ergebnis
Geltungs- und Steuerungsansatz Der Ansatz zum Management der Netz- und Informationssicherheit ist beschrieben.
Geschäftsbezug Sicherheitsziele unterstützen Geschäftsstrategie und Unternehmensziele.
Verantwortung und Ressourcen Rollen, Weisungsbefugnisse, Personal, Finanzmittel, Verfahren und Technologien sind berücksichtigt.
Kommunikation Relevante Mitarbeitende und externe Beteiligte kennen und bestätigen die für sie geltenden Vorgaben.
Dokumentationssystem Aufbewahrung, themenspezifische Konzepte und mitgeltende Unterlagen sind geregelt.
Überwachung Indikatoren für Umsetzung und Reifegrad sind festgelegt.
Genehmigung Das Leitungsorgan genehmigt das Konzept förmlich und nachvollziehbar.

Fachliche Vorbelegung aus dem Katalog

Die folgenden Werte sind Startvorschläge. Sie sind bei der kundenspezifischen Bearbeitung zu bestätigen oder begründet anzupassen.

Feld Vorbelegung
Priorität mittel
Verantwortliche Rolle ISB / NIS2-Koordination
Kontrollfrequenz jährlich
Allgemeiner Nachweishinweis Leitlinien, Richtlinien, Organigramm, Verantwortlichkeiten, Beschluss des Leitungsorgans

Kundenspezifische Bearbeitung

Umsetzungsfortschritt
/lib/plugins/improg/img/5star.gif Sterne
Feld Aktueller Eintrag
Anwendbarkeit / Relevanz offen; kundenseitig zu bewerten
Erwartungshaltung offen; aus der allgemeinen SOLL-Ableitung kundenspezifisch zu bestimmen
Betroffene Bereiche aus Unternehmens- und Leistungsstruktur abzuleiten
Verantwortlichkeit ISB / NIS2-Koordination; Vorbelegung, zu bestätigen
Mitwirkende Leitungsorgan, Fachbereiche, IT/OT und relevante Dienstleister; zu konkretisieren
Priorität mittel; Vorbelegung, zu bestätigen
Zieltermin offen
Kontrollfrequenz jährlich; Vorbelegung, zu bestätigen
Aktueller Stand noch nicht erhoben
Kommentar keine kundenspezifische Bewertung vorgenommen
bearbeitet am offen
bearbeitet von offen

Offene Punkte / nächste Schritte

Erwartetes Ergebnis Aktueller Stand Nächster Schritt Verantwortlich Status
Sicherheitskonzept ist vorhanden und formal genehmigt. nicht erhoben Vorhandene Konzepte und Beschlüsse ermitteln. festzulegen offen offen
Geschäfts- und Sicherheitsziele sind miteinander verknüpft. nicht erhoben Strategie, Ziele und Sicherheitsziele abgleichen. festzulegen offen offen
Rollen und Ressourcen sind verbindlich geregelt. nicht erhoben Rollen, Weisungsbefugnisse und Ressourcen dokumentieren. festzulegen offen offen
Kommunikation und Anerkennung sind nachweisbar. nicht erhoben Adressaten, Kommunikationsweg und Bestätigung festlegen. festzulegen offen offen
Dokumentation, Aufbewahrung und Teilkonzepte sind geregelt. nicht erhoben Dokumentenstruktur und Aufbewahrungsregeln erfassen. festzulegen offen offen
Umsetzung und Reifegrad werden überwacht. nicht erhoben geeignete Kennzahlen und Berichtswege bestimmen. festzulegen offen offen

Nachweise

Nachweisart Erwarteter Nachweis / Standort Status
Sicherheitskonzept freigegebenes Konzept mit Version, Geltungsbereich und Genehmigungsdatum offen offen
Beschluss des Leitungsorgans Protokoll oder formaler Genehmigungsnachweis offen offen
Rollen- und Ressourcenfestlegung Organigramm, Rollenbeschreibung, Budget- oder Ressourcenentscheidung offen offen
Kommunikationsnachweis Veröffentlichung, Schulung, Kenntnisnahme oder Verpflichtung offen offen
Dokumenten- und Aufbewahrungsregelung Dokumentenliste, Aufbewahrungsfristen und themenspezifische Konzepte offen offen
Wirksamkeitsnachweis Kennzahlen, Managementbericht und dokumentierte Verbesserungen offen offen

Verknüpfungen

Änderungshistorie

Die redaktionellen Änderungen dieser Maßnahmenseite werden automatisch von DokuWiki geführt.

Die Wiki-Historie ersetzt nicht den fachlichen Umsetzungs- oder Wirksamkeitsnachweis.