Inhaltsverzeichnis
6.7.2 Maßnahmen zur Netzwerksicherheit umsetzen
Quelle / Referenzanforderung
| Feld | Eintrag |
|---|---|
| Referenz | Durchführungsverordnung (EU) 2024/2690, Anhang, Nummer 6.7.2 |
| Quelltitel | Netzsicherheit |
| Kontrolltyp | Assurance / Testing / Audit |
| Rechtscharakter im Katalog | Referenzanforderung; konkrete Anwendbarkeit kundenseitig zu bewerten |
Für die Zwecke von Nummer 6.7.1 müssen die betreffenden Einrichtungen a) die Architektur des Netzes verständlich und aktuell dokumentieren; b) Kontrollen festlegen und durchführen, um die internen Netzdomänen der betreffenden Einrichtungen vor unbefugtem Zugriff zu schützen; c) die Kontrollen so konfigurieren, dass Zugriffe und Netzkommunikation verhindert werden, wenn dies für den Betrieb der betreffenden Einrichtungen nicht erforderlich ist; d) die Kontrollen für den Fernzugriff auf Netz- und Informationssysteme, einschließlich des Zugangs von Diensteanbietern, festlegen und durchführen; e) keine Systeme verwenden, die für die Verwaltung der Umsetzung der Sicherheitskonzepte für andere Zwecke verwendet werden; f) nicht benötigte Verbindungen und Dienste ausdrücklich verbieten oder deaktivieren; g) – soweit angemessen – den Zugang zu ihren Netz- und Informationssystemen ausschließlich mit von den betreffenden Einrichtungen genehmigten Geräten gewähren; h) Verbindungen von Diensteanbietern nur nach einem Genehmigungsantrag und für einen bestimmten Zeitraum, z. B. für die Dauer von Wartungsarbeiten, zulassen; i) die Kommunikation zwischen verschiedenen Systemen nur über vertrauenswürdige Kanäle herstellen, die durch logische, kryptografische oder physikalische Trennung von anderen Kommunikationskanälen isoliert sind, und eine sichere Identifizierung ihrer Endpunkte und den Schutz der Kanaldaten vor Änderung oder Offenlegung ermöglichen; j) einen Durchführungsplan für den sicheren, angemessenen und schrittweisen vollständigen Übergang zur neuesten Generation der Kommunikationsprotokolle für die Netzwerkschicht annehmen und Maßnahmen zur Beschleunigung dieses Übergangs festlegen; k) einen Durchführungsplan für die Einführung international vereinbarter und interoperabler moderner E-Mail-Kommunikationsnormen annehmen, um die E-Mail-Kommunikation zur Minderung von Schwachstellen im Zusammenhang mit E-Mail-Bedrohungen zu sichern, und Maßnahmen zur Beschleunigung dieser Einführung festlegen; l) bewährte Verfahren für die Sicherheit des DNS sowie für die Sicherheit und Hygiene des Internet-Routings bei Verkehr, der aus dem Netz stammt und für das Netz bestimmt ist, anwenden.
Allgemeine Erläuterung der Maßnahme
Diese Maßnahme konkretisiert die Unterkategorie Netzsicherheit. Sie verlangt, dass die oben beschriebene Referenzanforderung für die jeweilige Einrichtung angemessen umgesetzt, dokumentiert und überprüft wird. Die konkrete Ausgestaltung ist aus Organisationsstruktur, Betriebsumfeld, Risiken und rechtlicher Anwendbarkeit abzuleiten.
Allgemeine SOLL-Ableitung
| Anforderung | Erwartetes Ergebnis |
|---|---|
| Anwendbarkeit klären | Rechtliche, vertragliche und risikobezogene Relevanz ist nachvollziehbar bewertet. |
| Umsetzung festlegen | Die Referenzanforderung ist in geeignete organisatorische oder technische Regelungen überführt. |
| Verantwortung zuordnen | Verantwortliche und mitwirkende Rollen sind festgelegt. |
| Nachweisbarkeit herstellen | Umsetzung, Entscheidungen und Ergebnisse sind nachvollziehbar dokumentiert. |
| Wirksamkeit überprüfen | Angemessenheit und Wirksamkeit werden risikobasiert oder in vorgegebenen Intervallen überprüft. |
Fachliche Vorbelegung aus dem Katalog
Die folgenden Werte sind Startvorschläge. Sie sind bei der kundenspezifischen Bearbeitung zu bestätigen oder begründet anzupassen.
| Feld | Vorbelegung |
|---|---|
| Priorität | mittel |
| Verantwortliche Rolle | ISB |
| Kontrollfrequenz | jährlich |
| Allgemeiner Nachweishinweis | Test-/Abnahmeprotokolle, Auditreports, KPI/KRI, Penetrationstests |
Kundenspezifische Bearbeitung
| Umsetzungsfortschritt |
 |
| Feld | Aktueller Eintrag |
|---|---|
| Anwendbarkeit / Relevanz | offen; kundenseitig zu bewerten |
| Erwartungshaltung | offen; aus der allgemeinen SOLL-Ableitung kundenspezifisch zu bestimmen |
| Betroffene Bereiche | aus Unternehmens- und Leistungsstruktur abzuleiten |
| Verantwortlichkeit | ISB; Vorbelegung, zu bestätigen |
| Mitwirkende | kundenspezifisch zu bestimmen |
| Priorität | mittel; Vorbelegung, zu bestätigen |
| Zieltermin | offen |
| Kontrollfrequenz | jährlich; Vorbelegung, zu bestätigen |
| Aktueller Stand | noch nicht erhoben |
| Kommentar | keine kundenspezifische Bewertung vorgenommen |
| bearbeitet am | offen |
| bearbeitet von | offen |
Offene Punkte / nächste Schritte
| Erwartetes Ergebnis | Aktueller Stand | Nächster Schritt | Verantwortlich | Status |
|---|---|---|---|---|
| Anwendbarkeit ist bewertet. | nicht erhoben | Relevanz und Geltungsbereich mit der Einrichtung klären. | festzulegen |  offen |
| Erwartungshaltung ist festgelegt. | nicht erhoben | Referenzanforderung in ein kundenspezifisches Ergebnis überführen. | festzulegen | offen |
| Aktueller Stand ist erhoben. | nicht erhoben | Vorhandene Regelungen, Verfahren, Systeme und Nachweise aufnehmen. | festzulegen | offen |
| Abweichungen und Maßnahmen sind bestimmt. | nicht erhoben | Offene Punkte priorisieren und nächste Schritte festlegen. | festzulegen | offen |
| Wirksamkeit ist nachweisbar. | nicht erhoben | Prüfkriterien und geeignete Nachweise festlegen. | festzulegen | offen |
Nachweise
| Nachweisart | Erwarteter Nachweis / Standort | Status |
|---|---|---|
| Kataloghinweis | Test-/Abnahmeprotokolle, Auditreports, KPI/KRI, Penetrationstests; konkreter Nachweis und Ablageort sind kundenspezifisch festzulegen | offen |
| Umsetzungsnachweis | geeignete Richtlinie, Verfahrensbeschreibung, Konfiguration, Protokollierung oder sonstiger Umsetzungsbeleg | offen |
| Wirksamkeitsnachweis | dokumentierte Prüfung, Kennzahl, Bericht oder nachvollziehbares Prüfergebnis | offen |
Verknüpfungen
- Unterkategorie: Netzsicherheit
- Erläuterungen: Status, Vorbelegungen und Bearbeitung
Änderungshistorie
Die redaktionellen Änderungen dieser Maßnahmenseite werden automatisch von DokuWiki geführt.
Die Wiki-Historie ersetzt nicht den fachlichen Umsetzungs- oder Wirksamkeitsnachweis.