FRÜHLINGSRABATT
Erhalten Sie 30% Rabatt auf Toolkits, Kursprüfungen und Conformio-Jahrespläne.
Zeitlich begrenztes Angebot – endet am 25. April 2024
Verwenden Sie den Promo-Code:
SPRING30

Liste der erforderlichen Dokumente nach NIS 2

Wenn Ihr Unternehmen die NIS-2-Richtlinie einhalten muss, müssen Sie viele neue Dokumente verfassen, um die Anforderungen an die Cybersicherheit und die Berichtspflichten zu erfüllen. In diesem Artikel werden alle Dokumente vorgestellt, die Unternehmen gemäß Kapitel IV der NIS-2-Richtlinie mit dem Titel „Risikomanagementmaßnahmen und Berichtspflichten im Bereich der Cybersicherheit“ erstellen müssen. Der Grund, warum ich mich nur auf dieses Kapitel konzentriere, liegt darin, dass es das einzige ist, in dem festgelegt ist, was wesentliche und wichtige Einrichtungen tun müssen, um dieser Richtlinie nachzukommen.

In Kapitel IV „Risikomanagementmaßnahmen und Berichtspflichten im Bereich der Cybersicherheit“ verlangt die NIS 2 die Erstellung von etwa 30 Dokumenten, darunter:
  • Methodik der Risikobewertung
  • Plan zur Risikobehandlung
  • Schulungs- und Sensibilisierungsplan
  • Verfahren zum Management von Vorfällen
  • IT-Sicherheitspolitik
  • usw.
Liste der erforderlichen Dokumente nach NIS 2 - Advisera

Liste erforderlicher Dokumente und Aufzeichnungen

Die nachstehende Tabelle zeigt die NIS-2-Anforderungen, die entsprechenden Artikel aus Kapitel IV dieser Richtlinie und die bewährte Verfahrensweise der Dokumentation dieser Anforderungen.

Was dokumentiert werden muss NIS 2 Artikel In der Regel dokumentiert durch
Die Leitungsorgane müssen die Maßnahmen für das Risikomanagement im Bereich der Cybersicherheit genehmigen. Artikel 20, Absatz 1 Risikobehandlungsplan
Die Leitungsorgane müssen die Umsetzung von Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit überwachen. Artikel 20, Absatz 1 Messbericht + Interner Auditbericht + Protokoll zur Managementbewertung
Die Mitglieder der Leitungsorgane sind verpflichtet, an Schulungen teilzunehmen und müssen ihren Mitarbeitern regelmäßig entsprechende Schulungen anbieten. Artikel 20, Absatz 2 Schulungs- und Sensibilisierungsplan
Einrichtungen müssen geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Risiken zu bewältigen. Artikel 21, Absatz 1 Verzeichnis der Risikobehandlung + Risikobehandlungsplan + verschiedene Politiken und Verfahren, die im Folgenden aufgeführt sind
Bei der Bewertung der Verhältnismäßigkeit der Maßnahmen sind das Ausmaß der Risikoexposition der Einrichtung, die Größe der Einrichtung und die Wahrscheinlichkeit des Auftretens von Vorfällen sowie deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen, gebührend zu berücksichtigen. Artikel 21, Absatz 1 Methodik zur Risikoeinschätzung + Verzeichnis der Risikoeinschätzung
Konzept in Bezug auf die Risikoanalyse Artikel 21, Absatz 2, Buchstabe (a) Methodik zur Risikoeinschätzung
Konzept in Bezug auf Sicherheit von Informationssystemen Artikel 21, Absatz 2, Buchstabe (a) Informationssicherheitspolitik
Bewältigung von Sicherheitsvorfällen Artikel 21, Absatz 2, Buchstabe (b) Verfahren zum Vorfallmanagement + Verzeichnis der Vorfälle
Geschäftskontinuität Artikel 21, Absatz 2, Buchstabe (c) Geschäftskontinuitätsplan
Backup-Management Artikel 21, Absatz 2, Buchstabe (c) Backup-Richtlinie
Wiederherstellung nach einem Notfall Artikel 21, Absatz 2, Buchstabe (c) Notfallwiederherstellungsplan
Krisenmanagement Artikel 21, Absatz 2, Buchstabe (c) Krisenmanagementplan
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern Artikel 21, Absatz 2, Buchstabe (d) Sicherheitspolitik für Lieferanten + Sicherheitsklauseln für Lieferanten und Partner + Vertraulichkeitserklärung
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen Artikel 21, Absatz 2, Buchstabe (e) Richtlinie zur Entwicklungssicherheit + Spezifikation der Anforderungen an Informationssysteme
Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit Artikel 21, Absatz 2, Buchstabe (f) Messmethodik + Messbericht + Verfahren für interne Audits + Interne Audit-Checkliste + Interner Auditbericht + Verfahren zur Managementbewertung
Grundlegende Verfahren im Bereich der Cyberhygiene Artikel 21, Absatz 2, Buchstabe (g) IT- Sicherheitspolitik
Schulung zur Cybersicherheit Artikel 21, Absatz 2, Buchstabe (g) Schulungs- und Sensibilisierungsplan
Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung Artikel 21, Absatz 2, Buchstabe (h) Richtlinie zum Einsatz von Verschlüsselung
Sicherheit des Personals Artikel 21, Absatz 2, Buchstabe (i) Sicherheitspolitik für die Personalabteilung
Konzepte für die Zugriffskontrolle Artikel 21, Absatz 2, Buchstabe (i) Zugangssteuerungsrichtlinie
Management von Anlagen Artikel 21, Absatz 2, Buchstabe (i) Verfahren zum Wertemanagement + Inventar der Werte
Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung Artikel 21, Absatz 2, Buchstabe (j) Authentifizierungsrichtlinie
Gesicherte Sprach-, Video- und Textkommunikation Artikel 21, Absatz 2, Buchstabe (j) Richtlinie zur Informationsübertragung + Politik der sicheren Kommunikation
Gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung Artikel 21, Absatz 2, Buchstabe (j) Politik der sicheren Kommunikation
Berücksichtigung der spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Diensteanbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse Artikel 21, Absatz 3 Sicherheitspolitik für Lieferanten + Risikoeinschätzung und -behandlungsbericht
Angemessene und verhältnismäßige Korrekturmaßnahmen ergreifen Artikel 21, Absatz 4 Verfahren zu Korrekturmaßnahmen + Formblatt der Korrekturmaßnahmen
Benachrichtigung des CSIRT oder der zuständigen Behörde über den erheblichen Vorfall Artikel 23, Absatz 1 Meldung eines erheblichen Vorfalls an CSIRT/zuständige Behörde
Empfänger der Dienste über erhebliche Sicherheitsvorfälle, die die Erbringung des jeweiligen Dienstes beeinträchtigen könnten, unterrichten. Artikel 23, Absatz 1 Meldung erheblicher Sicherheitsvorfälle an Empfänger der Dienste
Potenziell von einer erheblichen Cyberbedrohung betroffene Empfänger der Dienste, alle Maßnahmen oder Abhilfemaßnahmen mitteilen, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen können; diese Empfänger auch über die erhebliche Cyberbedrohung selbst informieren. Artikel 23, Absatz 2 Meldung erheblicher Sicherheitsvorfälle an Empfänger der Dienste
Frühwarnung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte; Artikel 23, Absatz 4, Buchstabe (a) Frühwarnung über erheblichen Sicherheitsvorfall
Meldung über den Sicherheitsvorfall, in der eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden Artikel 23, Absatz 4, Buchstabe (b) Meldung erheblicher Sicherheitsvorfälle an CSIRT/zuständige Behörde
Zwischenbericht über relevante Statusaktualisierungen; Artikel 23, Absatz 4, Buchstabe (c) Zwischenbericht über erheblichen Sicherheitsvorfall
Abschlussbericht, spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls Artikel 23, Absatz 4, Buchstabe (d) Abschlussbericht über erheblichen Sicherheitsvorfall
Fortschrittsbericht – im Falle eines andauernden Sicherheitsvorfalls zum Zeitpunkt der Vorlage des Abschlussberichts Artikel 23, Absatz 4, Buchstabe (e) Fortschrittsbericht über erheblichen Sicherheitsvorfall

Übliche Cybersicherheitsdokumente, die von NIS 2 nicht gefordert werden

Neben den oben aufgeführten erforderlichen Dokumenten wird empfohlen, auch die folgenden Dokumente zu erstellen:

  • Richtlinie zur Klassifizierung von Informationen – enthält klare Regeln für die Klassifizierung von Dokumenten und anderen Informationen sowie für den Schutz dieser Werte je nach Klassifizierungsstufe.
  • Richtlinie zu Mobilgeräten, Telearbeit und zur von zu Hause Arbeit – legt die Regeln für die Nutzung von Laptops, Smartphones und anderen Geräten außerhalb des Firmengeländes fest.
  • Bring Your Own Device (BYOD)-Richtlinie – legt Sicherheitsaspekte fest, wenn Mitarbeiter ihre privaten Geräte für die Arbeit nutzen.
  • Richtlinie zur Entsorgung und Vernichtung – legt fest, wie Geräte und Medien zu entsorgen sind, um alle sensiblen Daten zu löschen und die Verletzung von Rechten an geistigem Eigentum zu vermeiden.
  • Verfahren zur Arbeit in sicheren Bereichen – legt Sicherheitsregeln für Datenzentren, Archive und andere Bereiche fest, die besonders geschützt werden müssen.
  • Richtlinie zum Änderungsmanagement – legt Regeln für die Durchführung von Änderungen in Produktionssystemen fest, um Sicherheitsrisiken zu verringern.
  • Richtlinie zum aufgeräumten Arbeitsplatz und leeren Bildschirm – legt für jeden Mitarbeiter Regeln zum Schutz seines Arbeitsplatzes fest.
  • Sicherheitsverfahren für die IT-Abteilung – enthält Sicherheitsverfahren für Aktivitäten, die nicht in anderen Dokumenten behandelt werden.

Für weitere Informationen über NIS-2 laden Sie dieses kostenlose Whitepaper herunter: Umfassender Leitfaden zur NIS-2-Richtlinie.

Advisera Dejan Kosutic

Dejan Kosutic

Führender Experte für Cybersicherheit und Informationssicherheit und Autor mehrerer Bücher, Artikel, Webinare und Kurse. Als führender Experte gründete Dejan Advisera, um kleinen und mittleren Unternehmen die Ressourcen an die Hand zu geben, die sie benötigen, um die EU-Vorschriften und ISO-Normen einzuhalten. Er ist der Überzeugung, dass die Erstellung leicht verständlicher und einfach zu verwendender Rahmen aus komplexen Rahmenwerken einen Wettbewerbsvorteil für die Kunden von Advisera darstellt und dass die KI-Technologie hierfür entscheidend ist.

Als Experte für ISO 27001 und NIS 2 hilft Dejan Unternehmen, den besten Weg zur Konformität zu finden, indem er den Mehraufwand eliminiert und die Implementierung an die Größe des Unternehmens und die Branchenspezifika anpasst.

Lesen Sie mehr Artikel von Dejan Kosutic