NIS2 Security Mapping
Das NIS2-Umsetzungsgesetz und die EU NIS2-Direktive definieren Risiko-Management und Sicherheitsmaßnahmen, die betroffene Einrichtungen umsetzen müssen. Die Anforderungen aus §30 BSIG-E (NIS2UmsuCG) beschreiben Maßnahmen nach Stand der Technik und Management mit IT-RM, ISMS und BCMS, aber auch einige sehr konkrete technische Maßnahmen.
Das folgende OpenKRITIS-Mapping ordnet einzelne NIS2-Anforderungen aus dem deutschen NIS2-Umsetzungsgesetz in der Version von Juni 2024 existierenden Security-Standards zu: BSI KRITIS-Maßnahmen, ISO 27001:2022 und NIS2 Implementing Act (IT).
Separat konkretisieren EU NIS2 Implementing Acts (IT) die NIS2-Maßnahmen für bestimmte Internet-Provider. Ein separates DORA zu NIS2, ISO 27001 Mapping hilft IT-Dienstleistern.
NIS2-Anforderungen und Standards
Dieses Mapping und die Zuordnungen sind nicht vollständig und nur eine Orientierung.
| Nr. | NIS2UmsuCG | Anforderung | KRITIS | ISO 27001 2022 |
NIS2 IT Act |
|---|---|---|---|---|---|
| 30.1.1 | §30 (1) Satz 1 | Maßnahmen basierend auf Risiko-Exposition und gesellschaftlichen und wirtschaftlichen Auswirkungen | BSI-3 BSI-15 |
4.3 6.1 8.2 8.3 A.5.4 A.5.29 A.5.30 |
|
| 30.1.2 | §30 (1) Satz 3 | Dokumentation der NIS2 Risiko-Management Maßnahmen | BSI-16 | 6.1.3 8.3 A.5.31 |
|
| 30.2.0 | §30 (2) Satz 1 | Allgefahrenansatz und Stand der Technik | BSI-13 BSI-15 |
6.1 8.2 8.3 A.5.29 A.5.30 |
2.1.2 |
| 30.2.1a | §30 (2) Nr. 1 | Konzepte zur Risiko-Analyse (IT-RM) | BSI-13 BSI-14 BSI-16 BSI-85 BSI-86 BSI-87 BSI-88 BSI-89 |
6.1 8.2 8.3 10.1 A.5.31 A.5.36 A.8.34 |
2.1.1 2.1.2 2.1.3 2.2.1 2.2.2 2.2.3 2.3.1 2.3.2 2.3.3 2.3.4 |
| 30.2.1b | §30 (2) Nr. 1 | Konzepte für IT-Sicherheit (ISMS) | BSI-1 BSI-2 BSI-3 BSI-4 |
4.1-10.2 A.5.1 A.5.2 A.5.3 A.5.4 |
1.1.1 1.1.2 1.2.1 1.2.2 1.2.3 1.2.4 1.2.5 1.2.6 |
| 30.2.2 | §30 (2) Nr. 2 | Bewältigung von Sicherheitsvorfällen | BSI-77 BSI-78 BSI-79 BSI-80 BSI-90 BSI-92 BSI-93 SzA |
A.5.2 A.5.24 A.5.25 A.5.26 A.5.27 A.5.28 A.5.30 A.6.8 A.8.9 A.8.15 A.8.16 |
3.1.1 3.1.2 3.1.3 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.3.1 3.3.2 3.4.1 3.4.2 3.5.1 3.5.2 3.5.3 3.5.4 3.5.5 3.6.1 3.6.2 3.6.3 |
| 30.2.3a | §30 (2) Nr. 3 | Aufrechterhaltung Betrieb (BCM) | BSI-15 BSI-17 BSI-18 |
A.5.29 A.5.30 A.5.31 A.8.14 |
4.1.1 4.1.2 4.1.3 |
| 30.2.3b | §30 (2) Nr. 3 | Backup-Management | BSI-20 BSI-22 BSI-23 BSI-24 |
A.8.6 A.8.13 A.8.14 A.8.16 |
4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 |
| 30.2.3c | §30 (2) Nr. 3 | Wiederherstellung nach Notfällen (DR und IT-SCM) | BSI-19 | A.5.29 A.5.30 |
4.1.4 |
| 30.2.3d | §30 (2) Nr. 3 | Krisenmanagement | - | - | 4.3.1 4.3.2 4.3.3 4.3.4 |
| 30.2.4a | §30 (2) Nr. 4 | Sicherheit der Lieferkette | - | A.5.19 A.5.20 A.5.21 A.5.22 A.5.23 |
5.1.1 5.1.2 5.1.3 5.1.4 5.1.5 5.1.6 5.1.7 |
| 30.2.4b | §30 (2) Nr. 4 | Sicherheitsaspekte zu Anbietern und Dienstleistern | BSI-98 BSI-99 |
A.5.19 A.5.20 A.5.21 A.5.22 A.5.23 |
5.2 |
| 30.2.5a | §30 (2) Nr. 5 | Sicherheit beim Einkauf von IT | BSI-43 BSI-66 |
A.5.19 A.5.20 A.5.22 A.5.23 A.8.30 |
6.1.1 6.1.2 6.1.3 |
| 30.2.5b | §30 (2) Nr. 5 | Sicherheit bei der Entwicklung von IT | BSI-43 BSI-44 |
A.5.8 A.8.25 A.8.26 A.8.27 A.8.28 A.8.29 A.8.30 |
6.2.1 6.2.2 6.2.3 6.2.4 |
| 30.2.5c | §30 (2) Nr. 5 | Sicherheit bei der Wartung von IT | BSI-25 BSI-45 BSI-46 BSI-47 BSI-48 BSI-49 BSI-76 |
A.7.13 A.8.9 A.8.19 A.8.31 A.8.32 |
6.3.1 6.3.2 6.3.3 6.4.1 6.4.2 6.4.3 6.4.4 |
| 30.2.5d | §30 (2) Nr. 5 | Management und Offenlegung von Schwachstellen | BSI-25 BSI-84 BSI-84 BSI-95 BSI-96 |
A.5.7 A.8.8 A.8.19 A.8.32 A.8.33 A.8.34 |
6.5.1 6.5.2 6.5.3 6.6.1 6.6.2 |
| ? | ? | (Netzwerksicherheit) | (einige) | (viele) | 6.7.1 6.7.2 6.7.3 6.8.1 6.8.2 6.8.3 6.9.1 6.9.2 |
| 30.2.6 | §30 (2) Nr. 6 | Bewertung der Wirksamkeit von Maßnahmen | BSI-1 BSI-85 BSI-86 |
9.1 9.2 9.3 A.5.31 A.5.36 A.8.34 |
7.1.1 7.1.2 7.1.3 |
| 30.2.7a | §30 (2) Nr. 7 | Cyberhygiene und Awareness | BSI-68 | 7.3 9 A.6.3 A.7.7 |
8.1.1 8.1.2 8.1.3 |
| 30.2.7b | §30 (2) Nr. 7 | Schulungen Informationssicherheit | BSI-68 | 7.2 9 A.6.3 A.6.5 |
8.2.1 8.2.2 8.2.3 8.2.4 8.2.5 |
| 30.2.8 | §30 (2) Nr. 8 | Kryptografie und Verschlüsselung | BSI-32 BSI-33 BSI-34 BSI-35 |
A.5.1 A.5.14 A.5.31 A.8.20 A.8.21 A.8.24 A.8.33 |
9.1.1 9.1.2 9.1.3 |
| 30.2.9a | §30 (2) Nr. 9 | Personalsicherheit (HR-Security) | BSI-42 BSI-56 BSI-57 BSI-68 BSI-69 BSI-70 |
7.2 7.3 A.5.8 A.5.14 A.5.20 A.6.1 A.6.2 A.6.3 A.6.4 A.6.5 A.6.6 |
10.1.1 10.1.2 10.1.3 10.2.1 10.2.2 10.2.3 10.3.1 10.3.2 10.4.1 10.4.2 |
| 30.2.9b | §30 (2) Nr. 9 | Konzepte für Zugriffskontrolle | BSI-26 BSI-27 BSI-29 BSI-30 BSI-39 BSI-58 BSI-59 BSI-60 BSI-61 BSI-62 BSI-63 |
A.5.15 A.5.18 |
11.1.1 11.1.2 11.1.3 11.2.1 11.2.2 11.2.3 11.3.1 11.3.2 11.3.3 11.4.1 11.4.2 11.5.1 11.5.2 11.5.3 11.6.1 11.6.2 11.6.3 11.6.4 11.7.1 11.7.2 |
| 30.2.9c | §30 (2) Nr. 9 | Management von Anlagen (Asset Management) | BSI-5 BSI-7 BSI-8 BSI-9 BSI-10 BSI-11 BSI-12 |
A.5.9 A.5.10 A.5.11 A.5.12 A.5.13 A.7.9 A.7.10 A.7.14 A.8.3 A.8.10 |
12.1.1 12.1.2 12.1.3 12.2.1 12.2.2 12.2.3 12.3.1 12.3.2 12.3.3 12.4.1 12.4.2 12.4.3 12.5 |
| ? | ? | (Physische Sicherheit) | (einige) | (viele) | 13.1.1 13.1.2 13.1.3 13.2.1 13.2.2 13.2.3 13.3.1 13.3.2 13.3.3 |
| 30.2.10a | §30 (2) Nr. 10 | Multi-Faktor-Authentifizierung (MFA) und kontinuierliche Authentifizierung (SSO) | BSI-26 BSI-27 BSI-64 |
A.5.17 A.8.5 A.8.24 |
11.7.1 11.7.2 |
| 30.2.10b | §30 (2) Nr. 10 | Gesicherte Sprach-, Video- und Textkommunikation | BSI-33 BSI-36 BSI-41 |
A.8.20 A.8.21 A.8.12 |
? |
| 30.2.10c | §30 (2) Nr. 10 | Gesicherte Notfallkommunikationssysteme | - | A.8.14 | ? |
| 31.1 | §31 (1) | Besondere Maßnahmen für Betreiber kritischer Anlagen | BSI-16 BSI-17 |
6.1.3 8.3 A.5.31 |
|
| 31.2 | §31 (2) | Systeme zur Angriffserkennung | OH SzA BSI-90 BSI-91 BSI-92 BSI-93 BSI-94 |
viele | |
| 32.1 | §32 (1) | Meldepflichten | BSI-100 | A.5.24 A.5.31 |
|
| 33.1 | §33 (1) | Registrierung Einrichtung | - | A.5.5 A.5.31 |
|
| 33.2 | §33 (2) | Kontaktstelle KRITIS | BSI-100 | A.5.5 A.5.31 |
|
| 34.1 | §34 (1) | Registrierung besondere Einrichtung | - | A.5.5 A.5.31 |
|
| 35.1 | §35 (1) | Unterrichtung Kunden | - | A.5.26 A.5.31 |
|
| 35.2 | §35 (2) | Gegenmaßnahmen Kunden | - | A.5.26 A.5.31 |
|
| 38.1 | §38 (1) | Verantwortung Geschäftsführung | BSI-17 | 5.1 A.5.31 |
|
| 38.3 | §38 (3) | Schulungen Geschäftsführung | BSI-68 | 7.2 7.3 A.5.2 A.5.31 A.6.3 |
Weitere Informationen
Literatur
- KRITIS-Branchenstandards auf OpenKRITIS
- KRITIS-Standards für Management-Systeme auf OpenKRITIS
- Mapping KRITIS auf Security Standards (PDF-Version), OpenKRITIS
- NIST Critical Infrastructure Resources, National Institute of Standards and Technology
Quellen
- Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Version Dezember 2023, Intrapol, 7. März 2024
- Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), 27.12.2022
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022