Es kristallisiert sich immer mehr heraus, dass die VdS 10000 ein optimaler Ausgangspunkt für die Umsetzung von NIS-2 ist. Die Anforderungen des NIS2UmsuCG können an den folgenden Stellen in die VdS 10000 integriert werden:
Text der VdS 10000 | Vorgaben des BSIG im NIS2UmsuCG | Erläuterung/Anmerkung |
---|---|---|
1 Allgemeines | ||
1.1 Anwendungshinweise | ||
1.2 Anwendungs- und Geltungsbereich | § 28 Besonders wichtige Einrichtungen und wichtige Einrichtungen | Verfahren: Analyse vorschreiben. |
§ 33 Registrierungspflicht | Teil des Verfahrens „Analyse“: Betroffene müssen sich registrieren. | |
§ 34 Besondere Registrierungspflicht für bestimmte Einrichtungsarten | Teil des Verfahrens „Analyse“: Bestimmte Einrichtungen müssen weitere Angaben machen | |
1.3 Gültigkeit | ||
2 Normative Verweise | ||
3 Begriffe | §2 Begriffsbestimmungen | |
4 Organisation der Informationssicherheit | ||
4.1 Verantwortlichkeiten | ||
4.1.1 Zuweisung und Dokumentation | ||
4.1.2 Funktionstrennungen | ||
4.1.3 Zeitliche Ressourcen | ||
4.1.4 Delegieren von Aufgaben | ||
4.2 Topmanagement | § 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Reporting stärken. |
§ 38 Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Schulung | |
4.3 Informationssicherheitsbeauftragter (ISB) | § 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Reporting stärken. |
4.4 Informationssicherheitsteam (IST) | § 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Reporting stärken. |
4.5 IT-Verantwortliche | ||
4.6 Administratoren | ||
4.7 Vorgesetzte | ||
4.8 Mitarbeiter | ||
4.9 Projektverantwortliche | ||
4.10 Externe | ||
5 Leitlinie zur Informationssicherheit (IS-Leitlinie) | ||
5.1 Allgemeine Anforderungen | ||
5.2 Inhalte | ||
6 Richtlinien zur Informationssicherheit (IS-Richtlinien) | ||
6.1 Allgemeine Anforderungen | ||
6.2 Inhalte | ||
6.3 Regelungen für Nutzer | ||
6.4 Weitere Regelungen | ||
7 Mitarbeiter | ||
7.1 Vor Aufnahme der Tätigkeit | ||
7.2 Aufnahme der Tätigkeit | ||
7.3 Beendigung oder Wechsel der Tätigkeit | ||
8 Wissen | ||
8.1 Aktualität des Wissens | § 5 Allgemeine Meldestelle für die Sicherheit in der Informationstechnik | |
§ 6 Informationsaustausch | Nutzen des Informationsaustausches | |
§ 13 Warnungen | Warnungen des BSi erwähnen und Reaktion erfordern. | |
8.2 Schulung und Sensibilisierung | § 38 Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Schulungspflicht für Topmanagement aufnehmen. |
9 Identifizieren kritischer IT-Ressourcen | ||
9.1 Prozesse | § 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Ermitteln der schützenswerten Ressourcen |
§ 38 Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Billigung expliziter formulieren bzw. verankern. | |
9.2 Informationen | § 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Ermitteln der schützenswerten Ressourcen |
§ 38 Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Billigung expliziter formulieren bzw. verankern. | |
9.3 IT-Ressourcen | § 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Ermitteln der schützenswerten Ressourcen |
§ 38 Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Billigung expliziter formulieren bzw. verankern. | |
10 IT-Systeme | ||
10.1 Inventarisierung | ||
10.2 Lebenszyklus | ||
10.2.1 Inbetriebnahme und Änderung | ||
10.2.2 Ausmusterung und Wiederverwendung | ||
10.3 Basisschutz | § 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Risikobasierter Ansatz und „Stand der Technik“ stärken. |
10.3.1 Software | ||
10.3.2 Beschränkung des Netzwerkverkehrs | ||
10.3.3 Protokollierung | § 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Auswertung von Logmeldungen vorschreiben. |
10.3.4 Externe Schnittstellen und Laufwerke | ||
10.3.5 Schadsoftware | ||
10.3.6 Starten von fremden Medien | ||
10.3.7 Authentifizierung | ||
10.3.8 Zugänge und Zugriffe | ||
10.4 Zusätzliche Maßnahmen für mobile IT-Systeme | ||
10.4.1 IS-Richtlinie | ||
10.4.2 Schutz der Informationen | ||
10.4.3 Verlust | ||
10.5 Zusätzliche Maßnahmen für kritische IT-Systeme | ||
10.5.1 Risikoanalyse und -behandlung | ||
10.5.2 Notbetriebsniveau | ||
10.5.3 Robustheit | ||
10.5.4 Externe Schnittstellen und Laufwerke | ||
10.5.5 Änderungsmanagement | ||
10.5.6 Dokumentation | ||
10.5.7 Datensicherung | ||
10.5.8 Überwachung | ||
10.5.9 Ersatzsysteme und -verfahren | ||
10.5.10 Kritische Individualsoftware | ||
11 Netzwerke und Verbindungen | ||
11.1 Netzwerkplan | ||
11.2 Aktive Netzwerkkomponenten | ||
11.3 Netzübergänge | ||
11.4 Basisschutz | § 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Risikobasierter Ansatz und „Stand der Technik“ stärken. |
11.4.1 Netzwerkanschlüsse | ||
11.4.2 Segmentierung | ||
11.4.3 Fernzugang | ||
11.4.4 Netzwerkkopplung | ||
11.5 Zusätzliche Maßnahmen für kritische Verbindungen | ||
12 Mobile Datenträger | ||
12.1 IS-Richtlinie | ||
12.2 Schutz der Informationen | ||
12.3 Zusätzliche Maßnahmen für kritische mobile Datenträger | ||
13 Umgebung | ||
13.1 Server, aktive Netzwerkkomponenten und Netzwerkverteilstellen | ||
13.2 Datenleitungen | ||
13.3 Zusätzliche Maßnahmen für kritische IT-Systeme | ||
14 IT-Outsourcing und Cloud Computing | § 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Lieferkette |
14.1 IS-Richtlinie | ||
14.2 Vorbereitung | ||
14.3 Vertragsgestaltung | ||
14.4 Zusätzliche Maßnahmen für kritische IT-Ressourcen | ||
15 Zugänge und Zugriffsrechte | ||
15.1 Verwaltung | ||
15.2 Zusätzliche Maßnahmen für kritische IT-Systeme und Informationen | ||
16 Datensicherung und Archivierung | ||
16.1 IS-Richtlinie | ||
16.2 Archivierung | ||
16.3 Verfahren | ||
16.4 Weiterentwicklung | ||
16.5 Basisschutz | § 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Risikobasierter Ansatz und „Stand der Technik“ stärken. |
16.5.1 Speicherorte | ||
16.5.2 Server | ||
16.5.3 Aktive Netzwerkkomponenten | ||
16.5.4 Mobile IT-Systeme | ||
16.6 Zusätzliche Maßnahmen für kritische IT-Systeme | ||
16.6.1 Risikoanalyse | ||
16.6.2 Verfahren | ||
17 Störungen und Ausfälle | ||
17.1 IS-Richtlinie | ||
17.2 Reaktion | § 11 Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen | In Verfahren aufnehmen: Unterstützung durch BSI prüfen |
§ 32 Meldepflichten | Meldungen in die Bewältigung eines Vorfalls aufnehmen. | |
17.3 Zusätzliche Maßnahmen für kritische IT-Systeme | ||
17.3.1 Wiederanlaufpläne | ||
17.3.2 Abhängigkeiten | ||
18 Sicherheitsvorfälle | ||
18.1 IS-Richtlinie | ||
18.2 Erkennen | § 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Auswertung von Logmeldungen vorschreiben. |
18.3 Reaktion | § 11 Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen | In Verfahren aufnehmen: Unterstützung durch BSI prüfen |
§ 32 Meldepflichten | Betroffenen müssen Erstmeldung, erste Bewertung, Zwischenmeldung und Abschlussmeldung abgeben → in Verfahren aufnehmen | |
§ 35 Unterrichtungspflichten | Einrichtungen müssen u. U. Betroffene informieren → in Verfahren aufnehmen. | |
Anhang A Anhang | ||
A.1 Verfahren | ||
A.2 Risikoanalyse und -behandlung | ||
A.2.1 Risikoanalyse | § 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Vorgehensweisen RA. Auswahl der Maßnahmen. Dokumentation. |
§ 38 Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Billigung verankern. | |
A.2.2 Risikobehandlung | § 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Vorgehensweise RB. Umsetzung der Maßnahmen. Prüfung. Dokumentation. |
§ 38 Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Billigung verankern. | |
A.2.3 Wiederholung und Anpassung | § 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | |
§ 38 Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Billigung verankern. |