NIS2 Security Mapping
Das NIS2-Umsetzungsgesetz und die EU NIS2-Direktive definieren Risiko-Management und Sicherheitsmaßnahmen, die betroffene Einrichtungen umsetzen müssen. Die Anforderungen aus §30 BSIG-E (NIS2UmsuCG) beschreiben Maßnahmen nach Stand der Technik und Management mit IT-RM, ISMS und BCMS, aber auch einige sehr konkrete technische Maßnahmen.
Um die Vorbereitung zu erleichtern, werden die Anforderungen der NIS2-Umsetzung im folgenden einzeln aufgeschlüsselt und Cybersecurity-Standards zugeordnet:
- BSI Konkretisierung: Anforderungen vom BSI als Nachweis für Betreiber.
- ISO 27001:2022: Informationssicherheit der Annex A Kontrollen.
Es ist absehbar, dass die NIS2-Anforderungen bis Ende 2024 durch EU Implementing Acts, Durchführungsrechtsakte, noch konkretisiert und detailliert werden. Bis dahin bleibt die Zuordnung der §30-Maßnahmen die einzige Orientierung.
NIS2-Anforderungen und Standards
Aktuelles Mapping der NIS2-Anforderungen aus dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) von Dezember 2023 auf Cybersecurity Standards. Die Tabelle schlüsselt die Absätze und Listen aus §30 BSIG-E (NIS2UmsuCG) in einzelne Anforderungen auf (Spalte Nr.) und passt den Text leicht an (Ergänzungen in Klammern). Die Zuweisung von ISO 27001:2022 und KRITIS als Draft.
Nr. | NIS2UmsuCG | Anforderung | KRITIS | ISO 27001 |
---|---|---|---|---|
30.1.1 | §30 (1) Satz 1 | Maßnahmen basierend auf Risiko-Exposition und gesellschaftlichen und wirtschaftlichen Auswirkungen | BSI-3 BSI-15 |
4.3 A.5.4 A.5.29 A.5.30 |
30.1.2 | §30 (1) Satz 3 | Dokumentation der NIS2 Risiko-Management Maßnahmen | BSI-16 | 6.1.3 8.3 A.5.31 |
30.2.0 | §30 (2) Satz 1 | Allgefahrenansatz und Stand der Technik | BSI-13 BSI-15 |
6.1 8.2 8.3 A.5.29 A.5.30 |
30.2.1a | §30 (2) Nr. 1 | Konzepte zur Risiko-Analyse (IT-RM) | BSI-13 BSI-14 |
6.1 8.2 8.3 |
30.2.1b | §30 (2) Nr. 1 | Konzepte für IT-Sicherheit (ISMS) | BSI-1 BSI-2 |
4.1-10.2 A.5.1 A.5.2 A.5.4 |
30.2.2 | §30 (2) Nr. 2 | Bewältigung von Sicherheitsvorfällen | BSI-77 BSI-78 BSI-79 BSI-80 |
A.5.24 A.5.25 A.5.26 A.5.28 A.6.8 |
30.2.3a | §30 (2) Nr. 3 | Aufrechterhaltung Betrieb (BCM) | BSI-17 BSI-18 |
A.5.29 A.5.30 A.5.31 A.8.14 |
30.2.3b | §30 (2) Nr. 3 | Backup-Management | BSI-22 BSI-23 BSI-24 |
A.8.13 A.8.14 A.8.16 |
30.2.3c | §30 (2) Nr. 3 | Wiederherstellung nach Notfällen (DR und IT-SCM) | BSI-19 | A.5.29 A.5.30 |
30.2.3d | §30 (2) Nr. 3 | Krisenmanagement | - | - |
30.2.4a | §30 (2) Nr. 4 | Sicherheit der Lieferkette | - | A.5.21 |
30.2.4b | §30 (2) Nr. 4 | Sicherheitsaspekte zu Anbietern und Dienstleistern | BSI-42 BSI-98 BSI-99 |
A.5.19 A.5.20 A.5.21 A.5.22 A.5.23 |
30.2.5a | §30 (2) Nr. 5 | Sicherheit beim Einkauf von IT | BSI-43 | A.5.19 A.5.20 A.5.22 A.5.23 A.8.30 |
30.2.5b | §30 (2) Nr. 5 | Sicherheit bei der Entwicklung von IT | BSI-43 BSI-44 |
A.8.25 A.8.26 A.8.27 A.8.28 A.8.29 |
30.2.5c | §30 (2) Nr. 5 | Sicherheit bei der Wartung von IT | BSI-45 BSI-76 |
A.5.37 A.7.13 A.8.9 A.8.31 |
30.2.5d | §30 (2) Nr. 5 | Management und Offenlegung von Schwachstellen | BSI-25 BSI-84 BSI-83 BSI-96 |
A.5.7 A.8.8 A.8.19 |
30.2.6 | §30 (2) Nr. 6 | Bewertung der Wirksamkeit von Maßnahmen | BSI-85 BSI-86 BSI-87 BSI-88 BSI-89 |
9.1 9.3 10.1 10.2 A.5.35 A.5.36 |
30.2.7a | §30 (2) Nr. 7 | Cyberhygiene und Awareness | BSI-68 | 7.3 A.6.3 |
30.2.7b | §30 (2) Nr. 7 | Schulungen Informationssicherheit | BSI-68 | 7.2 A.6.3 |
30.2.8 | §30 (2) Nr. 8 | Kryptografie und Verschlüsselung | BSI-32 BSI-33 BSI-34 BSI-35 |
8.24 |
30.2.9a | §30 (2) Nr. 9 | Personalsicherheit (HR-Security) | BSI-42 BSI-56 BSI-57 BSI-69 BSI-70 |
A.6.1 A.6.2 A.6.4 A.6.5 A.6.6 |
30.2.9b | §30 (2) Nr. 9 | Konzepte für Zugriffskontrolle | BSI-27 BSI-28 BSI-58 BSI-59 BSI-60 BSI-61 |
A.5.15 A.5.18 |
30.2.9c | §30 (2) Nr. 9 | Management von Anlagen (Asset Management) | BSI-5 BSI-6 BSI-7 BSI-8 BSI-9 BSI-10 BSI-12 |
A.5.9 A.5.10 A.5.11 A.5.12 A.5.13 A.7.9 A.8.3 |
30.2.10a | §30 (2) Nr. 10 | Multi-Faktor-Authentifizierung (MFA) und kontinuierliche Authentifizierung (SSO) | BSI-26 BSI-27 BSI-64 |
A.5.16 A.5.17 A.8.5 |
30.2.10b | §30 (2) Nr. 10 | Gesicherte Sprach-, Video- und Textkommunikation | BSI-33 BSI-36 BSI-41 |
A.8.20 A.8.21 A.8.12 |
30.2.10c | §30 (2) Nr. 10 | Gesicherte Notfallkommunikationssysteme | - | A.8.14 |
30.7 | §30 (7) | Informationsaustausch | BSI-97 | A.5.5 A.5.6 |
31.1 | §31 (1) | Besondere Maßnahmen für Betreiber kritischer Anlagen | BSI-16 BSI-17 |
6.1.3 8.3 A.5.31 |
31.2 | §31 (2) | Systeme zur Angriffserkennung | OH SzA BSI-90 BSI-91 BSI-92 BSI-93 BSI-94 |
viele |
32.1 | §32 (1) | Meldepflichten | BSI-100 | A.5.24 A.5.31 |
33.1 | §33 (1) | Registrierung Einrichtung | - | A.5.5 A.5.31 |
33.2 | §33 (2) | Kontaktstelle KRITIS | BSI-100 | A.5.5 A.5.31 |
34.1 | §34 (1) | Registrierung besondere Einrichtung | - | A.5.5 A.5.31 |
35.1 | §35 (1) | Unterrichtung Kunden | - | A.5.26 A.5.31 |
35.2 | §35 (2) | Gegenmaßnahmen Kunden | - | A.5.31 |
38.1 | §38 (1) | Verantwortung Geschäftsführung | BSI-17 | 5.1 A.5.31 |
38.3 | §38 (3) | Schulungen Geschäftsführung | BSI-68 | 7.2 A.5.31 |
Weitere Informationen
Literatur
- KRITIS-Branchenstandards auf OpenKRITIS
- KRITIS-Standards für Management-Systeme auf OpenKRITIS
- Mapping KRITIS auf Security Standards (PDF-Version), OpenKRITIS
- NIST Critical Infrastructure Resources, National Institute of Standards and Technology
Quellen
- Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Version Dezember 2023, Intrapol, 7. März 2025
- Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), 27.12.2022
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022