NIS2 Security Mapping
Das NIS2-Umsetzungsgesetz und die EU NIS2-Direktive definieren Risiko-Management und Sicherheitsmaßnahmen, die betroffene Einrichtungen umsetzen müssen. Die Anforderungen aus §30 BSIG-E (NIS2UmsuCG) beschreiben Maßnahmen nach Stand der Technik und Management mit IT-RM, ISMS und BCMS, aber auch einige sehr konkrete technische Maßnahmen.
Das folgende OpenKRITIS-Mapping ordnet einzelne NIS2-Anforderungen aus dem deutschen NIS2-Umsetzungsgesetz in der Version von Juni 2024 existierenden Security-Standards zu: BSI KRITIS-Maßnahmen, ISO 27001:2022 und NIS2 Implementing Act (IT).
Separat konkretisieren EU NIS2 Implementing Acts (IT) die NIS2-Maßnahmen für bestimmte Internet-Provider. Ein separates DORA zu NIS2, ISO 27001 Mapping hilft IT-Dienstleistern.
NIS2-Anforderungen und Standards
Das Mapping von NIS2 auf ISO 27001:2022 und KRITIS Kontrollen ist eine Orientierung. Die aktuellen Vorgaben in §30 sind nicht vollständig. Die Zuordnungen zu KRITIS und ISO 27001 sind ebenso nicht immer vollständig und bedeuten keine vollständige Abdeckung. Der EU Implementing Act für IT-Provider definiert für die allgemeinen Vorgaben viel mehr Details.
| Nr. | NIS2UmsuCG | Anforderung | KRITIS | ISO 27001 2022 |
NIS2 IT Act |
|---|---|---|---|---|---|
| 30.1.1 | §30 (1) Satz 1 | Maßnahmen basierend auf Risiko-Exposition und gesellschaftlichen und wirtschaftlichen Auswirkungen | BSI-3 BSI-15 |
4.3 A.5.4 A.5.29 A.5.30 |
|
| 30.1.2 | §30 (1) Satz 3 | Dokumentation der NIS2 Risiko-Management Maßnahmen | BSI-16 | 6.1.3 8.3 A.5.31 |
|
| 30.2.0 | §30 (2) Satz 1 | Allgefahrenansatz und Stand der Technik | BSI-13 BSI-15 |
6.1 8.2 8.3 A.5.29 A.5.30 |
2.1.2 |
| 30.2.1a | §30 (2) Nr. 1 | Konzepte zur Risiko-Analyse (IT-RM) | BSI-13 BSI-14 BSI-16 BSI-85 BSI-86 BSI-87 BSI-88 BSI-89 |
6.1 8.2 8.3 10.1 A.5.31 A.5.36 A.5.36 A.8.34 |
2.1.1 2.1.2 2.1.3 2.2.1 2.2.2 2.2.3 2.3.1 2.3.2 2.3.3 2.3.4 |
| 30.2.1b | §30 (2) Nr. 1 | Konzepte für IT-Sicherheit (ISMS) | BSI-1 BSI-2 BSI-3 BSI-4 |
4.1-10.2 A.5.1 A.5.2 A.5.3 A.5.4 |
1.1.1 1.1.2 1.2.1 1.2.2 1.2.3 1.2.4 1.2.5 1.2.6 |
| 30.2.2 | §30 (2) Nr. 2 | Bewältigung von Sicherheitsvorfällen | BSI-77 BSI-78 BSI-79 BSI-80 BSI-90 BSI-92 BSI-93 SzA |
A.5.2 A.5.24 A.5.25 A.5.26 A.5.27 A.5.28 A.5.30 A.6.8 A.8.9 A.8.15 A.8.16 |
3.1.1 3.1.2 3.1.3 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.3.1 3.3.2 3.4.1 3.4.2 3.5.1 3.5.2 3.5.3 3.5.4 3.5.5 3.6.1 3.6.2 3.6.3 |
| 30.2.3a | §30 (2) Nr. 3 | Aufrechterhaltung Betrieb (BCM) | BSI-15 BSI-17 BSI-18 |
A.5.29 A.5.30 A.5.31 A.8.14 |
4.1.1 4.1.2 4.1.3 |
| 30.2.3b | §30 (2) Nr. 3 | Backup-Management | BSI-20 BSI-22 BSI-23 BSI-24 |
A.8.6 A.8.13 A.8.14 A.8.16 |
4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 |
| 30.2.3c | §30 (2) Nr. 3 | Wiederherstellung nach Notfällen (DR und IT-SCM) | BSI-19 | A.5.29 A.5.30 |
4.1.4 |
| 30.2.3d | §30 (2) Nr. 3 | Krisenmanagement | - | - | 4.3.1 4.3.2 4.3.3 4.3.4 |
| 30.2.4a | §30 (2) Nr. 4 | Sicherheit der Lieferkette | - | A.5.19 A.5.20 A.5.21 A.5.22 A.5.23 |
5.1.1 5.1.2 5.1.3 5.1.4 5.1.5 5.1.6 5.1.7 |
| 30.2.4b | §30 (2) Nr. 4 | Sicherheitsaspekte zu Anbietern und Dienstleistern | BSI-98 BSI-99 |
A.5.19 A.5.20 A.5.21 A.5.22 A.5.23 |
5.2 |
| 30.2.5a | §30 (2) Nr. 5 | Sicherheit beim Einkauf von IT | BSI-43 BSI-66 |
A.5.8 A.8.25 A.8.26 A.8.27 A.8.28 |
6.1.1 6.1.2 6.1.3 |
| 30.2.5b | §30 (2) Nr. 5 | Sicherheit bei der Entwicklung von IT | BSI-43 BSI-44 |
A.5.8 A.8.25 A.8.26 A.8.27 A.8.28 A.8.29 A.8.30 |
6.2.1 6.2.2 6.2.3 6.2.4 |
| 30.2.5c | §30 (2) Nr. 5 | Sicherheit bei der Wartung von IT | BSI-25 BSI-45 BSI-46 BSI-47 BSI-48 BSI-49 BSI-76 |
A.7.13 A.8.9 A.8.19 A.8.31 A.8.32 |
6.3.1 6.3.2 6.3.3 6.4.1 6.4.2 6.4.3 6.4.4 |
| 30.2.5d | §30 (2) Nr. 5 | Management und Offenlegung von Schwachstellen | BSI-25 BSI-84 BSI-84 BSI-95 BSI-96 |
A.5.7 A.8.8 A.8.19 A.8.32 A.8.33 A.8.34 |
6.5.1 6.5.2 6.5.3 6.6.1 6.6.2 |
| ? | ? | (Netzwerksicherheit) | (einige) | (viele) | 6.7.1 6.7.2 6.7.3 6.8.1 6.8.2 6.8.3 6.9.1 6.9.2 |
| 30.2.6 | §30 (2) Nr. 6 | Bewertung der Wirksamkeit von Maßnahmen | BSI-1 BSI-85 BSI-86 |
9.1 9.2 9.3 A.5.31 A.5.36 A.8.34 |
7.1.1 7.1.2 7.1.3 |
| 30.2.7a | §30 (2) Nr. 7 | Cyberhygiene und Awareness | BSI-68 | 7.3 9 A.6.3 A.7.7 |
8.1.1 8.1.2 8.1.3 |
| 30.2.7b | §30 (2) Nr. 7 | Schulungen Informationssicherheit | BSI-68 | 7.2 9 A.6.3 A.6.5 |
8.2.1 8.2.2 8.2.3 8.2.4 8.2.5 |
| 30.2.8 | §30 (2) Nr. 8 | Kryptografie und Verschlüsselung | BSI-32 BSI-33 BSI-34 BSI-35 |
A.5.1 A.5.14 A.5.31 A.8.20 A.8.21 A.8.24 A.8.33 |
9.1.1 9.1.2 9.1.3 |
| 30.2.9a | §30 (2) Nr. 9 | Personalsicherheit (HR-Security) | BSI-42 BSI-56 BSI-57 BSI-68 BSI-69 BSI-70 |
7.2 7.3 A.5.8 A.5.14 A.5.20 A.6.1 A.6.2 A.6.3 A.6.4 A.6.5 A.6.6 |
10.1.1 10.1.2 10.1.3 10.2.1 10.2.2 10.2.3 10.3.1 10.3.2 10.4.1 10.4.2 |
| 30.2.9b | §30 (2) Nr. 9 | Konzepte für Zugriffskontrolle | BSI-26 BSI-27 BSI-29 BSI-30 BSI-39 BSI-58 BSI-59 BSI-60 BSI-61 BSI-62 BSI-63 |
A.5.15 A.5.18 |
11.1.1 11.1.2 11.1.3 11.2.1 11.2.2 11.2.3 11.3.1 11.3.2 11.3.3 11.4.1 11.4.2 11.5.1 11.5.2 11.5.3 11.6.1 11.6.2 11.6.3 11.6.4 11.7.1 11.7.2 |
| 30.2.9c | §30 (2) Nr. 9 | Management von Anlagen (Asset Management) | BSI-5 BSI-7 BSI-8 BSI-9 BSI-10 BSI-11 BSI-12 |
A.5.9 A.5.10 A.5.11 A.5.12 A.5.13 A.7.9 A.7.10 A.7.14 A.8.3 A.8.10 |
12.1.1 12.1.2 12.1.3 12.2.1 12.2.2 12.2.3 12.3.1 12.3.2 12.3.3 12.4.1 12.4.2 12.4.3 12.5 |
| ? | ? | (Physische Sicherheit) | (einige) | (viele) | 13.1.1 13.1.2 13.1.3 13.2.1 13.2.2 13.2.3 13.3.1 13.3.2 13.3.3 |
| 30.2.10a | §30 (2) Nr. 10 | Multi-Faktor-Authentifizierung (MFA) und kontinuierliche Authentifizierung (SSO) | BSI-26 BSI-27 BSI-64 |
A.5.17 A.8.5 A.8.24 |
11.7.1 11.7.2 |
| 30.2.10b | §30 (2) Nr. 10 | Gesicherte Sprach-, Video- und Textkommunikation | BSI-33 BSI-36 BSI-41 |
A.8.20 A.8.21 A.8.12 |
? |
| 30.2.10c | §30 (2) Nr. 10 | Gesicherte Notfallkommunikationssysteme | - | A.8.14 | ? |
| 31.1 | §31 (1) | Besondere Maßnahmen für Betreiber kritischer Anlagen | BSI-16 BSI-17 |
6.1.3 8.3 A.5.31 |
|
| 31.2 | §31 (2) | Systeme zur Angriffserkennung | OH SzA BSI-90 BSI-91 BSI-92 BSI-93 BSI-94 |
viele | |
| 32.1 | §32 (1) | Meldepflichten | BSI-100 | A.5.24 A.5.31 |
|
| 33.1 | §33 (1) | Registrierung Einrichtung | - | A.5.5 A.5.31 |
|
| 33.2 | §33 (2) | Kontaktstelle KRITIS | BSI-100 | A.5.5 A.5.31 |
|
| 34.1 | §34 (1) | Registrierung besondere Einrichtung | - | A.5.5 A.5.31 |
|
| 35.1 | §35 (1) | Unterrichtung Kunden | - | A.5.26 A.5.31 |
|
| 35.2 | §35 (2) | Gegenmaßnahmen Kunden | - | A.5.31 |
|
| 38.1 | §38 (1) | Verantwortung Geschäftsführung | BSI-17 | 5.1 A.5.31 |
|
| 38.3 | §38 (3) | Schulungen Geschäftsführung | BSI-68 | 7.2 A.5.31 |
Weitere Informationen
Literatur
- KRITIS-Branchenstandards auf OpenKRITIS
- KRITIS-Standards für Management-Systeme auf OpenKRITIS
- Mapping KRITIS auf Security Standards (PDF-Version), OpenKRITIS
- NIST Critical Infrastructure Resources, National Institute of Standards and Technology
Quellen
- Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Version Dezember 2023, Intrapol, 7. März 2024
- Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), 27.12.2022
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022