Personal und Schulungen
Betreiber (KRITIS) und Einrichtungen (NIS2) müssen in ihrem Geltungsbereich der regulierten Dienstleistungen Personalprozesse im Sinne der Informationssicherheit schützen und das Personal durch Schulungen und Awareness fortbilden. Diese Vorgaben werden üblicherweise durch das ISMS definiert und gesteuert – die Umsetzung dann in HR-Prozessen.
Die Anforderungen an Schulungen und Awareness (Cyberhygiene) nehmen mit der NIS2-Umsetzung zu und werden detaillierter. Zusätzlich muss die Geschäftsleitung nun auch explizit an Schulungen teilnehmen.
Der BSI-Katalog Konkretisierung der Anforderungen an §8a Maßnahmen (KRITIS) und die NIS2-Umsetzung (NIS2) definieren folgende Anforderungen für Personalsicherheit und Schulungen:
| Bereich | KRITIS | NIS2 | Anforderung |
|---|---|---|---|
| Personelle Sicherheit | 56-57, 69-70 | 30.2.9a | HR-Prozesse und Personal |
| Schulungen | 68 | 30.2.7a 30.2.7b 38.3 | Training und Awareness |
Personalsicherheit
Prozesse und HR
Informationssicherheit und Sicherheitsanforderungen für KRITIS müssen in den Personal- und HR-Prozessen in KRITIS-Anlagen ab der Einstellung berücksichtigt und kontinuierlich durch entsprechende Trainings-Maßnahmen vom ISMS begleitet werden.
| KRITIS | NIS2 | Anforderung |
|---|---|---|
| BSI-56 | 30.2.9a | Einstellung und Sicherheitsüberprüfung |
| BSI-57 | 30.2.9a | Einstellung und Beschäftigungsvereinbarungen |
| BSI-69 | 30.2.9a | Disziplinarverfahren |
| BSI-70 | 30.2.9a | Beendigung des Beschäftigungsverhältnisses |
Prozesse
In mindestens den folgenden Personalprozessen von von Betreibern (KRITIS) und Einrichtungen (NIS2) sollten die Anforderungen an Personalsicherheit berücksichtigt werden:
- Sicherheitsüberprüfung: Mögliche weitergehende Überprüfungen vor der Einstellung von Personal in bestimmten Sicherheits- oder Betriebsbereichen der KRITIS-Anlagen
- Einstellung: Dokumentierte Vorgaben für Informationssicherheit in Einstellungsdokumenten
- Beendigung: Verpflichtung für Informationssicherheit über das Beschäftigungsende hinaus
- Diszplinar: Dokumentierte Disziplinarverfahren für Verstöße gegen Informationssicherheit
Nachweise
Nachweise für angemessene personelle Informationssicherheit sind u.a.:
- Klauseln in Arbeitsverträgen
- Laufzettel bei Austritt
- Wirksame HR-Prozesse
Schulungen und Awareness
Informationssicherheit und Sicherheitsanforderungen für KRITIS müssen in den Personal- und HR-Prozessen in KRITIS-Anlagen ab der Einstellung berücksichtigt und kontinuierlich durch entsprechende Trainings-Maßnahmen vom ISMS begleitet werden.
| KRITIS | NIS2 | Anforderung |
|---|---|---|
| BSI-68 | 30.2.7a 30.2.7b | Schulungen und Awareness |
| 38.3 | Schulungen Geschäftsleitung |
Das Personal in KRITIS-Anlagen und Einrichtungen muss regelmäßig in Informationssicherheit geschult und sensibilisiert werden. Schulungsprogramme sollten mit dem Onboarding beginnen und in festen Zyklen Wissen und Fähigkeiten vermitteln, Awareness-Programme zur Sensibilisierung sollten regelmäßig in verschiedenen Formaten durchgeführt werden. Beides muss auch Dienstleister und weitere Externe in den KRITIS-Anlagen umfassen.
Mit NIS2 muss die Geschäftsleitung selbst verpflichtend Schulungen zu Cybersecurity und Risiko-Management absolvieren.
Nachweise
Nachweise für angemessene personelle Informationssicherheit sind u.a.:
- Auswertung Awareness
- Teilnahmeprotokolle Schulungen
- Schulungsprogramm
Integration im Unternehmen
Die Personalsicherheit muss für eine nachhaltige Verbesserung der Informationssicherheit im Betrieb mit weiteren Management-Systemen beim KRITIS-Betreiber vernetzt sein.
- Sicherheits-Management (ISMS): Austausch zu Vorgaben, Prozessen, Schulungen, Kontrollen
- Business Continuity (BCM): Austausch von Risiken und Maßnahmen, Notfallplänen
Weitere Informationen
Literatur
- IT-Grundschutz-Baustein (200-1): ORP.2 Personal, Bundesamt für Sicherheit in der Informationstechnik, Februar 2023
- IT-Grundschutz-Baustein (200-1): ORP.3 Sensibilisierung und Schulung zur Informationssicherheit, Bundesamt für Sicherheit in der Informationstechnik, Februar 2023
- Framework for Improving Critical Infrastructure Cybersecurity, NIST - National Institute of Standards and Technology, Version 1.1, April 2018
Standards
- ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements, International Organization for Standardization
- DIN EN ISO/IEC 27001, Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme - Anforderungen, Deutsche Fassung EN ISO/IEC 27001:2017
- BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS), Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, Oktober 2017
- IT-Grundschutz-Bausteine, Edition 2021, Bundesamt für Sicherheit in der Informationstechnik
Quellen
- Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, 28.2.2020
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist