Maßnahmen zum Risikomanagement für Cybersicherheit
(Art. 1 § 30 im NIS2UmsuCG-Entwurf)
Laut NIS2 müssen mindestens die folgenden Cybersecurity-Maßnahmen umgesetzt werden, um die Risiken für die Sicherheit Ihrer Netz- und Informationssysteme zu kontrollieren– und das Eintreten und die Konsequenzen von Sicherheitsvorfällen möglichst gering zu halten. Sie müssen die IT-Systeme und deren physische Umwelt schützen Wieviel genau angemessen ist, sollten Sie nach einem risikobasierten Ansatz für sich festlegen.
- Policies: Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
- Vorfallsbewältigung: Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle
- Business Continuity: Backup-Management und Wiederherstellung, Krisenmanagement
- Supply Chain: Sicherheit in der Lieferkette
- Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme, einschließlich Management und Offenlegung von Schwachstellen
- Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
- Cyberhygiene, Schulung: Cyberhygiene (z.B. Updates) und Schulungen in Cyber Security
- Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
- Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management
- Authentifizierung: Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
- Kommunikation: Sichere Sprach-, Video- und Text-Kommunikation, ggf. auch im Notfall