# NIS2 Obligations & Controls # Version: 1.0 # Based on: EU Directive 2022/2555 (NIS2) and German BSIG-E (Draft) regulation: nis2 name: "NIS2-Richtlinie / BSIG-E" version: "1.0" effective_date: "2024-10-18" german_implementation: "BSIG-E (Entwurf)" # ============================================================================== # Pflichten (Obligations) # ============================================================================== obligations: # --------------------------------------------------------------------------- # Meldepflichten # --------------------------------------------------------------------------- - id: "NIS2-OBL-001" title: "BSI-Registrierung" description: | Registrierung beim BSI über das Meldeportal innerhalb von 3 Monaten nach Identifikation als betroffene Einrichtung. Anzugeben sind: - Name und Anschrift der Einrichtung - Kontaktdaten (E-Mail, Telefon) eines Ansprechpartners - IP-Adressbereiche der Einrichtung - Sektor und Tätigkeitsbereich applies_when: "classification in ['wichtige_einrichtung', 'besonders_wichtige_einrichtung']" legal_basis: - norm: "§ 33 BSIG-E" article: "Registrierungspflicht" - norm: "Art. 3 Abs. 4 NIS2" category: "Meldepflicht" responsible: "Geschäftsführung" deadline: type: "absolute" date: "2025-01-17" sanctions: max_fine: "500.000 EUR" personal_liability: false evidence: - "Registrierungsbestätigung des BSI" - "Dokumentierte Ansprechpartner mit Kontaktdaten" - "Liste der registrierten IP-Bereiche" priority: "critical" how_to_implement: | 1. BSI-Meldeportal aufrufen (wird noch eingerichtet) 2. Unternehmensdaten eingeben 3. Technische Ansprechpartner benennen 4. IP-Bereiche dokumentieren und eintragen 5. Bestätigung archivieren - id: "NIS2-OBL-002" title: "Risikomanagement-Maßnahmen implementieren" description: | Umsetzung angemessener und verhältnismäßiger technischer, operativer und organisatorischer Maßnahmen zur Beherrschung der Risiken für die Sicherheit der Netz- und Informationssysteme. Die Maßnahmen müssen dem Stand der Technik entsprechen und folgende Bereiche abdecken: - Risikoanalyse und Sicherheitskonzepte - Bewältigung von Sicherheitsvorfällen - Betriebskontinuität und Krisenmanagement - Sicherheit der Lieferkette - Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung - Bewertung der Wirksamkeit von Maßnahmen - Cyberhygiene und Schulungen - Kryptographie - Personalsicherheit - Zugangskontrollen applies_when: "classification != 'nicht_betroffen'" legal_basis: - norm: "Art. 21 NIS2" article: "Risikomanagementmaßnahmen im Bereich der Cybersicherheit" - norm: "§ 30 BSIG-E" article: "Risikomanagementmaßnahmen" category: "Governance" responsible: "CISO" deadline: type: "relative" duration: "18 Monate nach Inkrafttreten des BSIG-E" sanctions: max_fine: "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes" personal_liability: true evidence: - "ISMS-Dokumentation" - "Risikoanalyse und -bewertung" - "Maßnahmenkatalog mit Umsetzungsstatus" - "Sicherheitskonzept" priority: "high" iso27001_mapping: ["A.5", "A.6", "A.8"] - id: "NIS2-OBL-003" title: "Geschäftsführungs-Verantwortung und Genehmigung" description: | Die Leitungsorgane (Geschäftsführung, Vorstand) müssen die Risikomanagementmaßnahmen billigen und deren Umsetzung überwachen. Bei Verstößen können sie persönlich haftbar gemacht werden. Die Geschäftsführung ist verpflichtet: - Risikomanagement-Maßnahmen zu genehmigen - Umsetzung regelmäßig zu überprüfen - Ausreichende Ressourcen bereitzustellen - Cybersicherheit als strategisches Thema zu behandeln applies_when: "classification != 'nicht_betroffen'" legal_basis: - norm: "Art. 20 NIS2" article: "Governance" - norm: "§ 38 BSIG-E" article: "Billigung, Überwachung und Schulung" category: "Governance" responsible: "Geschäftsführung" sanctions: max_fine: "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes" personal_liability: true evidence: - "Vorstandsbeschluss zur Cybersicherheitsstrategie" - "Dokumentierte Genehmigung der Risikomanagement-Maßnahmen" - "Protokolle der regelmäßigen Reviews" - "Nachweis der Ressourcenbereitstellung" priority: "critical" - id: "NIS2-OBL-004" title: "Cybersicherheits-Schulung der Geschäftsführung" description: | Mitglieder der Leitungsorgane müssen an regelmäßigen Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Cybersicherheitsrisiken und deren Auswirkungen zu erlangen. Die Schulungen müssen folgende Themen abdecken: - Aktuelle Bedrohungslage - Grundlagen der Informationssicherheit - Relevante gesetzliche Anforderungen (NIS2, DSGVO, etc.) - Risikobasierter Ansatz - Incident Response und Krisenmanagement applies_when: "classification != 'nicht_betroffen'" legal_basis: - norm: "Art. 20 Abs. 2 NIS2" - norm: "§ 38 Abs. 3 BSIG-E" category: "Schulung" responsible: "Geschäftsführung" deadline: type: "recurring" interval: "jährlich" evidence: - "Schulungsnachweise/Zertifikate der Geschäftsführung" - "Schulungsplan mit Themen und Terminen" - "Teilnahmelisten" priority: "high" - id: "NIS2-OBL-005" title: "Incident-Response-Prozess und Meldepflichten" description: | Etablierung eines Prozesses zur Erkennung, Analyse, Eindämmung und Meldung von erheblichen Sicherheitsvorfällen. Die Meldung muss in drei Phasen erfolgen: 1. Frühwarnung (24 Stunden): Unverzügliche Meldung, ob böswilliger Angriff vermutet wird und ob grenzüberschreitende Auswirkungen möglich sind 2. Vorfallmeldung (72 Stunden): Aktualisierung mit erster Bewertung, Schweregrad, Auswirkungen und Kompromittierungsindikatoren 3. Abschlussbericht (1 Monat): Ausführliche Beschreibung, Ursachenanalyse, ergriffene Maßnahmen und grenzüberschreitende Auswirkungen applies_when: "classification != 'nicht_betroffen'" legal_basis: - norm: "Art. 23 NIS2" article: "Berichtspflichten" - norm: "§ 32 BSIG-E" article: "Meldepflichten" category: "Meldepflicht" responsible: "CISO" evidence: - "Incident-Response-Plan" - "Meldeprozess-Dokumentation" - "24/7-Erreichbarkeit der Ansprechpartner" - "Kontaktdaten BSI und ggf. sektorale Behörden" - "Vorlagen für Meldungen" priority: "critical" iso27001_mapping: ["A.16"] - id: "NIS2-OBL-006" title: "Business Continuity Management" description: | Implementierung von Maßnahmen zur Aufrechterhaltung des Betriebs: - Backup-Management und -Strategie - Notfallwiederherstellung (Disaster Recovery) - Krisenmanagement - Notfallplanung Regelmäßige Tests der BCM-Maßnahmen sind durchzuführen. applies_when: "classification != 'nicht_betroffen'" legal_basis: - norm: "Art. 21 Abs. 2 lit. c NIS2" - norm: "§ 30 Abs. 2 Nr. 3 BSIG-E" category: "Technisch" responsible: "CISO" evidence: - "BCM-Dokumentation" - "Backup-Konzept mit RTO/RPO" - "Disaster-Recovery-Plan" - "Krisenmanagement-Handbuch" - "Testprotokolle (mindestens jährlich)" priority: "high" iso27001_mapping: ["A.17"] - id: "NIS2-OBL-007" title: "Lieferketten-Sicherheit" description: | Sicherstellung der Sicherheit in der Lieferkette, einschließlich: - Bewertung der Sicherheitspraktiken von Lieferanten - Vertragliche Sicherheitsanforderungen - Regelmäßige Überprüfung der Lieferanten - Berücksichtigung von Konzentrationsrisiken - Dokumentation kritischer Lieferanten applies_when: "classification != 'nicht_betroffen'" legal_basis: - norm: "Art. 21 Abs. 2 lit. d NIS2" - norm: "§ 30 Abs. 2 Nr. 4 BSIG-E" category: "Organisatorisch" responsible: "CISO" evidence: - "Lieferanten-Risikobewertung" - "Sicherheitsanforderungen in Verträgen" - "Liste kritischer Lieferanten" - "Audit-Berichte von Lieferanten" priority: "medium" iso27001_mapping: ["A.15"] - id: "NIS2-OBL-008" title: "Schwachstellenmanagement" description: | Etablierung von Prozessen zum Umgang mit Schwachstellen: - Regelmäßige Schwachstellen-Scans - Priorisierung nach Risiko - Zeitnahe Behebung (Patch-Management) - Koordinierte Offenlegung von Schwachstellen applies_when: "classification != 'nicht_betroffen'" legal_basis: - norm: "Art. 21 Abs. 2 lit. e NIS2" - norm: "§ 30 Abs. 2 Nr. 5 BSIG-E" category: "Technisch" responsible: "CISO" evidence: - "Schwachstellen-Management-Prozess" - "Patch-Management-Richtlinie" - "Vulnerability-Scan-Berichte" - "Statistiken zur Behebungszeit" priority: "high" iso27001_mapping: ["A.12.6"] - id: "NIS2-OBL-009" title: "Zugangs- und Identitätsmanagement" description: | Implementierung von Konzepten für: - Zugangskontrolle (Need-to-know-Prinzip) - Management von Benutzerkonten und Berechtigungen - Multi-Faktor-Authentifizierung (MFA) - Sichere Authentifizierungsmethoden - Regelmäßige Überprüfung von Berechtigungen applies_when: "classification != 'nicht_betroffen'" legal_basis: - norm: "Art. 21 Abs. 2 lit. i NIS2" - norm: "§ 30 Abs. 2 Nr. 9 BSIG-E" category: "Technisch" responsible: "IT-Leitung" evidence: - "Zugangskontroll-Richtlinie" - "MFA-Implementierungsnachweis" - "Identity-Management-Dokumentation" - "Berechtigungsmatrix" - "Review-Protokolle" priority: "high" iso27001_mapping: ["A.9"] - id: "NIS2-OBL-010" title: "Kryptographie und Verschlüsselung" description: | Konzepte und Verfahren für den Einsatz von Kryptographie: - Verschlüsselung von Daten in Ruhe und Transit - Sichere Schlüsselverwaltung - Verwendung aktueller kryptographischer Standards - Regelmäßige Überprüfung der eingesetzten Verfahren applies_when: "classification != 'nicht_betroffen'" legal_basis: - norm: "Art. 21 Abs. 2 lit. h NIS2" - norm: "§ 30 Abs. 2 Nr. 8 BSIG-E" category: "Technisch" responsible: "CISO" evidence: - "Kryptographie-Richtlinie" - "Verschlüsselungskonzept" - "Key-Management-Dokumentation" - "Liste eingesetzter Algorithmen" priority: "medium" iso27001_mapping: ["A.10"] - id: "NIS2-OBL-011" title: "Personalsicherheit und Awareness" description: | Sicherstellung der Personalsicherheit: - Hintergrundüberprüfungen für kritische Rollen - Regelmäßige Sicherheitsschulungen für alle Mitarbeiter - Awareness-Programme - Klare Verantwortlichkeiten - Prozesse bei Personalwechsel applies_when: "classification != 'nicht_betroffen'" legal_basis: - norm: "Art. 21 Abs. 2 lit. g NIS2" - norm: "Art. 21 Abs. 2 lit. j NIS2" - norm: "§ 30 Abs. 2 Nr. 7 BSIG-E" - norm: "§ 30 Abs. 2 Nr. 10 BSIG-E" category: "Organisatorisch" responsible: "Geschäftsführung" evidence: - "Personalsicherheits-Richtlinie" - "Schulungskonzept und -nachweise" - "Awareness-Materialien" - "Onboarding/Offboarding-Prozesse" priority: "medium" iso27001_mapping: ["A.7"] - id: "NIS2-OBL-012" title: "Regelmäßige Sicherheitsaudits (besonders wichtige Einrichtungen)" description: | Besonders wichtige Einrichtungen unterliegen regelmäßigen Sicherheitsüberprüfungen durch das BSI. Diese können umfassen: - Vor-Ort-Prüfungen - Remote-Audits - Dokumentenprüfungen - Technische Prüfungen Die Einrichtungen müssen auf Anforderung Nachweise vorlegen. applies_when: "classification == 'besonders_wichtige_einrichtung'" legal_basis: - norm: "Art. 32 NIS2" article: "Aufsichtsmaßnahmen für besonders wichtige Einrichtungen" - norm: "§ 39 BSIG-E" category: "Audit" responsible: "CISO" deadline: type: "recurring" interval: "alle 2 Jahre" evidence: - "Audit-Berichte" - "Maßnahmenpläne aus Audits" - "Nachweise der Umsetzung" priority: "high" - id: "NIS2-OBL-013" title: "Netzsegmentierung und Netzwerksicherheit" description: | Implementierung von Netzwerksicherheitsmaßnahmen: - Segmentierung kritischer Systeme - Firewalls und Zugangskontrolle - Sichere Netzwerkarchitektur - Überwachung des Netzwerkverkehrs applies_when: "classification != 'nicht_betroffen'" legal_basis: - norm: "Art. 21 Abs. 2 lit. a NIS2" - norm: "§ 30 Abs. 2 Nr. 1 BSIG-E" category: "Technisch" responsible: "IT-Leitung" evidence: - "Netzwerkarchitektur-Dokumentation" - "Firewall-Regelwerke" - "Segmentierungskonzept" priority: "high" iso27001_mapping: ["A.13.1"] - id: "NIS2-OBL-014" title: "Security Monitoring und Protokollierung" description: | Kontinuierliche Überwachung der IT-Sicherheit: - Sicherheitsrelevante Protokollierung - SIEM oder vergleichbare Lösung - Anomalie-Erkennung - Regelmäßige Auswertung der Logs applies_when: "classification != 'nicht_betroffen'" legal_basis: - norm: "Art. 21 Abs. 2 lit. b NIS2" - norm: "§ 30 Abs. 2 Nr. 2 BSIG-E" category: "Technisch" responsible: "CISO" evidence: - "Log-Management-Konzept" - "SIEM-Dokumentation" - "Monitoring-Dashboards" - "Incident-Berichte aus Monitoring" priority: "high" iso27001_mapping: ["A.12.4"] # ============================================================================== # Controls (Maßnahmen) # ============================================================================== controls: - id: "NIS2-CTRL-001" name: "ISMS implementieren" description: "Implementierung eines Informationssicherheits-Managementsystems nach anerkanntem Standard" category: "Governance" what_to_do: "Aufbau eines ISMS nach ISO 27001 oder BSI IT-Grundschutz" iso27001_mapping: ["4", "5", "6", "7"] priority: "high" - id: "NIS2-CTRL-002" name: "Netzwerksegmentierung" description: "Segmentierung kritischer Netzwerkbereiche zur Reduzierung der Angriffsfläche" category: "Technisch" what_to_do: "Implementierung von VLANs, Firewalls und Mikrosegmentierung für kritische Systeme" iso27001_mapping: ["A.13.1"] priority: "high" - id: "NIS2-CTRL-003" name: "Security Monitoring" description: "Kontinuierliche Überwachung der IT-Sicherheit" category: "Technisch" what_to_do: "Implementierung von SIEM, Log-Management und Anomalie-Erkennung" iso27001_mapping: ["A.12.4"] priority: "high" - id: "NIS2-CTRL-004" name: "Awareness-Programm" description: "Regelmäßige Sicherheitsschulungen für alle Mitarbeiter" category: "Organisatorisch" what_to_do: "Durchführung von Phishing-Simulationen, E-Learning und Präsenzschulungen" iso27001_mapping: ["A.7.2.2"] priority: "medium" - id: "NIS2-CTRL-005" name: "Multi-Faktor-Authentifizierung" description: "MFA für alle administrativen Zugänge und kritischen Systeme" category: "Technisch" what_to_do: "Einführung von MFA für VPN, E-Mail, Admin-Zugänge und kritische Anwendungen" iso27001_mapping: ["A.9.4"] priority: "high" - id: "NIS2-CTRL-006" name: "Backup & Recovery" description: "Regelmäßige Backups und getestete Wiederherstellung" category: "Technisch" what_to_do: "Implementierung von 3-2-1 Backup-Strategie mit regelmäßigen Recovery-Tests" iso27001_mapping: ["A.12.3"] priority: "high" - id: "NIS2-CTRL-007" name: "Vulnerability Management" description: "Systematisches Schwachstellenmanagement" category: "Technisch" what_to_do: "Regelmäßige Scans, Priorisierung nach CVSS, zeitnahe Patches" iso27001_mapping: ["A.12.6"] priority: "high" - id: "NIS2-CTRL-008" name: "Incident Response Team" description: "Dediziertes Team für Sicherheitsvorfälle" category: "Organisatorisch" what_to_do: "Aufbau eines CSIRT/CERT mit klaren Rollen und Eskalationspfaden" iso27001_mapping: ["A.16.1"] priority: "high" # ============================================================================== # Incident Deadlines (Meldefristen) # ============================================================================== incident_deadlines: - phase: "Frühwarnung" deadline: "24 Stunden" content: | Unverzügliche Meldung erheblicher Sicherheitsvorfälle. Angabe: - Ob böswilliger Angriff vermutet wird - Ob grenzüberschreitende Auswirkungen möglich sind recipient: "BSI" legal_basis: - norm: "§ 32 Abs. 1 BSIG-E" - phase: "Vorfallmeldung" deadline: "72 Stunden" content: | Aktualisierung der Frühwarnung mit: - Erste Bewertung des Vorfalls - Schweregrad und Auswirkungen - Kompromittierungsindikatoren (IoCs) recipient: "BSI" legal_basis: - norm: "§ 32 Abs. 2 BSIG-E" - phase: "Abschlussbericht" deadline: "1 Monat" content: | Ausführlicher Bericht mit: - Ausführliche Beschreibung des Vorfalls - Ursachenanalyse (Root Cause) - Ergriffene Abhilfemaßnahmen - Grenzüberschreitende Auswirkungen recipient: "BSI" legal_basis: - norm: "§ 32 Abs. 3 BSIG-E" # ============================================================================== # Sector Classification (NIS2 Annexes) # ============================================================================== sectors: annex_i: name: "Sektoren mit hoher Kritikalität" description: "Anhang I der NIS2-Richtlinie" sectors: - id: "energy" name: "Energie" subsectors: ["Elektrizität", "Fernwärme/-kälte", "Erdöl", "Erdgas", "Wasserstoff"] - id: "transport" name: "Verkehr" subsectors: ["Luftverkehr", "Schienenverkehr", "Schifffahrt", "Straßenverkehr"] - id: "banking_financial" name: "Bankwesen" subsectors: ["Kreditinstitute"] - id: "financial_market" name: "Finanzmarktinfrastrukturen" subsectors: ["Betreiber von Handelsplätzen", "Zentrale Gegenparteien"] - id: "health" name: "Gesundheitswesen" subsectors: ["Gesundheitsdienstleister", "EU-Referenzlaboratorien", "Arzneimittelhersteller", "Medizinproduktehersteller"] - id: "drinking_water" name: "Trinkwasser" subsectors: ["Lieferanten und Verteiler von Trinkwasser"] - id: "wastewater" name: "Abwasser" subsectors: ["Unternehmen, die kommunales Abwasser sammeln, entsorgen oder behandeln"] - id: "digital_infrastructure" name: "Digitale Infrastruktur" subsectors: ["IXPs", "DNS-Dienste", "TLD-Namenregister", "Cloud-Computing", "Rechenzentren", "CDNs", "Vertrauensdienste", "Öffentliche Kommunikationsnetze"] - id: "ict_service_mgmt" name: "Verwaltung von IKT-Diensten (B2B)" subsectors: ["Managed Service Provider", "Managed Security Service Provider"] - id: "public_administration" name: "Öffentliche Verwaltung" subsectors: ["Zentralregierung", "Regionale Behörden"] - id: "space" name: "Weltraum" subsectors: ["Betreiber von Bodeninfrastrukturen"] annex_ii: name: "Sonstige kritische Sektoren" description: "Anhang II der NIS2-Richtlinie" sectors: - id: "postal" name: "Post- und Kurierdienste" - id: "waste" name: "Abfallbewirtschaftung" - id: "chemicals" name: "Herstellung, Produktion und Vertrieb von Chemikalien" - id: "food" name: "Produktion, Verarbeitung und Vertrieb von Lebensmitteln" - id: "manufacturing" name: "Verarbeitendes Gewerbe/Herstellung von Waren" subsectors: ["Medizinprodukte", "DV-Geräte", "Elektrische Ausrüstungen", "Maschinenbau", "Kraftwagen", "Sonstiger Fahrzeugbau"] - id: "digital_providers" name: "Anbieter digitaler Dienste" subsectors: ["Online-Marktplätze", "Online-Suchmaschinen", "Soziale Netzwerke"] - id: "research" name: "Forschung" subsectors: ["Forschungseinrichtungen"]