38e278ee3c
All checks were successful
CI / go-lint (push) Has been skipped
CI / python-lint (push) Has been skipped
CI / nodejs-lint (push) Has been skipped
CI / test-go-ai-compliance (push) Successful in 32s
CI / test-python-backend-compliance (push) Successful in 29s
CI / test-python-document-crawler (push) Successful in 20s
CI / test-python-dsms-gateway (push) Successful in 18s
- 9 Regulation-JSON-Dateien (DSGVO 80, AI Act 60, NIS2 40, BDSG 30, TTDSG 20, DSA 35, Data Act 25, EU-Maschinen 15, DORA 20) - Condition-Tree-Engine fuer automatische Pflichtenselektion (all_of/any_of, 80+ Field-Paths) - Generischer JSONRegulationModule-Loader mit YAML-Fallback - Bidirektionales TOM-Control-Mapping (291 Obligation→Control, 92 Control→Obligation) - Gap-Analyse-Engine (Compliance-%, Priority Actions, Domain Breakdown) - ScopeDecision→UnifiedFacts Bridge fuer Auto-Profiling - 4 neue API-Endpoints (assess-from-scope, tom-controls, gap-analysis, reverse-lookup) - Frontend: Auto-Profiling Button, Regulation-Filter Chips, TOM-Panel, Gap-Analyse-View - 18 Unit Tests (Condition Engine, v2 Loader, TOM Mapper) Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
1426 lines
68 KiB
JSON
1426 lines
68 KiB
JSON
{
|
|
"regulation": "nis2",
|
|
"name": "NIS2-Richtlinie / BSIG-E",
|
|
"description": "EU-Richtlinie 2022/2555 ueber Massnahmen fuer ein hohes gemeinsames Cybersicherheitsniveau + deutsches NIS2UmsuCG",
|
|
"version": "2.0",
|
|
"effective_date": "2024-10-18",
|
|
"obligations": [
|
|
{
|
|
"id": "NIS2-OBL-001",
|
|
"title": "BSI-Registrierung",
|
|
"description": "Registrierung beim BSI ueber das Meldeportal innerhalb von 3 Monaten nach Identifikation als betroffene Einrichtung. Anzugeben sind: Name und Anschrift der Einrichtung, Kontaktdaten (E-Mail, Telefon) eines Ansprechpartners, IP-Adressbereiche der Einrichtung, Sektor und Taetigkeitsbereich.",
|
|
"applies_when": "classification in ['wichtige_einrichtung', 'besonders_wichtige_einrichtung']",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true},
|
|
{"field": "sector.nis2_classification", "operator": "IN", "value": ["wichtige_einrichtung", "besonders_wichtige_einrichtung"]}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 3 Abs. 4", "title": "Anwendungsbereich und Registrierung"},
|
|
{"norm": "BSIG-E", "article": "§ 33", "title": "Registrierungspflicht"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 3 Abs. 4 NIS2"},
|
|
{"type": "national_law", "ref": "§ 33 BSIG-E"}
|
|
],
|
|
"category": "Meldepflicht",
|
|
"responsible": "Geschaeftsfuehrung",
|
|
"sanctions": {"max_fine": "500.000 EUR", "personal_liability": false},
|
|
"evidence": [
|
|
"Registrierungsbestaetigung des BSI",
|
|
"Dokumentierte Ansprechpartner mit Kontaktdaten",
|
|
"Liste der registrierten IP-Bereiche"
|
|
],
|
|
"priority": "kritisch",
|
|
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-002",
|
|
"title": "Risikomanagement-Massnahmen implementieren",
|
|
"description": "Umsetzung angemessener und verhaeltnismaessiger technischer, operativer und organisatorischer Massnahmen zur Beherrschung der Risiken fuer die Sicherheit der Netz- und Informationssysteme. Die Massnahmen muessen dem Stand der Technik entsprechen und Risikoanalyse, Sicherheitskonzepte, Incident-Bewaeltigung, BCM, Lieferkettensicherheit, Schwachstellenmanagement, Wirksamkeitsbewertung, Cyberhygiene, Kryptographie, Personalsicherheit und Zugangskontrollen abdecken.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 21", "title": "Risikomanagementmassnahmen im Bereich der Cybersicherheit"},
|
|
{"norm": "BSIG-E", "article": "§ 30", "title": "Risikomanagementmassnahmen"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 21 NIS2"},
|
|
{"type": "national_law", "ref": "§ 30 BSIG-E"}
|
|
],
|
|
"category": "Governance",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"ISMS-Dokumentation",
|
|
"Risikoanalyse und -bewertung",
|
|
"Massnahmenkatalog mit Umsetzungsstatus",
|
|
"Sicherheitskonzept"
|
|
],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02", "TOM.GOV.03", "TOM.OPS.01"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-003",
|
|
"title": "Geschaeftsfuehrungs-Verantwortung und Genehmigung",
|
|
"description": "Die Leitungsorgane (Geschaeftsfuehrung, Vorstand) muessen die Risikomanagementmassnahmen billigen und deren Umsetzung ueberwachen. Bei Verstoessen koennen sie persoenlich haftbar gemacht werden. Die Geschaeftsfuehrung ist verpflichtet: Risikomanagement-Massnahmen zu genehmigen, Umsetzung regelmaessig zu ueberpruefen, ausreichende Ressourcen bereitzustellen und Cybersicherheit als strategisches Thema zu behandeln.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 20", "title": "Governance"},
|
|
{"norm": "BSIG-E", "article": "§ 38", "title": "Billigung, Ueberwachung und Schulung"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 20 NIS2"},
|
|
{"type": "national_law", "ref": "§ 38 BSIG-E"}
|
|
],
|
|
"category": "Governance",
|
|
"responsible": "Geschaeftsfuehrung",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Vorstandsbeschluss zur Cybersicherheitsstrategie",
|
|
"Dokumentierte Genehmigung der Risikomanagement-Massnahmen",
|
|
"Protokolle der regelmaessigen Reviews",
|
|
"Nachweis der Ressourcenbereitstellung"
|
|
],
|
|
"priority": "kritisch",
|
|
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.04", "TOM.GOV.05"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-004",
|
|
"title": "Cybersicherheits-Schulung der Geschaeftsfuehrung",
|
|
"description": "Mitglieder der Leitungsorgane muessen an regelmaessigen Schulungen teilnehmen, um ausreichende Kenntnisse und Faehigkeiten zur Erkennung und Bewertung von Cybersicherheitsrisiken und deren Auswirkungen zu erlangen. Themen: Aktuelle Bedrohungslage, Grundlagen der Informationssicherheit, relevante gesetzliche Anforderungen (NIS2, DSGVO), risikobasierter Ansatz, Incident Response und Krisenmanagement.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 20 Abs. 2", "title": "Schulungspflicht der Leitungsorgane"},
|
|
{"norm": "BSIG-E", "article": "§ 38 Abs. 3", "title": "Schulungspflicht"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 20 Abs. 2 NIS2"},
|
|
{"type": "national_law", "ref": "§ 38 Abs. 3 BSIG-E"}
|
|
],
|
|
"category": "Schulung",
|
|
"responsible": "Geschaeftsfuehrung",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Schulungsnachweise/Zertifikate der Geschaeftsfuehrung",
|
|
"Schulungsplan mit Themen und Terminen",
|
|
"Teilnahmelisten"
|
|
],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.HR.01", "TOM.HR.02", "TOM.GOV.06"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-005",
|
|
"title": "Incident-Response-Prozess und Meldepflichten",
|
|
"description": "Etablierung eines Prozesses zur Erkennung, Analyse, Eindaemmung und Meldung von erheblichen Sicherheitsvorfaellen. Dreistufige Meldung: 1) Fruehwarnung (24h) — ob boesartiger Angriff vermutet wird und grenzueberschreitende Auswirkungen moeglich sind; 2) Vorfallmeldung (72h) — erste Bewertung, Schweregrad, Auswirkungen, IoCs; 3) Abschlussbericht (1 Monat) — ausfuehrliche Beschreibung, Ursachenanalyse, ergriffene Massnahmen.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 23", "title": "Berichtspflichten"},
|
|
{"norm": "BSIG-E", "article": "§ 32", "title": "Meldepflichten"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 23 NIS2"},
|
|
{"type": "national_law", "ref": "§ 32 BSIG-E"}
|
|
],
|
|
"category": "Meldepflicht",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Incident-Response-Plan",
|
|
"Meldeprozess-Dokumentation",
|
|
"24/7-Erreichbarkeit der Ansprechpartner",
|
|
"Kontaktdaten BSI und ggf. sektorale Behoerden",
|
|
"Vorlagen fuer Meldungen"
|
|
],
|
|
"priority": "kritisch",
|
|
"tom_control_ids": ["TOM.OPS.08", "TOM.OPS.09", "TOM.OPS.10", "TOM.LOG.01"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-006",
|
|
"title": "Business Continuity Management",
|
|
"description": "Implementierung von Massnahmen zur Aufrechterhaltung des Betriebs: Backup-Management und -Strategie, Notfallwiederherstellung (Disaster Recovery), Krisenmanagement, Notfallplanung. Regelmaessige Tests der BCM-Massnahmen sind durchzufuehren.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 21 Abs. 2 lit. c", "title": "Betriebskontinuitaet und Krisenmanagement"},
|
|
{"norm": "BSIG-E", "article": "§ 30 Abs. 2 Nr. 3", "title": "BCM-Massnahmen"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 21 Abs. 2 lit. c NIS2"},
|
|
{"type": "national_law", "ref": "§ 30 Abs. 2 Nr. 3 BSIG-E"}
|
|
],
|
|
"category": "Technisch",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"BCM-Dokumentation",
|
|
"Backup-Konzept mit RTO/RPO",
|
|
"Disaster-Recovery-Plan",
|
|
"Krisenmanagement-Handbuch",
|
|
"Testprotokolle (mindestens jaehrlich)"
|
|
],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.BCP.01", "TOM.BCP.02", "TOM.BCP.03", "TOM.BCP.04"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-007",
|
|
"title": "Lieferketten-Sicherheit",
|
|
"description": "Sicherstellung der Sicherheit in der Lieferkette: Bewertung der Sicherheitspraktiken von Lieferanten, vertragliche Sicherheitsanforderungen, regelmaessige Ueberpruefung der Lieferanten, Beruecksichtigung von Konzentrationsrisiken, Dokumentation kritischer Lieferanten.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 21 Abs. 2 lit. d", "title": "Sicherheit der Lieferkette"},
|
|
{"norm": "BSIG-E", "article": "§ 30 Abs. 2 Nr. 4", "title": "Sicherheit der Lieferkette"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 21 Abs. 2 lit. d NIS2"},
|
|
{"type": "national_law", "ref": "§ 30 Abs. 2 Nr. 4 BSIG-E"}
|
|
],
|
|
"category": "Organisatorisch",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Lieferanten-Risikobewertung",
|
|
"Sicherheitsanforderungen in Vertraegen",
|
|
"Liste kritischer Lieferanten",
|
|
"Audit-Berichte von Lieferanten"
|
|
],
|
|
"priority": "mittel",
|
|
"tom_control_ids": ["TOM.VENDOR.01", "TOM.VENDOR.02", "TOM.VENDOR.03", "TOM.VENDOR.04"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-008",
|
|
"title": "Schwachstellenmanagement",
|
|
"description": "Etablierung von Prozessen zum Umgang mit Schwachstellen: regelmaessige Schwachstellen-Scans, Priorisierung nach Risiko, zeitnahe Behebung (Patch-Management), koordinierte Offenlegung von Schwachstellen.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 21 Abs. 2 lit. e", "title": "Sicherheit bei Erwerb, Entwicklung und Wartung"},
|
|
{"norm": "BSIG-E", "article": "§ 30 Abs. 2 Nr. 5", "title": "Schwachstellenmanagement"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 21 Abs. 2 lit. e NIS2"},
|
|
{"type": "national_law", "ref": "§ 30 Abs. 2 Nr. 5 BSIG-E"}
|
|
],
|
|
"category": "Technisch",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Schwachstellen-Management-Prozess",
|
|
"Patch-Management-Richtlinie",
|
|
"Vulnerability-Scan-Berichte",
|
|
"Statistiken zur Behebungszeit"
|
|
],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.OPS.04", "TOM.OPS.05", "TOM.SDLC.01", "TOM.SDLC.02"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-009",
|
|
"title": "Zugangs- und Identitaetsmanagement",
|
|
"description": "Implementierung von Konzepten fuer: Zugangskontrolle (Need-to-know-Prinzip), Management von Benutzerkonten und Berechtigungen, Multi-Faktor-Authentifizierung (MFA), sichere Authentifizierungsmethoden, regelmaessige Ueberpruefung von Berechtigungen.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 21 Abs. 2 lit. i", "title": "Zugangskontrollen und Anlageverwaltung"},
|
|
{"norm": "BSIG-E", "article": "§ 30 Abs. 2 Nr. 9", "title": "Zugangskontrolle"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 21 Abs. 2 lit. i NIS2"},
|
|
{"type": "national_law", "ref": "§ 30 Abs. 2 Nr. 9 BSIG-E"}
|
|
],
|
|
"category": "Technisch",
|
|
"responsible": "IT-Leitung",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Zugangskontroll-Richtlinie",
|
|
"MFA-Implementierungsnachweis",
|
|
"Identity-Management-Dokumentation",
|
|
"Berechtigungsmatrix",
|
|
"Review-Protokolle"
|
|
],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.IAM.01", "TOM.IAM.02", "TOM.IAM.03", "TOM.AC.01", "TOM.AC.02"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-010",
|
|
"title": "Kryptographie und Verschluesselung",
|
|
"description": "Konzepte und Verfahren fuer den Einsatz von Kryptographie: Verschluesselung von Daten in Ruhe und Transit, sichere Schluesselverwaltung, Verwendung aktueller kryptographischer Standards, regelmaessige Ueberpruefung der eingesetzten Verfahren.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 21 Abs. 2 lit. h", "title": "Kryptographie und Verschluesselung"},
|
|
{"norm": "BSIG-E", "article": "§ 30 Abs. 2 Nr. 8", "title": "Kryptographie"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 21 Abs. 2 lit. h NIS2"},
|
|
{"type": "national_law", "ref": "§ 30 Abs. 2 Nr. 8 BSIG-E"}
|
|
],
|
|
"category": "Technisch",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Kryptographie-Richtlinie",
|
|
"Verschluesselungskonzept",
|
|
"Key-Management-Dokumentation",
|
|
"Liste eingesetzter Algorithmen"
|
|
],
|
|
"priority": "mittel",
|
|
"tom_control_ids": ["TOM.CRYPTO.01", "TOM.CRYPTO.02", "TOM.CRYPTO.03"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-011",
|
|
"title": "Personalsicherheit und Awareness",
|
|
"description": "Sicherstellung der Personalsicherheit: Hintergrundueberpruefungen fuer kritische Rollen, regelmaessige Sicherheitsschulungen fuer alle Mitarbeiter, Awareness-Programme, klare Verantwortlichkeiten, Prozesse bei Personalwechsel.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 21 Abs. 2 lit. g", "title": "Cyberhygiene und Schulungen"},
|
|
{"norm": "NIS2", "article": "Art. 21 Abs. 2 lit. j", "title": "Personalsicherheit"},
|
|
{"norm": "BSIG-E", "article": "§ 30 Abs. 2 Nr. 7", "title": "Cyberhygiene-Verfahren"},
|
|
{"norm": "BSIG-E", "article": "§ 30 Abs. 2 Nr. 10", "title": "Personalsicherheit"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 21 Abs. 2 lit. g NIS2"},
|
|
{"type": "article", "ref": "Art. 21 Abs. 2 lit. j NIS2"},
|
|
{"type": "national_law", "ref": "§ 30 Abs. 2 Nr. 7 BSIG-E"},
|
|
{"type": "national_law", "ref": "§ 30 Abs. 2 Nr. 10 BSIG-E"}
|
|
],
|
|
"category": "Organisatorisch",
|
|
"responsible": "Geschaeftsfuehrung",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Personalsicherheits-Richtlinie",
|
|
"Schulungskonzept und -nachweise",
|
|
"Awareness-Materialien",
|
|
"Onboarding/Offboarding-Prozesse"
|
|
],
|
|
"priority": "mittel",
|
|
"tom_control_ids": ["TOM.HR.01", "TOM.HR.02", "TOM.HR.03", "TOM.HR.04"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-012",
|
|
"title": "Regelmaessige Sicherheitsaudits (besonders wichtige Einrichtungen)",
|
|
"description": "Besonders wichtige Einrichtungen unterliegen regelmaessigen Sicherheitsueberpruefungen durch das BSI. Diese koennen Vor-Ort-Pruefungen, Remote-Audits, Dokumentenpruefungen und technische Pruefungen umfassen. Die Einrichtungen muessen auf Anforderung Nachweise vorlegen.",
|
|
"applies_when": "classification == 'besonders_wichtige_einrichtung'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true},
|
|
{"field": "sector.nis2_classification", "operator": "EQUALS", "value": "besonders_wichtige_einrichtung"}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 32", "title": "Aufsichtsmassnahmen fuer besonders wichtige Einrichtungen"},
|
|
{"norm": "BSIG-E", "article": "§ 39", "title": "Nachweisprueufung"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 32 NIS2"},
|
|
{"type": "national_law", "ref": "§ 39 BSIG-E"}
|
|
],
|
|
"category": "Audit",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Audit-Berichte",
|
|
"Massnahmenplaene aus Audits",
|
|
"Nachweise der Umsetzung"
|
|
],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.GOV.07", "TOM.GOV.08"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-013",
|
|
"title": "Netzsegmentierung und Netzwerksicherheit",
|
|
"description": "Implementierung von Netzwerksicherheitsmassnahmen: Segmentierung kritischer Systeme, Firewalls und Zugangskontrolle, sichere Netzwerkarchitektur, Ueberwachung des Netzwerkverkehrs.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 21 Abs. 2 lit. a", "title": "Risikoanalyse und Sicherheitskonzepte"},
|
|
{"norm": "BSIG-E", "article": "§ 30 Abs. 2 Nr. 1", "title": "Risikoanalyse und Sicherheitskonzepte"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 21 Abs. 2 lit. a NIS2"},
|
|
{"type": "national_law", "ref": "§ 30 Abs. 2 Nr. 1 BSIG-E"}
|
|
],
|
|
"category": "Technisch",
|
|
"responsible": "IT-Leitung",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Netzwerkarchitektur-Dokumentation",
|
|
"Firewall-Regelwerke",
|
|
"Segmentierungskonzept"
|
|
],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.NET.01", "TOM.NET.02", "TOM.NET.03", "TOM.NET.04"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-014",
|
|
"title": "Security Monitoring und Protokollierung",
|
|
"description": "Kontinuierliche Ueberwachung der IT-Sicherheit: Sicherheitsrelevante Protokollierung, SIEM oder vergleichbare Loesung, Anomalie-Erkennung, regelmaessige Auswertung der Logs.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 21 Abs. 2 lit. b", "title": "Bewaeltigung von Sicherheitsvorfaellen"},
|
|
{"norm": "BSIG-E", "article": "§ 30 Abs. 2 Nr. 2", "title": "Bewaeltigung von Sicherheitsvorfaellen"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 21 Abs. 2 lit. b NIS2"},
|
|
{"type": "national_law", "ref": "§ 30 Abs. 2 Nr. 2 BSIG-E"}
|
|
],
|
|
"category": "Technisch",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Log-Management-Konzept",
|
|
"SIEM-Dokumentation",
|
|
"Monitoring-Dashboards",
|
|
"Incident-Berichte aus Monitoring"
|
|
],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.LOG.01", "TOM.LOG.02", "TOM.LOG.03", "TOM.LOG.04"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-015",
|
|
"title": "Bewertung der Wirksamkeit von Cybersicherheitsmassnahmen",
|
|
"description": "Regelmaessige Bewertung der Wirksamkeit der implementierten Risikomanagementmassnahmen. Einrichtungen muessen Konzepte und Verfahren zur Bewertung der Wirksamkeit vorhalten, einschliesslich Penetrationstests, Sicherheitsaudits und Uebungen. Die Ergebnisse muessen dokumentiert und zur kontinuierlichen Verbesserung genutzt werden.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 21 Abs. 2 lit. f", "title": "Bewertung der Wirksamkeit von Risikomanagementmassnahmen"},
|
|
{"norm": "BSIG-E", "article": "§ 30 Abs. 2 Nr. 6", "title": "Bewertung der Wirksamkeit"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 21 Abs. 2 lit. f NIS2"},
|
|
{"type": "national_law", "ref": "§ 30 Abs. 2 Nr. 6 BSIG-E"}
|
|
],
|
|
"category": "Audit",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Penetrationstest-Berichte",
|
|
"Wirksamkeitsbewertungs-Dokumentation",
|
|
"KPI-Dashboard fuer Sicherheitsmassnahmen",
|
|
"Verbesserungsplaene aus Bewertungen"
|
|
],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.GOV.09", "TOM.GOV.10", "TOM.OPS.06"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-016",
|
|
"title": "Stand der Technik bei Sicherheitsmassnahmen",
|
|
"description": "Alle Risikomanagementmassnahmen muessen unter Beruecksichtigung des Stands der Technik, einschlaegiger europaeischer und internationaler Normen sowie der Kosten der Umsetzung im Verhaeltnis zum Risiko implementiert werden. Relevante Standards wie ISO 27001, BSI IT-Grundschutz und branchenspezifische Normen sind zu beruecksichtigen.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 21 Abs. 3", "title": "Stand der Technik und Verhaeltnismaessigkeit"},
|
|
{"norm": "BSIG-E", "article": "§ 30 Abs. 1", "title": "Stand der Technik"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 21 Abs. 3 NIS2"},
|
|
{"type": "national_law", "ref": "§ 30 Abs. 1 BSIG-E"},
|
|
{"type": "bsi_standard", "ref": "BSI IT-Grundschutz Kompendium"}
|
|
],
|
|
"category": "Governance",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Referenz auf angewandte Normen und Standards",
|
|
"Dokumentation der Verhaeltnismaessigkeitspruefung",
|
|
"Technologie-Bewertungen und Benchmark-Analysen"
|
|
],
|
|
"priority": "mittel",
|
|
"tom_control_ids": ["TOM.GOV.03", "TOM.GOV.11"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-017",
|
|
"title": "Umsetzungsakte der Kommission beachten",
|
|
"description": "Die Europaeische Kommission kann Durchfuehrungsrechtsakte erlassen, die technische und methodische Anforderungen an die Risikomanagementmassnahmen naeher spezifizieren. Einrichtungen muessen diese Umsetzungsakte bei Veroeffentlichung umsetzen und ihre Massnahmen entsprechend anpassen. Dies gilt insbesondere fuer DNS-Diensteanbieter, TLD-Namenregister, Cloud-Computing-Dienstleister, Rechenzentren, CDN-Anbieter, Managed-Service-Provider und Online-Marktplaetze.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 21 Abs. 4", "title": "Durchfuehrungsrechtsakte der Kommission"},
|
|
{"norm": "NIS2", "article": "Art. 21 Abs. 5", "title": "Technische Anforderungen"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 21 Abs. 4 NIS2"},
|
|
{"type": "article", "ref": "Art. 21 Abs. 5 NIS2"},
|
|
{"type": "eu_guidance", "ref": "EU-Durchfuehrungsverordnung zu NIS2 (ausstehend)"}
|
|
],
|
|
"category": "Compliance",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Monitoring-Prozess fuer EU-Durchfuehrungsrechtsakte",
|
|
"Gap-Analyse bei Veroeffentlichung neuer Rechtsakte",
|
|
"Umsetzungsplan und Nachweis der Anpassungen"
|
|
],
|
|
"priority": "mittel",
|
|
"tom_control_ids": ["TOM.GOV.12"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-018",
|
|
"title": "Grenzueberschreitende Auswirkungen melden",
|
|
"description": "Wenn ein erheblicher Sicherheitsvorfall Auswirkungen auf andere EU-Mitgliedstaaten haben kann, muss die Einrichtung dies in der Fruehwarnung und der Vorfallmeldung angeben. Das BSI leitet die Meldung an die betroffenen Mitgliedstaaten weiter. Die Einrichtung muss in der Lage sein, grenzueberschreitende Auswirkungen fruehzeitig zu erkennen und zu bewerten.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true},
|
|
{"field": "organization.eu_member", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 23 Abs. 4", "title": "Grenzueberschreitende Auswirkungen"},
|
|
{"norm": "BSIG-E", "article": "§ 32 Abs. 4", "title": "Weiterleitung an betroffene Mitgliedstaaten"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 23 Abs. 4 NIS2"},
|
|
{"type": "national_law", "ref": "§ 32 Abs. 4 BSIG-E"}
|
|
],
|
|
"category": "Meldepflicht",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Prozess zur Erkennung grenzueberschreitender Auswirkungen",
|
|
"Kontaktliste der betroffenen EU-Behoerden",
|
|
"Dokumentation frueherer grenzueberschreitender Meldungen"
|
|
],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.OPS.09", "TOM.OPS.10"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-019",
|
|
"title": "Nutzung europaeischer Zertifizierungsschemata",
|
|
"description": "Mitgliedstaaten koennen von Einrichtungen verlangen, bestimmte IKT-Produkte, -Dienste und -Prozesse im Rahmen europaeischer Cybersicherheitszertifizierungsschemata nach der CSA-Verordnung (EU 2019/881) zu zertifizieren. Einrichtungen sollten prueben, ob fuer ihren Sektor verpflichtende Zertifizierungen vorgeschrieben sind und diese umsetzen.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 24", "title": "Nutzung europaeischer Zertifizierungsschemata"},
|
|
{"norm": "CSA", "article": "Verordnung (EU) 2019/881", "title": "Cybersicherheitsakt"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 24 NIS2"},
|
|
{"type": "eu_guidance", "ref": "Verordnung (EU) 2019/881 (Cybersecurity Act)"}
|
|
],
|
|
"category": "Compliance",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": false},
|
|
"evidence": [
|
|
"Uebersicht verpflichtender Zertifizierungen fuer den Sektor",
|
|
"Gueltige Zertifikate nach EU-Schema",
|
|
"Zertifizierungsplanung und Zeitplan"
|
|
],
|
|
"priority": "mittel",
|
|
"tom_control_ids": ["TOM.GOV.13", "TOM.VENDOR.05"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-020",
|
|
"title": "Koordinierte Schwachstellenoffenlegung",
|
|
"description": "Einrichtungen muessen Verfahren fuer die koordinierte Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure, CVD) unterstuetzen. Dies umfasst die Einrichtung eines Meldeverfahrens fuer Sicherheitsforscher, die verantwortungsvolle Behandlung gemeldeter Schwachstellen und die koordinierte Veroeffentlichung mit Patches oder Workarounds.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 25", "title": "Koordinierte Schwachstellenoffenlegung"},
|
|
{"norm": "BSIG-E", "article": "§ 30 Abs. 2 Nr. 5", "title": "Schwachstellenmanagement"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 25 NIS2"},
|
|
{"type": "national_law", "ref": "§ 30 Abs. 2 Nr. 5 BSIG-E"}
|
|
],
|
|
"category": "Organisatorisch",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes", "personal_liability": false},
|
|
"evidence": [
|
|
"CVD-Richtlinie (Vulnerability Disclosure Policy)",
|
|
"security.txt auf der Unternehmenswebsite",
|
|
"Dokumentierter CVD-Prozess",
|
|
"Protokoll behandelter Schwachstellenmeldungen"
|
|
],
|
|
"priority": "mittel",
|
|
"tom_control_ids": ["TOM.OPS.04", "TOM.OPS.05", "TOM.SDLC.03"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-021",
|
|
"title": "Cybersicherheits-Informationsaustausch",
|
|
"description": "Einrichtungen koennen auf freiwilliger Basis Cybersicherheitsinformationen austauschen, einschliesslich Bedrohungsdaten (Threat Intelligence), IoCs, Taktiken/Techniken/Prozeduren (TTPs) und Sicherheitswarnungen. Der Austausch muss unter Beachtung des Datenschutzes und des Wettbewerbsrechts erfolgen. ISAC-Mitgliedschaften (Information Sharing and Analysis Centers) werden empfohlen.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 26", "title": "Vereinbarungen ueber den Informationsaustausch"},
|
|
{"norm": "BSIG-E", "article": "§ 30 Abs. 4", "title": "Informationsaustausch"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 26 NIS2"},
|
|
{"type": "national_law", "ref": "§ 30 Abs. 4 BSIG-E"}
|
|
],
|
|
"category": "Organisatorisch",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "keine direkte Sanktion", "personal_liability": false},
|
|
"evidence": [
|
|
"ISAC-Mitgliedschaftsnachweis",
|
|
"Threat-Intelligence-Sharing-Vereinbarungen",
|
|
"Datenschutz-Folgenabschaetzung fuer Informationsaustausch",
|
|
"Protokoll geteilter und empfangener Bedrohungsinformationen"
|
|
],
|
|
"priority": "niedrig",
|
|
"tom_control_ids": ["TOM.OPS.11", "TOM.GOV.14"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-022",
|
|
"title": "ENISA Schwachstellendatenbank nutzen",
|
|
"description": "ENISA fuehrt eine europaeische Schwachstellendatenbank. Einrichtungen sollen erkannte Schwachstellen an die zustaendige nationale Behoerde oder das CSIRT melden, damit diese in die Datenbank aufgenommen werden koennen. Hersteller und Anbieter von IKT-Produkten sollen koordiniert mit der Datenbank zusammenarbeiten.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 28", "title": "Europaeische Schwachstellendatenbank"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 28 NIS2"},
|
|
{"type": "eu_guidance", "ref": "ENISA Vulnerability Database"}
|
|
],
|
|
"category": "Organisatorisch",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "keine direkte Sanktion", "personal_liability": false},
|
|
"evidence": [
|
|
"Prozess zur Meldung von Schwachstellen an ENISA/BSI",
|
|
"Nutzungsnachweis der ENISA-Datenbank",
|
|
"Dokumentation gemeldeter Schwachstellen"
|
|
],
|
|
"priority": "niedrig",
|
|
"tom_control_ids": ["TOM.OPS.04", "TOM.OPS.05"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-023",
|
|
"title": "Freiwillige Meldung von Sicherheitsvorfaellen",
|
|
"description": "Auch nicht-erhebliche Sicherheitsvorfaelle, Beinahe-Vorfaelle und Cyberbedrohungen koennen freiwillig an das BSI/CSIRT gemeldet werden. Freiwillige Meldungen werden vertraulich behandelt und fuehren nicht zu zusaetzlichen Pflichten fuer die meldende Einrichtung. Freiwillige Meldungen staerken das Lagebild und die Fruehwarnung.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 31", "title": "Freiwillige Meldungen"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 31 NIS2"}
|
|
],
|
|
"category": "Meldepflicht",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "keine Sanktion (freiwillig)", "personal_liability": false},
|
|
"evidence": [
|
|
"Interner Prozess fuer freiwillige Meldungen",
|
|
"Protokoll freiwillig gemeldeter Vorfaelle",
|
|
"Formular/Vorlage fuer freiwillige Meldungen"
|
|
],
|
|
"priority": "niedrig",
|
|
"tom_control_ids": ["TOM.OPS.09"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-024",
|
|
"title": "Aufsichtsmassnahmen besonders wichtige Einrichtungen dulden",
|
|
"description": "Besonders wichtige Einrichtungen muessen Aufsichtsmassnahmen des BSI dulden und unterstuetzen. Dies umfasst: regelmaessige und gezielte Sicherheitspruefungen, Vor-Ort-Inspektionen, Off-Site-Ueberpruefungen, Ad-hoc-Pruefungen bei begruendetem Verdacht, Sicherheitsscans, Anforderung von Informationen und Zugang zu Daten/Dokumenten. Die Einrichtung muss Pruefern angemessenen Zugang gewaehren.",
|
|
"applies_when": "classification == 'besonders_wichtige_einrichtung'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true},
|
|
{"field": "sector.nis2_classification", "operator": "EQUALS", "value": "besonders_wichtige_einrichtung"}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 32", "title": "Aufsicht und Durchsetzung — besonders wichtige Einrichtungen"},
|
|
{"norm": "BSIG-E", "article": "§ 39", "title": "Nachweisprueufung besonders wichtige Einrichtungen"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 32 NIS2"},
|
|
{"type": "national_law", "ref": "§ 39 BSIG-E"}
|
|
],
|
|
"category": "Audit",
|
|
"responsible": "Geschaeftsfuehrung",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Prozess fuer Umgang mit Aufsichtspruefungen",
|
|
"Bereitstellungsplan fuer Pruefer-Zugang",
|
|
"Dokumentationsarchiv fuer Nachweispflichten",
|
|
"Kommunikationsprotokoll mit BSI"
|
|
],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.GOV.07", "TOM.GOV.08"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-025",
|
|
"title": "Aufsichtsmassnahmen wichtige Einrichtungen dulden",
|
|
"description": "Wichtige Einrichtungen unterliegen einer nachtraeglichen Aufsicht (ex-post). Bei begruendetem Verdacht auf Nichtkonformitaet kann das BSI Pruefungen anordnen, Informationen anfordern und Sicherheitsscans durchfuehren. Wichtige Einrichtungen muessen auf Anfrage Nachweise erbringen und mit den Aufsichtsbehoerden kooperieren.",
|
|
"applies_when": "classification == 'wichtige_einrichtung'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true},
|
|
{"field": "sector.nis2_classification", "operator": "EQUALS", "value": "wichtige_einrichtung"}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 33", "title": "Aufsicht und Durchsetzung — wichtige Einrichtungen"},
|
|
{"norm": "BSIG-E", "article": "§ 39", "title": "Aufsicht wichtige Einrichtungen"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 33 NIS2"},
|
|
{"type": "national_law", "ref": "§ 39 BSIG-E"}
|
|
],
|
|
"category": "Audit",
|
|
"responsible": "Geschaeftsfuehrung",
|
|
"sanctions": {"max_fine": "7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Dokumentierter Kooperationsprozess mit BSI",
|
|
"Nachweisdokumente fuer Aufsichtsanfragen",
|
|
"Kommunikationsprotokoll"
|
|
],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.GOV.07", "TOM.GOV.08"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-026",
|
|
"title": "Sanktionskonformitaet und Bussgeldvermeidung",
|
|
"description": "Einrichtungen muessen die Sanktionsbestimmungen der NIS2-Richtlinie und des BSIG-E kennen und Massnahmen ergreifen, um Verstoesse zu vermeiden. Bussgelder koennen bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes (besonders wichtige Einrichtungen) bzw. 7 Mio. EUR oder 1,4% (wichtige Einrichtungen) betragen. Bei wiederholten Verstoessen koennen zusaetzliche Massnahmen wie die temporaere Aussetzung von Genehmigungen angeordnet werden.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 34", "title": "Allgemeine Bedingungen fuer Sanktionen"},
|
|
{"norm": "NIS2", "article": "Art. 36", "title": "Bussen"},
|
|
{"norm": "BSIG-E", "article": "§ 64", "title": "Bussgelder"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 34 NIS2"},
|
|
{"type": "article", "ref": "Art. 36 NIS2"},
|
|
{"type": "national_law", "ref": "§ 64 BSIG-E"}
|
|
],
|
|
"category": "Compliance",
|
|
"responsible": "Geschaeftsfuehrung",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Compliance-Management-System",
|
|
"Bussgeld-Risikobewertung",
|
|
"Massnahmenplan zur Bussgeldvermeidung",
|
|
"Regelmaessige Compliance-Audits"
|
|
],
|
|
"priority": "kritisch",
|
|
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.15"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-027",
|
|
"title": "Durchsetzungsmassnahmen des BSI befolgen",
|
|
"description": "Das BSI kann Durchsetzungsmassnahmen anordnen, wenn Einrichtungen ihren Pflichten nicht nachkommen. Massnahmen umfassen: Warnungen, verbindliche Anweisungen, Anordnung zur Behebung von Maengeln, Anordnung zur Information betroffener Nutzer, Anordnung zur Umsetzung von Audit-Empfehlungen innerhalb einer gesetzten Frist. Einrichtungen muessen diesen Anordnungen fristgerecht nachkommen.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 35", "title": "Durchsetzung"},
|
|
{"norm": "BSIG-E", "article": "§ 40", "title": "Anordnungen des BSI"},
|
|
{"norm": "BSIG-E", "article": "§ 41", "title": "Weitere Anordnungsbefugnisse"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 35 NIS2"},
|
|
{"type": "national_law", "ref": "§ 40 BSIG-E"},
|
|
{"type": "national_law", "ref": "§ 41 BSIG-E"}
|
|
],
|
|
"category": "Compliance",
|
|
"responsible": "Geschaeftsfuehrung",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Eskalationsprozess fuer BSI-Anordnungen",
|
|
"Fristenmanagement fuer Anordnungen",
|
|
"Dokumentation der Umsetzung von Anordnungen",
|
|
"Kommunikationsprotokoll mit BSI"
|
|
],
|
|
"priority": "kritisch",
|
|
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.15"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-028",
|
|
"title": "Anwendungsbereich pruefen (wichtig vs. besonders wichtig)",
|
|
"description": "Jede Organisation muss eigenstaendig pruefen, ob sie in den Anwendungsbereich des NIS2UmsuCG faellt und welcher Kategorie sie angehoert. Besonders wichtige Einrichtungen: Annex-I-Sektoren mit >= 250 Mitarbeitern oder > 50 Mio. EUR Umsatz, KRITIS-Betreiber, qualifizierte Vertrauensdiensteanbieter, TLD-Register, DNS-Anbieter. Wichtige Einrichtungen: Annex-I/II-Sektoren mit >= 50 Mitarbeitern oder > 10 Mio. EUR Umsatz.",
|
|
"applies_when": "Alle Organisationen muessen pruefen",
|
|
"applies_when_condition": {
|
|
"any_of": [
|
|
{"field": "sector.is_annex_i", "operator": "EQUALS", "value": true},
|
|
{"field": "sector.is_annex_ii", "operator": "EQUALS", "value": true},
|
|
{"field": "sector.is_kritis", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "BSIG-E", "article": "§ 28", "title": "Anwendungsbereich — besonders wichtige und wichtige Einrichtungen"}
|
|
],
|
|
"sources": [
|
|
{"type": "national_law", "ref": "§ 28 BSIG-E"},
|
|
{"type": "article", "ref": "Art. 2 NIS2"},
|
|
{"type": "article", "ref": "Art. 3 NIS2"}
|
|
],
|
|
"category": "Governance",
|
|
"responsible": "Geschaeftsfuehrung",
|
|
"sanctions": {"max_fine": "500.000 EUR", "personal_liability": false},
|
|
"evidence": [
|
|
"Dokumentierte Betroffenheitsanalyse",
|
|
"Sektorklassifizierung und Schwellenwertpruefung",
|
|
"Beschluss der Geschaeftsfuehrung zur NIS2-Klassifizierung"
|
|
],
|
|
"priority": "kritisch",
|
|
"tom_control_ids": ["TOM.GOV.01"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-029",
|
|
"title": "Sektorspezifische Anforderungen umsetzen",
|
|
"description": "Fuer bestimmte Sektoren koennen zusaetzliche spezifische Anforderungen gelten, die ueber die allgemeinen NIS2-Pflichten hinausgehen. Diese sektorspezifischen Anforderungen werden durch Rechtsverordnung naeher bestimmt und koennen branchenspezifische Sicherheitsstandards (B3S), spezifische Meldeformate und technische Mindestanforderungen umfassen.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "BSIG-E", "article": "§ 29", "title": "Sektorspezifische Anforderungen"}
|
|
],
|
|
"sources": [
|
|
{"type": "national_law", "ref": "§ 29 BSIG-E"},
|
|
{"type": "bsi_standard", "ref": "Branchenspezifische Sicherheitsstandards (B3S)"}
|
|
],
|
|
"category": "Compliance",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Uebersicht sektorspezifischer Anforderungen",
|
|
"Umsetzungsnachweis sektorspezifischer Standards",
|
|
"B3S-Konformitaetsnachweis (falls vorhanden)"
|
|
],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.GOV.03", "TOM.GOV.11"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-030",
|
|
"title": "Detailmassnahmen nach §30 BSIG-E",
|
|
"description": "Umsetzung der zehn Mindestmassnahmen gemaess §30 Abs. 2 BSIG-E: (1) Risikoanalyse und Sicherheitskonzepte, (2) Bewaeltigung von Sicherheitsvorfaellen, (3) Betriebskontinuitaet und Krisenmanagement, (4) Sicherheit der Lieferkette, (5) Sicherheit bei Erwerb/Entwicklung/Wartung, (6) Bewertung der Wirksamkeit, (7) Cyberhygiene und Schulungen, (8) Kryptographie, (9) Personalsicherheit/Zugangskontrollen, (10) MFA und sichere Kommunikation.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "BSIG-E", "article": "§ 30", "title": "Risikomanagementmassnahmen besonderer und wichtiger Einrichtungen"}
|
|
],
|
|
"sources": [
|
|
{"type": "national_law", "ref": "§ 30 BSIG-E"},
|
|
{"type": "article", "ref": "Art. 21 NIS2"}
|
|
],
|
|
"category": "Governance",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Umsetzungsmatrix aller 10 Mindestmassnahmen",
|
|
"Dokumentation je Massnahmenbereich",
|
|
"Regelmaessige Fortschrittskontrolle"
|
|
],
|
|
"priority": "kritisch",
|
|
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02", "TOM.GOV.03", "TOM.OPS.01", "TOM.BCP.01", "TOM.VENDOR.01", "TOM.SDLC.01", "TOM.HR.01", "TOM.CRYPTO.01", "TOM.IAM.01"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-031",
|
|
"title": "Nachweispflicht gegenueber dem BSI",
|
|
"description": "Besonders wichtige Einrichtungen muessen dem BSI die Umsetzung der Risikomanagementmassnahmen nachweisen. Dies kann durch Sicherheitsaudits, Pruefungen oder Zertifizierungen erfolgen. Wichtige Einrichtungen muessen Nachweise auf Anforderung des BSI erbringen. Die Kosten traegt die Einrichtung.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "BSIG-E", "article": "§ 31", "title": "Nachweispflicht"},
|
|
{"norm": "BSIG-E", "article": "§ 39", "title": "Nachweisprueufung"}
|
|
],
|
|
"sources": [
|
|
{"type": "national_law", "ref": "§ 31 BSIG-E"},
|
|
{"type": "national_law", "ref": "§ 39 BSIG-E"}
|
|
],
|
|
"category": "Audit",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Aktuelle Zertifizierung (z.B. ISO 27001) oder Audit-Berichte",
|
|
"Massnahmennachweis-Dokumentation",
|
|
"Budget fuer Nachweisfuehrung"
|
|
],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.GOV.07", "TOM.GOV.08"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-032",
|
|
"title": "Kontaktstelle benennen und pflegen",
|
|
"description": "Einrichtungen muessen eine Kontaktstelle fuer die Kommunikation mit dem BSI und den zustaendigen Behoerden benennen. Die Kontaktstelle muss erreichbar sein und ueber ausreichende Befugnisse verfuegen. Aenderungen der Kontaktdaten sind dem BSI unverzueglich mitzuteilen.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true},
|
|
{"field": "sector.nis2_classification", "operator": "IN", "value": ["wichtige_einrichtung", "besonders_wichtige_einrichtung"]}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "BSIG-E", "article": "§ 34", "title": "Kontaktstelle"}
|
|
],
|
|
"sources": [
|
|
{"type": "national_law", "ref": "§ 34 BSIG-E"}
|
|
],
|
|
"category": "Organisatorisch",
|
|
"responsible": "Geschaeftsfuehrung",
|
|
"sanctions": {"max_fine": "500.000 EUR", "personal_liability": false},
|
|
"evidence": [
|
|
"Benannte Kontaktstelle mit Kontaktdaten",
|
|
"Bestaetigungsschreiben an das BSI",
|
|
"Prozess zur Aktualisierung bei Aenderungen"
|
|
],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.GOV.02"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-033",
|
|
"title": "Besondere Registrierungspflicht DNS/TLD/Cloud/CDN/Rechenzentren",
|
|
"description": "Anbieter von DNS-Diensten, TLD-Namenregistern, Cloud-Computing-Diensten, Rechenzentrumsdiensten, Content-Delivery-Networks, Managed Services und Managed Security Services unterliegen einer besonderen Registrierungspflicht. Sie muessen sich beim BSI registrieren und erweiterte Informationen bereitstellen, einschliesslich IP-Bereiche, Standorte der Rechenzentren und Kundensegmente.",
|
|
"applies_when": "Anbieter von DNS, TLD, Cloud, CDN, Rechenzentren, Managed Services",
|
|
"applies_when_condition": {
|
|
"any_of": [
|
|
{"field": "sector.provides_dns", "operator": "EQUALS", "value": true},
|
|
{"field": "sector.provides_cloud", "operator": "EQUALS", "value": true},
|
|
{"field": "sector.provides_cdn", "operator": "EQUALS", "value": true},
|
|
{"field": "sector.provides_data_center", "operator": "EQUALS", "value": true},
|
|
{"field": "sector.provides_managed_services", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "BSIG-E", "article": "§ 35", "title": "Besondere Registrierungspflicht"}
|
|
],
|
|
"sources": [
|
|
{"type": "national_law", "ref": "§ 35 BSIG-E"},
|
|
{"type": "article", "ref": "Art. 27 NIS2"}
|
|
],
|
|
"category": "Meldepflicht",
|
|
"responsible": "Geschaeftsfuehrung",
|
|
"sanctions": {"max_fine": "500.000 EUR", "personal_liability": false},
|
|
"evidence": [
|
|
"Erweiterte Registrierung beim BSI",
|
|
"Dokumentation der Dienste und Standorte",
|
|
"Kundensegment-Uebersicht (anonymisiert)"
|
|
],
|
|
"priority": "kritisch",
|
|
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-034",
|
|
"title": "Billigung der Cybersicherheitsmassnahmen durch die Geschaeftsfuehrung",
|
|
"description": "Die Geschaeftsfuehrung muss die Risikomanagementmassnahmen formal billigen. Diese Billigung muss dokumentiert werden und umfasst die Genehmigung des Sicherheitskonzepts, der Risikoanalyse, der Massnahmenplaene und der Ressourcenzuweisung. Die Billigung ist regelmaessig zu erneuern.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "BSIG-E", "article": "§ 36", "title": "Billigung durch die Geschaeftsfuehrung"},
|
|
{"norm": "NIS2", "article": "Art. 20 Abs. 1", "title": "Billigung durch Leitungsorgane"}
|
|
],
|
|
"sources": [
|
|
{"type": "national_law", "ref": "§ 36 BSIG-E"},
|
|
{"type": "article", "ref": "Art. 20 Abs. 1 NIS2"}
|
|
],
|
|
"category": "Governance",
|
|
"responsible": "Geschaeftsfuehrung",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Unterschriebener Billigungsbeschluss",
|
|
"Protokoll der Geschaeftsfuehrungssitzung",
|
|
"Datum der letzten Billigung",
|
|
"Naechster Billigungstermin"
|
|
],
|
|
"priority": "kritisch",
|
|
"tom_control_ids": ["TOM.GOV.04", "TOM.GOV.05"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-035",
|
|
"title": "Persoenliche Haftung der Leitungsorgane",
|
|
"description": "Mitglieder der Leitungsorgane koennen persoenlich haftbar gemacht werden, wenn sie ihre Pflichten zur Billigung und Ueberwachung der Risikomanagementmassnahmen verletzen. Die Haftung richtet sich nach den gesellschaftsrechtlichen Vorschriften. Leitungsorgane koennen nicht auf den Ersatz des Schadens verzichten und die Organisation darf keine Regressverzichtsvereinbarungen treffen.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 20 Abs. 3", "title": "Haftung der Leitungsorgane"},
|
|
{"norm": "NIS2", "article": "Art. 20 Abs. 4", "title": "Kein Regressverzicht"},
|
|
{"norm": "BSIG-E", "article": "§ 37", "title": "Persoenliche Haftung der Geschaeftsfuehrung"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 20 Abs. 3 NIS2"},
|
|
{"type": "article", "ref": "Art. 20 Abs. 4 NIS2"},
|
|
{"type": "national_law", "ref": "§ 37 BSIG-E"}
|
|
],
|
|
"category": "Governance",
|
|
"responsible": "Geschaeftsfuehrung",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true, "criminal_liability": false},
|
|
"evidence": [
|
|
"D&O-Versicherungspruefung bzgl. NIS2-Deckung",
|
|
"Rechtliche Beratung zur Haftungsminimierung",
|
|
"Dokumentation der Sorgfaltspflichterfuellung",
|
|
"Protokolle der Ueberwachungsaktivitaeten"
|
|
],
|
|
"priority": "kritisch",
|
|
"tom_control_ids": ["TOM.GOV.04", "TOM.GOV.05", "TOM.GOV.06"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-036",
|
|
"title": "Billigung und Schulung nach §38 BSIG-E",
|
|
"description": "Zusammenfassende Pflicht aus §38 BSIG-E: Die Geschaeftsfuehrung muss (1) die Risikomanagementmassnahmen billigen, (2) deren Umsetzung ueberwachen und (3) an Schulungen teilnehmen. Diese dreifache Pflicht ist unteilbar — alle drei Elemente muessen erfuellt sein. Verletzen Leitungsorgane diese Pflichten, haften sie der Einrichtung fuer Schaeden nach gesellschaftsrechtlichen Vorschriften.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "BSIG-E", "article": "§ 38", "title": "Billigung, Ueberwachung und Schulung"}
|
|
],
|
|
"sources": [
|
|
{"type": "national_law", "ref": "§ 38 BSIG-E"}
|
|
],
|
|
"category": "Governance",
|
|
"responsible": "Geschaeftsfuehrung",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Billigungsbeschluss der Geschaeftsfuehrung",
|
|
"Ueberwachungsprotokolle",
|
|
"Schulungsnachweise der Geschaeftsfuehrung",
|
|
"Jaehrlicher Compliance-Bericht an Geschaeftsfuehrung"
|
|
],
|
|
"priority": "kritisch",
|
|
"tom_control_ids": ["TOM.GOV.04", "TOM.GOV.05", "TOM.GOV.06", "TOM.HR.01"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-037",
|
|
"title": "Nachweisprueufung vorbereiten (§39 BSIG-E)",
|
|
"description": "Besonders wichtige Einrichtungen muessen erstmalig innerhalb von zwei Jahren nach Inkrafttreten und danach alle zwei Jahre dem BSI die Erfuellung der Risikomanagementmassnahmen nachweisen. Dies kann durch Sicherheitsaudits, Pruefungen oder anerkannte Zertifizierungen (z.B. ISO 27001) erfolgen. Die Kosten traegt die Einrichtung. Das BSI kann die Vorlage bestimmter Nachweise anordnen.",
|
|
"applies_when": "classification == 'besonders_wichtige_einrichtung'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true},
|
|
{"field": "sector.nis2_classification", "operator": "EQUALS", "value": "besonders_wichtige_einrichtung"}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "BSIG-E", "article": "§ 39", "title": "Nachweisprueufung"}
|
|
],
|
|
"sources": [
|
|
{"type": "national_law", "ref": "§ 39 BSIG-E"}
|
|
],
|
|
"category": "Audit",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Zertifizierungsplan (ISO 27001 oder BSI IT-Grundschutz)",
|
|
"Audit-Berichte",
|
|
"Budget-Planung fuer Nachweisprueufung",
|
|
"Zeitplan fuer Erst- und Folgenachweise"
|
|
],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.GOV.07", "TOM.GOV.08", "TOM.GOV.09"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-038",
|
|
"title": "Anordnungen des BSI befolgen (§40-41 BSIG-E)",
|
|
"description": "Das BSI kann bei besonders wichtigen Einrichtungen Anordnungen erlassen: Durchfuehrung bestimmter Sicherheitspruefungen, Behebung festgestellter Maengel innerhalb angemessener Frist, Information der Oeffentlichkeit oder betroffener Nutzer, Benennung eines Ueberwachungsbeauftragten. Bei wichtigen Einrichtungen sind Anordnungen auf begruendeten Verdacht beschraenkt. Nichtbefolgen fuehrt zu Bussgeldern.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "BSIG-E", "article": "§ 40", "title": "Anordnungen des BSI — besonders wichtige Einrichtungen"},
|
|
{"norm": "BSIG-E", "article": "§ 41", "title": "Anordnungen des BSI — wichtige Einrichtungen"}
|
|
],
|
|
"sources": [
|
|
{"type": "national_law", "ref": "§ 40 BSIG-E"},
|
|
{"type": "national_law", "ref": "§ 41 BSIG-E"}
|
|
],
|
|
"category": "Compliance",
|
|
"responsible": "Geschaeftsfuehrung",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Interner Prozess fuer BSI-Anordnungen",
|
|
"Fristenkalender",
|
|
"Dokumentation umgesetzter Anordnungen",
|
|
"Kommunikationshistorie mit BSI"
|
|
],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.15"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-039",
|
|
"title": "Bussgeldtatbestaende kennen und vermeiden (§64 BSIG-E)",
|
|
"description": "§64 BSIG-E definiert die Bussgeldtatbestaende im Detail. Ordnungswidrig handelt, wer: Risikomanagementmassnahmen nicht umsetzt (bis 10 Mio. EUR / 2%), Meldepflichten verletzt (bis 10 Mio. EUR / 2%), Registrierungspflicht nicht erfuellt (bis 500.000 EUR), Nachweispflichten nicht erfuellt (bis 10 Mio. EUR / 2%), Anordnungen des BSI nicht befolgt (bis 10 Mio. EUR / 2%). Bei Fahrlassigkeit halbiert sich der Hoechstbetrag.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "BSIG-E", "article": "§ 64", "title": "Bussgelder"}
|
|
],
|
|
"sources": [
|
|
{"type": "national_law", "ref": "§ 64 BSIG-E"},
|
|
{"type": "article", "ref": "Art. 36 NIS2"}
|
|
],
|
|
"category": "Compliance",
|
|
"responsible": "Geschaeftsfuehrung",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Bussgeld-Risikomatrix",
|
|
"Compliance-Dashboard mit Pflichtenstatus",
|
|
"Regelmaessige Compliance-Reviews",
|
|
"Rechtliche Beratung zu Bussgeldrisiken"
|
|
],
|
|
"priority": "kritisch",
|
|
"tom_control_ids": ["TOM.GOV.01", "TOM.GOV.15"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
},
|
|
{
|
|
"id": "NIS2-OBL-040",
|
|
"title": "Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen",
|
|
"description": "Einrichtungen muessen die Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen gewaehrleisten. Dies umfasst: Sicherheitsanforderungen in Beschaffungsprozessen, Secure Software Development Lifecycle (SSDLC), Sicherheitspruefungen vor Inbetriebnahme, regelmaessige Sicherheitsupdates und Wartung, sowie die Dokumentation von Sicherheitsanforderungen fuer zugekaufte Komponenten.",
|
|
"applies_when": "classification != 'nicht_betroffen'",
|
|
"applies_when_condition": {
|
|
"all_of": [
|
|
{"field": "sector.nis2_applicable", "operator": "EQUALS", "value": true}
|
|
]
|
|
},
|
|
"legal_basis": [
|
|
{"norm": "NIS2", "article": "Art. 21 Abs. 2 lit. e", "title": "Sicherheit bei Erwerb, Entwicklung und Wartung"},
|
|
{"norm": "BSIG-E", "article": "§ 30 Abs. 2 Nr. 5", "title": "Sicherheit bei Erwerb, Entwicklung und Wartung"}
|
|
],
|
|
"sources": [
|
|
{"type": "article", "ref": "Art. 21 Abs. 2 lit. e NIS2"},
|
|
{"type": "national_law", "ref": "§ 30 Abs. 2 Nr. 5 BSIG-E"}
|
|
],
|
|
"category": "Technisch",
|
|
"responsible": "CISO",
|
|
"sanctions": {"max_fine": "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes", "personal_liability": true},
|
|
"evidence": [
|
|
"Secure-SDLC-Dokumentation",
|
|
"Sicherheitsanforderungen in Beschaffungsprozessen",
|
|
"Abnahmeprotokolle fuer neue Systeme",
|
|
"Wartungs- und Update-Konzept",
|
|
"Code-Review-Richtlinien"
|
|
],
|
|
"priority": "hoch",
|
|
"tom_control_ids": ["TOM.SDLC.01", "TOM.SDLC.02", "TOM.SDLC.03", "TOM.SDLC.04", "TOM.SDLC.05"],
|
|
"valid_from": "2024-10-18",
|
|
"valid_until": null,
|
|
"version": "1.0"
|
|
}
|
|
],
|
|
"controls": [
|
|
{
|
|
"id": "NIS2-CTRL-001",
|
|
"name": "ISMS implementieren",
|
|
"description": "Implementierung eines Informationssicherheits-Managementsystems nach anerkanntem Standard",
|
|
"category": "Governance",
|
|
"what_to_do": "Aufbau eines ISMS nach ISO 27001 oder BSI IT-Grundschutz",
|
|
"iso27001_mapping": ["4", "5", "6", "7"],
|
|
"priority": "high"
|
|
},
|
|
{
|
|
"id": "NIS2-CTRL-002",
|
|
"name": "Netzwerksegmentierung",
|
|
"description": "Segmentierung kritischer Netzwerkbereiche zur Reduzierung der Angriffsflaeche",
|
|
"category": "Technisch",
|
|
"what_to_do": "Implementierung von VLANs, Firewalls und Mikrosegmentierung fuer kritische Systeme",
|
|
"iso27001_mapping": ["A.13.1"],
|
|
"priority": "high"
|
|
},
|
|
{
|
|
"id": "NIS2-CTRL-003",
|
|
"name": "Security Monitoring",
|
|
"description": "Kontinuierliche Ueberwachung der IT-Sicherheit",
|
|
"category": "Technisch",
|
|
"what_to_do": "Implementierung von SIEM, Log-Management und Anomalie-Erkennung",
|
|
"iso27001_mapping": ["A.12.4"],
|
|
"priority": "high"
|
|
},
|
|
{
|
|
"id": "NIS2-CTRL-004",
|
|
"name": "Awareness-Programm",
|
|
"description": "Regelmaessige Sicherheitsschulungen fuer alle Mitarbeiter",
|
|
"category": "Organisatorisch",
|
|
"what_to_do": "Durchfuehrung von Phishing-Simulationen, E-Learning und Praesenzschulungen",
|
|
"iso27001_mapping": ["A.7.2.2"],
|
|
"priority": "medium"
|
|
},
|
|
{
|
|
"id": "NIS2-CTRL-005",
|
|
"name": "Multi-Faktor-Authentifizierung",
|
|
"description": "MFA fuer alle administrativen Zugaenge und kritischen Systeme",
|
|
"category": "Technisch",
|
|
"what_to_do": "Einfuehrung von MFA fuer VPN, E-Mail, Admin-Zugaenge und kritische Anwendungen",
|
|
"iso27001_mapping": ["A.9.4"],
|
|
"priority": "high"
|
|
},
|
|
{
|
|
"id": "NIS2-CTRL-006",
|
|
"name": "Backup & Recovery",
|
|
"description": "Regelmaessige Backups und getestete Wiederherstellung",
|
|
"category": "Technisch",
|
|
"what_to_do": "Implementierung von 3-2-1 Backup-Strategie mit regelmaessigen Recovery-Tests",
|
|
"iso27001_mapping": ["A.12.3"],
|
|
"priority": "high"
|
|
},
|
|
{
|
|
"id": "NIS2-CTRL-007",
|
|
"name": "Vulnerability Management",
|
|
"description": "Systematisches Schwachstellenmanagement",
|
|
"category": "Technisch",
|
|
"what_to_do": "Regelmaessige Scans, Priorisierung nach CVSS, zeitnahe Patches",
|
|
"iso27001_mapping": ["A.12.6"],
|
|
"priority": "high"
|
|
},
|
|
{
|
|
"id": "NIS2-CTRL-008",
|
|
"name": "Incident Response Team",
|
|
"description": "Dediziertes Team fuer Sicherheitsvorfaelle",
|
|
"category": "Organisatorisch",
|
|
"what_to_do": "Aufbau eines CSIRT/CERT mit klaren Rollen und Eskalationspfaden",
|
|
"iso27001_mapping": ["A.16.1"],
|
|
"priority": "high"
|
|
}
|
|
],
|
|
"incident_deadlines": [
|
|
{
|
|
"phase": "Fruehwarnung",
|
|
"deadline": "24 Stunden",
|
|
"content": "Unverzuegliche Meldung erheblicher Sicherheitsvorfaelle. Angabe: Ob boesartiger Angriff vermutet wird, ob grenzueberschreitende Auswirkungen moeglich sind.",
|
|
"recipient": "BSI",
|
|
"legal_basis": [{"norm": "§ 32 Abs. 1 BSIG-E"}]
|
|
},
|
|
{
|
|
"phase": "Vorfallmeldung",
|
|
"deadline": "72 Stunden",
|
|
"content": "Aktualisierung der Fruehwarnung mit: Erste Bewertung des Vorfalls, Schweregrad und Auswirkungen, Kompromittierungsindikatoren (IoCs).",
|
|
"recipient": "BSI",
|
|
"legal_basis": [{"norm": "§ 32 Abs. 2 BSIG-E"}]
|
|
},
|
|
{
|
|
"phase": "Abschlussbericht",
|
|
"deadline": "1 Monat",
|
|
"content": "Ausfuehrlicher Bericht mit: Ausfuehrliche Beschreibung des Vorfalls, Ursachenanalyse (Root Cause), ergriffene Abhilfemassnahmen, grenzueberschreitende Auswirkungen.",
|
|
"recipient": "BSI",
|
|
"legal_basis": [{"norm": "§ 32 Abs. 3 BSIG-E"}]
|
|
}
|
|
]
|
|
}
|