Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
df5b6d69ef01ac71d83cff2942cf4d5987631d90
breakpilot-compliance/ai-compliance-sdk/policies/obligations/nis2_obligations.yaml
Benjamin Boenisch 4435e7ea0a Initial commit: breakpilot-compliance - Compliance SDK Platform 
Services: Admin-Compliance, Backend-Compliance,
AI-Compliance-SDK, Consent-SDK, Developer-Portal,
PCA-Platform, DSMS

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
2026-02-11 23:47:28 +01:00

557 lines
20 KiB
YAML
Raw Blame History

# NIS2 Obligations & Controls
# Version: 1.0
# Based on: EU Directive 2022/2555 (NIS2) and German BSIG-E (Draft)
regulation: nis2
name: "NIS2-Richtlinie / BSIG-E"
version: "1.0"
effective_date: "2024-10-18"
german_implementation: "BSIG-E (Entwurf)"
# ==============================================================================
# Pflichten (Obligations)
# ==============================================================================
obligations:
# ---------------------------------------------------------------------------
# Meldepflichten
# ---------------------------------------------------------------------------
- id: "NIS2-OBL-001"
title: "BSI-Registrierung"
description: |
Registrierung beim BSI über das Meldeportal innerhalb von 3 Monaten nach
Identifikation als betroffene Einrichtung. Anzugeben sind:
- Name und Anschrift der Einrichtung
- Kontaktdaten (E-Mail, Telefon) eines Ansprechpartners
- IP-Adressbereiche der Einrichtung
- Sektor und Tätigkeitsbereich
applies_when: "classification in ['wichtige_einrichtung', 'besonders_wichtige_einrichtung']"
legal_basis:
- norm: "§ 33 BSIG-E"
article: "Registrierungspflicht"
- norm: "Art. 3 Abs. 4 NIS2"
category: "Meldepflicht"
responsible: "Geschäftsführung"
deadline:
type: "absolute"
date: "2025-01-17"
sanctions:
max_fine: "500.000 EUR"
personal_liability: false
evidence:
- "Registrierungsbestätigung des BSI"
- "Dokumentierte Ansprechpartner mit Kontaktdaten"
- "Liste der registrierten IP-Bereiche"
priority: "critical"
how_to_implement: |
1. BSI-Meldeportal aufrufen (wird noch eingerichtet)
2. Unternehmensdaten eingeben
3. Technische Ansprechpartner benennen
4. IP-Bereiche dokumentieren und eintragen
5. Bestätigung archivieren
- id: "NIS2-OBL-002"
title: "Risikomanagement-Maßnahmen implementieren"
description: |
Umsetzung angemessener und verhältnismäßiger technischer, operativer und
organisatorischer Maßnahmen zur Beherrschung der Risiken für die Sicherheit
der Netz- und Informationssysteme. Die Maßnahmen müssen dem Stand der Technik
entsprechen und folgende Bereiche abdecken:
- Risikoanalyse und Sicherheitskonzepte
- Bewältigung von Sicherheitsvorfällen
- Betriebskontinuität und Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung
- Bewertung der Wirksamkeit von Maßnahmen
- Cyberhygiene und Schulungen
- Kryptographie
- Personalsicherheit
- Zugangskontrollen
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 NIS2"
article: "Risikomanagementmaßnahmen im Bereich der Cybersicherheit"
- norm: "§ 30 BSIG-E"
article: "Risikomanagementmaßnahmen"
category: "Governance"
responsible: "CISO"
deadline:
type: "relative"
duration: "18 Monate nach Inkrafttreten des BSIG-E"
sanctions:
max_fine: "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes"
personal_liability: true
evidence:
- "ISMS-Dokumentation"
- "Risikoanalyse und -bewertung"
- "Maßnahmenkatalog mit Umsetzungsstatus"
- "Sicherheitskonzept"
priority: "high"
iso27001_mapping: ["A.5", "A.6", "A.8"]
- id: "NIS2-OBL-003"
title: "Geschäftsführungs-Verantwortung und Genehmigung"
description: |
Die Leitungsorgane (Geschäftsführung, Vorstand) müssen die
Risikomanagementmaßnahmen billigen und deren Umsetzung überwachen.
Bei Verstößen können sie persönlich haftbar gemacht werden. Die
Geschäftsführung ist verpflichtet:
- Risikomanagement-Maßnahmen zu genehmigen
- Umsetzung regelmäßig zu überprüfen
- Ausreichende Ressourcen bereitzustellen
- Cybersicherheit als strategisches Thema zu behandeln
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 20 NIS2"
article: "Governance"
- norm: "§ 38 BSIG-E"
article: "Billigung, Überwachung und Schulung"
category: "Governance"
responsible: "Geschäftsführung"
sanctions:
max_fine: "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes"
personal_liability: true
evidence:
- "Vorstandsbeschluss zur Cybersicherheitsstrategie"
- "Dokumentierte Genehmigung der Risikomanagement-Maßnahmen"
- "Protokolle der regelmäßigen Reviews"
- "Nachweis der Ressourcenbereitstellung"
priority: "critical"
- id: "NIS2-OBL-004"
title: "Cybersicherheits-Schulung der Geschäftsführung"
description: |
Mitglieder der Leitungsorgane müssen an regelmäßigen Schulungen teilnehmen,
um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von
Cybersicherheitsrisiken und deren Auswirkungen zu erlangen. Die Schulungen
müssen folgende Themen abdecken:
- Aktuelle Bedrohungslage
- Grundlagen der Informationssicherheit
- Relevante gesetzliche Anforderungen (NIS2, DSGVO, etc.)
- Risikobasierter Ansatz
- Incident Response und Krisenmanagement
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 20 Abs. 2 NIS2"
- norm: "§ 38 Abs. 3 BSIG-E"
category: "Schulung"
responsible: "Geschäftsführung"
deadline:
type: "recurring"
interval: "jährlich"
evidence:
- "Schulungsnachweise/Zertifikate der Geschäftsführung"
- "Schulungsplan mit Themen und Terminen"
- "Teilnahmelisten"
priority: "high"
- id: "NIS2-OBL-005"
title: "Incident-Response-Prozess und Meldepflichten"
description: |
Etablierung eines Prozesses zur Erkennung, Analyse, Eindämmung und Meldung
von erheblichen Sicherheitsvorfällen. Die Meldung muss in drei Phasen erfolgen:
1. Frühwarnung (24 Stunden): Unverzügliche Meldung, ob böswilliger Angriff
vermutet wird und ob grenzüberschreitende Auswirkungen möglich sind
2. Vorfallmeldung (72 Stunden): Aktualisierung mit erster Bewertung,
Schweregrad, Auswirkungen und Kompromittierungsindikatoren
3. Abschlussbericht (1 Monat): Ausführliche Beschreibung, Ursachenanalyse,
ergriffene Maßnahmen und grenzüberschreitende Auswirkungen
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 23 NIS2"
article: "Berichtspflichten"
- norm: "§ 32 BSIG-E"
article: "Meldepflichten"
category: "Meldepflicht"
responsible: "CISO"
evidence:
- "Incident-Response-Plan"
- "Meldeprozess-Dokumentation"
- "24/7-Erreichbarkeit der Ansprechpartner"
- "Kontaktdaten BSI und ggf. sektorale Behörden"
- "Vorlagen für Meldungen"
priority: "critical"
iso27001_mapping: ["A.16"]
- id: "NIS2-OBL-006"
title: "Business Continuity Management"
description: |
Implementierung von Maßnahmen zur Aufrechterhaltung des Betriebs:
- Backup-Management und -Strategie
- Notfallwiederherstellung (Disaster Recovery)
- Krisenmanagement
- Notfallplanung
Regelmäßige Tests der BCM-Maßnahmen sind durchzuführen.
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. c NIS2"
- norm: "§ 30 Abs. 2 Nr. 3 BSIG-E"
category: "Technisch"
responsible: "CISO"
evidence:
- "BCM-Dokumentation"
- "Backup-Konzept mit RTO/RPO"
- "Disaster-Recovery-Plan"
- "Krisenmanagement-Handbuch"
- "Testprotokolle (mindestens jährlich)"
priority: "high"
iso27001_mapping: ["A.17"]
- id: "NIS2-OBL-007"
title: "Lieferketten-Sicherheit"
description: |
Sicherstellung der Sicherheit in der Lieferkette, einschließlich:
- Bewertung der Sicherheitspraktiken von Lieferanten
- Vertragliche Sicherheitsanforderungen
- Regelmäßige Überprüfung der Lieferanten
- Berücksichtigung von Konzentrationsrisiken
- Dokumentation kritischer Lieferanten
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. d NIS2"
- norm: "§ 30 Abs. 2 Nr. 4 BSIG-E"
category: "Organisatorisch"
responsible: "CISO"
evidence:
- "Lieferanten-Risikobewertung"
- "Sicherheitsanforderungen in Verträgen"
- "Liste kritischer Lieferanten"
- "Audit-Berichte von Lieferanten"
priority: "medium"
iso27001_mapping: ["A.15"]
- id: "NIS2-OBL-008"
title: "Schwachstellenmanagement"
description: |
Etablierung von Prozessen zum Umgang mit Schwachstellen:
- Regelmäßige Schwachstellen-Scans
- Priorisierung nach Risiko
- Zeitnahe Behebung (Patch-Management)
- Koordinierte Offenlegung von Schwachstellen
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. e NIS2"
- norm: "§ 30 Abs. 2 Nr. 5 BSIG-E"
category: "Technisch"
responsible: "CISO"
evidence:
- "Schwachstellen-Management-Prozess"
- "Patch-Management-Richtlinie"
- "Vulnerability-Scan-Berichte"
- "Statistiken zur Behebungszeit"
priority: "high"
iso27001_mapping: ["A.12.6"]
- id: "NIS2-OBL-009"
title: "Zugangs- und Identitätsmanagement"
description: |
Implementierung von Konzepten für:
- Zugangskontrolle (Need-to-know-Prinzip)
- Management von Benutzerkonten und Berechtigungen
- Multi-Faktor-Authentifizierung (MFA)
- Sichere Authentifizierungsmethoden
- Regelmäßige Überprüfung von Berechtigungen
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. i NIS2"
- norm: "§ 30 Abs. 2 Nr. 9 BSIG-E"
category: "Technisch"
responsible: "IT-Leitung"
evidence:
- "Zugangskontroll-Richtlinie"
- "MFA-Implementierungsnachweis"
- "Identity-Management-Dokumentation"
- "Berechtigungsmatrix"
- "Review-Protokolle"
priority: "high"
iso27001_mapping: ["A.9"]
- id: "NIS2-OBL-010"
title: "Kryptographie und Verschlüsselung"
description: |
Konzepte und Verfahren für den Einsatz von Kryptographie:
- Verschlüsselung von Daten in Ruhe und Transit
- Sichere Schlüsselverwaltung
- Verwendung aktueller kryptographischer Standards
- Regelmäßige Überprüfung der eingesetzten Verfahren
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. h NIS2"
- norm: "§ 30 Abs. 2 Nr. 8 BSIG-E"
category: "Technisch"
responsible: "CISO"
evidence:
- "Kryptographie-Richtlinie"
- "Verschlüsselungskonzept"
- "Key-Management-Dokumentation"
- "Liste eingesetzter Algorithmen"
priority: "medium"
iso27001_mapping: ["A.10"]
- id: "NIS2-OBL-011"
title: "Personalsicherheit und Awareness"
description: |
Sicherstellung der Personalsicherheit:
- Hintergrundüberprüfungen für kritische Rollen
- Regelmäßige Sicherheitsschulungen für alle Mitarbeiter
- Awareness-Programme
- Klare Verantwortlichkeiten
- Prozesse bei Personalwechsel
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. g NIS2"
- norm: "Art. 21 Abs. 2 lit. j NIS2"
- norm: "§ 30 Abs. 2 Nr. 7 BSIG-E"
- norm: "§ 30 Abs. 2 Nr. 10 BSIG-E"
category: "Organisatorisch"
responsible: "Geschäftsführung"
evidence:
- "Personalsicherheits-Richtlinie"
- "Schulungskonzept und -nachweise"
- "Awareness-Materialien"
- "Onboarding/Offboarding-Prozesse"
priority: "medium"
iso27001_mapping: ["A.7"]
- id: "NIS2-OBL-012"
title: "Regelmäßige Sicherheitsaudits (besonders wichtige Einrichtungen)"
description: |
Besonders wichtige Einrichtungen unterliegen regelmäßigen
Sicherheitsüberprüfungen durch das BSI. Diese können umfassen:
- Vor-Ort-Prüfungen
- Remote-Audits
- Dokumentenprüfungen
- Technische Prüfungen
Die Einrichtungen müssen auf Anforderung Nachweise vorlegen.
applies_when: "classification == 'besonders_wichtige_einrichtung'"
legal_basis:
- norm: "Art. 32 NIS2"
article: "Aufsichtsmaßnahmen für besonders wichtige Einrichtungen"
- norm: "§ 39 BSIG-E"
category: "Audit"
responsible: "CISO"
deadline:
type: "recurring"
interval: "alle 2 Jahre"
evidence:
- "Audit-Berichte"
- "Maßnahmenpläne aus Audits"
- "Nachweise der Umsetzung"
priority: "high"
- id: "NIS2-OBL-013"
title: "Netzsegmentierung und Netzwerksicherheit"
description: |
Implementierung von Netzwerksicherheitsmaßnahmen:
- Segmentierung kritischer Systeme
- Firewalls und Zugangskontrolle
- Sichere Netzwerkarchitektur
- Überwachung des Netzwerkverkehrs
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. a NIS2"
- norm: "§ 30 Abs. 2 Nr. 1 BSIG-E"
category: "Technisch"
responsible: "IT-Leitung"
evidence:
- "Netzwerkarchitektur-Dokumentation"
- "Firewall-Regelwerke"
- "Segmentierungskonzept"
priority: "high"
iso27001_mapping: ["A.13.1"]
- id: "NIS2-OBL-014"
title: "Security Monitoring und Protokollierung"
description: |
Kontinuierliche Überwachung der IT-Sicherheit:
- Sicherheitsrelevante Protokollierung
- SIEM oder vergleichbare Lösung
- Anomalie-Erkennung
- Regelmäßige Auswertung der Logs
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. b NIS2"
- norm: "§ 30 Abs. 2 Nr. 2 BSIG-E"
category: "Technisch"
responsible: "CISO"
evidence:
- "Log-Management-Konzept"
- "SIEM-Dokumentation"
- "Monitoring-Dashboards"
- "Incident-Berichte aus Monitoring"
priority: "high"
iso27001_mapping: ["A.12.4"]
# ==============================================================================
# Controls (Maßnahmen)
# ==============================================================================
controls:
- id: "NIS2-CTRL-001"
name: "ISMS implementieren"
description: "Implementierung eines Informationssicherheits-Managementsystems nach anerkanntem Standard"
category: "Governance"
what_to_do: "Aufbau eines ISMS nach ISO 27001 oder BSI IT-Grundschutz"
iso27001_mapping: ["4", "5", "6", "7"]
priority: "high"
- id: "NIS2-CTRL-002"
name: "Netzwerksegmentierung"
description: "Segmentierung kritischer Netzwerkbereiche zur Reduzierung der Angriffsfläche"
category: "Technisch"
what_to_do: "Implementierung von VLANs, Firewalls und Mikrosegmentierung für kritische Systeme"
iso27001_mapping: ["A.13.1"]
priority: "high"
- id: "NIS2-CTRL-003"
name: "Security Monitoring"
description: "Kontinuierliche Überwachung der IT-Sicherheit"
category: "Technisch"
what_to_do: "Implementierung von SIEM, Log-Management und Anomalie-Erkennung"
iso27001_mapping: ["A.12.4"]
priority: "high"
- id: "NIS2-CTRL-004"
name: "Awareness-Programm"
description: "Regelmäßige Sicherheitsschulungen für alle Mitarbeiter"
category: "Organisatorisch"
what_to_do: "Durchführung von Phishing-Simulationen, E-Learning und Präsenzschulungen"
iso27001_mapping: ["A.7.2.2"]
priority: "medium"
- id: "NIS2-CTRL-005"
name: "Multi-Faktor-Authentifizierung"
description: "MFA für alle administrativen Zugänge und kritischen Systeme"
category: "Technisch"
what_to_do: "Einführung von MFA für VPN, E-Mail, Admin-Zugänge und kritische Anwendungen"
iso27001_mapping: ["A.9.4"]
priority: "high"
- id: "NIS2-CTRL-006"
name: "Backup & Recovery"
description: "Regelmäßige Backups und getestete Wiederherstellung"
category: "Technisch"
what_to_do: "Implementierung von 3-2-1 Backup-Strategie mit regelmäßigen Recovery-Tests"
iso27001_mapping: ["A.12.3"]
priority: "high"
- id: "NIS2-CTRL-007"
name: "Vulnerability Management"
description: "Systematisches Schwachstellenmanagement"
category: "Technisch"
what_to_do: "Regelmäßige Scans, Priorisierung nach CVSS, zeitnahe Patches"
iso27001_mapping: ["A.12.6"]
priority: "high"
- id: "NIS2-CTRL-008"
name: "Incident Response Team"
description: "Dediziertes Team für Sicherheitsvorfälle"
category: "Organisatorisch"
what_to_do: "Aufbau eines CSIRT/CERT mit klaren Rollen und Eskalationspfaden"
iso27001_mapping: ["A.16.1"]
priority: "high"
# ==============================================================================
# Incident Deadlines (Meldefristen)
# ==============================================================================
incident_deadlines:
- phase: "Frühwarnung"
deadline: "24 Stunden"
content: |
Unverzügliche Meldung erheblicher Sicherheitsvorfälle. Angabe:
- Ob böswilliger Angriff vermutet wird
- Ob grenzüberschreitende Auswirkungen möglich sind
recipient: "BSI"
legal_basis:
- norm: "§ 32 Abs. 1 BSIG-E"
- phase: "Vorfallmeldung"
deadline: "72 Stunden"
content: |
Aktualisierung der Frühwarnung mit:
- Erste Bewertung des Vorfalls
- Schweregrad und Auswirkungen
- Kompromittierungsindikatoren (IoCs)
recipient: "BSI"
legal_basis:
- norm: "§ 32 Abs. 2 BSIG-E"
- phase: "Abschlussbericht"
deadline: "1 Monat"
content: |
Ausführlicher Bericht mit:
- Ausführliche Beschreibung des Vorfalls
- Ursachenanalyse (Root Cause)
- Ergriffene Abhilfemaßnahmen
- Grenzüberschreitende Auswirkungen
recipient: "BSI"
legal_basis:
- norm: "§ 32 Abs. 3 BSIG-E"
# ==============================================================================
# Sector Classification (NIS2 Annexes)
# ==============================================================================
sectors:
annex_i:
name: "Sektoren mit hoher Kritikalität"
description: "Anhang I der NIS2-Richtlinie"
sectors:
- id: "energy"
name: "Energie"
subsectors: ["Elektrizität", "Fernwärme/-kälte", "Erdöl", "Erdgas", "Wasserstoff"]
- id: "transport"
name: "Verkehr"
subsectors: ["Luftverkehr", "Schienenverkehr", "Schifffahrt", "Straßenverkehr"]
- id: "banking_financial"
name: "Bankwesen"
subsectors: ["Kreditinstitute"]
- id: "financial_market"
name: "Finanzmarktinfrastrukturen"
subsectors: ["Betreiber von Handelsplätzen", "Zentrale Gegenparteien"]
- id: "health"
name: "Gesundheitswesen"
subsectors: ["Gesundheitsdienstleister", "EU-Referenzlaboratorien", "Arzneimittelhersteller", "Medizinproduktehersteller"]
- id: "drinking_water"
name: "Trinkwasser"
subsectors: ["Lieferanten und Verteiler von Trinkwasser"]
- id: "wastewater"
name: "Abwasser"
subsectors: ["Unternehmen, die kommunales Abwasser sammeln, entsorgen oder behandeln"]
- id: "digital_infrastructure"
name: "Digitale Infrastruktur"
subsectors: ["IXPs", "DNS-Dienste", "TLD-Namenregister", "Cloud-Computing", "Rechenzentren", "CDNs", "Vertrauensdienste", "Öffentliche Kommunikationsnetze"]
- id: "ict_service_mgmt"
name: "Verwaltung von IKT-Diensten (B2B)"
subsectors: ["Managed Service Provider", "Managed Security Service Provider"]
- id: "public_administration"
name: "Öffentliche Verwaltung"
subsectors: ["Zentralregierung", "Regionale Behörden"]
- id: "space"
name: "Weltraum"
subsectors: ["Betreiber von Bodeninfrastrukturen"]
annex_ii:
name: "Sonstige kritische Sektoren"
description: "Anhang II der NIS2-Richtlinie"
sectors:
- id: "postal"
name: "Post- und Kurierdienste"
- id: "waste"
name: "Abfallbewirtschaftung"
- id: "chemicals"
name: "Herstellung, Produktion und Vertrieb von Chemikalien"
- id: "food"
name: "Produktion, Verarbeitung und Vertrieb von Lebensmitteln"
- id: "manufacturing"
name: "Verarbeitendes Gewerbe/Herstellung von Waren"
subsectors: ["Medizinprodukte", "DV-Geräte", "Elektrische Ausrüstungen", "Maschinenbau", "Kraftwagen", "Sonstiger Fahrzeugbau"]
- id: "digital_providers"
name: "Anbieter digitaler Dienste"
subsectors: ["Online-Marktplätze", "Online-Suchmaschinen", "Soziale Netzwerke"]
- id: "research"
name: "Forschung"
subsectors: ["Forschungseinrichtungen"]
Reference in New Issue View Git Blame Copy Permalink