Die NIS2-Richtlinie umsetzen
Organisation erfassen
Die Organisation stellt in verinice einen Subtyp des Zielobjektes Scope dar und kann mit dem Formular Organisation über zwei folgende Wege dokumentiert werden: Erfassen Sie Ihre Einrichtung, indem Sie im Dashboard zum Formular Organisation navigieren. In der sog. Objektübersicht können Sie mit dem roten Plus-Icon eine neue Organisation erstellen.
Alternativ können Sie über das Hauptmenü Objekte >Scopes >Organisationen in die Objektübersicht navigieren und mit dem roten Plus-Icon eine neue Organisation erfassen.
In dem sich öffnenden Dialog können Sie, sofern gewünscht, sämtliche Informationen, mindestens aber Name und Status zum Formular Organisationen eingeben und abspeichern. Ihre Einrichtung wird nun als Organisation in der Objektansicht aufgelistet.
Klicken Sie auf das Objekt, wenn die neu angelegte Organisation zur weiteren Bearbeitung geöffnet werden soll.
Ihnen stehen nun zwei Ansicht zur Verfügung. Die Detailansicht im linken Bereich und die Formularansicht im rechten Bereich.
Die Informationen für die Organisation müssen im gleichnamigen Formular und somit in der Formularansicht eingegeben werden. Für eine bessere Übersicht können Sie die Detailansicht verstecken über die Funktion Objektdetails verstecken. Dieser Vorgang kann jederzeit rückgängig gemacht werden über die Funktion Objektdetails anzeigen.
Detailangaben
Im Abschnitt Allgemeine Angaben haben Sie die Möglichkeit neben einer Organisationsbeschreibung Informationen wie Abkürzung oder Status sowie Kontaktinformationen zu hinterlegen. Wenn Sie eine darüber hinausgehende zusätzliche Kontaktstelle für die Aufsichtsbehörde bestimmen möchten, können Sie diese im Abschnitt NIS2 Kontaktstelle für Aufsichtsbehörde benennen.
Sektorspezifische Informationen, die Sie als NIS2 Betroffene im Rahmen der Registrierung melden müssen und ggf. Angaben zur Vertretung innerhalb der Europäischen Union können im Abschnitt Sektorspezifische Informationen des Formulars erfasst werden.
Darüber hinaus können Sie die für Sie zuständige Behörde, Registrierungsdatum und ggf. Informationen zu Registrierungsänderungen in diesem Formular dokumentieren. Mit dem Report Registrierungsinformationen für zuständige Behörde erhalten Sie eine detaillierte Darstellung der für eine Registrierung erforderlichen Informationen.
NIS2 Geltungsbereiche
Sollten Sie für Ihre Einrichtung unterschiedliche Geltungsbereiche definieren wollen, so können Sie dies über das Formular NIS2 Geltungsbereiche realisieren.
Sicherheitsvorfälle
Wenn ein erheblicher Sicherheitsvorfall eintritt, müssen NIS2-Betroffene ein mehrstufiges Meldesystem umsetzen. Hierbei müssen Frühwarnungen, aktualisierte Meldungen und abschließende Berichte innerhalb von definierten Fristen durchgeführt werden.
verinice unterstützt Sie bei der Erfassung und Dokumentation von Sicherheitsvorfällen. Sie können einen neuen Sicherheitsvorfall mit dem Formular Sicherheitsvorfall über die zwei bewährten Methoden - Dashboard und/oder Hauptmenü – anlegen.
Im Abschnitt Meldungsart können Sie eine Auswahl zur Art der Meldung treffen.
Neben allgemeinen Angaben zum Sachverhalt können weitere gesetzlich geforderte Informationen in den hierfür vorgesehenen Abschnitten erfasst werden. Des Weiteren werden betroffenen Zielobjekte, Meldungen an Behörden, Empfänger oder Öffentlichkeit, Fristen sowie geplante und umgesetzte Gegenmaßnahmen in den Dokumentations- und Bewertungsprozess mit einbezogen. Sämtliche Informationen können anschließen über den Report Meldeformular Sicherheitsvorfall ausgegeben und ggf. für eine Meldung bei den Aufsichtsbehörden verwendet werden.
Zielobjekte
Wesentliche und wichtige Einrichtungen sind verpflichtet, geeignete und verhältnismäßige operative, technische und organisatorische Maßnahmen zu ergreifen, um Risiken für die Sicherheit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.
Die Grundlage hierfür ist, dass Sie die Schutzobjekte für Ihre Einrichtung identifizieren, sinnvoll zusammenstellen und hinreichend erfassen. Das Vorgehen ist vergleichbar mit der Strukturanalyse im IT-Grundschutz.
Sämtliche relevanten Objekte können über die Formulare Geschäftsprozesse, Assets und Lieferanten abgebildet werden. Im Ergebnis sollte sich durch die Zusammenstellung der Objekte Ihre Infrastruktur widerspiegeln.
Abhängigkeiten
Für eine aussagekräftige Analyse ist es zudem erforderlich, die Abhängigkeiten der Zielobjekte zu beschreiben. verinice unterstützt Sie dabei, diese Abhängigkeiten über Verknüpfung hinzufügen in den Formularen umzusetzen.
Um eine Relation zwischen zwei Zielobjekten zu herzustellen, müssen Sie im Formular eines Objektes das erforderliche andere Objekt mit der Funktion Verknüpfung hinzufügen auswählen. Scrollen Sie dazu im Formular weiter nach unten, wo die erforderlichen Objekte aufgelistet werden und suchen Sie das benötigte Objekt aus.
Sollte das gewünschte Objekt nicht vorhanden sein, so haben Sie die Möglichkeit ein neues Objekt direkt aus dem Formular heraus zu erzeugen. Klicken Sie dazu Verknüpfung hinzufügen gewünschtes Objekt erstellen.
Im Objektumfeld finden Sie unter Verknüpfung eine Auflistung aller ein- und ausgehenden Verknüpfungen. Natürlich gelangen Sie auch von hier aus durch Mausklick zu dem gewünschten Zielobjekt, um dieses weiter zu bearbeiten.
Lieferanten
Wenn in Ihrer Organisation Lieferanten zum Einsatz kommen, erfassen Sie diese im gleichnamigen Formular Lieferanten. Neben allgemeinen Informationen wie Kontaktinformationen können auch Verträge zu diesem Lieferanten in das Formular eingebunden werden. Des Weiteren können Sie Ihre Bewertung zu den technischen und organisatorischen Maßnahmen der Lieferanten dokumentieren.
Angelegte Objekte stehen Ihnen im Rahmen der Dokumentation Ihrer Geschäftsprozesse als Beteiligte Lieferanten zur Verfügung. Alternativ können Sie die Lieferanten direkt aus dem Formular Geschäftsprozesse heraus über die Funktion Verknüpfung hinzufügen > Lieferant erstellen anlegen.
Organisationsspezifische Maßnahmen
Für die Erfassung Organisationsspezifischer Maßnahmen gehen Sie bitte folgendermaßen vor:
Legen Sie eine neue Anforderung mit dem Formular Anforderung für das gewünschte Scope, Prozess oder Asset-Objekt an und benennen Sie es eindeutig z.B. spezifische Anforderung für Geschäftsprozess 1.
Öffnen Sie die neu angelegte Anforderung und navigieren im Objektumfeld zum Reiter Teile. Mit dem roten Plus-Icon können Sie nun eine oder mehrere neue Maßnahmen erstellen bzw. auswählen.
Wechseln Sie nun zum betroffenen Objekt (z.B. Geschäftsprozess 1) und navigieren im Objektumfeld in den Reiter Anforderungen. Über das rote Plus-Icon wählen Sie die gewünschte Anforderung z.B. Spezifische Anforderung für Geschäftsprozess 1 aus.
Um die Organisationsspezifischen Maßnahmen für die Anforderung bearbeiten zu können, wählen Sie bitte Umsetzung anzeigen.
In der folgenden Übersicht werden die einzelnen Organisationsspezifischen Maßnahmen aufgelistet.
Nun können Sie jede einzelne Maßnahme zwecks Umsetzungsbearbeitung anklicken.
Mindestmaßnahmen
Durch Anwenden des Katalogelementes Art. 21 NIS2 werden die Mindestmaßnahmen in Ihre Unit überführt. Der Katalog der Domäne NIS2 enthält sämtliche Artikel der NIS2-Richtlinie inkl. der Erwägungsgründe. Diese Objekte können auf Ihre Unit einzeln angewendet und dort bearbeitet werden.
Bei der Anwendung von Art. 21 wird dieses Elemente inklusive der Verknüpfungen mit den Mindestmaßnahmen in die aktive Unit übernommen.
Sie haben die Möglichkeit dieses Composite-Objekt jederzeit individuell zu erweitern, in dem Sie über den Reiter Teile mit dem roten Plus-Icon eine oder mehrere neue Maßnahmen erstellen bzw. auswählen.
Selbstverständlich können auch die einzelnen Katalogelemente selbst in der aktiven Unit modifiziert werden.
Wechseln Sie nun zum betroffenen Objekt Organisation und navigieren im Objektumfeld in den Reiter Anforderungen. Über das rote Plus-Icon wählen Sie die Anforderung Art. 21 Risikomanagementmaßnahmen im Bereich der Cybersicherheit für Ihre Organisation aus.
Die Anwendungsmöglichkeit der Anforderung Art. 21 Risikomanagementmaßnahmen im Bereich der Cybersicherheit ist nicht auf Organisationen beschränkt. Bei Bedarf können Sie dieses Element auf sämtliche Schutzobjekte anwenden.
Um die Risikomanagementmaßnahmen im Bereich der Cybersicherheit bearbeiten zu können, wählen Sie bitte Umsetzung anzeigen.
In der folgenden Übersicht werden die einzelnen Risikomanagementmaßnahmen aufgelistet
Nun können Sie jede einzelne Maßnahme zwecks Umsetzungsbearbeitung anklicken
