Im Rahmen einer NIS-Prüfung werden alle getroffenen Maßnahmen, um ein angemessenes Sicherheitsniveau in ausgewählten Gebieten zu erreichen, in einem Drei-Jahres-Zyklus überprüft. Die Beurteilung dient als Nachweis gegenüber dem zuständigen Ministerium und muss von einer qualifizierten Prüfstelle erstellt und übermittelt werden.
Zu den prüfungsrelevanten Gebieten zählen:
Governance und Risikomanagement
Risikoanalyse
Eine Risikoanalyse der Netz- und Informationssysteme ist durchzuführen. Dabei sind spezifische Risiken auf Grundlage einer Analyse der betrieblichen Auswirkungen von Sicherheitsvorfällen zu ermitteln. Des Weiteren muss auch die hohe Bedeutung des Betreibers wesentlicher Dienste für das Funktionieren des Gemeinwesens in die Risikoanalyse miteinbezogen und entsprechend bewertet werden.
Sicherheitsrichtlinie
Eine Sicherheitsrichtlinie ist zu erstellen und periodisch zu aktualisieren.
Überprüfungsplan der Netz- und Informationssysteme
Die Durchführung der periodischen Überprüfung der Netz- und Informationssystemsicherheit ist zu planen und festzulegen.
Ressourcenmanagement
Alle Ressourcen, die erforderlich sind, um die Funktionsfähigkeit der Netz- und Informationssysteme zu gewährleisten, sind im Hinblick auf kurz-, mittel- und langfristige Kapazitätsanforderungen einzuplanen und sicherzustellen.
Informationssicherheits-Management-Systemprüfung
Die periodische Überprüfung des Informationssicherheits-Management-Systems ist festzulegen und durchzuführen.
Personalwesen
Sicherheitsrelevante Aspekte sind in den Prozessen des Personalwesens zu berücksichtigen und umzusetzen.
Umgang mit Dienstleistern, Lieferanten und Dritten
Beziehungen
Anforderungen an Dienstleister, Lieferanten und Dritte für den Betrieb von, einen sicheren Zugang zu und Zugriff auf Netz- und Informationssysteme sind festzulegen und periodisch zu überprüfen.
Leistungsvereinbarungen
Die Leistungsvereinbarungen mit Dienstleistern und Lieferanten sind periodisch zu überprüfen und zu überwachen.
Sicherheitsarchitektur
Systemkonfiguration
Netz- und Informationssysteme sind sicher zu konfigurieren. Diese Konfiguration ist strukturiert zu dokumentieren. Die Dokumentation ist aktuell zu halten.
Vermögenswerte
Vermögenswerte, die im Zusammenhang mit Netz- und Informationssystemen stehen, sind strukturiert zu analysieren und zu dokumentieren.
Netzwerksegmentierung
Eine Segmentierung der Netzwerke ist innerhalb der Netz- und Informationssysteme abhängig vom Schutzbedarf vorzunehmen.
Netzwerksicherheit
Die Sicherheit innerhalb der Netzwerksegmente und der Schnittstellen zwischen den Netzwerksegmenten ist zu gewährleisten.
Kryptografie
Vertraulichkeit, Authentizität und Integrität von Informationen sind durch den angemessenen und wirksamen Einsatz kryptografischer Verfahren und Technologien sicherzustellen.
Systemadministration
Administrative Zugangsrechte
Administrative Zugangsrechte sind eingeschränkt nach dem Minimalrechtsprinzip zuzuweisen. Diese Zuweisungen sind periodisch zu überprüfen und gegebenenfalls anzupassen.
Systeme und Anwendungen zur Systemadministration
Systeme und Anwendungen zur Systemadministration sind ausschließlich für Tätigkeiten zum Zweck der Systemadministration zu verwenden. Die Sicherheit dieser Systeme und Anwendungen ist zu gewährleisten.
Identitäts- und Zugriffsmanagement (IAM)
Identifikation und Authentifikation
Es sind Verfahren umzusetzen und Technologien einzusetzen, die die Identifikation und Authentifikation von Benutzern und Diensten gewährleisten.
Autorisierung
Es sind Verfahren umzusetzen und Technologien einzusetzen, die unautorisierte Zugriffe auf Netz- und Informationssysteme unterbinden.
Systemwartung und Betrieb
Systemwartung und Betrieb
Abläufe und Vorgänge zur Gewährleistung eines sicheren Systembetriebs von Netz- und Informationssystemen sind einzuführen und periodisch zu überprüfen.
Fernzugriff
Fernzugriff ist eingeschränkt nach dem Minimalrechtsprinzip und zeitlich beschränkt zu vergeben. Die Fernzugriffsrechte sind periodisch zu überprüfen und gegebenenfalls anzupassen. Die Sicherheit des Fernzugriffs ist zu gewährleisten.
Physische Sicherheit
Der physische Schutz der Netz- und Informationssysteme, insbesondere der physische Schutz vor unbefugtem Zutritt und Zugang, ist zu gewährleisten.
Erkennung von Vorfällen
Erkennung
Mechanismen zur Erkennung und Bewertung von Vorfällen sind umzusetzen.
Protokollierung und Monitoring
Mechanismen zu Protokollierung und Monitoring, insbesondere von für die Erbringung des wesentlichen Dienstes essenziellen Tätigkeiten und Vorgängen, sind umzusetzen.
Korrelation und Analyse
Mechanismen zur Erkennung und adäquaten Bewertung von Vorfällen durch die Korrelation und Analyse der ermittelten Protokolldaten sind umzusetzen.
Bewältigung von Vorfällen
Reaktion auf Vorfälle
Prozesse zur Reaktion auf Vorfälle sind zu erstellen, aufrechtzuerhalten und zu erproben.
Meldung von Vorfällen
Prozesse zur internen und externen Meldung von Vorfällen sind zu erstellen, aufrechtzuerhalten und zu erproben.
Analyse von Vorfällen
Prozesse zur Analyse und Bewertung von Vorfällen und zur Sammlung relevanter Informationen sind zu erstellen, aufrechtzuerhalten und zu erproben, um den kontinuierlichen Verbesserungsprozess zu fördern.
Betriebskontinuität
Sicherstellung der Betriebskontinuität
Die Wiederherstellung der Erbringung des wesentlichen Dienstes auf einem zuvor festgelegten Qualitätsniveau nach einem Sicherheitsvorfall ist zu gewährleisten.
Notfallmanagement
Notfallpläne sind zu erstellen, anzuwenden, regelmäßig zu bewerten und zu erproben.
Krisenmanagement
Rahmenbedingungen und Prozessabläufe des Krisenmanagements sind für die Aufrechterhaltung des wesentlichen Dienstes vor und während eines Sicherheitsvorfalls zu definieren, umzusetzen und zu erproben.