Zur Übersicht
§30 BSIG · Maßnahmen

NIS2-Maßnahmenpaket

Kompakter, prüfbarer Überblick über umgesetzte und geplante NIS2-Basiskontrollen. Zeigt den aktuellen Maßnahmenstand — ersetzt kein vollständiges Sicherheitskonzept.

Dokument-ID
OPS-01-NIS2-MASSNAHMENPAKET
Version
v1.0
Stand
[TT.MM.JJJJ]
Owner
[Name / Funktion]
Freigabe
[GF / ISB / Datum]
Gesamtstatus
Teilweise umgesetzt
00 · Überblick

Maßnahmenstand auf einen Blick

OPS-01
3
Umgesetzt
2
Teilweise
2
In Planung

Rechtsgrundlage: §30 BSIG — Sicherheitsmaßnahmen für Einrichtungen. Die nachfolgenden Maßnahmenfelder decken die häufigsten Prüfpunkte bei wE und bwE ab. Vollständigkeit nach Art. 21 NIS2 ist separat zu evaluieren.

A · MFA und Zugriffsschutz

Multi-Faktor-Authentisierung und Berechtigungssteuerung

POL-04-IAM

MFA für privilegierte Zugänge

Umgesetzt

Alle administrativen und extern erreichbaren Zugänge erfordern Multi-Faktor-Authentisierung. Ausnahmen sind dokumentiert und freigegeben.

Richtlinie vorhanden Systemnachweis Review ausstehend
Owner: [Name]Letzter Review: [TT.MM.JJJJ]

Berechtigungskonzept (Least Privilege)

Teilweise umgesetzt

Rollenmodell dokumentiert, Least-Privilege-Prinzip beschrieben. Rezertifizierungszyklus ist definiert, letzte Durchführung liegt über 12 Monate zurück.

Richtlinie vorhanden Review überfällig
Owner: [Name]Review fällig: [TT.MM.JJJJ]
B · Backup und Restore

Datensicherung und Wiederherstellbarkeit

BCP-01-PLAN

Regelmäßige Datensicherung

Umgesetzt

Kritische Systeme und Daten sind in das Backup-Konzept eingebunden. Sicherungen erfolgen täglich, Aufbewahrungsdauer ist definiert und dokumentiert.

Konzept dokumentiert Systemnachweis
Owner: [Name]Letzter Review: [TT.MM.JJJJ]

Restore-Test und Wiederherstellungsnachweis

In Planung

Restore-Tests wurden noch nicht dokumentiert durchgeführt. Testkonzept liegt vor, Durchführung ist für Q3 geplant.

Konzept vorhanden Testprotokoll fehlt
Owner: [Name]Geplant: [TT.MM.JJJJ]
C · Incident Management

Erkennung, Meldung und Behandlung von Vorfällen

IRP-01-CSIRP

Incident Response Policy

Umgesetzt

Richtlinie zur Behandlung von Sicherheitsvorfällen liegt vor. Meldewege, Eskalation und Klassifizierung sind definiert. Verknüpfung zu Meldepflicht §32 BSIG vorhanden.

Richtlinie freigegeben GF-Kenntnisnahme
Owner: [ISB / Name]Review: [TT.MM.JJJJ]

Meldeprotokoll BSI (§32 BSIG)

Teilweise umgesetzt

IR-01-MELDEPROTOKOLL liegt vor und ist einsatzbereit. 24h/72h/30d-Fristen sind bekannt. Noch kein Praxistest oder Übungsdurchlauf dokumentiert.

Protokoll vorhanden Übungsnachweis fehlt
Owner: [Name]Nächste Übung: [TT.MM.JJJJ]
D · Rollen und Verantwortlichkeiten

Governance und GF-Haftungslinie

ORG-01-ROLES

Rollen- und Verantwortungsdokumentation

Umgesetzt

RACI-Struktur für Sicherheitsverantwortlichkeiten ist dokumentiert. ISB-Funktion benannt, Stellvertretung geregelt, Eskalationspfade definiert.

Dokument freigegeben GF-Freigabe
Owner: [GF / ISB]Review: [TT.MM.JJJJ]

GF-Schulungsnachweis (§38 BSIG)

In Planung

Schulungsnachweis EVID-01-GF-TRAINING liegt noch nicht vor. Planung und Terminierung für nächstes Quartal vorgesehen.

Nachweis fehlt Termin geplant
Owner: [GF]Geplant: [TT.MM.JJJJ]
E · Systemhärtung und Patch-Management

Schwachstellen, Updates und Konfigurationssicherheit

POL-05-PATCH

Patch-Policy und Update-Prozess

Teilweise umgesetzt

Patch-Policy liegt vor, kritische Updates werden zeitnah eingespielt. Operativer Tracker und Fristenlogik sind noch nicht vollständig dokumentiert.

Richtlinie vorhanden Tracker fehlt
Owner: [IT-Leitung]Review: [TT.MM.JJJJ]

Schwachstellen-Tracking

In Planung

Kein strukturierter Schwachstellen-Tracker vorhanden. Einzelne Findings werden ad hoc bearbeitet. Konzept für systematisches Tracking in Vorbereitung.

Tracker fehlt Konzept in Arbeit
Owner: [IT-Leitung]Geplant: [TT.MM.JJJJ]
F · Offene Punkte

Priorisierte Lücken mit Owner und Zieltermin

Restore-Test nicht dokumentiert

Testprotokoll für Wiederherstellung fehlt. Owner: [IT-Leitung] · Frist: [TT.MM.JJJJ]

GF-Schulungsnachweis fehlt

EVID-01-GF-TRAINING noch nicht durchgeführt. Owner: [GF] · Frist: [TT.MM.JJJJ]

Berechtigungsreview überfällig

IAC-02-REVIEW letzte Durchführung >12 Monate. Owner: [ISB] · Frist: [TT.MM.JJJJ]

Schwachstellen-Tracker nicht eingerichtet

VULN-01-TRACKER nicht vorhanden. Owner: [IT-Leitung] · Frist: [TT.MM.JJJJ]

Weiter im Pfad
Vorheriger SchrittGap-Übersicht ansehenKontextZum Maßnahmenpaket zurück