Gemäß § 30 BSIG sind besonders wichtige und wichtige Einrichtungen nicht nur verpflichtet, angemessene und wirksame Maßnahmen zur Vermeidung von Sicherheitsvorfällen und Minimierung möglicher Schäden in Folge von Sicherheitsvorfällen zu ergreifen, sie müssen diese Maßnahmen und die zugrunde liegende Risikoeinschätzung auch dokumentieren.
Dokumentationspflichten
sind kein Selbstzweck. Sie erleichtern Mitarbeitenden und Geschäftsführerinnen und Geschäftsführern den Überblick über den Stand der Maßnahmen in der eigenen Organisation bezüglich möglicher Lücken im Informationssicherheitsmanagement. Wer bereits ein Informationssicherheitsmanagementsystem (ISMS), beispielsweise nach BSI IT-Grundschutz, eingeführt hat, hat im Bereich der Dokumentation allenfalls einen geringen Bedarf zur Nachbearbeitung. Um den Aufwand insbesondere für kleinere und mittlere Unternehmen im überschaubaren Rahmen zu halten, haben wir ein Tool zur Dokumentation als SaaS Angebot entwickelt.
Das BSIG schreibt keine spezielle Form der Dokumentation vor. § 30 Abs. 1 BSIG:
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, die in Absatz 2 konkretisiert werden, zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Bei der Bewertung der Verhältnismäßigkeit der Maßnahmen nach Satz 1 sind das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen. Die Einhaltung der Verpflichtung nach Satz 1 ist durch die Einrichtungen zu dokumentieren.
Sie benötigen Hilfe bei der Umsetzung der Rechtspflichten nach NIS2/BSIG?
Wir beraten und betreuen eine Reihe mittelständischer Unternehmen und Organisationen in den Bereichen Datenschutz und Datensicherheit. Gern evaluieren wir in einem kostenfreien Erstgespräch den Bedarf in Ihrer Organisation. Sie erreichen uns unter info@prisecon.de oder unter den unten angegebenen Geschäftsdaten.