Anhang 1

Management der Cybersicherheit

A1.1 Anwendungsbereich

Dieser Anhang gilt für die erforderlichen Maßnahmen des Arbeitgebers, der ein Management der Cybersicherheit zum Erreichen der Anforderungen der BetrSichV im Betrieb einführen und aufrechterhalten will.

A1.2 Anforderungen an das Management der Cybersicherheit

A1.2.1 Allgemeines

(1) Ein Management der Cybersicherheit kann separat oder als Teil eines Managements der funktionalen Sicherheit bzw. als Teil eines Informationssicherheitsmanagements implementiert werden.

(2) Wenn der Arbeitgeber ein Management der Cybersicherheit einführt, müssen insbesondere die folgenden Schritte durchgeführt bzw. geeignete Regelungen festgelegt und die zugehörigen Inhalte dokumentiert werden (vgl. z. B. BSI 200-2):

1. Initiierung des Informationssicherheitsprozesses,
2. Erstellung einer Leitlinie zur Cybersicherheit auf Basis der sicherheitstechnischen Anforderungen,
3. Organisation des Sicherheitsprozesses,
4. Erstellung einer Cybersicherheitskonzeption,
5. Umsetzung der Cybersicherheitskonzeption und Überprüfung der Wirksamkeit der Cybersicherheitsmaßnahmen,
6. Aufrechterhaltung des Cybersicherheitsniveaus und Verbesserung.

(3) Wenn der Arbeitgeber ein Management der Cybersicherheit einführt, muss er dieses über den gesamten Sicherheitslebenszyklus etablieren und regelmäßig auf seine Wirksamkeit überprüfen.

(4) Für das Management der Cybersicherheit sind die Festlegung der beteiligten Personen und deren erforderliche Fachkunde, der Verantwortlichkeiten und der zu nutzenden Werkzeuge und Methoden, der Dokumentation sowie qualitätssichernde Maßnahmen und deren dokumentierte Umsetzung erforderlich.

A1.2.2 Wirksamkeit des Managements der Cybersicherheit

Bei Verwendung eines Managements der Cybersicherheit ist zum Nachweis der Wirksamkeit regelmäßig ein Audit durchzuführen, mit dem der Arbeitgeber überprüft, ob die Maßnahmen und Verfahren zum Erreichen der Cybersicherheit wirksam durchgeführt wurden und angemessen sind.