Question 1

Was ist eine NIS2-Lieferantenklassifizierung?

Accepted Answer

Eine NIS2-Lieferantenklassifizierung ordnet ein, welche Prüftiefe für einen Lieferanten angemessen ist. Entscheidend sind Systemzugriff, Datenbezug, Verfügbarkeitswirkung, Abhängigkeit und vorhandene Nachweise. Die Klassifizierung ist eine interne Arbeitslogik und keine gesetzliche NIS2-Kategorie.

Question 2

Welche Bedeutung hat §30 Abs. 2 Nr. 4 BSIG?

Accepted Answer

§30 Abs. 2 Nr. 4 BSIG betrifft die Sicherheit der Lieferkette. Betroffene Unternehmen müssen sicherheitsbezogene Beziehungen zu unmittelbaren Anbietern und Diensteanbietern berücksichtigen und geeignete Nachweise, Anforderungen und Wiedervorlagen ableiten.

Question 3

Was müssen Lieferanten unter NIS2 nachweisen?

Accepted Answer

Lieferanten müssen nicht automatisch selbst NIS2-pflichtig sein. Wenn ein NIS2-betroffener Kunde Nachweise benötigt, sind Angaben zu Leistung, Zugriffen, Datenbezug, Sicherheitsmaßnahmen, Incident-Prozess, Subdienstleistern, offenen Punkten und Wiedervorlage relevant.

Question 4

Was ist der Unterschied zwischen IT und OT?

Accepted Answer

IT umfasst Informationssysteme wie Netzwerke, Anwendungen, Cloud-Dienste und Datenplattformen. OT umfasst technische Systeme zur Steuerung physischer Prozesse, etwa in Produktion, Energie, Logistik oder Gebäudetechnik. NIS2-relevant wird die Schnittstelle, wenn Störungen aus der IT betriebliche oder physische Prozesse beeinflussen können.

Question 5

Welche Rolle hat die Geschäftsführung unter §38 BSIG?

Accepted Answer

§38 BSIG adressiert die Verantwortung der Geschäftsleitung. Die Geschäftsführung muss Cybersicherheitsrisiken verstehen, Maßnahmen billigen und Umsetzung überwachen. Operative Aufgaben können delegiert werden, Entscheidungen und Risikobehandlung sollten nachvollziehbar dokumentiert sein.

NIS2-Begriffe für Bewertung, Nachweise und Freigabe

NIS2 in der Praxis

Vom Begriff zur Arbeitsgrundlage