A

EU Direktive Art. 21c)

Als Assets werden Bestände von Objekten bezeichnet, die für einen bestimmten Zweck, besonders zur Erreichung von Geschäftszielen, benötigt werden. Der englische Begriff „asset“ wird häufig mit „Wert“ übersetzt. „Wert“ ist allerdings im Deutschen ein mit vielen Bedeutungen belegter Begriff – von der gesellschaftlichen Bedeutung, die einer Sache zukommt, bis hin zur inneren Qualität eines Objekts. Im IT-Grundschutz wird der Begriff „Assets“ in der Bedeutung von „werthaltigen bzw. wertvollen Zielobjekten“ verwendet.

B

EU Direktive Art. 21b)

Awareness bzw. Bewusstsein für Cybersicherheit ist das Vorhandensein eines Problembewusstseins für Cyber-Sicherheit. Darauf aufbauend kann man eine Verhaltensänderung hin zu sicherem digitalem Umgang erreichen.

D

Organisation, die Dienstleistungen im Zusammenhang mit dem Domain Name System (DNS) erbringt.

G

EU Direktive Art. 20

H

Oberbegriff für die physischen Komponenten (die elektronischen und mechanischen Bestandteile) eines datenverarbeitenden Systems.

I

Invasive Testung beinhaltet physische Eingriffe in Hardware zur Überprüfung der Sicherheit.

Incident Response ist die strukturierte Reaktion auf IT-Sicherheitsvorfälle (Analyse, Eindämmung, Beseitigung, Wiederherstellung).

Intrusion Detection Systeme (IDS) überwachen Netzwerke zur Erkennung unautorisierter Zugriffe oder Angriffe.

Incident Management ist der Prozess zur Identifikation, Analyse und Reaktion auf IT-Sicherheitsvorfälle.

Ein Managementsystem umfasst alle Regelungen, die für die Steuerung und Lenkung einer Institution sorgen und letztlich zur Zielerreichung führen sollen. Der Teil des Managementsystems, der sich mit der Informationssicherheit beschäftigt, wird als Informationssicherheitsmanagementsystem (ISMS) bezeichnet. Das ISMS legt fest, mit welchen Instrumenten und Methoden die Leitungsebene die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt (plant, ein setzt, durchführt, überwacht und verbessert).

K

Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

EU Direktive Art. 21 a)

Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Kritische Dienstleister sind für die Bevölkerung wichtige, teils lebenswichtige Dienstleistungen. Bei einer Beeinträchtigung dieser kritischen Dienstleistung würden erhebliche Versorgungsengpässe, Störungen der öffentlichen Sicherheit oder vergleichbare dramatische Folgen eintreten.

M

Authentifizierungsmethode, bei der neben dem Passwort ein weiterer Faktor zur Identifikation des Nutzers erforderlich ist. Dieser zweite Faktor kann beispielsweise ein Code sein, der auf ein anderes Gerät gesendet wird, ein Fingerabdruckscan oder ein USB-Token. Ziel ist es, die Sicherheit von Online-Konten und vernetzten Geräten erheblich zu erhöhen.

N

Nationales Umsetzungsgesetz zur NIS2-Richtlinie (NIS2UmsuCG)

Das nationale Umsetzungsgesetz zur NIS2-Richtlinie (kurz: NIS2UmsuCG) ist ein noch nicht verabschiedetes Gesetz in Deutschland. Es soll die europäische NIS2-Richtlinie, die seit Januar 2023 gilt, in nationales Recht überführen.

Ziel ist es, festzulegen, welche Unternehmen und Organisationen in Deutschland künftig bestimmte Anforderungen an die IT-Sicherheit erfüllen müssen, darunter zum Beispiel Risikomanagement, Meldepflichten bei IT-Sicherheitsvorfällen und technische sowie organisatorische Schutzmaßnahmen.

Wichtiger Hinweis:
Das Gesetz liegt derzeit nur als Entwurf der ursprünglichen Regierung vor (Stand: Mai 2025). Es wurde noch nicht veröffentlicht oder verabschiedet. Daher ist aktuell noch unklar, welche Unternehmen konkret betroffen sein werden und welche Anforderungen im Detail gelten.

Für Unternehmen, insbesondere in wichtigen und kritischen Sektoren wie Energie, Gesundheit, Verkehr, IT-Dienstleistungen oder Wasser, ist es dennoch sinnvoll, sich frühzeitig mit den möglichen Pflichten vertraut zu machen.

EU-Richtlinie NIS2

Die NIS2-Richtlinie ist ein europäisches Gesetz, das die Cybersicherheit in der EU stärken soll. „NIS“ steht für Netz- und Informationssicherheit. Die Richtlinie wurde 2023 beschlossen und ist die Weiterentwicklung der ursprünglichen NIS-Richtlinie von 2016.

Ziel von NIS2 ist es, Unternehmen und öffentliche Stellen besser vor Cyberangriffen und IT-Störungen zu schützen – vor allem in Bereichen, die für das öffentliche Leben besonders wichtig sind (z. B. Energie, Gesundheit, Transport, IT, Wasser, Finanzen).

Was bedeutet das für Unternehmen?
Unternehmen, die in bestimmten Sektoren tätig sind und bestimmte Größenkriterien erfüllen, müssen laut NIS2 Maßnahmen zum Schutz ihrer IT-Systeme treffen, Sicherheitsvorfälle melden und ein Risikomanagement einführen. Die genauen Pflichten legt jedes EU-Land mit einem eigenen Umsetzungsgesetz fest.

Wichtig: Auch kleine und mittlere Unternehmen (KMU) können betroffen sein – etwa, wenn sie digitale Dienste anbieten oder wichtige Lieferanten in kritischen Branchen sind.

Ein Netzplan im Sinne der IT-Sicherheit ist eine grafische Darstellung, die die Struktur eines Netzwerks abbildet. Er zeigt die verschiedenen IT-Komponenten und deren Verbindungen auf, um einen Überblick über die Netzwerkarchitektur zu geben.

Ein Netzwerk (engl. network) ist eine Verbindung mehrerer Computer und/oder anderer Geräte (z. B. Drucker), die es den Teilnehmern ermöglicht, Informationen auszutauschen und Ressourcen gemeinsam zu nutzen.

O

Prozessleit- und Automatisierungstechnik (Operational Technology, OT) umfasst Hard- und Software, die physische Geräte, Prozesse und Ereignisse in industriellen Anlagen überwacht und steuert.

P

Ein Penetrationstest (Pentest) ist ein kontrollierter Angriff auf ein IT-System zur Identifikation von Schwachstellen.

Ein Patch ist eine Softwareaktualisierung, die Fehler korrigiert oder Sicherheitslücken schließt.

Perimetersicherheit umfasst Schutzmaßnahmen an den Netzwerkgrenzen, um unautorisierten Zugriff zu verhindern.

Q

Qualifizierte Vertrauensdienste sind digitale Dienste, die besonders hohe Anforderungen an Sicherheit, Zuverlässigkeit und Rechtsverbindlichkeit erfüllen. Sie sind in der eIDAS-Verordnung (EU-Verordnung Nr. 910/2014) geregelt und dürfen nur von qualifizierten Vertrauensdiensteanbietern erbracht werden.

R

Das Risikomanagement beinhaltet die Gesamtheit der organisationsweiten Maßnahmen und Prozesse, die das Ziel der Identifikation, Beurteilung, Steuerung und Überwachung von Risiken haben.

S

EU Direktive Art. 21 e)

EU Direktive Art. 21 d)

Software bezeichnet die Gesamtheit aller Programme, die auf einem informationsverarbeitenden System eingesetzt werden.

In einer Strukturanalyse werden die erforderlichen Informationen über den ausgewählten Informationsverbund, die Anwendungen, IT-Systeme, Netze, Räume, Gebäude und Verbindungen erfasst und so aufbereitet, dass sie die weiteren Schritte gemäß IT-Grundschutz unterstützen.
T

Anbieter der für die Verwaltung und den Betrieb der Registrierung von Domainnamen unter einer länderspezifischen (ccTLD) oder generischen Top-Level-Domain (gTLD) zuständig ist, einschließlich der Aufrechterhaltung der TLD-Zone.

Z

Der Begriff „Zero Trust“ beschreibt ein aus dem „Assume Breach“-Ansatz entwickeltes Architekturdesign-Paradigma, welches im Kern auf dem Prinzip der minimalen Rechte (engl. „Least Privileges“) aller Entitäten (Nutzer, Geräte, Systeme, …) in der Gesamtinfrastruktur (auf allen Ebenen) basiert. Das heißt, es existiert kein implizites Vertrauen zwischen allen Entitäten.

Bei notwendiger Kommunikation von Entitäten muss ein Vertrauen durch verlässliche Nachweise und Prüfungen jedes Mal neu aufgebaut werden („earned trust“). Durch diese Designprinzipien und mit Hilfe von kontinuierlicher Vertrauensbetrachtung wird das Sicherheitsrisiko für Vertraulichkeit und Integrität minimiert. Einschränkungen bei der Verfügbarkeit werden dabei in Kauf genommen.