A

Die Autorisierung folgt der Authentifizierung und beschreibt die Einräumung von speziellen, zuvor definierten Rechten. War die Identifizierung eines Users (oder Entität) erfolgreich, wird entschieden auf welche Daten, Ressourcen oder Funktionen zugegriffen werden kann.

Die Authentifizierung folgt der Authentisierung und beschreibt die Überprüfung der angegebenen Identität durch ein System. Hier wird geprüft, ob die vorgelegten Identitätsnachweise während der Authentisierung (z. B. Benutzername und Passwort) korrekt sind.

Wenn die Angaben übereinstimmen, wird die Identität bestätigt und der User autorisiert. (siehe Autorisierung)

Unter Authentisierung versteht man allgemein das „Präsentieren“ eines Benutzernamen und eines Passworts im Zuge der Anmeldung zu geschützten Ressourcen. Die Anmeldung dient dabei als Identitätsnachweis.

Werden zusätzlich zum Passwort weitere Authentisierungsnachweise, wie z.B. ein Einmalcode (z. B. einer App), eine physische Chipkarte oder Hardware-Token (z.B. Yubikey) erfordert, spricht man, je nach Ausgestaltung des Authentisierungsprozesses, von einer mehrstufigen oder eine Multi-Faktor-Authentisierung (MFA).

Das NIS-2-Themencluster Verwendung von Lösungen zur Multi-Faktor-Authentisierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung ist im deutschen NIS-2Gesetz in §30 (2) verankert.

Bei der kontinuierlichen Authentifizierung wird die Identität des Nutzers während der gesamten Sitzungsdauer überprüft, statt sich wie bei der herkömmlichen Authentifizierung auf eine einmalige Überprüfung beim Login zu verlassen. Dabei werden das Nutzerverhalten und kontextuelle Attribute auf Abweichungen geprüft.

Das Ziel des Themenclusters ist es, sichere und zuverlässige Authentifizierung sowie belastbare und geschützte Kommunikationswege insbesondere im Notfall zu gewährleisten.

Als Grundlage für die Anforderungen, die sich aus dem Themencluster ergeben,
werden in diesem Kontext Elemente des BSI Bausteins ORP.4 Identitäts- und Berechtigungsmanagement und der BSI Standard 200-1 Managementsysteme für Informationssicherheit herangezogen.

AES ist ein international standardisierter symmetrischer Blockchiffre-Algorithmus, der zur Ver- und Entschlüsselung von Daten verwendet wird.

Awareness bzw. Bewusstsein für Cybersicherheit ist das Vorhandensein eines Problembewusstseins für Cybersicherheit. Das Ziel ist dabei Sicherheitsbewusstsein im gesamten Unternehmen zu verankern und Mitarbeitende aus unterschiedlichen Rollen angemessen zu schulen, um eine Verhaltensänderung hin zu sicherem digitalem Umgang zu erreichen.

Das NIS-2-Themencluster Schulungen im Bereich der Sicherheit in der Informationstechnik ist im NIS-2-Gesetz in §30 (2) verankert.

Als Grundlage für die Anforderungen, die sich aus dem Themencluster ergeben, werden in diesem Kontext Elemente der BSI Bausteine ORP.2 Personal und ORP.3 Sensibilisierung und Schulung zur Informationssicherheit herangezogen.

Als Assets werden Bestände von Objekten bezeichnet, die für einen bestimmten Zweck, besonders zur Erreichung von Geschäftszielen, benötigt werden. Der englische Begriff „asset“ wird häufig mit „Wert“ übersetzt. „Wert“ ist allerdings im Deutschen ein mit vielen Bedeutungen belegter Begriff – von der gesellschaftlichen Bedeutung, die einer Sache zukommt, bis hin zur inneren Qualität eines Objekts. Im IT-Grundschutz wird der Begriff „Assets“ in der Bedeutung von „werthaltigen bzw. wertvollen Zielobjekten“ verwendet.

B

Das NIS-2-Themencluster Berichterstattung verweist auf die Anforderungen, die sich aus der Meldepflicht und den Meldefristen bei Sicherheitsvorfällen ergeben.

Diese sind im NIS-2-Gesetz in §32 geregelt.

Business Continuity Management (BCM) umfasst Maßnahmen zur Aufrechterhaltung des Betriebs eines Unternehmens, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement. Das Ziel ist die Eingrenzung von Schäden bei Beibehaltung des Geschäftsbetriebs in Notfällen und Krisen ohne Unterbrechungen.

Das NIS-2-Themencluster zur Betriebskontinuität ist im NIS-2-Gesetz in §30 (1) verankert.

Als Grundlage für die Anforderungen, die sich aus dem Themencluster ergeben, werden in diesem Kontext die BSI Bausteine OPS.1.1.2 Ordnungsgemäße IT-Administration, DER.4 Notfallmanagement und CON.3 Datensicherungskonzept herangezogen.

Weiterführende Informationen werden in dem BSI-Standard 200-4 Business Continuity Management behandelt.

In sogenannte „Branchenspezifischen Sicherheitsstandards“ können KRITIS-Betreiber oder deren Verbände konkretisieren, wie die Anforderungen zum Stand der Technik erfüllt werden können. Dabei dürfen Anforderungen eines B3S jedoch nicht hinter anderen gesetzlichen Vorgaben, wie z.B. NIS2, zurückfallen. Eine gesetzliche Pflicht zur Erarbeitung eines B3S besteht indes nicht. B3S können dem BSI zur Feststellung der Eignung vorgelegt werden.

Nicht zu verwechseln mit den IT-Sicherheitskatalogen der Bundesnetzagentur (BNetzA), welche für die Bereiche der öffentlichen Telekommunikation, Energienetze sowie bestimmte Energieanlagen Kataloge mit Sicherheitsanforderungen erstellt hat, welche als Mindestanforderungen von Betreibern einzuhalten sind.

D

Organisation, die Dienstleistungen im Zusammenhang mit dem Domain Name System (DNS) erbringt.

E

Endpoint Detection and Response (EDR) bezeichnet eine Sicherheitslösung, die durch kontinuierliches Monitoring und Analyse von Endpunktdaten die Erkennung, Untersuchung und Reaktion auf Sicherheitsvorfälle ermöglicht.
G

Governance bezeichnet die Art und Weise, wie Organisationen, insbesondere Unternehmen, gesteuert und kontrolliert werden. Sie umfasst die Strukturen, Prozesse und Prinzipien, die eine effektive und verantwortungsvolle Unternehmensführung sicherstellen.

Das NIS-2-Themencluster Governance bezieht sich auf die Pflichten der Geschäftsleitung, welche im NIS-2-Gesetz in §38 verankert sind. Darüber hinaus zielt das Themencluster auf das Schaffen von Bewusstsein für Cybersicherheit auf höchster Unternehmensebene sowie grundlegende Anforderungen, die vor einem strukturierten Risikomanagementprozess durchgeführt werden sollten.

H

Oberbegriff für die physischen Komponenten (die elektronischen und mechanischen Bestandteile) eines datenverarbeitenden Systems.

I

Invasive Testung beinhaltet physische Eingriffe in Hardware zur Überprüfung der Sicherheit.

Incident Response ist die strukturierte Reaktion auf IT-Sicherheitsvorfälle (Analyse, Eindämmung, Beseitigung, Wiederherstellung).

Intrusion Detection Systeme (IDS) überwachen Netzwerke zur Erkennung unautorisierter Zugriffe oder Angriffe.

Incident Management ist der Prozess zur Identifikation, Analyse und Reaktion auf IT-Sicherheitsvorfälle.

Das NIS-2-Themencluster Bewältigung von Sicherheitsvorfällen ist im NIS-2-Gesetz in §30 (1) verankert. Ziel des Themenclusters ist es, Sicherheitsvorfälle kontrolliert zu managen, Auswirkungen zu minimieren und die Sicherheit dauerhaft zu verbessern.

Als Grundlage für die Anforderungen, die sich aus dem Themencluster Bewältigung von Sicherheitsvorfällen ergeben, werden in diesem Kontext Elemente der BSI Bausteine OPS.1.1.5 Protokollierung, DER.1 Erkennung von Sicherheitsvorfällen und DER.2.1 Behandlung von Sicherheitsvorfällen herangezogen.

Ein Managementsystem umfasst alle Regelungen, die für die Steuerung und Lenkung einer Institution sorgen und letztlich zur Zielerreichung führen sollen. Der Teil des Managementsystems, der sich mit der Informationssicherheit beschäftigt, wird als Informationssicherheitsmanagementsystem (ISMS) bezeichnet. Das ISMS legt fest, mit welchen Instrumenten und Methoden die Leitungsebene die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt (plant, ein setzt, durchführt, überwacht und verbessert).

K

Kryptografie beschreibt den Einsatz von wirksamen kryptografischen Maßnahmen um Informationen und Daten zuverlässig zu schützen, sodass die Vertraulichkeit, Integrität und Authentizität jederzeit gewährleistet werden kann.

Das NIS-2-Themencluster Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung ist im NIS-2-Gesetz in §30 (2) verankert.

Als Grundlage für die Anforderungen, die sich aus dem Themencluster ergeben, werden in diesem Kontext Elemente der BSI Bausteine CON.1 Kryptokonzept herangezogen.

Das KRITIS-Dachgesetz reguliert seit September 2025 die Resilienz und physische Sicherheit von kritischer Infrastrukturen (KRITIS). Es zielt darauf ab Regulierungen für kritische Dienstleister zu vereinheitlichen. Das Gesetz setzt dabei die EU RCE-Richtlinie (EU 2022/2557) in Deutschland um und beinhaltet unter anderem Vorgaben zu Meldepflichten, BCM, physische Sicherheit und Krisenmanagement.

Eine „kritische Dienstleistung ist eine Dienstleistung zur Versorgung der Allgemeinheit in den Sektoren Energie, Transport und Verkehr, Finanzwesen, Leistungen der Sozialversicherung sowie der Grundsicherung für Arbeitsuchende, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum oder Siedlungsabfallentsorgung, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde“.

vgl. § 2 Absatz 24 BSIG

Kritische Infrastrukturen (KRITIS) sind Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Die Wichtigkeit lässt sich qualitativ bemessen und ist erreicht, wenn die Schwellenwerte gemäß BSI-Kritisverordnung (BSI-KritisV) erreicht oder überstiegen sind.

Das NIS-2-Themencluster Besondere Anforderungen für KRITIS-Betreiber verweist auf spezielle Anforderungen, die insbesondere für Betreiber von kritischen Anlagen und/oder Dienstleistungen aus dem deutschen NIS-2-Gesetz hervorgehen.

vgl. Anhang 1 Teil 3 Tabelle „Anlagenkategorien und Schwellenwerte im Sektor Energie“ BSI-KritisV

Kritische Dienstleister stellen für die Bevölkerung wichtige, teils lebenswichtige Dienstleistungen bereit. Bei einer Beeinträchtigung dieser kritischen Dienstleistung (kDL) würden erhebliche Versorgungsengpässe, Störungen der öffentlichen Sicherheit oder vergleichbare dramatische Folgen eintreten.

Zur Einstufung siehe auch „KRITIS“.

L

Das Ziel der Sicherheit in der Lieferkette ist es, Risiken und Schwachstellen entlang aller Liefer- und Transportwege zu identifizieren und zu minimieren, um die Verfügbarkeit, Integrität und Zuverlässigkeit von Produkten, Dienstleistungen und Informationen durchgängig zu gewährleisten.

Das NIS-2-Themencluster Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern ist im NIS-2-Gesetz in §30 (2) verankert.

Als Grundlage für die Anforderungen, die sich aus dem Themencluster ergeben, werden in diesem Kontext die BSI Bausteine OPS.2.3 Nutzung von Outsourcing und OPS.3.2 Anbieten von Outsourcing herangezogen.

M

Authentifizierungsmethode, bei der neben dem Passwort ein weiterer Faktor zur Identifikation des Nutzers erforderlich ist. Dieser zweite Faktor kann beispielsweise ein Code sein, der auf ein anderes Gerät gesendet wird, ein Fingerabdruckscan oder ein USB-Token. Ziel ist es, die Sicherheit von Online-Konten und vernetzten Geräten erheblich zu erhöhen.

N

In Deutschland setzt das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (ehemals NIS2UmsuCG) seit Dezember 2025 die NIS-2-Richtlinie um.

Die NIS2-Richtlinie (EU 2022/2555) ist eine europäische Vorgabe, welche die Cybersicherheit in der EU stärken soll. „NIS“ steht für Netz- und Informationssicherheit. Die Richtlinie ist seit Anfang 2023 in Kraft und ist die Weiterentwicklung der ursprünglichen NIS-Richtlinie von 2016.

Ziel von NIS-2 ist es, Unternehmen und öffentliche Stellen besser vor Cyberangriffen und IT-Störungen zu schützen – vor allem in Bereichen, die für das öffentliche Leben besonders wichtig sind (z. B. Energie, Gesundheit, Transport, IT, Wasser, Finanzen).

Was bedeutet das für Unternehmen?
Unternehmen, welche kritische Dienstleistungen in der EU in einem von insgesamt 18 Sektoren erbringen, werden abhängig vom Umsatz reguliert. Sind Unternehmen betroffen, müssen sie gemäß NIS-2 Maßnahmen zum Schutz ihrer IT-Systeme treffen, Sicherheitsvorfälle melden und ein Risikomanagement einführen.

Wichtig: Auch kleine und mittlere Unternehmen (KMU) können betroffen sein wenn sie einen Umsatz von >10 Mio. EUR erzielen und wenn sie z.B. digitale Dienste anbieten oder wichtige Lieferanten in kritischen Branchen sind. Damit sind mit NIS-2 in Deutschland erstmalig KMU gesetzlich verpflichtet Informationssicherheitsmaßnehmen faktisch umzusetzen.

Um die Anforderungen aus der NIS2 Richtlinie und dem geplanten Umsetzungsgesetz verständlich und umsetzbar zu machen, haben wir sie in fünf übersichtliche Bereiche gegliedert. So behalten Sie als Unternehmen den Überblick und können gezielt prüfen, wo Handlungsbedarf besteht:

  1. Organisatorische Prävention
    Hier geht es um Regeln, Abläufe und Zuständigkeiten im Unternehmen. Wer ist wofür verantwortlich? Gibt es klare Sicherheitsrichtlinien? Ziel ist es, IT-Sicherheit als festen Bestandteil der Unternehmenskultur zu verankern.

  2. Technische Prävention
    Darunter fallen alle technischen Maßnahmen, mit denen IT-Systeme geschützt werden, zum Beispiel Firewalls, Backups oder aktuelle Softwareupdates. Diese Maßnahmen sollen Angriffe möglichst früh verhindern.

  3. Technisch-organisatorische Prävention
    Manche Maßnahmen brauchen sowohl klare Regeln als auch technische Umsetzung, z. B. beim sicheren Umgang mit Passwörtern oder der Vergabe von Zugriffsrechten. Hier greifen Technik und Organisation ineinander.

  4. Erkennen
    Auch mit guter Prävention kann es zu Sicherheitsvorfällen kommen. In dieser Kategorie geht es darum, Systeme und Prozesse einzurichten, die Angriffe oder Störungen schnell erkennen  z. B. durch Monitoring oder Alarmierungen.

  5. Reagieren
    Wenn etwas passiert, muss schnell und geordnet gehandelt werden. In diesem Bereich geht es um Notfallpläne, Meldungen an Behörden und die Wiederherstellung des Normalbetriebs, damit der Schaden so gering wie möglich bleibt.

Die Umsetzung der EU NIS2-Richtlinie ist in Deutschland seit dem 05. Dezember 2025 als Gesetz in Kraft. Unter dem Namen „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ löst es auch die bisherige Bezeichnung NIS2UmsuCG ab.

Es ist das nationale Umsetzungsgesetz der europäischen NIS-2-Richtlinie (Richtlinie (EU) 2022/2555), welche bereits seit Januar 2023 gilt. Das Gesetz überführt die EU-Mindeststandards für Netz- und Informationssicherheit in deutsche Gesetzgebung.

Ziel ist es, festzulegen, welche Unternehmen und Organisationen in Deutschland bestimmte Anforderungen an die IT-Sicherheit erfüllen müssen. Darunter werden zum Beispiel Risikomanagement, Meldepflichten bei IT-Sicherheitsvorfällen und technische sowie organisatorische Schutzmaßnahmen standardisiert.

Wichtige Hinweise:
Ab 1. Januar 2026 gilt die dreimonatige Registrierungspflicht beim BSI. Hierfür müssen sich Einrichtungen und Betreiber selbst identifizieren und beim BSI registrieren.

Eine genaue Konkretisierung der Maßnahmen durch BSI oder Verbände ist größtenteils noch in Bearbeitung. Dennoch sollten sie sich schnellstmöglich mit den möglichen neuen Pflichten vertraut zu machen.

Die NIS2-Richtlinie (EU 2022/2555) ist eine europäische Vorgabe, welche die Cybersicherheit in der EU stärken soll. „NIS“ steht für Netz- und Informationssicherheit. Die Richtlinie ist seit Anfang 2023 in Kraft und ist die Weiterentwicklung der ursprünglichen NIS-Richtlinie von 2016.

Seit Oktober 2024 müssen alle Mitgliedsstaaten NIS-2 in nationalen Gesetzen umsetzen. In Deutschland geschieht dies mit dem „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (ehemals NIS2UmsuCG), welches seit Dezember 2025 in Kraft ist.

Ziel von NIS-2 ist es, Unternehmen und öffentliche Stellen besser vor Cyberangriffen und IT-Störungen zu schützen – vor allem in Bereichen, die für das öffentliche Leben besonders wichtig sind (z. B. Energie, Gesundheit, Transport, IT, Wasser, Finanzen).

Was bedeutet das für Unternehmen?
Unternehmen, welche kritische Dienstleistungen in der EU in einem von insgesamt 18 Sektoren erbringen, werden abhängig vom Umsatz reguliert. Sind Unternehmen betroffen, müssen sie gemäß NIS-2 Maßnahmen zum Schutz ihrer IT-Systeme treffen, Sicherheitsvorfälle melden und ein Risikomanagement einführen.

Wichtig: Auch kleine und mittlere Unternehmen (KMU) können betroffen sein wenn sie einen Umsatz von >10 Mio. EUR erzielen und wenn sie z.B. digitale Dienste anbieten oder wichtige Lieferanten in kritischen Branchen sind.

Ein Netzplan im Sinne der IT-Sicherheit ist eine grafische Darstellung, die die Struktur eines Netzwerks abbildet. Er zeigt die verschiedenen IT-Komponenten und deren Verbindungen auf, um einen Überblick über die Netzwerkarchitektur zu geben.

Ein Netzwerk (engl. network) ist eine Verbindung mehrerer Computer und/oder anderer Geräte (z. B. Drucker), die es den Teilnehmern ermöglicht, Informationen auszutauschen und Ressourcen gemeinsam zu nutzen.

O

Prozessleit- und Automatisierungstechnik (Operational Technology, OT) umfasst Hard- und Software, die physische Geräte, Prozesse und Ereignisse in industriellen Anlagen überwacht und steuert.

P

Ein Passkey ist eine moderne, kennwortfreie Authentifizierungsmethode, die auf kryptografischen Schlüsselpaaren basiert. Es ersetzt traditionelle Passwörter und ermöglicht eine sicherere und benutzerfreundlichere Anmeldung bei Online-Diensten.

Ein Penetrationstest (Pentest) ist ein kontrollierter Angriff auf ein IT-System zur Identifikation von Schwachstellen.

Ein Patch ist eine Softwareaktualisierung, die Fehler korrigiert oder Sicherheitslücken schließt.

Perimetersicherheit umfasst Schutzmaßnahmen an den Netzwerkgrenzen, um unautorisierten Zugriff zu verhindern.

Q

Qualifizierte Vertrauensdienste sind digitale Dienste, die besonders hohe Anforderungen an Sicherheit, Zuverlässigkeit und Rechtsverbindlichkeit erfüllen. Sie sind in der eIDAS-Verordnung (EU-Verordnung Nr. 910/2014) geregelt und dürfen nur von qualifizierten Vertrauensdiensteanbietern erbracht werden.

R

Das NIS-2-Themencluster Registrierung verweist auf die Anforderungen, die sich aus der Registrierungspflicht ergeben. Diese sind im NIS-2-Gesetz in §33 und §34 geregelt.

Das Ziel der Risikoanalyse ist es, potenzielle Gefahren und deren Auswirkungen systematisch zu erkennen, zu bewerten und zu priorisieren, um geeignete Maßnahmen zur Risikovermeidung, -minderung oder -überwachung festlegen zu können.

Risikoanalyse ist damit zentraler Bestandteil des Risikomanagements.

Unter Risikoanalyse wird in diesem Kontext gemäß BSI Standard 200-2 und 200-3 der komplette Prozess verstanden, um Risiken zu beurteilen (identifizieren, einschätzen und bewerten) sowie diese zu behandeln.

RSA ist ein asymmetrisches Kryptosystem, das zur Schlüsselerzeugung, Verschlüsselung und digitalen Signatur genutzt wird. Seine Sicherheit beruht auf der Schwierigkeit der Faktorisierung großer Zahlen.

Das Risikomanagement beinhaltet die Gesamtheit der organisationsweiten Maßnahmen und Prozesse, die das Ziel der Identifikation, Beurteilung, Steuerung und Überwachung von Risiken haben.

Risikomanagementmaßnahmen gemäß NIS-2 sind im NIS-2-Gesetz in §30 (1) verankert. Darin sind auch die Konzepte und Verfahren der NIS-2-Themencluster zur Risikoanalyse sowie zur Wirksamkeit des Risikomanagements verankert.

S

Das NIS-2-Themencluster Sektorspezifische Anforderungen verweist auf die Anforderungen, die sich aus Regulierungen und Gesetzen, die für den Sektor, in dem Sie Waren oder Dienstleistungen erbringen, relevant sein können.

Dazu zählen beispielsweise die B3S Ihres Sektors.

Das Ziel sicherer Infrastruktur ist, dass Netz- und Informationssysteme über ihren gesamten Lebenszyklus sicher konzipiert, beschafft, entwickelt und betrieben werden.

Das NIS-2-Themencluster Sicherheit beim Erwerb, Entwicklung und Wartung von Netz und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen ist im NIS-2-Gesetz in §30 (2) verankert.

Als Grundlage für die Anforderungen, die sich aus dem Themencluster ergeben, werden in diesem Kontext die BSI Bausteine OPS.1.1.3 Patch- und Änderungsmanagement und OPS.1.1.4 Schutz vor Schadprogrammen, NET.3.2 Firewalls und NET.3.4 Network Access Control sowie die NIS-2-Durchführungsverordnung herangezogen.

Ein Security Operations Center (SOC), auf Deutsch auch Sicherheitsbetriebszentrum, ist eine zentrale organisatorische Einheit, die sich aus Menschen, Prozessen und Technologien zusammensetzt. Ziel ist es, die Sicherheitslage einer Organisation rund um die Uhr (24/7) zu überwachen, Cyber-Bedrohungen frühzeitig zu erkennen, Vorfälle zu analysieren und aktiv darauf zu reagieren.

Software bezeichnet die Gesamtheit aller Programme, die auf einem informationsverarbeitenden System eingesetzt werden.

In einer Strukturanalyse werden die erforderlichen Informationen über den ausgewählten Informationsverbund, die Anwendungen, IT-Systeme, Netze, Räume, Gebäude und Verbindungen erfasst und so aufbereitet, dass sie die weiteren Schritte gemäß IT-Grundschutz unterstützen.
T

TLS (Transport Layer Security) ist ein Protokoll zur Absicherung von Netzwerkverbindungen. Es dient der Verschlüsselung und der Authentisierung zwischen zwei Kommunikationspartnern, insbesondere bei der Übertragung von sensiblen Daten über unsichere Netze wie das Internet.

Anbieter der für die Verwaltung und den Betrieb der Registrierung von Domainnamen unter einer länderspezifischen (ccTLD) oder generischen Top-Level-Domain (gTLD) zuständig ist, einschließlich der Aufrechterhaltung der TLD-Zone.

Das NIS-2-Themencluster Besondere Anforderungen für Top Level Domain Name Registries und Domain-Name-Registry-Dienstleister verweist auf spezielle Anforderungen, die insbesondere für Betreiber von kritischen Anlagen und/oder Dienstleistungen aus dem NIS-2-Gesetz hervorgehen.

V

Ein Virtual Private Network (VPN) ermöglicht über ein öffentliches Netz wie das Internet eine sichere Verbindung zwischen zwei Netzpunkten. Es gewährleistet Vertraulichkeit, Integrität und Authentizität der übertragenen Daten mittels kryptografischer Verfahren. VPNs werden eingesetzt, um z.B. Heimarbeitsplätze oder Außenstellen sicher mit dem Unternehmensnetz zu verbinden.
Z

Der Begriff „Zero Trust“ beschreibt ein aus dem „Assume Breach“-Ansatz entwickeltes Architekturdesign-Paradigma, welches im Kern auf dem Prinzip der minimalen Rechte (engl. „Least Privileges“) aller Entitäten (Nutzer, Geräte, Systeme, …) in der Gesamtinfrastruktur (auf allen Ebenen) basiert. Das heißt, es existiert kein implizites Vertrauen zwischen allen Entitäten.

Bei notwendiger Kommunikation von Entitäten muss ein Vertrauen durch verlässliche Nachweise und Prüfungen jedes Mal neu aufgebaut werden („earned trust“). Durch diese Designprinzipien und mit Hilfe von kontinuierlicher Vertrauensbetrachtung wird das Sicherheitsrisiko für Vertraulichkeit und Integrität minimiert. Einschränkungen bei der Verfügbarkeit werden dabei in Kauf genommen.