Dieser Anhang gilt für die erforderlichen Maßnahmen des Arbeitgebers, der ein Management der Cybersicherheit zum Erreichen der Anforderungen der BetrSichV im Betrieb einführen und aufrechterhalten will.
(1) Ein Management der Cybersicherheit kann separat oder als Teil eines Managements der funktionalen Sicherheit bzw. als Teil eines Informationssicherheitsmanagements implementiert werden.
(2) Wenn der Arbeitgeber ein Management der Cybersicherheit einführt, müssen insbesondere die folgenden Schritte durchgeführt bzw. geeignete Regelungen festgelegt und die zugehörigen Inhalte dokumentiert werden (vgl. z. B. BSI 200-2):
(3) Wenn der Arbeitgeber ein Management der Cybersicherheit einführt, muss er dieses über den gesamten Sicherheitslebenszyklus etablieren und regelmäßig auf seine Wirksamkeit überprüfen.
(4) Für das Management der Cybersicherheit sind die Festlegung der beteiligten Personen und deren erforderliche Fachkunde, der Verantwortlichkeiten und der zu nutzenden Werkzeuge und Methoden, der Dokumentation sowie qualitätssichernde Maßnahmen und deren dokumentierte Umsetzung erforderlich.
Bei Verwendung eines Managements der Cybersicherheit ist zum Nachweis der Wirksamkeit regelmäßig ein Audit durchzuführen, mit dem der Arbeitgeber überprüft, ob die Maßnahmen und Verfahren zum Erreichen der Cybersicherheit wirksam durchgeführt wurden und angemessen sind.