Kryptografie-Richtlinie: Muster für Verschlüsselung (ISO 27001 / NIS2)
Verschlüsselung schützt Daten in Ruhe, in Übertragung und auf mobilen Geräten und ist unter NIS2 Pflicht. Diese kostenlose Muster-Richtlinie legt fest, welche Verfahren eingesetzt werden und wie Schlüssel verwaltet werden.
Kryptografie-Richtlinie
Word (.docx) · sofort einsatzbereit
Kostenlos herunterladenKeine Anmeldung nötig
Worum geht es?
Eine Kryptografie-Richtlinie regelt den angemessenen Einsatz von Verschlüsselung im Unternehmen. Sie setzt ISO 27001 A.8.24 um und gehört zu den zehn NIS2-Risikomanagementmaßnahmen.
Die Vorlage verlangt anerkannte Verfahren nach Stand der Technik (z.B. AES-256, TLS 1.2/1.3) und untersagt veraltete Algorithmen. Sie deckt Daten in Ruhe (Festplatten, Backups), in Übertragung (TLS, VPN) und die Schlüsselverwaltung ab.
Enthalten sind Grundsätze, Vorgaben für Daten in Ruhe und in Übertragung, ein Abschnitt zur Schlüsselverwaltung sowie Rollen und Überprüfung.
Was die Vorlage enthält
Zweck & Geltungsbereich
Wo Verschlüsselung eingesetzt wird
Grundsätze
Anerkannte Verfahren nach Stand der Technik, Verbot veralteter Algorithmen
Daten in Ruhe
Geräteverschlüsselung, verschlüsselte Backups und Ablagen
Daten in Übertragung
TLS, VPN, SFTP, abgesicherte E-Mail
Schlüsselverwaltung
Erzeugung, Aufbewahrung, Austausch und Sperrung
Rollen & Überprüfung
Verantwortliche und jährliche Überprüfung
Die Vorlage eignet sich für ISB und IT-Leitung, die den Einsatz von Verschlüsselung verbindlich regeln. Konkretisieren Sie die Verfahren für Ihre Systeme.
Häufige Fehler beim Ausfüllen
Veraltete Verfahren im Einsatz
Alte Protokolle und Algorithmen (z.B. TLS 1.0, veraltete Cipher) bieten kaum noch Schutz und gehören abgeschaltet.
Schlüsselverwaltung ungeregelt
Wer keinen geregelten Umgang mit Schlüsseln und Zertifikaten hat, riskiert Ausfälle (abgelaufene Zertifikate) und Kompromittierung.
Nur Transport, kein at-rest
Verschlüsselung der Übertragung allein genügt nicht. Auch gespeicherte Daten und Backups müssen geschützt sein.
Vorlage pflegen kostet Zeit. Es geht auch automatisch.
Dies ist eine gekürzte Muster-Fassung. In CompliantDesk verankern Sie kryptografische Vorgaben als Control, verknüpfen sie mit Assets und Nachweisen und halten sie versioniert und review-terminiert.
Häufig gestellte Fragen
Welche Verschlüsselung ist Stand der Technik?
Für Daten in Ruhe etwa AES-256, für die Übertragung TLS 1.2 oder 1.3. Maßgeblich sind die jeweils aktuellen Empfehlungen (z.B. BSI TR-02102).
Muss ich E-Mails verschlüsseln?
Für schützenswerte Inhalte ja, mindestens per Transportverschlüsselung, bei besonders sensiblen Daten per Inhaltsverschlüsselung. Die Vorlage sieht dafür einen Abschnitt vor.
Fordert NIS2 Kryptografie?
Ja. Konzepte für Kryptografie und Verschlüsselung sind ausdrücklich Teil der zehn NIS2-Maßnahmen (Art. 21 Abs. 2 lit. h).
Weiterführend
Compliance ohne Excel-Chaos
CompliantDesk führt VVT, Risiken, Richtlinien und Nachweise in einem System, mit gemeinsamem Kern-Modell für ISO 27001, NIS2 und DSGVO. Sehen Sie es in einer kurzen Demo.
