<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=286961978467565&amp;ev=PageView&amp;noscript=1">
Skip to content

Was steckt hinter der NIS2 Richtlinie?

Was steckt hinter der NIS2 Richtlinie?

Vor fast einem Jahr trat die zweite EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen (NIS-2) in Kraft. Diese bahnbrechende Regelung hat das Ziel, die Cybersicherheit in Europa zu stärken und die Resilienz kritischer Infrastrukturen zu gewährleisten. In diesem Artikel werfen wir einen Blick auf die Anwendungsbereiche, Risikomanagementmaßnahmen, verpflichtende Maßnahmen und Meldepflichten gemäß NIS-2.

Anwendungsbereiche NIS-2: Wichtige Einrichtungen

1. Unternehmen mit signifikanter Größe

NIS-2 zielt auf Unternehmen ab, die eine erhebliche Größe erreicht haben. Dies betrifft Unternehmen, die Waren oder Dienstleistungen anbieten und entweder mehr als 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.

2. Betroffene Sektoren

Besondere Aufmerksamkeit gilt den Sektoren Energie, Trinkwasser, Abwasser und Siedlungsabfallentsorgung. Diese Branchen sind essenziell für das tägliche Leben und müssen besonders robust gegenüber Cyberbedrohungen sein.

Risikomanagementmaßnahmen für wichtige Einrichtungen

Minimierung von Auswirkungen

Unternehmen sind verpflichtet, die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Dies erfordert wirksame technische und organisatorische Maßnahmen, um eine schnelle Reaktion und Wiederherstellung zu gewährleisten.

Zudem müssen die Risikomanagementmaßnahmen die Risikofaktoren wie Unternehmensgröße, Umsetzungskosten, Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen berücksichtigen.

Verpflichtende Maßnahmen (Europa & International)

Risikoanalyse und Sicherheitskonzepte

  • Unternehmen müssen Konzepte für die Risikoanalyse und Sicherheit ihrer Informationssysteme entwickeln und implementieren

Bewältigung von Sicherheitsvorfällen

  • Ein effizientes Krisenmanagement, einschließlich der Bewältigung von Sicherheitsvorfällen, ist verpflichtend

Aufrechterhaltung des Betriebs

  • Maßnahmen wie Backup-Management, Wiederherstellung nach einem Notfall und Krisenmanagement sind unerlässlich

Sicherheit der Lieferkette

  • Die Sicherheit der Lieferkette, einschließlich der Beziehungen zu Anbietern und Diensteanbietern, muss gewährleistet sein.

Sicherheitsmaßnahmen bei Erwerb und Entwicklung

  • Bei der Beschaffung, Entwicklung und Wartung von Informationssystemen sind Sicherheitsmaßnahmen erforderlich

Bewertung der Wirksamkeit

  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen müssen implementiert werden

Cyberhygiene und Schulungen

  • Grundlegende Verfahren und Schulungen im Bereich der Cybersicherheit sind Pflicht

Kryptografie und Verschlüsselung

  • Unternehmen müssen Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung entwickeln

Sicherheit des Personals und Zugriffskontrolle

  • Maßnahmen zur Sicherheit des Personals und zur Zugriffskontrolle müssen implementiert werden

Multi-Faktor-Authentifizierung

  • Die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung ist erforderlich

Meldepflichten für Unternehmen

Besonders wichtige und wichtige Einrichtungen müssen:

  • Unverzüglich, innerhalb von 24 Stunden nach Erkennung eines Sicherheitsvorfalls, eine Erstmeldung abgeben
  • Diese Erstmeldung beinhaltet den Verdacht auf einen Sicherheitsvorfall, dessen mögliche böswillige Ursachen und grenzüberschreitende Auswirkungen
  • Für besonders wichtige Einrichtungen ist innerhalb von 72 Stunden nach Kenntniserlangung eines Sicherheitsvorfalls eine Bestätigung oder Aktualisierung der Erstmeldung erforderlich
  • Auf Ersuchen des Bundesamtes muss eine Zwischenmeldung über relevante Statusaktualisierungen erfolgen
  • Spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls muss eine Abschlussmeldung vorliegen. Diese enthält eine ausführliche Beschreibung des Vorfalls, Angaben zur Bedrohung, getroffene Abhilfemaßnahmen und grenzüberschreitende Auswirkungen.

Die ab dem 17. Oktober 2024 wirksam werdende NIS-2-Richtlinie hat somit einen klaren Fahrplan für die Cybersicherheit vorgegeben, um Europas digitale Infrastruktur zu schützen. Unternehmen sollten diese Maßnahmen nicht nur als Pflicht sehen, sondern als Investition in ihre Resilienz gegenüber zunehmenden Cyberbedrohungen.