<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=286961978467565&amp;ev=PageView&amp;noscript=1">
Skip to the main content.
Kontakt
Kontakt

2 Min. Lesezeit

Was steckt hinter der NIS2 Richtlinie?

Picture of Volker Bentz Volker Bentz : 06.12.2023 09:53:29

IT Sicherheit IT-Sicherheitsgesetz NIS-2 Richtlinie
Was steckt hinter der NIS2 Richtlinie?

Vor fast einem Jahr trat die zweite EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen (NIS-2) in Kraft. Diese bahnbrechende Regelung hat das Ziel, die Cybersicherheit in Europa zu stärken und die Resilienz kritischer Infrastrukturen zu gewährleisten. In diesem Artikel werfen wir einen Blick auf die Anwendungsbereiche, Risikomanagementmaßnahmen, verpflichtende Maßnahmen und Meldepflichten gemäß NIS-2.

 

Anwendungsbereiche NIS-2: Wichtige Einrichtungen

1. Unternehmen mit signifikanter Größe

NIS-2 zielt auf Unternehmen ab, die eine erhebliche Größe erreicht haben. Dies betrifft Unternehmen, die Waren oder Dienstleistungen anbieten und entweder mehr als 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.

2. Betroffene Sektoren

Besondere Aufmerksamkeit gilt den Sektoren Energie, Trinkwasser, Abwasser und Siedlungsabfallentsorgung. Diese Branchen sind essenziell für das tägliche Leben und müssen besonders robust gegenüber Cyberbedrohungen sein.

 

Risikomanagementmaßnahmen für wichtige Einrichtungen

Minimierung von Auswirkungen

Unternehmen sind verpflichtet, die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Dies erfordert wirksame technische und organisatorische Maßnahmen, um eine schnelle Reaktion und Wiederherstellung zu gewährleisten.

Zudem müssen die Risikomanagementmaßnahmen die Risikofaktoren wie Unternehmensgröße, Umsetzungskosten, Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen berücksichtigen.

Verpflichtende Maßnahmen (Europa & International)

Risikoanalyse und Sicherheitskonzepte

  • Unternehmen müssen Konzepte für die Risikoanalyse und Sicherheit ihrer Informationssysteme entwickeln und implementieren

Bewältigung von Sicherheitsvorfällen

  • Ein effizientes Krisenmanagement, einschließlich der Bewältigung von Sicherheitsvorfällen, ist verpflichtend

Aufrechterhaltung des Betriebs

  • Maßnahmen wie Backup-Management, Wiederherstellung nach einem Notfall und Krisenmanagement sind unerlässlich

Sicherheit der Lieferkette

  • Die Sicherheit der Lieferkette, einschließlich der Beziehungen zu Anbietern und Diensteanbietern, muss gewährleistet sein.

Sicherheitsmaßnahmen bei Erwerb und Entwicklung

  • Bei der Beschaffung, Entwicklung und Wartung von Informationssystemen sind Sicherheitsmaßnahmen erforderlich

Bewertung der Wirksamkeit

  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen müssen implementiert werden

Cyberhygiene und Schulungen

  • Grundlegende Verfahren und Schulungen im Bereich der Cybersicherheit sind Pflicht

Kryptografie und Verschlüsselung

  • Unternehmen müssen Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung entwickeln

Sicherheit des Personals und Zugriffskontrolle

  • Maßnahmen zur Sicherheit des Personals und zur Zugriffskontrolle müssen implementiert werden

Multi-Faktor-Authentifizierung

  • Die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung ist erforderlich

 

Meldepflichten für Unternehmen

Besonders wichtige und wichtige Einrichtungen müssen:

  • Unverzüglich, innerhalb von 24 Stunden nach Erkennung eines Sicherheitsvorfalls, eine Erstmeldung abgeben
  • Diese Erstmeldung beinhaltet den Verdacht auf einen Sicherheitsvorfall, dessen mögliche böswillige Ursachen und grenzüberschreitende Auswirkungen
  • Für besonders wichtige Einrichtungen ist innerhalb von 72 Stunden nach Kenntniserlangung eines Sicherheitsvorfalls eine Bestätigung oder Aktualisierung der Erstmeldung erforderlich
  • Auf Ersuchen des Bundesamtes muss eine Zwischenmeldung über relevante Statusaktualisierungen erfolgen
  • Spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls muss eine Abschlussmeldung vorliegen. Diese enthält eine ausführliche Beschreibung des Vorfalls, Angaben zur Bedrohung, getroffene Abhilfemaßnahmen und grenzüberschreitende Auswirkungen.

Die ab dem 17. Oktober 2024 wirksam werdende NIS-2-Richtlinie hat somit einen klaren Fahrplan für die Cybersicherheit vorgegeben, um Europas digitale Infrastruktur zu schützen. Unternehmen sollten diese Maßnahmen nicht nur als Pflicht sehen, sondern als Investition in ihre Resilienz gegenüber zunehmenden Cyberbedrohungen.

 
Was ist die NIS-2 Richtlinie?

Was ist die NIS-2 Richtlinie?

Picture of Elisa Maier Elisa Maier : 21.07.2023 10:11:43

Seit Januar 2023 gilt in der Europäischen Union die NIS 2 Richtlinie. Diese ist der erste Schritt in einem Prozess, der allgemein zu mehr...

IT Sicherheit IT-Sicherheitsgesetz NIS-2 Richtlinie
Mehr lesen
Wie die NIS2 die Wirtschaftsprüfung ändert

Wie die NIS2 die Wirtschaftsprüfung ändert

Picture of Volker Bentz Volker Bentz : 05.03.2024 10:08:18

Mit der Einführung der NIS2 Richtlinie ergibt sich eine Reihe von Anforderungen und Besonderheiten bei der Wirtschaftsprüfung, die vielleicht auch...

Wirtschaftsprüfer IT-Sicherheitsgesetz NIS-2 Richtlinie
Mehr lesen
10 Maßnahmen der NIS2 mit BRANDMAUER IT umsetzen

10 Maßnahmen der NIS2 mit BRANDMAUER IT umsetzen

Picture of Volker Bentz Volker Bentz : 11.09.2024 16:50:52

Ab Oktober 2024 verpflichtet die NIS2-Richtlinie Unternehmen dazu, bestimmte Maßnahmen zur Gewährleistung der Cybersicherheit zu ergreifen. Diese...

IT Sicherheit IT Security NIS-2 Richtlinie
Mehr lesen