<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=286961978467565&amp;ev=PageView&amp;noscript=1">
Skip to content
    Quick Links
    Jetzt Beratungstermin vereinbaren!

    Blogs

    Weitere Leistungen

    Engagement

    Sonstiges

    ,

    Was steckt hinter der NIS2 Richtlinie?

    Picture of Volker Bentz
    2
    min. read
    Was steckt hinter der NIS2 Richtlinie?

    Vor fast einem Jahr trat die zweite EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen (NIS-2) in Kraft. Diese bahnbrechende Regelung hat das Ziel, die Cybersicherheit in Europa zu stärken und die Resilienz kritischer Infrastrukturen zu gewährleisten. In diesem Artikel werfen wir einen Blick auf die Anwendungsbereiche, Risikomanagementmaßnahmen, verpflichtende Maßnahmen und Meldepflichten gemäß NIS-2.

    Anwendungsbereiche NIS-2: Wichtige Einrichtungen

    1. Unternehmen mit signifikanter Größe

    NIS-2 zielt auf Unternehmen ab, die eine erhebliche Größe erreicht haben. Dies betrifft Unternehmen, die Waren oder Dienstleistungen anbieten und entweder mehr als 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.

    2. Betroffene Sektoren

    Besondere Aufmerksamkeit gilt den Sektoren Energie, Trinkwasser, Abwasser und Siedlungsabfallentsorgung. Diese Branchen sind essenziell für das tägliche Leben und müssen besonders robust gegenüber Cyberbedrohungen sein.

    Risikomanagementmaßnahmen für wichtige Einrichtungen

    Minimierung von Auswirkungen

    Unternehmen sind verpflichtet, die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Dies erfordert wirksame technische und organisatorische Maßnahmen, um eine schnelle Reaktion und Wiederherstellung zu gewährleisten.

    Zudem müssen die Risikomanagementmaßnahmen die Risikofaktoren wie Unternehmensgröße, Umsetzungskosten, Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen berücksichtigen.

    Verpflichtende Maßnahmen (Europa & International)

    Risikoanalyse und Sicherheitskonzepte

    • Unternehmen müssen Konzepte für die Risikoanalyse und Sicherheit ihrer Informationssysteme entwickeln und implementieren

    Bewältigung von Sicherheitsvorfällen

    • Ein effizientes Krisenmanagement, einschließlich der Bewältigung von Sicherheitsvorfällen, ist verpflichtend

    Aufrechterhaltung des Betriebs

    • Maßnahmen wie Backup-Management, Wiederherstellung nach einem Notfall und Krisenmanagement sind unerlässlich

    Sicherheit der Lieferkette

    • Die Sicherheit der Lieferkette, einschließlich der Beziehungen zu Anbietern und Diensteanbietern, muss gewährleistet sein.

    Sicherheitsmaßnahmen bei Erwerb und Entwicklung

    • Bei der Beschaffung, Entwicklung und Wartung von Informationssystemen sind Sicherheitsmaßnahmen erforderlich

    Bewertung der Wirksamkeit

    • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen müssen implementiert werden

    Cyberhygiene und Schulungen

    • Grundlegende Verfahren und Schulungen im Bereich der Cybersicherheit sind Pflicht

    Kryptografie und Verschlüsselung

    • Unternehmen müssen Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung entwickeln

    Sicherheit des Personals und Zugriffskontrolle

    • Maßnahmen zur Sicherheit des Personals und zur Zugriffskontrolle müssen implementiert werden

    Multi-Faktor-Authentifizierung

    • Die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung ist erforderlich

    Meldepflichten für Unternehmen

    Besonders wichtige und wichtige Einrichtungen müssen:

    • Unverzüglich, innerhalb von 24 Stunden nach Erkennung eines Sicherheitsvorfalls, eine Erstmeldung abgeben
    • Diese Erstmeldung beinhaltet den Verdacht auf einen Sicherheitsvorfall, dessen mögliche böswillige Ursachen und grenzüberschreitende Auswirkungen
    • Für besonders wichtige Einrichtungen ist innerhalb von 72 Stunden nach Kenntniserlangung eines Sicherheitsvorfalls eine Bestätigung oder Aktualisierung der Erstmeldung erforderlich
    • Auf Ersuchen des Bundesamtes muss eine Zwischenmeldung über relevante Statusaktualisierungen erfolgen
    • Spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls muss eine Abschlussmeldung vorliegen. Diese enthält eine ausführliche Beschreibung des Vorfalls, Angaben zur Bedrohung, getroffene Abhilfemaßnahmen und grenzüberschreitende Auswirkungen.

    Die ab dem 17. Oktober 2024 wirksam werdende NIS-2-Richtlinie hat somit einen klaren Fahrplan für die Cybersicherheit vorgegeben, um Europas digitale Infrastruktur zu schützen. Unternehmen sollten diese Maßnahmen nicht nur als Pflicht sehen, sondern als Investition in ihre Resilienz gegenüber zunehmenden Cyberbedrohungen.

    Sie wollen geballte Informationen zu der NIS-2-Richtlinie?
    Nehmen Sie mit uns Kontakt auf über den folgenden Link und erfahren Sie von unseren Experten mehr über die kommende Richtlinie: 

     

    Jetzt Kontakt aufnehmen!