Datenschutz Pöllinger GmbH
Dresdner Straße 38
92318 Neumarkt
Fragen / Support
Telefon: 09181/2705770
E-Mail: kontakt@datenschutz-poellinger.de
In Deutschland wird die NIS2-Richtlinie durch das NIS2-Umsetzungsgesetz in nationales Recht umgesetzt. Dieses Gesetz definiert die spezifischen Anforderungen und Verantwortlichkeiten für Unternehmen und Organisationen in Deutschland, die unter die Richtlinie fallen. Die genauen Inhalte und Umsetzungsmaßnahmen sollten im Oktober fertiggestellt sein und in Kraft treten.
FAQs - Fragen und Antworten zu NIS2 durch das BSI erhalten Sie hier
Der NIS-2 Referentenentwurf ist ein wichtiger Schritt im Gesetzgebungsprozess, bei dem die Details der nationalen Umsetzung der Richtlinie festgelegt werden. In diesem Entwurf werden die spezifischen Maßnahmen und Pflichten beschrieben, die Unternehmen und Organisationen einhalten müssen, um den Anforderungen der NIS2-Richtlinie gerecht zu werden.
Die NIS2-Richtlinie soll die EU widerstandsfähiger gegenüber Cyberbedrohungen machen, indem sie die Sicherheitsstandards erhöht und die Zusammenarbeit zwischen den verschiedenen Akteuren verbessert.
Unternehmen sind in der Pflicht, Richtlinien für Risiken und Informationssicherheit zu entwickeln und umzusetzen. Diese dienen als Leitfaden für den Umgang mit Cyber-Sicherheitsrisiken und stellen sicher, dass angemessene Schutzmaßnahmen ergriffen werden.
Kritis-Betreiber müssen Maßnahmen für das Business Continuity Management (BCM) umsetzen, um sicherzustellen, dass ihre kritischen Dienstleistungen im Falle eines Cyber-Sicherheitsvorfalls aufrechterhalten werden können. Dazu gehören das Management von Back-ups, Krisenintervention und Wiederherstellung nach einem Notfall.
Unternehmen müssen auch Sicherheitsaspekte bei der Beschaffung von IT- und Netzwerk-Systemen berücksichtigen (Stichwort: Lieferkette!). Somit sollten auch die Sicherheitsmerkmale und -standards der erworbenen Produkte und Dienstleistungen überprüft werden, um zu gewährleisten, dass sie den erforderlichen Sicherheitsanforderungen entsprechen.
Maßnahmen zur Messung der Effektivität ihrer Cyber-Security- und Risikomanagement-Maßnahmen sind zu implementieren. Dadurch wird es Unternehmen möglich, die Wirksamkeit ihrer Sicherheitsmaßnahmen zu bewerten und bei Bedarf Anpassungen vornehmen.
Die NIS2 gibt zudem vor, dass Unternehmen ihre Mitarbeiter in der sogenannten "Cybersecurity Hygiene" unterweisen. Ähnlich wie regelmäßiges Duschen und Händewaschen bei der persönlichen Hygiene dazu beitragen, Krankheiten vorzubeugen, umfasst die Cybersecurity-Hygiene Maßnahmen, die das Risiko von Cyber-Bedrohungen minimieren und Sicherheitsvorfälle verringern sollen. Dazu zählen beispielsweise ein korrektes Passwortmanagement und die Erkennung von Phishing-Mails. In Schulungen werden Best Practices im Umgang mit sensiblen Daten und der sicheren Nutzung von IT-Systemen vermittelt.
Die Verschlüsselung von Informationen – Kryptographie – tritt noch mehr in den Vordergrund. Unternehmen müssen Vorgaben für den Einsatz von Kryptografie festlegen und diese, wo immer es möglich ist, implementieren. Dies dient dazu Daten zu schützen und die Vertraulichkeit und Integrität von Informationen sicherzustellen.
Maßnahmen zur Sicherheit des Personals müssen ergriffen werden. Dazu zählen zum Beispiel Zugangskontrollen, die ordnungsgerechte Verwaltung von Anlagen und die Sicherstellung, des Zugriffes auf sensible Daten und Systeme nur für berechtigtes Personal.
Ein ebenfalls wichtiger Grundsatz der Informationssicherheit ist die „Vertraulichkeit“.
Darum sollte nur befugtem Personal Zugriff auf Daten gewährt werden, insbesondere solche die besonders schützenswert oder sensibel sind. Durch Nutzung von Multi-Faktor-Authentifizierung und Single Sign-On (SSO) als Beispiel, wird die Sicherheit von Zugangsmechanismen erhöht und unbefugter Zugriff verhindert.
Die Implementierung von verschlüsselter Sprach-, Video- und Textkommunikation ist ein absolutes „Muss“, um die Vertraulichkeit und Integrität von Kommunikationsinhalten zu gewährleisten. So können Geschäftsgeheimnisse effektiv geschützt werden.
Auch gesicherte Notfall-Kommunikationssysteme sollten integriert sein, um die Kommunikation und Koordination im Falle eines Sicherheitsvorfalls oder einer Krise sicherzustellen.
Wenn NIS2 für Sie gilt, müssen Sie sich bei der nationalen Behörde registrieren. Wie und wo genau wird erst noch festgelegt.
Folgende Informationen sind gemäß der bisherigen Richtlinie und Kenntnis einzureichen:
Die EU-NIS2 Richtlinie schreibt vor, dass erhebliche Sicherheitsvorfälle der nationalen Behörde und gegebenenfalls den Empfängern der eigenen Dienste gemeldet werden müssen. Folgende Fristen sind einzuhalten, um den Vorfall der Behörde zu melden:
So unterstützen wir Sie bei der Umsetzung
Haben Sie noch Fragen zur NIS2? Ist Ihr Unternehmen betroffen? Was gilt es umzusetzen? Rufen Sie uns gerne unter 09181/270 577 0 an oder schreiben Sie uns eine Nachricht.
Kostenfreies unverbindliches Erstgespräch oder Angebot anfordern!