NIS-2-Richtlinie; NIS2-Richtlinie

Umsetzung der NIS2-Richtlinie

NIS-2 in Deutschland: Was bedeutet das NIS-2-Umsetzungsgesetz für deutsche Unternehmen?

In Deutschland wird die NIS2-Richtlinie durch das NIS2-Umsetzungsgesetz in nationales Recht umgesetzt. Dieses Gesetz definiert die spezifischen Anforderungen und Verantwortlichkeiten für Unternehmen und Organisationen in Deutschland, die unter die Richtlinie fallen. Die genauen Inhalte und Umsetzungsmaßnahmen sollten im Oktober fertiggestellt sein und in Kraft treten.

Den aktuellen Stand zur NIS2-Richtlinie sowie nähere Informationen hierzu können Sie der Webseite des BSI über diesen Link entnehmen.

FAQs - Fragen und Antworten zu NIS2 durch das BSI erhalten Sie hier

NIS-2 Referentenentwurf:

Der NIS-2 Referentenentwurf ist ein wichtiger Schritt im Gesetzgebungsprozess, bei dem die Details der nationalen Umsetzung der Richtlinie festgelegt werden. In diesem Entwurf werden die spezifischen Maßnahmen und Pflichten beschrieben, die Unternehmen und Organisationen einhalten müssen, um den Anforderungen der NIS2-Richtlinie gerecht zu werden.

Die NIS2-Richtlinie soll die EU widerstandsfähiger gegenüber Cyberbedrohungen machen, indem sie die Sicherheitsstandards erhöht und die Zusammenarbeit zwischen den verschiedenen Akteuren verbessert.

Bisher ergeben sich bereits folgende Umsetzungsmaßnahmen aus der NIS2 Directive als Zusammenfassung:

Policies:

Unternehmen sind in der Pflicht, Richtlinien für Risiken und Informationssicherheit zu entwickeln und umzusetzen. Diese dienen als Leitfaden für den Umgang mit Cyber-Sicherheitsrisiken und stellen sicher, dass angemessene Schutzmaßnahmen ergriffen werden.

Business Continuity:

Kritis-Betreiber müssen Maßnahmen für das Business Continuity Management (BCM) umsetzen, um sicherzustellen, dass ihre kritischen Dienstleistungen im Falle eines Cyber-Sicherheitsvorfalls aufrechterhalten werden können. Dazu gehören das Management von Back-ups, Krisenintervention und Wiederherstellung nach einem Notfall.

Einkauf:

Unternehmen müssen auch Sicherheitsaspekte bei der Beschaffung von IT- und Netzwerk-Systemen berücksichtigen (Stichwort: Lieferkette!). Somit sollten auch die Sicherheitsmerkmale und -standards der erworbenen Produkte und Dienstleistungen überprüft werden, um zu gewährleisten, dass sie den erforderlichen Sicherheitsanforderungen entsprechen.

Effektivität und Wirksamkeit:

Maßnahmen zur Messung der Effektivität ihrer Cyber-Security- und Risikomanagement-Maßnahmen sind zu implementieren. Dadurch wird es Unternehmen möglich, die Wirksamkeit ihrer Sicherheitsmaßnahmen zu bewerten und bei Bedarf Anpassungen vornehmen.

Cybersecurity-Hygiene:

Die NIS2 gibt zudem vor, dass Unternehmen ihre Mitarbeiter in der sogenannten "Cybersecurity Hygiene" unterweisen. Ähnlich wie regelmäßiges Duschen und Händewaschen bei der persönlichen Hygiene dazu beitragen, Krankheiten vorzubeugen, umfasst die Cybersecurity-Hygiene Maßnahmen, die das Risiko von Cyber-Bedrohungen minimieren und Sicherheitsvorfälle verringern sollen. Dazu zählen beispielsweise ein korrektes Passwortmanagement und die Erkennung von Phishing-Mails. In Schulungen werden Best Practices im Umgang mit sensiblen Daten und der sicheren Nutzung von IT-Systemen vermittelt.

Kryptografie:

Die Verschlüsselung von Informationen – Kryptographie – tritt noch mehr in den Vordergrund. Unternehmen müssen Vorgaben für den Einsatz von Kryptografie festlegen und diese, wo immer es möglich ist, implementieren. Dies dient dazu Daten zu schützen und die Vertraulichkeit und Integrität von Informationen sicherzustellen.

Personalwesen:

Maßnahmen zur Sicherheit des Personals müssen ergriffen werden. Dazu zählen zum Beispiel Zugangskontrollen, die ordnungsgerechte Verwaltung von Anlagen und die Sicherstellung, des Zugriffes auf sensible Daten und Systeme nur für berechtigtes Personal.

Authentifizierung:

Ein ebenfalls wichtiger Grundsatz der Informationssicherheit ist die „Vertraulichkeit“.
Darum sollte nur befugtem Personal Zugriff auf Daten gewährt werden, insbesondere solche die besonders schützenswert oder sensibel sind. Durch Nutzung von Multi-Faktor-Authentifizierung und Single Sign-On (SSO) als Beispiel, wird die Sicherheit von Zugangsmechanismen erhöht und unbefugter Zugriff verhindert.

Kommunikation:

Die Implementierung von verschlüsselter Sprach-, Video- und Textkommunikation ist ein absolutes „Muss“, um die Vertraulichkeit und Integrität von Kommunikationsinhalten zu gewährleisten. So können Geschäftsgeheimnisse effektiv geschützt werden.

Notfall-Kommunikation:

Auch gesicherte Notfall-Kommunikationssysteme sollten integriert sein, um die Kommunikation und Koordination im Falle eines Sicherheitsvorfalls oder einer Krise sicherzustellen.

Weitere Maßnahmen die zu treffen sind:

Registrierung (Art. 3 / Art. 27)

Wenn NIS2 für Sie gilt, müssen Sie sich bei der nationalen Behörde registrieren. Wie und wo genau wird erst noch festgelegt.
Folgende Informationen sind gemäß der bisherigen Richtlinie und Kenntnis einzureichen:

  • Name Ihres Unternehmens/ Ihrer Einrichtung
  • Anschrift und Kontaktdaten, einschließlich E-Mail-Adressen, IP-Adressbereiche und Telefonnummern
  • ggf. den relevanten Sektor und Teilsektor gemäß Anhang I oder II
  • ggf. eine Liste der EU-Mitgliedstaaten, in denen Sie Dienste erbringen

Meldepflicht von Sicherheitsvorfällen (Art. 1 § 32 im NIS2UmsuCG-Entwurf)

Die EU-NIS2 Richtlinie schreibt vor, dass erhebliche Sicherheitsvorfälle der nationalen Behörde und gegebenenfalls den Empfängern der eigenen Dienste gemeldet werden müssen. Folgende Fristen sind einzuhalten, um den Vorfall der Behörde zu melden:

  • Frühwarnung innerhalb von 24 Stunden ab Kenntnis
    Verdacht, ob der Vorfall auf rechtswidriger oder böswilliger Handlung beruht und ob dieser grenzüberschreitend eingetreten ist.
  • Ausführlicher Bericht innerhalb von 72 Stunden ab Kenntnis:
    Erste Bewertung des Sicherheitsvorfalls inklusive Schweregrad, Auswirkungen und ggf. die Kompromittierungsindikatoren.
  • Fortschritts-bzw. Abschlussbericht ein Monat nach Meldung
    Ausführliche Beschreibung inklusive Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen sowie ggf. die grenzüberschreitenden Auswirkungen.

So unterstützen wir Sie bei der Umsetzung

Fragen zur NIS2?

Haben Sie noch Fragen zur NIS2? Ist Ihr Unternehmen betroffen? Was gilt es umzusetzen? Rufen Sie uns gerne unter 09181/270 577 0 an oder schreiben Sie uns eine Nachricht.

Kostenfreies unverbindliches Erstgespräch oder Angebot anfordern!