Was ist NIS2? 

Neue Sicherheitsvorschriften der EU

Die Neuauflage der „Network and Information Security 2“ der EU, kurz „NIS2“ steht zunächst in Verbindung mit neuen Sicherheitsanforderungen für bestimmte Unternehmen. Es bezieht sich auf ein Konzept für eine Weiterentwicklung des Internet-Protokolls (IP). Das Internetprotokoll ist das grundlegende Kommunikationsprotokoll, das verwendet wird, um Daten über das Internet zu übertragen. Die 2016 eingeführten Cybersecurity-Vorschriften der EU wurden durch dieses neue Konzept, die neuen Richtlinien, ersetzt. Ziel ist natürlich ein höheres und allgemeines Sicherheitsniveau in der gesamten Union zu erreichen.

Die Idee hinter NIS2 besteht darin, die aktuelle Internetinfrastruktur zu verbessern und den Anforderungen an Sicherheit, Effizienz und Skalierbarkeit gerecht zu werden, die durch die ständig wachsende Nutzung des Internets entstehen. Dies bedeutet das Risiko und die Bedrohung für Unternehmen zu minimieren und Resilienz, wie auch Reaktionskapazitäten der zuständigen Behörden, als auch öffentlichen Stellen zu optimieren.

NIS 2 ist eine Weiterentwicklung des ursprünglichen NIS-Protokolls, das auch als Yellow Pages oder YP bekannt ist. Dadurch, das produzierende Unternehmen betroffen sind, spielt dies erstmals auch eine Rolle für die Industriezweige wie Chemie, Lebensmittel, Maschinenbau, Elektro oder auch Automobil. NIS2 geht dabei weiter wie das bislang bekannte NIS oder auch die KTITIS-Verordnung. Es gibt höhere Strafen und konkretere Vorgaben. 

 

Was sagt die EU?

„Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit. Sie enthält rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU.“

Näheres im Amtsblatt der EU 

Bitte informieren Sie sich für Ihre Unternehmen und seine spezifischen Anforderungen. Wir bieten mit diesen Informationen lediglich einen Überblick und eine Zusammenfassung der veröffentlichten Angaben.

 

Wann tritt NIS2 in Kraft?

Cybersecurity und Compliance kommen auf unterschiedliche Industriezweige zu. Zunächst jedoch folgende Facts rund um die Verordnung:

  • NIS-2-Richtlinie (EU) 2022/2555 ist seit 2023 auf EU-Ebene in Kraft
  • Als Richtlinie nicht direkt anwendbar, sondern erst in nationales Recht umzusetzen
  • Das nationale Recht muss ab 18. Oktober 2024 angewendet werden
  • NIS2 gibt Mindeststandard vor, d.h. die EU-Staaten dürfen strengere Vorschriften erlassen
  • In Deutschland wurde bisher ein Referentenentwurf für das NIS2-Umsetzungsgesetz bekannt

 

Wer ist von NIS2 betroffen?

Zitat Europäische Komission: „Unternehmen, die von den Mitgliedstaaten als Betreiber wesentlicher Dienste in den oben genannten Sektoren eingestuft wurden, müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren. Wichtige Anbieter digitaler Dienste wie Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze müssen die Sicherheits- und Benachrichtigungsanforderungen der Richtlinie erfüllen.“

Öffentliche und private Einrichtungen in 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme. Zusätzlich einige Sonderfälle unabhängig von ihrer Größe. Es folgt eine Auflistung der Sektoren aus Anhang 1 und Anhang 2 der NIS2 und Ihrer Teilsektoren.

Kritische Sektoren:

Sie finden die genaue Auflistung kritischer Sektoren unter den Links zu Anhang 1 und 2 (Siehe Abschnitt vorab), anbei jedoch nochmals eine kurze Zusammenfassung der übergreifenden Sektoren:

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung von Informationss und Kommunikationstechnik
  • Öffentliche Verwaltung
  • Weltraum
  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Produktion und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Waren
  • Anbieter digitaler Dienste
  • Forschung

Für Sie gilt NIS2: Das müssen Sie tun > Registrierung

Wenn NIS-2 für Sie gilt, müssen Sie sich bei der nationalen Behörde registrieren – wie genau, wird noch festgelegt. Folgende Informationen sind einzureichen:

Name Ihrer Einrichtung

Anschrift und Kontaktdaten, einschließlich E-Mail-Adressen, IP-Adressbereiche und Telefonnummern

ggf. den relevanten Sektor und Teilsektor gemäß Anhang I oder II

ggf. eine Liste der EU-Mitgliedstaaten, in denen Sie Dienste erbringen

 

Maßnahmen zum Risikomanagement NIS 2 (Art.21)

Sie haben sich für NIS2 registriert und sind von den neuen Richtlinien betroffen. Gemäß NIS2 müssen Sie folglich eine Reihe von Cybersecurity-Maßnahmen implementieren, um die Risiken für die Sicherheit Ihrer Netz- und Informationssysteme zu kontrollieren und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder zu minimieren. Dabei ist es wichtig, sowohl die IT-Systeme als auch ihre physische Umgebung zu schützen – ein sogenannter „All-Gefahren-Ansatz“. Die genaue Angemessenheit dieser Maßnahmen sollten Sie mittels eines risikobasierten Ansatzes festlegen.

 

Welche Maßnahmen gehörten zu NIS2?

  1. Policies: Entwicklung von Konzepten für Risikoanalyse und Sicherheit von Informationssystemen.
  2. Vorfallsbewältigung: Erkennung, Analyse, Eindämmung und Reaktion auf Sicherheitsvorfälle.
  3. Business Continuity: Management von Backups und Wiederherstellung sowie Krisenmanagement zur Aufrechterhaltung des Geschäftsbetriebs.
  4. Supply Chain: Gewährleistung der Sicherheit in der Lieferkette.
  5. Einkauf: Sicherstellung der Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen.
  6. Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen.
  7. Cyberhygiene und Schulung: Durchführung von Maßnahmen zur Cyberhygiene (z.B. regelmäßige Updates) und Schulungen im Bereich Cyber Security.
  8. Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung.
  9. Personal, Zugriffe, Assets: Sicherstellung der Personalsicherheit, Zugriffskontrolle und Asset Management.
  10. Authentifizierung: Implementierung von Multi-Faktor-Authentifizierung oder kontinuierlicher Authentifizierung.
  11. Kommunikation: Sicherstellung von sicheren Sprach-, Video- und Textkommunikationen, gegebenenfalls auch in Notfällen.

Gemäß dem deutschen NIS2-Gesetzesentwurf dürfen nur zertifizierte Informations- und Kommunikationstechnische Produkte und Dienste genutzt werde

 

 

Verantwortung der Geschäftsführung (Art. 20)

Die EU NIS2 Directive schreibt vor, dass erhebliche Sicherheitsvorfälle der nationalen Behörde und gegebenenfalls den Empfängern der eigenen Dienste gemeldet werden müssen. Auch dies betrifft natürlich vorrangig wieder die Geschäftsleitung und Verantwortlichen der Unternehmen, die für die Umsetzung die Verantwortung tragen.

Die Richtlinie sieht diese Fristen vor, um den Vorfall der Behörde zu melden:

Frühwarnung innerhalb von 24 h ab Kenntnis:
Verdacht, ob der Vorfall auf rechtswidriger oder böswilliger Handlung beruht und ob grenzüberschreitend.

Ausführlicher Bericht innerhalb von 72 h ab Kenntnis:
Erste Bewertung des Sicherheitsvorfalls, inklusive Schweregrad, Auswirkungen und ggf. die Kompromittierungsindikatoren.

Fortschritts-/Abschlussbericht ein Monat nach Meldung:
Ausführliche Beschreibung, Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen, ggf. die grenzüberschreitenden Auswirkungen.

Tags

Newsletter

Sie wollen Up-to-Date bleiben?
hier abonnieren
NIS2 Cybersecurity
Markiert in:                                     

Sarah Lenz

Sarah Lenz ist das "Kreativ-Genie" in unserem Team. Als Expertin für Marketing, moderne Kommunikation und Social Media Marketing weiß sie ganz genau was unser Team, aber auch die Kunden motiviert und zu mehr Produktivität, symbiotischem Networking und letztlich Höchstleistungen animiert. Teamwork, Empathie und das Individuum mit all seiner Einzigartigkeit, als Teil des Großen Ganzen, sind die Themen, die für sie den Erfolg eines jeden Unternehmens ausmachen. In ihrer Freizeit beschäftigt sie sich am liebsten mit Musik, Kunst, Kultur, Sport in der Natur, Design, tollen Events, Spiritualität und vor allem Mann Timo sowie den drei gemeinsamen Töchtern. Alles ist möglich! Und gemeinsam noch viel mehr.

GDPR Cookie Consent mit Real Cookie Banner