Umschlag
Webshop
Umschlag

Was ist NIS2?

Was ist die NIS2-Richtlinie und für wen gilt sie?

EU-NIS2-Richtlinie

Was ist NIS2?

Was besagt die NIS2-Richtlinie?

Sind Sie durch NIS2 verwirrt?

Oder haben Sie noch nicht ganz verstanden, was dies für Ihr Unternehmen bedeutet?

Lassen Sie uns versuchen, die neuen Anforderungen an die Cyber- und Informationssicherheit zu erläutern, mit denen Sie sich nach Meinung der Experten vertraut machen und jetzt mit der Vorbereitung beginnen sollten.

Was ist NIS2?

NIS 2 ist eine Erweiterung der NIS1-Cybersicherheitsanforderungen und der GDPR aus dem Jahr 2016, und Ihr Unternehmen oder Ihre Organisation fällt unter die NIS2-Richtlinie und die kommenden Gesetze, wenn:

  1. Es gehört zu den 18 NIS2-Sektoren (NIS1 umfasste nur 6) und
  2. Sie beschäftigen mehr als 50 Mitarbeiter oder haben einen Jahresumsatz von mehr als 10 Millionen Euro, oder
  3. Ihre Tätigkeit, Ihr Unternehmen oder Ihre Organisation:
  4. als kritisch oder wirtschaftlich wichtig für die Gesellschaft angesehen werden
  5. die öffentliche Sicherheit oder die öffentliche Gesundheit betrifft
  6. Störungen können zu erheblichen systemischen Risiken führen
  7. von entscheidender nationaler oder regionaler Bedeutung ist
  8. ist die öffentliche Verwaltung
  9. werden als CER-kritische Geräte definiert.

Wer fällt unter die NIS2?

Die 6 unter NIS1 fallenden Sektoren waren:

Energie - Verkehr - Banken - digitale Infrastruktur - digitale Dienstleister - Gesundheit.

Die 12 neu hinzugekommenen NIS2-Sektoren sind:

Verarbeitendes Gewerbe - Lebensmittel - Chemikalien - Trinkwasser - Abwasser - Abfallwirtschaft - Post und Kurierdienste - Forschung - öffentliche Verwaltung - IKT-Dienstleistungsmanagement - Finanzmarktinfrastrukturen - Raumfahrt.

Für einige Unternehmen und Organisationen ist klar, dass sie unter die NIS2 fallen, während andere sich nicht sicher sind, ob sie es sind. Die Experten raten, einen Anwalt zu konsultieren, um Klarheit über die NIS2 und Ihre Organisation zu erhalten.

Bitte beachten Sie, dass es die Pflicht der einzelnen Unternehmen und Organisationen ist, herauszufinden, ob sie unter die NIS2 fallen.

Was ist NIS2 mein denkender Mann umgeben von Fragezeichen

Was müssen Sie erfüllen, wenn Ihr Unternehmen unter die NIS2 fällt?

Wenn Ihr Unternehmen oder Ihre Organisation unter die NIS2 fällt, ist es eine gute Idee, jetzt damit zu beginnen. Es liegt eine Menge Arbeit vor Ihnen, auch wenn Sie bereits NIS1 oder ISO27001/2 zertifiziert sind.

Bis Oktober 2024 müssen die Behörden in der Lage sein, mit den Rechtsvorschriften umzugehen und Unternehmen und Organisationen, die sich nicht an die Vorschriften halten, zu sanktionieren und mit Geldstrafen zu belegen.

Und was müssen Sie als NIS2-abgedecktes Unternehmen oder Organisation erfüllen?

Erstens gibt es die NIS1-Anforderungen:

  1. Sorgen Sie für die Informationssicherheit in Ihrem Unternehmen/Ihrer Organisation und führen Sie kontinuierlich umfassende und aktuelle Sicherheitsbewertungen durch. Eine Bewertung, die 7 Jahre alt ist, ist nicht ausreichend.
  2. Umsetzung von Sicherheitsmaßnahmen, die auf die ermittelten Risiken für personenbezogene Daten ausgerichtet sind (GDPR).

Hinzu kommt, dass NIS2 völlig neue Anforderungen mit sich bringt:

  1. Beurteilen Sie, welche Risiken Ihre mangelnde Versorgung der Gesellschaft birgt - einschließlich der Risiken, die sich daraus ergeben, dass Ihre Lieferanten Sie nicht beliefern.

Bitte beachten Sie, dass die Gesetzgebung nur Ihre unternehmenskritischen Aktivitäten, Prozesse, Mitarbeiter, Technologien und Lieferanten abdeckt. Diese Aktivitäten, die im Falle einer Sicherheitsverletzung kritische Infrastrukturen, Lieferketten oder andere gesellschaftlich wichtige Funktionen betreffen.

Neue Sicherheitsanforderungen

Die neuen Sicherheitsanforderungen umfassen die folgenden neuen Bereiche:

  1. Überwachung und Störungsmanagement

Sie müssen in der Lage sein, Sicherheitsvorfälle zu erkennen und zu bewältigen, Backups zu verwalten und wiederherzustellen und Krisenmanagementpläne zu erstellen - nicht nur in Bezug auf die IT, sondern auch in Bezug auf den Betrieb.

  1. Lieferkette

Betrachten Sie Ihre Lieferkette. Wer sind Ihre kritischen Lieferanten? Was passiert, wenn deren Lieferungen ausfallen, und wie helfen Sie ihnen - und damit sich selbst - wieder auf die Beine zu kommen? Sie erinnern sich vielleicht noch daran, wie im Herbst 2022 alle Züge in Dänemark zum Stillstand kamen, als einer der kritischen Lieferanten der DSB gehackt wurde und die DSB ihre Zugdienste nicht mehr erbringen konnte.

  1. Sicherheit der Anwendung

Kauf, Entwicklung und Wartung von Anwendungen - einschließlich Patch-Management. Sie sollten ermitteln, welche Schwachstellen auftreten können, und planen, wie Sie diese beheben werden.

  1. Grundlegende Sicherheitsmaßnahmen.

Cyber-Hygiene und Schulungen für Manager und Mitarbeiter. Personelle Sicherheit, Zugangskontrolle und Vermögensverwaltung. Multi-Faktor-Authentifizierung, Verschlüsselung, Kommunikationssicherheit und Notfallkommunikationssysteme.

 

Meldepflichten

Schließlich sieht das neue Gesetz eine Meldepflicht vor. Damit soll verhindert werden, dass andere von Vorfällen, die Sie betreffen, betroffen sind. Dies muss geschehen durch:

  1. Sie müssen dem CSIRT innerhalb von 24 Stunden mitteilen, dass in Ihren Systemen ein Zwischenfall aufgetreten ist
  2. Innerhalb von 72 Stunden müssen Sie eine Meldung einreichen
  3. Innerhalb eines Monats müssen Sie einen Bericht vorlegen.

Dies stellt zusätzliche Anforderungen an die Überwachung - und an die 24-Stunden- und Wochenendüberwachung - in Ihren Unternehmen und Organisationen.

Was ist NIS2 und welche Auswirkungen hat es auf die Netze?

NIS2 stellt auch neue Anforderungen an die Behörden

Die neue Gesetzgebung stellt auch Anforderungen an die Behörden, die ab Oktober 2024 tätig werden müssen:

  1. innerhalb von 24 Stunden auf Meldungen von Unternehmen und Organisationen über kritische Sicherheitsvorfälle zu reagieren - und bei Bedarf technische Unterstützung und Beratung anzubieten. Sie stellt auch Anforderungen an die Behörden für eine 24-Stunden- und Wochenendüberwachung und ihre Sicherheitskompetenzen.
  2. Reaktive - und in einigen Fällen proaktive - Überwachung der unter die NIS2 fallenden Unternehmen und Organisationen, wenn sie Anzeichen für eine Nichteinhaltung feststellen. Zusätzlich zu Anordnungen, Warnungen, Anweisungen usw. kann diese neue Durchsetzungsverpflichtung bedeuten, dass für einen bestimmten Zeitraum eine für die Überwachung zuständige Person für eine verstärkte Aufsicht ernannt wird, möglicherweise in Form eines Projektmanagers mit einer festen Stelle im Unternehmen oder in der Organisation. Oder sie könnte bedeuten, dass Teile der Nichteinhaltung der Rechtsvorschriften durch das Unternehmen oder die Organisation veröffentlicht werden müssen.
  3. Anwendung von Sanktionen, wenn die oben genannten Maßnahmen nicht die gewünschte Wirkung zeigen. So können die Behörden beispielsweise eine angewandte Zertifizierung oder Zulassung vorübergehend aussetzen oder natürlichen Personen mit Führungsverantwortung die Leitung des Unternehmens vorübergehend untersagen.

Die NIS2-Richtlinie führt neue Anforderungen an die Cyber- und Informationssicherheit ein, die Unternehmen und Organisationen erfüllen müssen, und weitet die Anforderungen der NIS1 auf 18 Sektoren aus.

Wenn Ihr Unternehmen oder Ihre Organisation bestimmte Kriterien erfüllt, z. B. Anzahl der Beschäftigten oder Umsatz, gesellschaftliche Bedeutung oder Beteiligung an kritischen Infrastrukturen, sollten Sie die NIS2-Richtlinie kennen und sich rechtzeitig darauf vorbereiten.

Die Gesetzgebung verlangt von Ihnen, Sicherheitsmaßnahmen zu ergreifen, das Risiko von Lieferausfällen zu bewerten, das Management von Zwischenfällen und der Lieferkette zu verwalten, die Anwendungssicherheit zu gewährleisten und grundlegende Sicherheitsmaßnahmen zu ergreifen.

Außerdem müssen Sie in der Lage sein, die Behörden innerhalb kurzer Zeit über Sicherheitsvorfälle zu informieren.

Das Verständnis der NIS2-Richtlinie und ihrer Anforderungen ist für die Gewährleistung der Cybersicherheit und den Schutz kritischer Funktionen unerlässlich. Wir hoffen, dass dieser Beitrag Ihnen dabei helfen kann.

Wenn Sie mehr über die EU-Richtlinie lesen möchten, finden Sie hier einen Link zu Seite der EU-Kommission hier.

Siehe auch unseren früheren Beitrag über Bauen Sie hier Sicherheitsgrenzen in industriellen Systemen auf.

Und unser NIS2-Leitfaden für Fertigungsunternehmen.

Wenn Sie Hilfe benötigen, dann Wenden Sie sich bitte an Poul oder Søren hier..

Melden Sie sich für unseren Newsletter an

Bleiben Sie über die neuesten Entwicklungen im Bereich der industriellen IT und Komponenten auf dem Laufenden – melden Sie sich hier an.