NIS 2 Anforderungen
Die NIS 2 Richtlinie führt einen umfassenden Satz von Cybersicherheitsanforderungen und -verpflichtungen ein, die die betroffenen Organisationen bis zur Frist am 17 Oktober 2024 erfüllen müssen.
Die NIS 2 Richtlinie führt einen umfassenden Satz von Cybersicherheitsanforderungen und -verpflichtungen ein, die die betroffenen Organisationen bis zur Frist am 17. Oktober 2024 erfüllen müssen.
Organisationen müssen regelmäßige Risikobewertungen ihrer Netzwerk- und Informationssysteme durchführen und geeignete technische und organisatorische Sicherheitsmaßnahmen ergreifen, um diese Risiken zu managen. Dazu gehören:
Richtlinien und Verfahren zur Risikoanalyse und Informationssystemsicherheit
Prozesse zur Handhabung und Offenlegung von Sicherheitslücken
Effektiver Einsatz von Kryptographie und Verschlüsselung
NIS 2 schreibt strenge Anforderungen an die Meldung von Vorfällen vor. Organisationen müssen über solide Verfahren zum Umgang mit Vorfällen und zum Krisenmanagement verfügen, darunter:
Erkennung, Analyse und Klassifizierung von Vorfällen
Benachrichtigung der zuständigen Behörden innerhalb festgelegter Fristen
Koordinierte Reaktions- und Wiederherstellungsmaßnahmen
Unternehmen müssen Geschäftskontinuitäts- und Notfallwiederherstellungspläne entwickeln und aufrechterhalten, um die Kontinuität wesentlicher Dienste im Falle eines störenden Vorfalls sicherzustellen. Das beinhaltet:
Verwaltungs- und Wiederherstellungsverfahren für Backups
Krisenmanagement und Kommunikationsprotokolle
Unternehmen sind für das Management von Cybersicherheitsrisiken in ihren Lieferketten verantwortlich. Sie müssen geeignete Sicherheitsmaßnahmen für die Beziehungen zu direkten Lieferanten und Dienstleistern implementieren.
NIS 2 legt größeren Wert auf die Rolle von Führungskräften bei der Überwachung der Cybersicherheit. Sie müssen aktiv beteiligt sein an:
Genehmigung von Sicherheitsrichtlinien und Risikomanagementstrategien
Sicherstellung der Wirksamkeit von Cybersicherheitsmaßnahmen
Bereitstellung von Cybersicherheitsschulungen zur Sensibilisierung der Mitarbeiter
Die Nichteinhaltung der NIS 2 Anforderungen kann erhebliche Strafen nach sich ziehen, darunter Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für „wesentliche Unternehmen“ und bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes für „wichtige“ Unternehmen. Die Behörden sind auch befugt, andere Sanktionen zu verhängen, beispielsweise eine vorübergehende Aussetzung des Betriebs. Um NIS2-Compliance zu erreichen, sollten Unternehmen die folgenden Schritte unternehmen:
Beurteilen Sie, ob sie im Sinne der Richtlinie als „wesentliche“ oder „wichtige“ Einheit eingestuft werden.
Führen Sie eine umfassende Schwachstellenanalyse durch, um Bereiche zu identifizieren, die verbessert werden müssen.
Entwickeln und implementieren Sie die erforderlichen Sicherheitsrichtlinien, -prozesse und -kontrollen.
Sorgen Sie für eine effektive Governance, Rechenschaftspflicht und ein Bewusstsein für Cybersicherheit.
Richten Sie robuste Funktionen für die Reaktion auf Vorfälle und die Geschäftskontinuität ein.
Bewerten und verwalten Sie Sicherheitsrisiken in der Lieferkette.
Seien Sie auf mögliche Audits, Inspektionen und Durchsetzungsmaßnahmen durch Behörden vorbereitet.
Weitere Einzelheiten zu den NIS 2 Anforderungen finden Sie auf der
Website der NIS 2 Richtlinie