Die NIS 2 Richtlinie schreibt obligatorische Cybersicherheitsmaßnahmen vor, die die betroffenen Organisationen gemäß Artikel 21 umsetzen müssen. Zu diesen Cybersicherheitsanforderungen gehören:
Risikoanalyse und Richtlinien zur Informationssicherheit
Organisationen müssen Richtlinien und Verfahren für die Durchführung regelmäßiger Risikobewertungen, die Identifizierung von Schwachstellen und die Implementierung geeigneter Sicherheitskontrollen zur Bewältigung der identifizierten Risiken festlegen.
Reaktion und Meldung von Vorfällen
Unternehmen müssen über solide Funktionen zur Erkennung, Analyse und Reaktion von Vorfällen verfügen, einschließlich definierter Rollen und Verantwortlichkeiten sowie Prozesse für die zeitnahe Meldung von Vorfällen an die zuständigen Behörden.
Zugriffskontrolle und Authentifizierung
Um unbefugten Zugriff auf Systeme und Daten zu verhindern, müssen geeignete Zugriffskontrollmaßnahmen wie z. B. Multifaktor-Authentifizierung implementiert werden.
Datenschutz und Verschlüsselung
Unternehmen müssen die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten durch den Einsatz von Verschlüsselung und anderen Datensicherheitstechniken gewährleisten.
Schwachstellenmanagement
Unternehmen müssen über Prozesse zur Handhabung und Offenlegung von Sicherheitslücken verfügen, einschließlich regelmäßiger Schwachstellenbewertungen und der rechtzeitigen Behebung bekannter Sicherheitslücken.
Backup und Geschäftskontinuität
Es müssen robuste Backup-Management- und Disaster-Recovery-Funktionen eingerichtet werden, um die Kontinuität grundlegender Dienste im Falle eines Störvorfalls sicherzustellen.
Sicherheit der Lieferkette
Unternehmen sind für den Umgang mit Cybersicherheitsrisiken in ihrer gesamten Lieferkette verantwortlich und müssen geeignete Sicherheitsmaßnahmen für Beziehungen zu direkten Lieferanten und Dienstleistern implementieren.
Sicherheitsüberwachung und -protokollierung
Es müssen umfassende Mechanismen zur Sicherheitsüberwachung und -protokollierung vorhanden sein, um Sicherheitsereignisse zu erkennen, zu analysieren und darauf zu reagieren.
Sensibilisierung für Cybersicherheit durch Schulungen
Unternehmen müssen für ihre Mitarbeiter regelmäßige Schulungsprogramme für die Steigerung des Sicherheitsbewusstseins anbieten, um sicherzustellen, dass diese in der Lage sind, Cyberbedrohungen zu erkennen und darauf zu reagieren.
Governance und Verantwortlichkeit
Die Führungskräfte der Organisation muss Cybersicherheitsmaßnahmen, Risikomanagementstrategien und Reaktionspläne des Unternehmens aktiv überwachen und genehmigen.
Diese Maßnahmen stellen die grundlegenden Cybersicherheitsanforderungen dar, die betroffene Organisationen umsetzen müssen, um die NIS 2 Richtlinie einzuhalten.