Die novellierte europäische Sicherheitsrichtlinie für Netze und Informationssysteme (NIS 2) stellt hohe Anforderungen an das Management und die Dokumentation von IT-Sicherheitsmaßnahmen in wichtigen und kritischen Einrichtungen. In diesem Whitepaper erfahren Sie, welche Unternehmen von NIS 2 betroffen sind und wie Sie die Anforderungen umsetzen.
Inhalt:
Die im Jahr 2016 erlassene Sicherheitsrichtlinie für Netze und Informationssysteme (NIS) wurde 2022 grundlegend aktualisiert. Der Kreis der betroffenen Unternehmen ist nun erheblich größer und die Anforderungen an die Planung, Durchführung und Dokumentation von Cybersicherheitsmaßnahmen wurden verschärft.
Das grundlegende Ziel von NIS 2, ein einheitliches Cybersicherheitsniveau in der Europäischen Union zu schaffen, wurde allerdings bislang verfehlt. Nur wenige Mitgliedstaaten haben die Richtlinie bereits in nationales Recht umgesetzt, obwohl dies eigentlich bis zum 17. Oktober 2024 hätte geschehen müssen. In Deutschland scheiterte das geplante „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) mit dem Ende der Ampelregierung. Die neue Bundesregierung hat ein eigenes Umsetzungsgesetz auf den Weg gebracht. Wann dieses in Kraft tritt, ist derzeit unklar.
Unternehmen sollten sich dennoch mit NIS 2 beschäftigen und ihre Betroffenheit prüfen. In diesem Whitepaper erfahren Sie, welche Branchen und Sektoren unter NIS 2 fallen und welche Anforderungen mit der Umsetzung verbunden sind.
Lesen Sie unter anderem:
- Wie sich wichtige und kritische Einrichtungen unterscheiden.
- Welche grundlegenden Cybersicherheitsmaßnahmen betroffene Unternehmen umsetzen müssen.
- Welche Meldepflichten mit NIS 2 einhergehen.
- Was bei Verstößen gegen die Vorschriften droht.
Originalauszug aus dem Dokument:
Grundlegende Cybersicherheitsmaßnahmen
Die NIS2-Richtlinie schreibt für „kritische“ und „wichtige“ Einrichtungen in verschiedenen Sektoren grundlegende Cybersicherheitsmaßnahmen vor. Im Zentrum dieser Maßnahmen steht ein Risikomanagement-Ansatz, der Unternehmen dazu verpflichtet, regelmäßige Risikobewertungen durchzuführen, technische und organisatorische Sicherheitsvorkehrungen (wie Firewalls und Zugangskontrollen) zu treffen und Verfahren zur Erkennung, Meldung und Reaktion auf Sicherheitsvorfälle einzurichten.
Gemäß der NIS2-Richtlinie müssen die EU-Mitgliedstaaten sicherstellen, dass „kritische“ und „wichtige“ Einrichtungen geeignete Cybersicherheitsmaßnahmen ergreifen. Diese Maßnahmen sollten auf die jeweiligen Risiken der Netz- und Informationssysteme des Unternehmens zugeschnitten sein. Dazu gehören Maßnahmen, um Vorfälle zu verhindern, ihre Auswirkungen auf Serviceempfänger und andere Services zu minimieren und letztendlich ein Sicherheitsniveau aufrechtzuerhalten, das den potenziellen Risiken entspricht.