Ein Ausfall von IT-Infrastrukturen durch Cyberangriffe kann schwerwiegende Folgen für Unternehmen, Staat und Gesellschaft haben. In diesem Whitepaper erfahren Sie, wie die EU mit der überarbeiteten Sicherheitsrichtlinie NIS 2 für ein höheres Cybersecurity-Niveau sorgen will und was das konkret für Ihr Unternehmen bedeutet.
Inhalt:
Ohne IT läuft heute nichts mehr – weder in Unternehmen, noch in der öffentlichen Verwaltung oder in Privathaushalten. Cybersicherheit kommt daher eine existentielle Bedeutung. Das hat auch die Europäische Union erkannt und bereits 2016 die Richtlinie “Network and Information Security” (NIS, EU 2016/1148) erlassen. Sie verpflichtet Betreiber kritischer Infrastrukturen (KRITIS) und Anbieter digitaler Dienste, Maßnahmen zur Verbesserung ihrer Cybersicherheit zu ergreifen.
Im Januar 2023 ist die Novelle der NIS-Richtlinie ((NIS2, EU 2022/2555) in Kraft getreten, die bis Mitte Oktober 2024 in nationales Recht umgesetzt werden muss. Mit Stand Ende März 2024 liegen in Deutschland bereits drei Referentenentwürfe und ein Diskussionspapier zum NIS2 Umsetzungsgesetz (NIS2UmsuCG) vor. Die fristgerechte Umsetzung ist derzeit allerdings fraglich. Sicher ist jedoch, dass das Gesetz kommen wird. Betroffene Einrichtungen sind dann verpflichtet, die Anforderungen innerhalb einer Frist von sechs Monaten nach Verkündung des Gesetzes umzusetzen.
Diese Whitepaper hilft Ihnen bei Vorbereitung und beantwortet unter anderem folgende Fragen:
- Wo liegen die wesentlichen Unterschiede zwischen NIS und NIS 2?
- Welche Unternehmen sind von der Richtlinie betroffen?
- Was sind die wichtigsten Anforderungen von NIS 2?
- Mit welchen Konsequenzen muss ich bei Nichteinhaltung rechnen?
- Wie kann ich die Vorgaben schnell und effizient umsetzen?
Originalauszug aus dem Dokument:
Selbstregistrierung
Ab dem 18. Oktober 2024 müssen sich Unternehmen, die in den Geltungsbereich von NIS2 fallen, bei der zuständigen nationalen Behörde registrieren. Außerdem müssen sie bedeutende Vorfälle melden und die in der Richtlinie festgelegten Pflichten erfüllen. Unternehmen müssen offizielle Zertifizierungen erhalten oder sich regelmäßigen Audits unterziehen, um die Compliance nachzuweisen. Bis zum 17. April 2025 müssen die Mitgliedstaaten eine Liste der wesentlichen und wichtigen Einrichtungen erstellen, inklusive der Registrierungsdienste für Domain-Namen. Von NIS2 betroffene Einrichtungen müssen den Behörden mindestens die folgenden Informationen zur Verfügung stellen:
• Name
• Anschrift und aktuelle Kontaktinformationen, einschließlich E-Mail-Adressen
• IP-Bereiche
• Telefonnummern
• Relevanter Sektor und Teilsektor (falls zutreffend)
• Liste der Mitgliedstaaten,in denen NIS2-relevante Dienstleistungen erbracht werden (falls zutreffend)
Maßnahmen zum Risikomanagement der Cybersicherheit
Wesentliche und wichtige Organisationen müssen geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit von Netzen und Informationssystemen zu beherrschen, die sie für ihre Tätigkeiten oder Dienste nutzen. Außerdem sollten Unternehmen versuchen, die Auswirkungen von Vorfällen auf ihre Dienstleistungsempfänger und andere Dienste zu verhindern oder zu minimieren.
Diese Maßnahmen schützen Netz- und Informationssysteme und ihre physische Umgebung vor Zwischenfällen auf der Grundlage eines Allgefahrenansatzes. Maßnahmen müssen mindestens Folgendes umfassen:
a) Strategien zur Risikoanalyse und zur Sicherheit von Informationssystemen
b) Behandlung von Zwischenfällen
c) Geschäftskontinuität, z. B. Backup-Management, Notfallwiederherstellung und Krisenmanagement
d) Supply-Chain-Sicherheit, inklusive sicherheitsrelevanter Aspekte der Beziehungen zwischen jedem Bestandteil und den jeweiligen direkten Lieferanten oder Dienstleistern
e) Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzen und Informationssystemen, einschließlich der Behandlung von Schwachstellen und Offenlegung
f) Strategien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen des Risikomanagements im Bereich der Cybersicherheit