Unternehmen müssen sich beeilen, wenn sie ihre Konformität mit der EU-Sicherheitsrichtlinie NIS 2 sicherstellen wollen. Denn bis Oktober 2024 muss die Richtlinie in nationales Recht umgesetzt sein. Diese Checkliste unterstützt Sie bei der Vorbereitung mit wertvollen Informationen und einem strukturierten Ansatz für die Umsetzung der Vorgaben.
Inhalt:
Die Novelle der EU-Sicherheitsrichtlinie Network and Information Security, NIS 2 ist im Januar 2023 in Kraft getreten. Sie trägt der zunehmenden Vernetzung und Digitalisierung in der europäischen Wirtschaft Rechnung und muss bis Oktober 2024 in nationales Recht umgesetzt werden. Die Europäische Union hat dabei nicht nur die Anforderungen an die Netzwerk- und IT-Sicherheit erhöht und den Bußgeldrahmen angehoben, sondern auch die Zahl der als Betreiber kritischer Infrastrukturen (KRITIS) eingestuften Organisationen deutlich erweitert. Schätzungen zufolge werden in Deutschland rund 29.000 Unternehmen zusätzlich von der Sicherheitsrichtlinie betroffen sein.
Ob Ihr Unternehmen von der NIS-2-Direktive erfasst wird, erfahren Sie im vorliegenden Dokument. Es bietet Ihnen darüber hinaus eine Checkliste, mit der Sie die Compliance Ihres Unternehmens evaluieren und gegebenenfalls Maßnahmen ergreifen können, um die Vorgaben zu erfüllen.
Das Dokument beantwortet unter anderem folgende Fragen:
- Welche konkreten Unterschiede gibt es zwischen NIS und NIS 2?
- Wie kann ich Risiken erkennen und minimieren, die zu einer Verletzung der NIS 2-Vorgaben führen könnten?
- Wie implementiere ich ein Risikomanagement, das die Anforderungen von NIS 2 erfüllt?
Originalauszug aus dem Dokument:
2.1.Familiarize your self with the transition from the original NIS Directive to NIS2 and the implications it has for your organization
As part of the new directive, critical entities must now:
- Initially report a significant security incident within 24 hours of discovery.
- Submit an initial assessment of the incident within 72 hours of discovery.
- Submit a detailed final report within one month of discovery.
2.2.Understand the external security requirements, including risk management practices and regular security assessments.
According to Article 21 of the NIS2, member states should ensure that signifikant and important entities implement robust systems, policies and best practices for managing risk, that cover a variety of cybersecurity measures and disciplines, including:
- Risk analysis and security of information systems
- Incident handling and reporting
- Business continuity, e.g. backup management and disaster recovery
- Crisis management
- Supply chain security
- Security during system acquisition, development, and maintenance