Was sind die NIS2-Anforderungen?

Die NIS2-Richtlinie definiert verschiedene Anforderungen an die Stärkung der IT-Sicherheit in Unternehmen. Ein zentraler Aspekt ist die Einrichtung eines Risiko- und Notfallmanagements, das im Falle eines Cyberangriffes sofort greift. Darüber hinaus ist in den NIS2-Anforderungen festgelegt, dass Unternehmen geeignete Sicherheitstechnologien verwenden und Sicherheitsvorfälle zeitnah an die nationalen Behörden melden. Neu ist auch eine Registrierungspflicht der NIS2 betroffenen Unternehmen.  

Das müssen Sie als Unternehmen tun

Da keine offizielle Benachrichtigung darüber erfolgt, ob Ihr Unternehmen in den NIS2-Geltungsbereich fällt, müssen Sie dies zunächst selbst prüfen. Eine Antwort auf die Frage: „Bin ich von NIS2 betroffen?“ finden Sie hier.

Wenn NIS2 für Sie gilt, dann müssen Sie die in der NIS2 definierten Anforderungen erfüllen. Dazu gehören entsprechende Risikomanagementmaßnahmen sowie Berichts- und Meldepflichten, denen Sie nachkommen müssen. Die Umsetzung der Anforderungen sollte Chefsache sein – denn es gibt jetzt eine persönliche Haftung bei Nichterfüllung.

NIS2 definiert 4 zentrale Anforderungen

Welche konkreten Anforderungen stellt die NIS2 nun an Unternehmen? Aus dem Gesetzestext lassen sich vier Handlungsbereiche erkennen, aus denen sich konkrete Maßnahmen für die eigene Organisation ableiten lassen.

Anforderung 1: Registrierungspflicht bei der nationalen Behörde

Unternehmen, die den Anforderungen der NIS2-Richtlinie unterliegen, sind dazu verpflichtet, sich eigenständig beim Bundesamt für Sicherheit in der Informationstechnik (BSI) als „verpflichtende Institution“ zu registrieren. Wichtige Einrichtungen müssen diese Registrierung innerhalb von drei Monaten nach Inkrafttreten des NIS2UmsuCG vornehmen, bei dem es sich um eine Überführung der EU NIS2-Directive in nationales Recht in Deutschland handelt. Betreiber kritischer Infrastrukturen haben dafür lediglich einen Tag nach Inkrafttreten der Richtlinie Zeit.

Cybersecurity

 

Anforderung 2: Einrichtung einer Risikobewertung und eines Risikomanagements

Jedes Unternehmen hat ein eigenes Risikoprofil im Hinblick auf Risiken, die von Cyberangriffen ausgehen. Die neue NIS2-Richtlinie stellt daher konkrete Anforderungen an eine detaillierte Risikobewertung mit Blick auf die unternehmensspezifischen Cyberrisiken und Schwachstellen. Zudem müssen Unternehmen „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen“ zur Sicherung ihrer Systeme ergreifen. Dies schließt sowohl die IT-Systeme als auch deren physische Umgebung ein.

Insgesamt definiert die NIS2-Richtlinie 10 konkrete Maßnahmen in diesem Bereich:

Konzept für die Risikoanalyse und das Risikomanagement
Nach den neuen NIS2-Anforderungen müssen Unternehmen tiefgreifende Konzepte für die Risikoanalyse und die Sicherheit ihrer Informationssysteme entwickeln.

So setzt BREKOM diese Maßnahme für Sie um:

  • NIS2-Assessment Remote per Online-Meeting
  • IT-Sicherheitsaudit über bestehende Sicherheitsmaßnahmen
  • Einsatz moderner Audit-Software zur Ermittlung des aktuellen IT-Sicherheitsstandards
  • Definition relevanter Schutzziele
  • Entwicklung eines NIS2-Umsetzungsplans
  • Implementierung von Sicherheitsmaßnahmen
  • Kontinuierliche Überwachung und Bewertung
  • Schulung und Sensibilisierung der Mitarbeiter

Zudem erhalten Sie von uns nach dem erfolgreichen IT-Sicherheitsaudit das Prüfsiegel „Basisprüfung ITQ“ zur Verwendung auf Ihrer Website und Ihren Geschäftspapieren.

Vorfalls-Bewältigung

Selbst mit dem besten Risikomanagement lässt sich ein Cyberangriff nicht zu 100 % verhindern. Wichtig ist, dass es in diesem Fall effektive Mechanismen zur Erkennung, Analyse, Eindämmung und schnellen Reaktion gibt. Daher ist in den NIS2-Anforderungen definiert, dass Unternehmen in der Lage sein müssen, zügig auf Bedrohungen zu reagieren, um Schaden abzuwenden.

So setzt BREKOM diese Maßnahme für Sie um:

  • Entwicklung eines Vorfalls-Bewältigungsplans
  • Implementierung von Überwachungs- und Detektionssystemen
  • Identifizierung und Analyse von Sicherheitsvorfällen
  • Kommunikation und Eskalationsverfahren
  • Unterstützung bei Isolierung betroffener Systeme und Eindämmung von Schäden
  • Untersttüzung bei Wiederherstellung betroffener Systeme

Business Continuity Management

Zur Einhaltung der NIS2-Richtlinie benötigen Unternehmen ein robustes Business Continuity Management. Sie müssen detaillierte Pläne entwickeln, um im Falle eines Cyberangriffs betroffene Daten und Systeme schnellstmöglich wiederherzustellen. Das Ziel ist es, Unterbrechungen im Geschäftsbetrieb zu verhindern und Ausfallzeiten möglichst zu reduzieren.

So setzt BREKOM diese Maßnahme für Sie um:

  • Entwicklung eines Business Continuity Plans (BCP)
  • Identifizierung kritischer Geschäftsprozesse und Ressourcen
  • Implementierung von Redundanz- und Backup-Lösungen
  • Durchführung von Notfallübungen und Simulationen
  • Regelmäßige Überprüfung und Aktualisierung des Business Continuity Plans (BCP)

 

Sicherheit der Lieferkette
Unternehmen müssen sicherstellen, dass auch ihre Lieferkette den hohen Sicherheitsanforderungen entspricht. Dies beinhaltet die Überprüfung der Sicherheitsstandards von Lieferanten sowie die Integration von Sicherheitsklauseln in Verträge. Regelmäßige Audits und Bewertungen der Lieferkette helfen dabei, potenzielle Schwachstellen frühzeitig zu erkennen und zu beheben.

So setzt BREKOM diese Maßnahme für Sie um:

  • Bewertung der Sicherheit von Lieferanten und Partnern
  • Überprüfung und Überwachung von Lieferantenrisiken
  • Implementierung von Zugangskontrollen für Lieferanten
  • Sicherstellung der Konformität mit Sicherheitsstandards


Einkaufsrichtlinien für die IT-Sicherheit

Sicherheitsaspekte sollten in allen Phasen des Einkaufs, der Entwicklung und der Wartung von IT-Systemen berücksichtigt werden. Unternehmen müssen sichere Technologien einsetzen und regelmäßige Updates und Wartungsarbeiten durchführen.

So setzt BREKOM diese Maßnahme für Sie um:

  • Auswahl zertifizierter und sicherheitsgeprüfter Produkte
  • Integration von Sicherheitsbewertungen in den Beschaffungsprozess
  • Einbindung von Sicherheitsexperten in den Beschaffungsprozess
  • Implementierung von Richtlinien für das Patch-Management und regelmäßige Updates

Bewertung der Wirksamkeit von Sicherheitsmaßnahmen

Die Wirksamkeit der Strategien für das Sicherheits- und Risikomanagement muss durch regelmäßige Überprüfungen und IT-Audits bewertet werden.

So setzt BREKOM diese Maßnahme für Sie um:

  • Durchführung regelmäßiger Sicherheitsaudits
  • Regelmäßige Penetrationstests und Schwachstellenanalysen
  • Einsatz von Monitoring-Tools zur Echtzeitüberwachung
  • Regelmäßige Überprüfung und Aktualisierung der Sicherheitsrichtlinien
  • Analyse der Reaktionszeiten und Effizienz bei Sicherheitsvorfällen

Cyberhygiene und Schulungen

Cybersicherheit ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess, der Anforderungen an die Cyberhygiene und regelmäßige Schulungen der Mitarbeiter stellt. Das Ziel ist es, das Sicherheitsbewusstsein aller Beteiligten zu stärken und gegen aktuelle Bedrohungen gewappnet zu sein.

So setzt BREKOM diese Maßnahme für Sie um:

  • Entwicklung und Durchführung regelmäßiger Schulungsprogramme
  • Sensibilisierung der Mitarbeiter
  • Regelmäßige Updates und Auffrischungsschulungen


Einsatz von Verschlüsselungstechnologien

Bei der Übertragung sensibler Daten und vertraulicher Informationen legen die Anforderungen der NIS2-Richtlinie fest, dass moderne Verschlüsselungstechnologien eingesetzt werden, um die Integrität der Daten zu schützen.

So setzt BREKOM diese Maßnahme für Sie um:

  • Implementierung von End-to-End-Verschlüsselung für Datenübertragungen
  • Einsatz von verschlüsselten Kommunikationskanälen (z.B. VPN, TLS)

Einrichtung von Zugriffskontrollen

Mitarbeiter sollten nur auf die Daten zugreifen können, die sie für ihre Arbeit benötigen. Zugriffsrechte sollten streng vergeben und regelmäßig überprüft werden, um sicherzustellen, dass nur autorisierte Personen Zugang zu kritischen Systemen haben (Least Privilege Access).

So setzt BREKOM diese Maßnahme für Sie um:

  • Einrichtung von strengen Passwort-Richtlinien
  • Regelmäßige Überprüfung und Aktualisierung der Zugriffskontrollen
  • Implementierung von Least-Privilege-Prinzipien
  • Überwachung und Protokollierung von Zugriffen und Aktivitäten
  • Implementierung von Zugriffskontrollen für Remote-Zugriffe

Multifaktor-Authentifizierung

Der Zugang zu kritischen Informationen und Systemen sollte durch die Einrichtung einer Multifaktor-Authentifizierung gesichert werden, beispielsweise durch die Versendung von Einmal-Codes an ein zusätzliches Gerät wie ein Smartphone. Dies erhöht die Hürde für unbefugte Zugriffe signifikant.

So setzt BREKOM diese Maßnahme für Sie um:

  • Implementierung von Multifaktor-Authentifizierung (MFA) für alle Benutzer

Integration von MFA in alle kritischen Systeme und Anwendungen

Verpflichtende Teilnahme am Informationsaustausch

In den Anforderungen der NIS2-Richtlinie ist vorgesehen, dass wichtige Einrichtungen am Informationsaustausch teilnehmen müssen. Dazu wird das BSI perspektivisch ein Portal einrichten, das als Plattform für den Informationsaustausch dient. Der Hintergrund: Unternehmen sollen voneinander lernen. Insbesondere ein Cyberangriff wird gerne intern abgehandelt – dadurch haben aber andere Firmen keine Gelegenheit, aus der erkannten Sicherheitslücke zu lernen, um ihre eigenen Systeme zu verbessern. Dies soll mit einem verpflichtenden Informationsaustausch erleichtert werden.

Anforderung 3: Meldepflichten bei einem Sicherheitsvorfall

Sollte es in einem Unternehmen zu einem IT-Sicherheitsvorfall kommen, besteht die Pflicht, diesen umgehend an die nationale Behörde zu melden. Die NIS2-Richtlinie legt dabei konkrete Fristen fest, innerhalb derer der Vorfall gemeldet werden muss.

  • Frühwarnung innerhalb von 24 Stunden
    Ab der Kenntnisnahme eines erheblichen Sicherheitsvorfalls muss innerhalb eines Tages eine Meldung erfolgen. Diese Meldung sollte den Verdacht so genau wie möglich beschreiben und klarstellen, ob es sich um einen rechtswidrigen, böswilligen und/oder grenzüberschreitenden Angriff handelt.

  • Berichterstattung innerhalb von 72 Stunden
    Spätestens 72 Stunden nach der Entdeckung des Vorfalls muss das betroffene Unternehmen eine erste Bewertung des Sicherheitsvorfalls vorlegen. Diese Bewertung sollte den Schweregrad, die Auswirkungen und den Umfang der Kompromittierung umfassen.

  • Abschlussbericht nach 1 Monat
    Einen Monat nach dem Vorfall muss ein detaillierter Bericht vorliegen, der die Art der Bedrohung und die Ursachen beschreibt. Der Bericht sollte auch konkrete Abhilfemaßnahmen nennen, die ergriffen wurden, um die Bedrohung zu beseitigen und zukünftige Vorfälle zu verhindern.

Anforderung 4: Überwachungspflicht der Geschäftsleitung

Die NIS2-Richtlinie überträgt die Verantwortung für die Umsetzung und Überwachung der Sicherheitsmaßnahmen auf die Geschäftsführung oder die entsprechenden Leitungsorgane. Zusätzlich sind diese Führungskräfte laut den NIS2-Anforderungen dazu verpflichtet, an Schulungen teilzunehmen und solche Schulungen auch für die Mitarbeitenden anzubieten. Ziel ist es, ausreichende Kenntnisse und Fähigkeiten zu erwerben, um Risiken auch eigenständig erkennen und bewerten zu können.

Haftung und Geldstrafen

Unternehmen, die die neuen Regelungen der NIS2-Richtlinie nicht beachten oder diese nicht korrekt bzw. vollständig umsetzen, setzen sich erheblichen Risiken aus. Es sind Geldstrafen von bis zu 10 Millionen Euro oder 2 % des globalen Jahresumsatzes des Unternehmens vorgesehen. Bei besonders gravierenden Verstößen können die Strafen sogar auf bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes ansteigen. In beiden Fällen wird der jeweils höhere Betrag angewendet.

BREKOM bietet kompetente Beratung zur Erfüllung der NIS2-Anforderungen

Die NIS2-Richtlinie stellt Unternehmen vor große Herausforderungen. Es braucht einerseits Ressourcen und auf der anderen Seite Expertise und fachliches Know-how, um Compliance herzustellen und Haftungsrisiken zu vermeiden. BREKOM ist Ihr Partner für die Umsetzung der Anforderungen der NIS2!

Cybersecurity

Beitrag teilen:

Das könnte Sie auch interessieren:

Cybersecurity

NIS2 – Checkliste

NIS2-Checkliste Kennen Sie eigentlich Ihren NIS2-Reifegrad? Obwohl das Inkrafttreten der EU-Richtlinie spätestens für den Anfang 2025 geplant ist, haben sich

Weiterlesen >

Aktion: Schnelligkeit zahlt sich aus! Die ersten 50 Terminbucher profitieren: Nutzen Sie den Aktionscode „NIS2-jetzt“, um Ihr NIS2-Assessment
im Wert von 249,00 EUR kostenlos zu erhalten.


Wie geht es nach der Buchung weiter?
Um das NIS2-Assessment für alle Beteiligten effizient vorbereiten zu können, melden wir uns vorm Termin und stimmen Details mit Ihnen ab.

Jetzt anmelden
und auf dem Laufenden bleiben!

Für den Versand unserer Newsletter nutzen wir rapidmail. Mit Ihrer Anmeldung stimmen Sie zu, dass die eingegebenen Daten an rapidmail übermittelt werden. Beachten Sie bitte auch die AGB und Datenschutzbestimmungen.