NIS2
Warum die neue Richtline eingeführt wird und wer nun handeln muss
Von der NIS-Richtline waren bisher KRITIS Unternehmen betroffen, nun kommen weitere Unternehmen aus unterschiedlichen Branchen hinzu.
Wer unterliegt NIS2, wer ist verantwortlich und wie wird ein Sicherheitsvorfall gemeldet?
In Deutschland sind von der neuen Richtline in etwa 40.000 Unternehmen betroffen. Dabei sind Organisationen verpflichtet, sich selbst einzustufen und bei der zuständigen Behörde zu registrieren. Das trifft auf folgende Unternehmen zu:
- Wenn sie dem definierten Schwellenwerten entsprechen
- Einem der 18 Wirtschaftssektoren zugehören
- Dienste in der Netzwerk- und Informationssicherheit leisten
NIS2 Sektoren
Energie | Verkehr | Bankwesen | Finanzmarktinfrastrukturen | Gesundheitswesen | Trinkwasser | Abwasser | Digitale Infrastrukturen | Öffentliche Verwaltung | Verwaltung von IKT-Diensten | Weltraum | Post- & Kurierdienste | Abfallwirtschaft | Produktion, Herstellung & Handel von chemischen Stoffen | Produktion, Verarbeitung & Vertrieb von Lebensmitteln | Verarbeitung & Herstellung von Waren | Anbieter digitaler Dienste | Forschung
Haftbar und verantwortlich für die Einhaltung der Risikomanagementmaßnahmen ist die Geschäftsführung bei GmbHs bzw. der Vorstand und Aufsichtsrat bei AGs.
Die Strafen richten sich dabei an die Gliederung in wesentliche und wichtige Einrichtungen. Für wesentliche Einrichtungen drohen Sanktionen von bis zu 10 Millionen Euro oder 2% des Gesamtjahresumsatzes. Bei wichtigen Einrichtungen bis zu 7 Millionen Euro oder 1.4 % des Gesamtjahresumsatzes.
- Falls nun doch ein Sicherheitsvorfall eintrifft, besteht eine dreistufige Meldeplicht an das zuständige CRIRT (Cybersecurity Incident Response Team):
- Unverzügliche Meldung des Vorfalls innerhalb von 24 Stunden
- Nach spätestens 72 Stunden ein Follow-Up-Report über Schweregrad, Auswirkungen ggf. Komprimittierungsindikatoren
Innerhalb eines Monats nach dem Vorfall ist der finale Abschlussbericht einzureichen, mit Beschreibung des Vorfalls, Schweregrad, Auswirkungen, Art der Bedrohung, Ursachen und Abhilfemaßnahmen
Sollte es durch den Cybersicherheitsvorfall auch zur Verletzung des Schutzes von personenbezogenen Daten (data breach) kommen, müssen ebenfalls die Melde- und Berichtspflichten nach DSGVO beachtet werden.
Die NIS2 Mindestanforderungen
Unter NIS2 müssen zumindest folgende 10 Risikomanagementmaßnahmen im Unternehmen vorhanden sein, um den Anforderungen der verschärften Richtline gerecht zu werden:
- Konzept Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Business Continuity und Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
- Cyberhygiene und Schulungen zur Cybersicherheit
- Kryptografie und ggf. Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle
- Multi-Faktor-Authentifizierung
Wie können wir Ihnen mit der Umsetzung von NIS2 helfen?
Als IT-Systemhaus helfen wir Ihnen durch unsere Expertise und Erfahrung bei der Umsetzung und Verbesserung Ihrer Netz- und Informationssicherheit, um so die Anforderungen von NIS2 effektiv umzusetzen.
Wir analysieren Ihr Unternehmen umfassend auf die aktuelle Sicherheitslage, geben Ihnen Empfehlungen für die Umsetzung von NIS2 und schulen Sie und Ihre Mitarbeiter im Umgang mit sensiblen Daten, indem wir Ihr Bewusstsein für Informationssicherheit stärken. Wir helfen Ihnen weiterhin bei der Implementierung von Sicherheitslösungen, wie Firewalls, Zugriffskontrollen, Backup- & Recovery-Lösungen usw. Lernen Sie dabei auch unsere Managed Services kennen, in denen wir Ihr Netzwerk kontinuierlich überwachen, Sicherheitsvorfälle erkennen und melden und durch regelmäßige Wartungsarbeiten die Sicherheit des Systems erhöhen.