Zum Inhalt springen
Nis2 Content Hub

Wie?

Wie sollen die Anforderungen der NIS2-Richtlinie erfüllt werden?

Prüfkette

Was kann ich tun, um die Anforderungen der NIS2-Richtlinie zu erfüllen?

Hier eine erste Skizze, die vsl. über die nächsten Monate weiter ausgebaut wird:

anforderung-meldewege

Anforderung Meldewege

Wie sollen Meldungen erfolgen?

Hier eine erste Skizze zu dem möglichen Ablauf von Meldungen, die vsl. über die nächsten Monate weiter ausgebaut wird:

anforderung-meldewege

In a nutshell

  • Implementierung umfassender Sicherheitsmaßnahmen: Unternehmen müssen sicherstellen, dass ihre Maßnahmen die Sicherheitsanforderungen erfüllen und Risiken angemessen bewältigen (Artikel 21).
  • Kooperation und Informationsaustausch: Unternehmen müssen eng mit Behörden und CSIRTs zusammenarbeiten und an sektoralen sowie grenzüberschreitenden Kooperationsmechanismen teilnehmen (Artikel 23).
  • Cybersicherheitszertifizierung: Unternehmen müssen die europäischen Schemata für die Cybersicherheitszertifizierung nutzen (Artikel 24).
  • Normung: Unternehmen müssen die von der Europäischen Kommission festgelegten technischen Spezifikationen und Normen anwenden (Artikel 25).
  • Meldepflichten: Unternehmen müssen erhebliche Sicherheitsvorfälle unverzüglich an die zuständigen Behörden oder das CSIRT melden (Artikel 26).
  • Vorbereitung auf Überwachungsmaßnahmen und Sanktionen: Unternehmen müssen darauf vorbereitet sein, dass ihre Einhaltung der Richtlinie überwacht wird und dass bei Verstößen Sanktionen verhängt werden können (Artikel 31 bis Artikel 37).

Umsetzung von Sicherheitsmaßnahmen

Erforderliche Maßnahmen:

  • Betroffene Unternehmen müssen technische, operationelle und organisatorische Maßnahmen implementieren, die geeignet und verhältnismäßig sind, um die Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu bewältigen.
  • Diese Maßnahmen müssen den Stand der Technik sowie relevante europäische und internationale Standards berücksichtigen.

Quelle: Artikel 21, Absatz 1

Spezifische Sicherheitsmaßnahmen:

  • Betroffene Unternehmen müssen eine umfassendes Sicherheitskonzept implementieren, die folgende Elemente umfasst:
    • Richtlinien zur Risikoanalyse und Informationssicherheit
    • Incident Management
    • Geschäftskontinuität (BCM), einschließlich Backup-Management und Krisenmanagement
    • Sicherheit der Lieferkette
    • Sicherheit bei Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen
    • Wirksamkeitsbewertung der Sicherheitsmaßnahmen
    • Grundlegende Cybersicherheitspraktiken und Schulungen
    • Verwendung von Kryptografie und Verschlüsselung
    • Personal- und Zugangssicherheit
    • Multi-Faktor-Authentifizierung und gesicherte Kommunikationssysteme

Quelle: Artikel 21, Absatz 2

Bewertung von Lieferanten:

  • Betroffene Unternehmen müssen die spezifischen Schwachstellen ihrer direkten Lieferanten und Dienstleister sowie die allgemeine Qualität deren Produkte und Sicherheitspraktiken bewerten.
  • Die Ergebnisse der koordinierten Sicherheitsrisikobewertungen der kritischen Lieferketten müssen in die Maßnahmen integriert werden.

Quelle: Artikel 21, Absatz 3

Korrekturmaßnahmen bei Nichteinhaltung:

Betroffene Unternehmen müssen ohne unangemessene Verzögerung alle notwendigen, angemessenen und verhältnismäßigen Korrekturmaßnahmen ergreifen, wenn festgestellt wird, dass die Anforderungen nicht erfüllt werden.

Quelle: Artikel 21, Absatz 4

Koordinierte Sicherheitsrisikobewertungen

Risikobewertung:

  • Mitgliedstaaten müssen koordinierte Sicherheitsrisikobewertungen der kritischen Lieferketten durchführen.
  • Ergebnisse dieser Bewertungen sollen in die Risikomanagementmaßnahmen der Unternehmen einfließen sozusagen als Rückkopplung.

Quelle: Artikel 22

Zusammenarbeit und Informationsaustausch

Kooperationspflichten:

  • Unternehmen müssen mit den zuständigen Behörden und dem CSIRT (Computer Security Incident Response Team) zusammenarbeiten.
  • Verpflichtung zur Teilnahme an sektoralen und grenzüberschreitenden Kooperationsmechanismen.

Quelle: Artikel 29

Nutzung der europäischen Schemata für die Cybersicherheitszertifizierung

Zertifizierung:

Unternehmen müssen die europäischen Schemata für die Cybersicherheitszertifizierung nutzen, um sicherzustellen, dass ihre Produkte, Prozesse und Dienstleistungen den geforderten Sicherheitsstandards entsprechen.

Quelle: Artikel 24

Normung

Technische Spezifikationen:

  • Die Europäische Kommission soll technische Spezifikationen und Normen festlegen, die zur Erreichung eines hohen Cybersicherheitsniveaus beitragen.
  • Unternehmen müssen diese Normen berücksichtigen und anwenden.

Quelle: Artikel 25

Meldepflichten

Vorfallmeldung:

  • Verpflichtung zur unverzüglichen Meldung erheblicher Sicherheitsvorfälle an die zuständigen Behörden oder das CSIRT.
  • Detaillierte Berichte über den Vorfall müssen innerhalb eines Monats nach der Erstmeldung eingereicht werden.

Quelle: Artikel 23

Überwachung und Durchsetzung

Überwachungsmaßnahmen:

  • Mitgliedstaaten müssen geeignete Maßnahmen zur Überwachung der Einhaltung der Richtlinie durch die Unternehmen ergreifen.
  • Sanktionen und Abhilfemaßnahmen bei Verstößen gegen die Richtlinie.

Quelle: Artikel 27

Sanktionen

Sanktionen bei Verstößen:

  • Mitgliedstaaten müssen wirksame, verhältnismäßige und abschreckende Sanktionen für Verstöße gegen die Richtlinie festlegen.
  • Sanktionen können finanzielle Strafen und andere Maßnahmen umfassen.

Quelle: Artikel 28