Wie?
This content is not available in your language yet.
Wie sollen die Anforderungen der NIS2-Richtlinie erfüllt werden?
Prüfkette
Was kann ich tun, um die Anforderungen der NIS2-Richtlinie zu erfüllen?
Hier eine erste Skizze, die vsl. über die nächsten Monate weiter ausgebaut wird:
Anforderung Meldewege
Wie sollen Meldungen erfolgen?
Hier eine erste Skizze zu dem möglichen Ablauf von Meldungen, die vsl. über die nächsten Monate weiter ausgebaut wird:
In a nutshell
- Implementierung umfassender Sicherheitsmaßnahmen: Unternehmen müssen sicherstellen, dass ihre Maßnahmen die Sicherheitsanforderungen erfüllen und Risiken angemessen bewältigen (Artikel 21).
- Kooperation und Informationsaustausch: Unternehmen müssen eng mit Behörden und CSIRTs zusammenarbeiten und an sektoralen sowie grenzüberschreitenden Kooperationsmechanismen teilnehmen (Artikel 23).
- Cybersicherheitszertifizierung: Unternehmen müssen die europäischen Schemata für die Cybersicherheitszertifizierung nutzen (Artikel 24).
- Normung: Unternehmen müssen die von der Europäischen Kommission festgelegten technischen Spezifikationen und Normen anwenden (Artikel 25).
- Meldepflichten: Unternehmen müssen erhebliche Sicherheitsvorfälle unverzüglich an die zuständigen Behörden oder das CSIRT melden (Artikel 26).
- Vorbereitung auf Überwachungsmaßnahmen und Sanktionen: Unternehmen müssen darauf vorbereitet sein, dass ihre Einhaltung der Richtlinie überwacht wird und dass bei Verstößen Sanktionen verhängt werden können (Artikel 31 bis Artikel 37).
Umsetzung von Sicherheitsmaßnahmen
Erforderliche Maßnahmen:
- Betroffene Unternehmen müssen technische, operationelle und organisatorische Maßnahmen implementieren, die geeignet und verhältnismäßig sind, um die Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu bewältigen.
- Diese Maßnahmen müssen den Stand der Technik sowie relevante europäische und internationale Standards berücksichtigen.
Quelle: Artikel 21, Absatz 1
Spezifische Sicherheitsmaßnahmen:
- Betroffene Unternehmen müssen eine umfassendes Sicherheitskonzept implementieren, die folgende Elemente umfasst:
- Richtlinien zur Risikoanalyse und Informationssicherheit
- Incident Management
- Geschäftskontinuität (BCM), einschließlich Backup-Management und Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheit bei Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen
- Wirksamkeitsbewertung der Sicherheitsmaßnahmen
- Grundlegende Cybersicherheitspraktiken und Schulungen
- Verwendung von Kryptografie und Verschlüsselung
- Personal- und Zugangssicherheit
- Multi-Faktor-Authentifizierung und gesicherte Kommunikationssysteme
Quelle: Artikel 21, Absatz 2
Bewertung von Lieferanten:
- Betroffene Unternehmen müssen die spezifischen Schwachstellen ihrer direkten Lieferanten und Dienstleister sowie die allgemeine Qualität deren Produkte und Sicherheitspraktiken bewerten.
- Die Ergebnisse der koordinierten Sicherheitsrisikobewertungen der kritischen Lieferketten müssen in die Maßnahmen integriert werden.
Quelle: Artikel 21, Absatz 3
Korrekturmaßnahmen bei Nichteinhaltung:
Betroffene Unternehmen müssen ohne unangemessene Verzögerung alle notwendigen, angemessenen und verhältnismäßigen Korrekturmaßnahmen ergreifen, wenn festgestellt wird, dass die Anforderungen nicht erfüllt werden.
Quelle: Artikel 21, Absatz 4
Koordinierte Sicherheitsrisikobewertungen
Risikobewertung:
- Mitgliedstaaten müssen koordinierte Sicherheitsrisikobewertungen der kritischen Lieferketten durchführen.
- Ergebnisse dieser Bewertungen sollen in die Risikomanagementmaßnahmen der Unternehmen einfließen sozusagen als Rückkopplung.
Quelle: Artikel 22
Zusammenarbeit und Informationsaustausch
Kooperationspflichten:
- Unternehmen müssen mit den zuständigen Behörden und dem CSIRT (Computer Security Incident Response Team) zusammenarbeiten.
- Verpflichtung zur Teilnahme an sektoralen und grenzüberschreitenden Kooperationsmechanismen.
Quelle: Artikel 29
Nutzung der europäischen Schemata für die Cybersicherheitszertifizierung
Zertifizierung:
Unternehmen müssen die europäischen Schemata für die Cybersicherheitszertifizierung nutzen, um sicherzustellen, dass ihre Produkte, Prozesse und Dienstleistungen den geforderten Sicherheitsstandards entsprechen.
Quelle: Artikel 24
Normung
Technische Spezifikationen:
- Die Europäische Kommission soll technische Spezifikationen und Normen festlegen, die zur Erreichung eines hohen Cybersicherheitsniveaus beitragen.
- Unternehmen müssen diese Normen berücksichtigen und anwenden.
Quelle: Artikel 25
Meldepflichten
Vorfallmeldung:
- Verpflichtung zur unverzüglichen Meldung erheblicher Sicherheitsvorfälle an die zuständigen Behörden oder das CSIRT.
- Detaillierte Berichte über den Vorfall müssen innerhalb eines Monats nach der Erstmeldung eingereicht werden.
Quelle: Artikel 23
Überwachung und Durchsetzung
Überwachungsmaßnahmen:
- Mitgliedstaaten müssen geeignete Maßnahmen zur Überwachung der Einhaltung der Richtlinie durch die Unternehmen ergreifen.
- Sanktionen und Abhilfemaßnahmen bei Verstößen gegen die Richtlinie.
Quelle: Artikel 27
Sanktionen
Sanktionen bei Verstößen:
- Mitgliedstaaten müssen wirksame, verhältnismäßige und abschreckende Sanktionen für Verstöße gegen die Richtlinie festlegen.
- Sanktionen können finanzielle Strafen und andere Maßnahmen umfassen.
Quelle: Artikel 28