.png)
Sie sind nun beim zweiten Teil unserer dreiteiligen Blogserie über die NIS2-Richtlinie angelangt. Lesen Sie den ersten Teil über den Hintergrund und die Gründe für die NIS2-Richtlinie
Wie bereits im vorherigen Teil erwähnt, bringt NIS2 einige große Veränderungen mit sich:
Auch wenn die NIS2-Richtlinie größtenteils auf der ursprünglichen NIS-Richtlinie basiert, wird es mit der neuen Richtlinie einige große Änderungen geben. Mit der NIS2-Richtlinie wird eine Reihe von erweiterten Sicherheitsanforderungen eingeführt. Die Flexibilität bei der Erfüllung dieser Anforderungen wurde abgeschafft, da die ursprüngliche NIS aufgrund der übermäßigen Flexibilität Schwachstellen zuließ. NIS2 sorgt dafür, dass es keinen Raum für solche Schwachstellen gibt, da die Regeln, die jeder befolgen muss, klar umrissen sind.
NIS2 listet 13 Hauptthemen der Informationssicherheit auf, die Organisationen in ihren eigenen Informationssicherheitsplänen berücksichtigen und umsetzen müssen. Im Folgenden finden Sie eine Auswahl der wichtigsten Themen. Den vollständigen NIS2-Bericht finden Sie im Cyberday, der auch nach Prioritäten geordnete Empfehlungen für Maßnahmen enthält, die den verschiedenen Anforderungen entsprechen.
Die Organisation sollte über klar definierte Verfahren für das Management von Informationssicherheitsrisiken verfügen, die dazu dienen, die Angemessenheit der von der Organisation eingeführten Informationssicherheitsmaßnahmen zu bewerten und die wichtigsten Bereiche für die Weiterentwicklung zu ermitteln.
Wenn wesentliche oder wichtige Einrichtungen von einem bedeutenden Zwischenfall Kenntnis erhalten, müssen sie innerhalb von 24 Stunden eine Frühwarnung übermitteln. Im Anschluss daran sollte eine Störungsmeldung erfolgen, die unverzüglich und innerhalb von 72 Stunden nach Bekanntwerden der Störung zu übermitteln ist. Die Meldung sollte eine aktualisierte Bewertung des Vorfalls enthalten, einschließlich Schweregrad, Auswirkungen und Indikatoren für eine Gefährdung, falls vorhanden. Ein Abschlussbericht muss innerhalb eines Monats nach der Meldung des Vorfalls vorgelegt werden.
Unverzichtbare und wichtige Betreiber müssen durch Anleitung und Schulung für das Bewusstsein des Personals für die Informationssicherheit sorgen. Dabei sollten Themen behandelt werden, die für das Personal wichtig sind, z. B. die sichere Nutzung von Geräten, Software-Updates, sichere Fernarbeit sowie Identitäts- und Zugriffsmanagement.
Zur Sicherheit der Lieferkette gehört es, die Beziehungen zwischen Unternehmen und Lieferanten unter dem Gesichtspunkt der Informationssicherheit zu untersuchen. Welches sind aus Sicht der Erbringung der eigenen Dienstleistungen die kritischen Partner? Welche Anforderungen an die Informationssicherheit wurden für sie festgelegt und welche Nachweise gibt es, dass diese erfüllt wurden?
In der NIS2 sind die Unternehmen verpflichtet, deutlicher als bisher in diese Art von Lieferkettenanalyse zu investieren und die Anforderungen an die Informationssicherheit an wichtige Partner weiterzugeben.
Um eine sichere öffentliche elektronische Kommunikation zu gewährleisten, ist die Förderung der Ende-zu-Ende-Verschlüsselung und datenzentrierter Sicherheitskonzepte von entscheidender Bedeutung. Von den Anbietern kann verlangt werden, eine Ende-zu-Ende-Verschlüsselung zu implementieren, wobei Sicherheitsinteressen, öffentliche Sicherheit und Strafverfolgungspflichten zu berücksichtigen sind. Die Beibehaltung einer starken Verschlüsselung ist entscheidend für den Schutz von Daten, Privatsphäre und Kommunikationssicherheit.
Im Allgemeinen benötigen Organisationen einen Plan, der alle oben genannten Themen abdeckt und überwacht. Die NIS2 besagt auch, dass die Leitungsorgane der Organisationen z. B. die Risikomanagementmaßnahmen genehmigen und die Umsetzung der Cybersicherheit der Organisationen im Allgemeinen überwachen müssen. Dies erfordert eine systematischere Planung und Instrumente für die Cybersicherheit.
Jeder Mitgliedstaat muss eine oder mehrere zuständige Behörden ernennen oder einrichten, die für die Bewältigung von schwerwiegenden Cybersicherheitsvorfällen und -notfällen zuständig sind (so genannte Cyber-Krisenmanagementbehörden). Die Mitgliedstaaten müssen sicherstellen, dass diese Behörden über ausreichende Ressourcen verfügen, um die ihnen übertragenen Aufgaben wirksam und effizient zu erfüllen.
Die NIS2 wird eine breitere Palette von Sektoren (siehe unten) umfassen als die ursprüngliche NIS-Richtlinie. Die Sektoren werden in wesentliche und wichtige Einheiten unterteilt. Der Unterschied zwischen diesen beiden besteht darin, dass eine Unterbrechung des Dienstes in der Gruppe der wesentlichen Bereiche schwerwiegende Folgen für die Wirtschaft und Sicherheit eines Landes haben dürfte.
Im Gegensatz zur ursprünglichen NIS und ihren OES wird bei der NIS2 ein anderer Ansatz verfolgt. Es wird eine "Größenbeschränkung" eingeführt, d. h. Unternehmen in den folgenden Sektoren, die von der EU als mittelgroß oder groß eingestuft werden (mehr als 50 Beschäftigte und/oder ein Jahresumsatz von über 10 Mio. EUR), unterliegen der NIS2. Unternehmen, die in der Richtlinie (EU) 2022/2557 als kritisch eingestuft werden, unterliegen jedoch ungeachtet ihrer Größe oder ihres Umsatzes der NIS. Zu den kritischen Unternehmen gehören die unten aufgeführten wesentlichen Unternehmen sowie die Herstellung, Verarbeitung und der Vertrieb von Lebensmitteln.
Die Richtlinie gilt auch für Einrichtungen, die die folgenden Kriterien erfüllen:
Die Mitgliedstaaten haben die Möglichkeit, Stellen der öffentlichen Verwaltung auf lokaler Ebene und Bildungseinrichtungen, insbesondere solche, die kritische Forschung betreiben, in den Anwendungsbereich dieser Richtlinie einzubeziehen.
Bei der Beaufsichtigung von wesentlichen und bedeutenden Unternehmen im Rahmen der NIS2-Richtlinie gibt es einige wesentliche Unterschiede im Ansatz.
Bei wesentlichen Unternehmen müssen die Regulierungsbehörden sicherstellen, dass die ergriffenen Maßnahmen stark genug sind, um die Risiken wirksam zu mindern und die Sicherheit der wesentlichen Dienste zu gewährleisten. Das Ziel ist eine belastbare Aufsicht, die als Barriere gegen mögliche Störungen oder Ausfälle wirkt.
Bei wichtigen Unternehmen liegt der Schwerpunkt auf der Überwachung und Behandlung von Vorfällen auf der Grundlage von Beweisen oder Informationen, die auf eine Nichteinhaltung hinweisen. Die Regulierungsbehörden müssen den Betrieb wichtiger Einrichtungen im Auge behalten und bei Zwischenfällen geeignete Maßnahmen ergreifen. Der Schwerpunkt liegt auf der schnellen Erkennung von Problemen, um das reibungslose Funktionieren wichtiger Dienste aufrechtzuerhalten.
Auch wenn der Grad der Überwachung unterschiedlich sein kann, besteht das Ziel letztlich darin, sowohl wichtige als auch wichtige Einrichtungen zu schützen und die allgemeine Sicherheit der digitalen Infrastruktur zu gewährleisten. Die spezifischen Anforderungen und Aufsichtsmaßnahmen für jede Kategorie sind so konzipiert, dass sie der Kritikalität und den potenziellen Auswirkungen ihrer Dienste entsprechen und gewährleisten, dass angemessene Sicherheitsmaßnahmen getroffen und Verstöße angemessen geahndet werden.
Erfüllt ein Unternehmen die Anforderungen nicht, kann ein Bußgeld von bis zu 10 Mio. EUR oder 2 % des gesamten Jahresumsatzes verhängt werden. In den schwersten Fällen können Geldbußen bis zu 20 Mio. EUR bzw. 4 % des gesamten Jahresumsatzes verhängt werden.
Dies war der zweite Teil unserer dreiteiligen Blogserie über die NIS2-Richtlinie. Lesen Sie den letzten Teil NIS2: Mit dem Cyberday konform werden
Haben Sie weitere Fragen, benötigen Sie einen weiteren Hilfeartikel oder möchten Sie uns ein Feedback geben? Bitte kontaktieren Sie unser Team übercyberday oder die Chatbox in der rechten unteren Ecke.
