Worum geht es bei NIS2?
Warum braucht es eine solche Richtlinie?
Welche Rolle spielt der „Stand der Technik“?
Wen betrifft NIS2?
Wesentliche Bereiche | Wichtige Bereiche |
---|---|
Energie | Post- und Kurierdienste |
Verkehr und Transport | Abfallwirtschaft |
Bankwesen | Produktion, Herstellung und Handel mit chemischen Stoffen |
Finanzmärkte | Produktion, Verarbeitung und Handel von Lebensmitteln |
Gesundheitswesen | Verarbeitendes Gewerbe, Herstellung von Waren |
Trinkwasser | Anbieter digitaler Dienste |
Abwasser | Forschungseinrichtungen |
Digitale Infrastruktur | |
Banken und Finanzmärkte | |
Öffentliche Verwaltung | |
Weltraum |
Übersicht der betroffenen Sektoren nach NIS2.
Was sind die Vorgaben der NIS2-Richtlinie?
Organisationen müssen erhebliche Cyberincidents innerhalb von 72 Stunden an die nationalen Behörden melden. Dies ermöglicht es den Behörden, schnell auf Bedrohungen zu reagieren und die Auswirkungen zu minimieren.
Unternehmen und öffentliche Verwaltungen müssen geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Cybersecurity umsetzen. Dies umfasst die Sicherung von Netzwerken und Systemen sowie die Implementierung von Sicherheitsrichtlinien.
Maßnahme | Erläuterung |
---|---|
Policies | Richtlinien für Risiken und Informationssicherheit |
Incident Management | Prävention, Detektion und Bewältigung von Cyberincidents |
Business Continuity | BCM mit Backup Management, Disaster Recovery, Krisenmanagement |
Supply Chain | Sicherheit in der Lieferkette |
Einkauf | Beschaffung von IT- und Netzwerksystemen |
Effektivität | Vorgaben zur Messung von Cyber- und Risikomaßnahmen |
Training | Cybersecurity-Hygiene |
Kryptographie | Vorgaben für Kryptographie und wo möglich Verschlüsselung |
Personal | HR-Security |
Zugangskontrolle | Zugriffskontrolle |
Asset Management | Information Security Management System (ISMS) |
Authentifizierung | Einsatz von Multi-Faktor und SSO |
Kommunikation | Sichere Kommunikationstools |
Notfallkommunikation | Einsatz gesicherter Systeme (Sprach, Video und Text) |
Sicherheitsmaßnahmen nach NIS2
Die Geschäftsführung ist dazu angehalten, die Umsetzung der Maßnahmen zu überwachen. Dabei haftet sie für Verstöße. Die Teilnahme an entsprechenden Schulungen ist verpflichtend und diese müssen auch den Mitarbeitenden angeboten werden.
Sanktionen bei Verstößen
B3S als Orientierung
Was empfehlen wir bei plusserver?
Klären Sie zunächst, ob Ihre Organisation von NIS2 betroffen ist. Dazu können Sie die Übersicht der Entities (s. oben) nutzen und zusätzlich die folgenden Fragen beantworten:
- Erbringt Ihre Organisation Dienstleistungen in der EU oder übt ihre Tätigkeiten in der EU aus?
Haben Sie mindestens 50 Mitarbeitende oder mindestens 10 Millionen Euro Umsatz und mindestens 10 Millionen Euro Bilanz (hier gelten einige Sonderfälle im Hinblick auf die Kritikalität der erbrachten Dienste)?
Sie sind betroffen? Die Umsetzung der NIS2-Richtlinie erfordert eine sorgfältige Planung und Ressourcenallokation. Die folgende Checkliste kann Sie bei dieser Aufgabe unterstützen:
- Risikobewertung: Führen Sie regelmäßige Risikobewertungen durch, um die spezifischen Bedrohungen und Schwachstellen Ihres Unternehmens zu identifizieren.
- Sicherheitsmaßnahmen: Implementieren Sie angemessene Sicherheitsmaßnahmen, einschließlich Zugriffskontrollen, Verschlüsselung und Monitoring.
- Incident-Response-Plan: Erstellen Sie einen gut durchdachten Zwischenfallreaktionsplan, um sicherzustellen, dass Sie auf Incidents effektiv reagieren können.
- Schulung und Sensibilisierung: Schulen Sie Ihre Mitarbeitenden und stärken Sie die Awareness für Sicherheitsrisiken. Vermitteln Sie Best Practices, um menschliche Fehler zu minimieren.
- Compliance-Management: Halten Sie sich über die aktuellen Entwicklungen in der Gesetzgebung bezüglich Cybersicherheit auf dem Laufenden und stellen Sie sicher, dass Ihre Organisation stets konform ist.
- Supply-Chain-Management: Ebenso relevant wie Ihre eigenen Sicherheitsmaßnahmen sind die Maßnahmen Ihrer Zulieferer. Achten Sie besonders auf Zertifizierungen wie ISO 27001 sowie bei Cloud-Anbietern auf ein BSI-C5-Testat.
- Externe Hilfe: Es ist ratsam, sich auch an externe Berater und Lösungsanbieter zu wenden, um sicherzustellen, dass Sie alle Anforderungen der NIS2-Richtlinie erfüllen.
plusserver-Lösungen, die bei der Umsetzung von NIS2 unterstützen
Security-Beratung/Consulting | Security-Lösungen | Zertifizierte Infrastruktur |
---|---|---|
Pentests und Audits | SOC as a Service | Standorte in DE |
Awareness-Trainings | EDR as a Service | ISO 27001 |
(jeweils durch Partner) | Security Scanner | BSI C5 (Typ-II) |
Workload Protection | ||
Next Gen Firewall | ||
DDoS-Schutz | ||
Backup/Disaster Recovery |
Mit einem umfassenden Security-Portfolio, deutschen Cloud-Lösungen und einem breiten Partner-Ökosystem kann plusserver bei der Einhaltung gesetzlicher Vorgaben wie NIS2, aber auch SiG 2.0, unterstützen.