EU-Richtlinie NIS2

Die Einrichtungen unterscheiden sich in Umfang und Inhalt des gesetzlich vorgeschriebenen Umsetzungsgrades und der Nachweispflichten:

• Generell gilt, es müssen Mindestvorgaben für ein Incident Management zur Vorbeugung, Erkennung und Behandlung von Sicherheitsvorfällen umgesetzt und eingehalten werden.
• Prüfen Sie für Ihr Unternehmen, ob weitere Maßnahmen entsprechend einem Gefahren-übergreifenden Ansatz für physische IT-Sicherheit z. B. für den Schutz vor Diebstahl, Feuer, Stromausfall auf Basis einer Risikobewertung anhand von Richtlinien-Vorgaben stattfinden muss.
• Ein Großteil der von NIS2 betroffenen Unternehmen wird auf Organisationsebene eine fortlaufende Risikoanalyse oder ein Risikomanagementsystem einführen müssen. Darüber hinaus ist ein Information Security Management Systems (ISMS) mit einem unternehmensspezifischem Notfallhandbuch aufzubauen – und –  mehr noch ein Business Continuity Management (BCM) z. B. mit Backup-Management und Disaster Recovery einzubinden.
• Operative und technische Pflichten stehen ggf. in Ihrem Unternehmen an, beispielsweise ausgearbeitete Konzepte und Verfahren für den Einsatz von Kryptografie und für den Einsatz von Hash- und Verschlüsselungsstandards, für die Nutzung von Prozessen mit Multi-Faktor-Authentifizierung (MFA) sowie nachgewiesene Maßnahmen zur Cyberhygiene, z. B. Passwortsicherheitsrichtlinien..
• Für viele wird ein Krisenmanagement speziell für IT-Sicherheit obligatorisch und manche Sektoren werden zur Auditierung und Testung für die Effektivitätsmessung von IT-Sicherheitsmaßnahmen verpflichtet sein.
• Die IT-Sicherheit in der Systemakquisition, -entwicklung und -wartung wird in manchen Organisationen ebenso bindend wie Zugriffskontrollen, Asset Management oder sichergestellte Zero-Trust-Zugriffe von interner versus externer und Remote-Benutzeraktivitäten auf allen Ihren Anwendungen für Identitätssicherheit. On-Premise und Cloud-basierte Ressourcen erhalten eine strengere Zugriffskontrolle.
• Die IT-Sicherheit liegt stärker denn je in der Verantwortung aller Mitarbeitenden, wofür Security-Awareness-Trainings notwendig werden.
• Mit NIS2 muss IT-Sicherheit auch innerhalb von Lieferketten gewährleistet sein, was eine koordinierte Risikobewertung direkter Lieferketten bedeutet. Damit müssen Sie ggf. Ihre Lieferanten und Diensteanbieter zur Informationssicherheit verpflichten, da dies in Überprüfungen und Audits mit abgefragt wird.
• Mit der NIS2 kommen Meldepflichten bei jeglichen Sicherheitsvorfällen. Dafür müssen Meldungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) geleistet werden:  innerhalb von 24 Stunden muss als Frühwarnung als etwaige Verdachtsmeldung, innerhalb von 72 Stunden als Meldung mit einer ersten konkreten Bewertung der Lage sowie anschließend innerhalb eines Monats diese Bewertung durch einen Abschlussbericht inklusive einer Planung von Abhilfemaßnahmen eingereicht werden.

Sie sehen, es gibt viel zu beachten und zu planen! Wir helfen Ihnen dabei!