Was ist NIS2?
Neue Sicherheitsvorschriften der EU
Die Neuauflage der „Network and Information Security 2“ der EU, kurz „NIS2“ steht zunächst in Verbindung mit neuen Sicherheitsanforderungen für bestimmte Unternehmen. Es bezieht sich auf ein Konzept für eine Weiterentwicklung des Internet-Protokolls (IP). Das Internetprotokoll ist das grundlegende Kommunikationsprotokoll, das verwendet wird, um Daten über das Internet zu übertragen. Die 2016 eingeführten Cybersecurity-Vorschriften der EU wurden durch dieses neue Konzept, die neuen Richtlinien, ersetzt. Ziel ist natürlich ein höheres und allgemeines Sicherheitsniveau in der gesamten Union zu erreichen.
Die Idee hinter NIS2 besteht darin, die aktuelle Internetinfrastruktur zu verbessern und den Anforderungen an Sicherheit, Effizienz und Skalierbarkeit gerecht zu werden, die durch die ständig wachsende Nutzung des Internets entstehen. Dies bedeutet das Risiko und die Bedrohung für Unternehmen zu minimieren und Resilienz, wie auch Reaktionskapazitäten der zuständigen Behörden, als auch öffentlichen Stellen zu optimieren.
NIS 2 ist eine Weiterentwicklung des ursprünglichen NIS-Protokolls, das auch als Yellow Pages oder YP bekannt ist. Dadurch, das produzierende Unternehmen betroffen sind, spielt dies erstmals auch eine Rolle für die Industriezweige wie Chemie, Lebensmittel, Maschinenbau, Elektro oder auch Automobil. NIS2 geht dabei weiter wie das bislang bekannte NIS oder auch die KTITIS-Verordnung. Es gibt höhere Strafen und konkretere Vorgaben.
Was sagt die EU?
„Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit. Sie enthält rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU.“
Bitte informieren Sie sich für Ihre Unternehmen und seine spezifischen Anforderungen. Wir bieten mit diesen Informationen lediglich einen Überblick und eine Zusammenfassung der veröffentlichten Angaben.
Wann tritt NIS2 in Kraft?
Cybersecurity und Compliance kommen auf unterschiedliche Industriezweige zu. Zunächst jedoch folgende Facts rund um die Verordnung:
- NIS-2-Richtlinie (EU) 2022/2555 ist seit 2023 auf EU-Ebene in Kraft
- Als Richtlinie nicht direkt anwendbar, sondern erst in nationales Recht umzusetzen
- Das nationale Recht muss ab 18. Oktober 2024 angewendet werden
- NIS2 gibt Mindeststandard vor, d.h. die EU-Staaten dürfen strengere Vorschriften erlassen
- In Deutschland wurde bisher ein Referentenentwurf für das NIS2-Umsetzungsgesetz bekannt
Wer ist von NIS2 betroffen?
Zitat Europäische Komission: „Unternehmen, die von den Mitgliedstaaten als Betreiber wesentlicher Dienste in den oben genannten Sektoren eingestuft wurden, müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren. Wichtige Anbieter digitaler Dienste wie Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze müssen die Sicherheits- und Benachrichtigungsanforderungen der Richtlinie erfüllen.“
Öffentliche und private Einrichtungen in 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme. Zusätzlich einige Sonderfälle unabhängig von ihrer Größe. Es folgt eine Auflistung der Sektoren aus Anhang 1 und Anhang 2 der NIS2 und Ihrer Teilsektoren.
Kritische Sektoren:
Sie finden die genaue Auflistung kritischer Sektoren unter den Links zu Anhang 1 und 2 (Siehe Abschnitt vorab), anbei jedoch nochmals eine kurze Zusammenfassung der übergreifenden Sektoren:
- Energie
- Verkehr
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Verwaltung von Informationss und Kommunikationstechnik
- Öffentliche Verwaltung
- Weltraum
- Post- und Kurierdienste
- Abfallwirtschaft
- Produktion und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/Herstellung von Waren
- Anbieter digitaler Dienste
- Forschung
Für Sie gilt NIS2: Das müssen Sie tun > Registrierung
Wenn NIS-2 für Sie gilt, müssen Sie sich bei der nationalen Behörde registrieren – wie genau, wird noch festgelegt. Folgende Informationen sind einzureichen:
Name Ihrer Einrichtung
Anschrift und Kontaktdaten, einschließlich E-Mail-Adressen, IP-Adressbereiche und Telefonnummern
ggf. den relevanten Sektor und Teilsektor gemäß Anhang I oder II
ggf. eine Liste der EU-Mitgliedstaaten, in denen Sie Dienste erbringen
Maßnahmen zum Risikomanagement NIS 2 (Art.21)
Sie haben sich für NIS2 registriert und sind von den neuen Richtlinien betroffen. Gemäß NIS2 müssen Sie folglich eine Reihe von Cybersecurity-Maßnahmen implementieren, um die Risiken für die Sicherheit Ihrer Netz- und Informationssysteme zu kontrollieren und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder zu minimieren. Dabei ist es wichtig, sowohl die IT-Systeme als auch ihre physische Umgebung zu schützen – ein sogenannter „All-Gefahren-Ansatz“. Die genaue Angemessenheit dieser Maßnahmen sollten Sie mittels eines risikobasierten Ansatzes festlegen.
Welche Maßnahmen gehörten zu NIS2?
- Policies: Entwicklung von Konzepten für Risikoanalyse und Sicherheit von Informationssystemen.
- Vorfallsbewältigung: Erkennung, Analyse, Eindämmung und Reaktion auf Sicherheitsvorfälle.
- Business Continuity: Management von Backups und Wiederherstellung sowie Krisenmanagement zur Aufrechterhaltung des Geschäftsbetriebs.
- Supply Chain: Gewährleistung der Sicherheit in der Lieferkette.
- Einkauf: Sicherstellung der Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen.
- Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen.
- Cyberhygiene und Schulung: Durchführung von Maßnahmen zur Cyberhygiene (z.B. regelmäßige Updates) und Schulungen im Bereich Cyber Security.
- Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung.
- Personal, Zugriffe, Assets: Sicherstellung der Personalsicherheit, Zugriffskontrolle und Asset Management.
- Authentifizierung: Implementierung von Multi-Faktor-Authentifizierung oder kontinuierlicher Authentifizierung.
- Kommunikation: Sicherstellung von sicheren Sprach-, Video- und Textkommunikationen, gegebenenfalls auch in Notfällen.
Gemäß dem deutschen NIS2-Gesetzesentwurf dürfen nur zertifizierte Informations- und Kommunikationstechnische Produkte und Dienste genutzt werde
Verantwortung der Geschäftsführung (Art. 20)
Die EU NIS2 Directive schreibt vor, dass erhebliche Sicherheitsvorfälle der nationalen Behörde und gegebenenfalls den Empfängern der eigenen Dienste gemeldet werden müssen. Auch dies betrifft natürlich vorrangig wieder die Geschäftsleitung und Verantwortlichen der Unternehmen, die für die Umsetzung die Verantwortung tragen.
Die Richtlinie sieht diese Fristen vor, um den Vorfall der Behörde zu melden:
Frühwarnung innerhalb von 24 h ab Kenntnis:
Verdacht, ob der Vorfall auf rechtswidriger oder böswilliger Handlung beruht und ob grenzüberschreitend.
Ausführlicher Bericht innerhalb von 72 h ab Kenntnis:
Erste Bewertung des Sicherheitsvorfalls, inklusive Schweregrad, Auswirkungen und ggf. die Kompromittierungsindikatoren.
Fortschritts-/Abschlussbericht ein Monat nach Meldung:
Ausführliche Beschreibung, Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen, ggf. die grenzüberschreitenden Auswirkungen.
Tags
- AdOns (1)
- Adventskalender (3)
- Anwendertipps (20)
- Arbeitszeitenerfassung (2)
- Azure (41)
- Business Event (1)
- Chat GPT (4)
- Christmas (3)
- Consulting (21)
- Copilot (4)
- Corona Microsoft 365 (1)
- Coronatests für Unternehmen (1)
- Cybersecurity (1)
- Development (11)
- Digitaler Vertrieb (3)
- Digitales Mindset (15)
- Digitalisierung (59)
- Digitalisierung im Handwerk (1)
- Digitalisierungsstrategie (17)
- Downhill Enduro Team (2)
- Experten (24)
- Forst digital (1)
- Führungskräfte (1)
- Fürst Wallerstein (1)
- Fürst Wallerstein Forstbetriebe (1)
- Gesetzliche Regelungen für Unternehmen (3)
- go-digital (1)
- Go-digital Förderprogramm BMWi (1)
- Handwerk in der Zukunft (1)
- Holzbau (1)
- Home-Office (7)
- Home-Office Hilfe (1)
- IHK (2)
- IT Blog (14)
- Jobs (6)
- Karriere (1)
- KI Prozess (4)
- Lead Kosmos (1)
- Lead Management (2)
- Level Up Microsoft Teams (10)
- lexoffice (1)
- Lizenzen (3)
- Mama (4)
- Management (9)
- Meeting (10)
- Microsoft 365 (110)
- Microsoft 365 Lizenzen (5)
- Microsoft Flow (3)
- Microsoft Planner (4)
- Microsoft Teams (47)
- Microsoft Teams Erweitungen (9)
- Microsoft Teams Tipps (20)
- Mitarbeiter Onboarding (1)
- Mountainbike (2)
- MS Teams Updates (3)
- MSCloudDE (49)
- New Work (17)
- Office 365 (63)
- OneDrive (8)
- OneNote (2)
- OpenAI (2)
- Outlook Addin (1)
- Persönlichkeitsentwicklung (2)
- Plugin (1)
- Potenziale leben (1)
- Power Apps und Power Automate (9)
- Power Automate (4)
- Preiserhöhung (1)
- Presse (2)
- Produkt (28)
- Prozesslösung (17)
- Prozessoptimierung (15)
- Remote Work (5)
- Security (14)
- SharePoint (41)
- SharePoint Online (18)
- Teamgeist (2)
- Teams Premium (1)
- Transformation (3)
- Transformation und Technologie (25)
- Uncategorized (11)
- Updates (4)
- Veroo Factory Racing Team (2)
- Weiblichkeit (1)
- Weihnachten (1)
- Weihnachten 2020 (3)
- Windows 11 (10)
- Wirtschaft Ostwürttemberg (14)
- Youtube (14)
- Zeitenbuchung in Microsoft Teams (6)