Die NIS2-Richtlinie – Zeit für proaktive Cybersecurity

Mit der NIS2-Richtlinie gelten ab Oktober 2024 für viele Unternehmen verpflichtende Sicherheitsmaßnahmen und Meldepflichten – auch für viele, die bisher nicht betroffen waren.

Mit der NIS2-Richtlinie gelten ab Oktober 2024 für viele Unternehmen verpflichtende Sicherheitsmaßnahmen und Meldepflichten – auch für viele, die bisher nicht betroffen waren.

Die Network and Information Security Directive, kurz NIS, wurde von der Europäischen Union entwickelt, um die Cybersicherheit in Sektoren mit hoher Kritikalität, wie Energie, Transport, Gesundheit und Finanzen zu stärken. Die NIS2-Richtlinie ist ein Update der ursprünglichen Richtlinie von 2016 und bringt einige wichtige Änderungen mit sich. Sie erweitert den Anwendungsbereich auf weitere kritische Sektoren und legt höhere Sicherheitsanforderungen fest. Insbesondere werden nun auch digitale Dienstleister und Plattformen in den Geltungsbereich einbezogen, was die Reichweite der Richtlinie erheblich erweitert.

Prüfen Sie, ob Sie davon betroffen sind und welche Auflagen Sie erfüllen müssen.

NIS2 sectors impacted

Die Themen der NIS2-Richtlinie:

 Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme

 Bewältigung von Sicherheitsvorfällen / Incident Handling

– Business Continuity Management

 Backup Management

 Krisenmanagement

 Sicherheit in der Lieferkette

– Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen

– Schwachstellen Management / Vulnerability Management

Bewertung der Wirksamkeit von Risikomanagementmaßnahmen

Sicherheitsmaßnahmen für Mitarbeiter mit Zugang zu sensiblen oder wichtigen Daten

Schulungen / Awareness im Bereich Cybersicherheit

Konzepte und Einsatz von Kryptografie

 Zugriffskontrolle und Management von Anlagen

Verwendung von Multi-Faktor-Authentifizierung (MFA) oder kontinuierlichen Authentifizierungen (SSO)

Gesicherte Sprach-, Video- und Textkommunikation sowie ggf. gesicherte Notfallkommunikationssysteme

Implementierung eines Information Security Management Systems

Um alle Themen im Überblick zu haben, können Sie hier unsere NIS2-Checkliste herunterladen.

Meldepflichten bei Cyber Incidents: Was muss wann, wohin und in welcher Form gemeldet werden?

Klären Sie vorab, wann Sie was und wohin berichten müssen und wer diesen Bericht anfertigt und freigibt. So muss beispielsweise bei einem Verdacht innerhalb von 24 Stunden eine erste Frühwarnung an die landesspezifische Sicherheitsbehörde erfolgen. Erhärtet oder bestätigt sich der Verdacht, muss innerhalb von 72 Stunden eine Meldung über den Sicherheitsvorfall folgen.

Abschließend muss spätestens einen Monat nach der Meldung über den bestätigen Vorfall ein Abschlussbericht versendet werden.

Dieser muss folgendes beinhalten:

 

  • Incident-Response-Bericht
  • Erörterung der ausgenutzten Schwachstelle
  • Getroffene und laufende Abhilfemaßnahmen
  • Auswirkungsbereich

Sollte der Vorfall innerhalb dieses Monats nicht beendet sein, muss stattdessen ein Fortschrittsbericht angefertigt und geliefert werden. In diesem Fall folgt der Abschlussbericht spätestens einen Monat nach Behandlung des Sicherheitsvorfalls.

Wie Sie sehen, sind diese Fristen enorm eng. Um im Schadensfall wertvolle Zeit zu sparen, empfehlen wir einen jährlichen “Incident Response Emergency Drill” und einen Rahmenvertrag zu Incident-Response-Tätigkeiten. Dies ermöglicht es dem Response Team, sich bereits in “Friedenszeiten” mit Ihren Systemen vertraut zu machen. Des Weiteren können Ansprechpartner, Krisenstab und Entscheidungsträger im Vornherein definiert werden, um somit wichtige Abläufe der Kommunikationskette einzuspielen.

Sie sind sich nicht sicher, was Sie alles erfüllen müssen? Unsere erfahrenen Berater können Sie dabei unterstützen.

Die Richtlinie ist groß, mit vielen Punkten und verschiedensten Lösungsmöglichkeiten. Airbus Protect verfügt über ein Team von Experten, das Sie in allen Phasen des Lebenszyklus und zu den verschiedenen Themen der NIS2-Richtlinie unterstützen kann. Unsere Experten verwenden sorgfältige Methoden und Frameworks, die auf Ihre Bedürfnisse zugeschnitten sind.

Unser Experten-Team führt die folgenden Maßnahmen durch:

  • Bestandsaufnahme
  • NIS2-Auditierung und Gap-Analyse
  • Beratung zu kosteneffizienten Lösungen
  • Planung und Organisierung der nächsten Schritte
  • Unterstützung bei der Umsetzung
  • Fortlaufende Begleitung und Optimierung

Benötigen Sie Unterstützung bei der Umsetzung der NIS2-Richtlinie? Wir helfen Ihnen gerne weiter.