NIS2 Richtlinie in Deutschland
Anforderungen
Die Anforderungen sind speziell darauf ausgerichtet, die Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen und eine schnelle und effektive Reaktion im Falle von Sicherheitsvorfällen zu gewährleisten.
Da die Anforderungen vom Risikoprofil des Unternehmens abhängig sind, gelten für Betreiber kritischer Anlagen höhere Pflichten und Sicherheitsanforderungen, die im Folgenden nicht berücksichtigt werden. Dasselbe gilt für Unternehmen, die bereits durch DORA oder TKG reguliert werden. In NIS2 gibt es hier Ausnahmen die die Mehrfachregulierung berücksichtigen. Zusätzlich gibt es insbesondere im IT Bereich viele Ausnahemen und abweichende Regulierungen, die im Folgenden nicht berücksichtigt werden.
Diese Ausnahmen und Sonderregulierungen werden in unserem NIS2 Assistenten allerdings berücksichtigt.
1. Registrierungspflichten:
Wichtige und besonders wichtige Einrichtungen müssen sich registrieren. Die Registrierung erfolgt über eine gemeinsam vom Bundesamt (BSI) und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete Registrierungsmöglichkeit.
Diese Registrierung beinhaltet grundlegende Informationen wie z.B. Namen, Kontaktdaten und den Sektor der Einrichtung.
2. Mindestanforderungen von Risikomanagementmassnahmen:
Die Maßnahmen sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen.
-
Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik.
-
Bewältigung von Sicherheitsvorfällen.
-
Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement.
-
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.
-
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen.
-
Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik.
-
Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik.
-
Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung.
-
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen.
-
Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
3. Meldepflichten:
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind gemäß der NIS2 Richtlinie verpflichtet, erhebliche Sicherheitsvorfälle unverzüglich zu melden und die Empfänger ihrer Dienste über solche Vorfälle zu informieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Rückmeldungen und Unterstützung bei der Bewältigung der Vorfälle.
-
Innerhalb von 24 Stunden nach Kenntniserlangung.
-
Innerhalb von 72 Stunden nach Kenntniserlangung Aktualisierung der Meldung.
-
Auf Ersuchen des Bundesamtes Zwischenmeldung.
-
Spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls eine Abschlussmeldung.
4. Unterrichtungspflichten:
Das Unternehmen muss die Empfänger seiner Dienste unverzüglich über erhebliche Sicherheitsvorfälle unterrichten, die die Erbringung des jeweiligen Dienstes beeinträchtigen könnten. Diese Unterrichtung kann auch durch eine Veröffentlichung auf der Internetseite der Einrichtung erfolgen.
5. Pflichten für die Geschäftsleitung:
1. Billigungs- und Überwachungspflicht: Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmassnahmen umzusetzen und ihre Umsetzung zu überwachen.
2. Ersatzansprüche des Unternehmens gegenüber der Geschäftsleitung: Geschäftsleitungen, die ihre Pflichten nach Absatz 1 verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts. Nach diesem Gesetz haften sie nur, wenn die für die Einrichtung maßgeblichen gesellschaftsrechtlichen Bestimmungen keine Haftungsregelung enthalten.
3. Schulungspflicht: Die Geschäftsleitungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.
6. Durchsetzungsmassnahmen und Aufsicht des BSI
Das BSI (Bundesamt für Sicherheit und Informationstechnik) kann die Einhaltung der Verpflichtungen wichtiger Einrichtungen und besonders wichtiger Einrichtungen überprüfen.
Folgende und Durchsetzungsmaßnahmen können zum Besispiel ergriffen werden:
-
Anordnung von Audits, Prüfungen oder Zertifizierungen.
-
Festlegung fachlicher und organisatorischer Anforderungen.
-
Anordnung von Maßnahmen zur Verhütung oder Behebung eines Sicherheitsvorfalls.
-
Unterrichtung über Cyberbedrohungen.
-
Öffentliche Bekanntmachung von Verstößen.
-
Mitteilung an die zuständige Aufsichtsbehörde.
-
Aussetzung der Genehmigung und Untersagung der Tätigkeit.
7. Bussgeldvorschriften
wichtige Einrichtungen: Von 100.000 EUR bis zu 7 Mio EUR Bußgelder (oder bis zu 1,4 Prozent des Jahresumsatzes) je nach Zuwiderhandlung.
besonders wichtige Einrichtungen: Von 100.000 EUR bis zu 10 Mio EUR Bußgelder (oder bis zu 2 Prozent des Jahresumsatzes) je nach Zuwiderhandlung
Diese Bußgelder werden detailliert in unserem NIS2 Assistenten individuell behandelt.
Unsere Services
Erhebung der Anforderungen: Gap-Analyse
Erstellen der Lösungsarchitektur
-
Wir erstellen eine Gap-Analyse gegen Security Best Practices und spezifischen Standards
-
Durchführung einer Risiko-Analyse zur Bewertung der konkreten Cyber Security Risiken durch.
-
Das Ergebnis wird als Heatmap über den gesamten Kontrollstandard aufgearbeitet.
-
Wir erstellen einen Maßnahmenplan mit Priorisierung und und Etappenziele.
-
Beratung und Umsetzungsplanung zur Behebung von Audit-Issues
-
IS Policies: Erstellung unternehmensangepasster Information Security Vorgaben
Projektmanagement
-
Business Plan (Scope, Kosten, Nutzen, Risiken, Roadmap)
-
Projektorganistion
-
Projekt-Management,
-
Programm-Management.
Zertifikate:
Prince2 (classic & agil)
Scrum Product Owner
Scrum Master
ITIL4
CISSP
Business Analysis
Requirements Engineering
Vereinbaren Sie eine Beratungstermin
Dr. Johannes Faassen
mobil: +49 170 4168039