Beitrag teilen
HOME
/
blog
/
NIS2 Anforderungen: Welche Pflichten kommen auf Unternehmen zu?

NIS2 Anforderungen: Welche Pflichten kommen auf Unternehmen zu?

Tobias Forbes

Information Security Expert

October 11, 2023

6 min

Tobias ist ISO/IEC 27001 Officer & Auditor und ein erfahrener Experte für Informationssicherheit. Als solcher steht er in Kontakt mit Kunden unterschiedlichster Bedarfe: Von Startup bis Konzern, von Automobil- bis Versicherungsbranche. Er hat zahlreiche erfolgreiche Audits begleitet und weiß, worauf es beim Aufbau eines robusten ISMS ankommt.

Key Takeaways

Unternehmen müssen proaktiv die Netzwerk- und Informationssicherheit sowie die digitale Infrastruktur sichern, um die NIS2-Anforderungen zu erfüllen.

Unternehmen müssen ein NIS2-konformes Risikomanagement einführen, um Risiken für ihre Netz- und Informationssysteme zu bewerten und zu bewältigen.

Unternehmen müssen sich selbst als „besonders wichtige Einrichtung“ oder „wichtige Einrichtung“ einordnen und sich innerhalb von drei Monaten beim BSI registrieren.

Unternehmen müssen effektive Sicherheitsprogramme mit klaren Richtlinien und Verfahren für den Umgang mit Sicherheitsvorfällen implementieren.

Mit der zunehmenden Dringlichkeit des Themas Cybersicherheit auf der politischen Agenda der EU und ihren Mitgliedsstaaten einschließlich Deutschland und der offensichtlichen Verwundbarkeit der Infrastrukturen durch Hackerangriffe hat die EU eine Reihe von rechtlichen Maßnahmen aktualisiert.

Darunter fallen auch die NIS2 Anforderungen, die zur Sicherstellung eines hohen gemeinsamen Niveaus der Cybersicherheit innerhalb der Union mit der NIS2 Richtlinie eingeführt wurden. Diese Bemühungen um ein einheitliches Sicherheitsniveau für Netz- und Informationssysteme sind nicht neu, sondern spiegeln ein langjähriges Bestreben der EU wider.

Die neue Cybersecurity-Richtlinie erfordert von Unternehmen eine proaktive Herangehensweise an die Netzwerk- und Informationssicherheit sowie die Einhaltung einer Reihe von Pflichten und Vorschriften, um die digitale Infrastruktur vor Risiken und Bedrohungen zu schützen. Wir bieten einen Überblick über die NIS2 Anforderungen.

NIS2 Anforderungen: Was „besonders wichtige“ und „wichtige“ Einrichtungen einhalten müssen

Die NIS2 Anforderungen verlangen eine intensive Beschäftigung mit den Aspekten der Cybersicherheit und eine umfassende Anpassung der internen Prozesse und Systeme. Im Rahmen der NIS2 Anforderungen müssen Unternehmen verschiedene Pflichten erfüllen:

Selbsteinordnung

Sie müssen sich selbst definieren als „besonders wichtige Einrichtung“ (beziehungsweise KRITIS) oder „wichtige Einrichtung“.

Registrierung

Nach der Selbsteinordnung müssen sie sich innerhalb von drei Monaten beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.

Meldung von Sicherheitsvorfällen

Bei einem Sicherheitsvorfall muss eine Meldung an die zuständige Behörde im eigenen Mitgliedsstaat erfolgen.

Teilnahme am Informationsaustausch  

Unternehmen, die als „besonders wichtige“ Einrichtungen eingestuft sind, müssen aktiv am Informationsaustausch über die zentrale Austauschplattform des BSI (BISP) teilnehmen. Dies gewährleistet eine effektive Kommunikation bei Sicherheitsvorfällen.  

Einhaltung der Sicherheitsanforderungen  

Unternehmen müssen sich intensiv mit den neuen strengen Sicherheitsanforderungen im Rahmen der NIS2 Anforderungen auseinandersetzen. Dies beinhaltet die Implementierung von Sicherheitsmaßnahmen und -verfahren, um die Netzwerk- und Informationssysteme vor Bedrohungen zu schützen.  

Registrierung in anderen Mitgliedsstaaten  

Wenn ein Unternehmen in mehreren Mitgliedsstaaten der EU tätig ist, muss es sich in jedem Mitgliedsstaat bei der zuständigen Behörde registrieren und die jeweiligen Vorschriften einhalten.  

Vor diesen Aufgaben stehen Unternehmen im Rahmen der NIS2 Anforderungen

Die NIS2 Anforderungen zielen darauf ab, diejenigen Organisationen, die von der Richtlinie erfasst werden, widerstandsfähiger zu machen und somit den Schutz der europäischen Gesellschaft in ihrem täglichen Leben zu gewährleisten. Dafür stehen sie vor den Aufgaben, die wir im Folgenden vorstellen.

Risikomanagement als Grundpfeiler der NIS2 Anforderungen

Ein zentraler Aspekt der neuen Richtlinie ist ein NIS2-konformes Risikomanagement für die Informationssicherheit.

Unternehmen, die als wesentliche (besonders wichtige) oder wichtige Einrichtungen eingestuft werden, sind verpflichtet, angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder zu minimieren.

Die NIS2-Richtlinie fordert somit technische und organisatorische Maßnahmen (TOM) gemäß dem sogenannten „Stand der Technik“. Dies kann durch die Implementierung des Informationssicherheitsmanagementstandards ISO/IEC 27001 erzielt werden.

Die ISO/IEC 27001 ist ein international anerkannter Standard für Informationssicherheitsmanagementsysteme, der Unternehmen bei der Identifizierung, Bewertung und Behandlung von Risiken unterstützt.

Durch ein strukturiertes Risikomanagement können Unternehmen potenzielle Bedrohungen und Schwachstellen in ihren Netz- und Informationssystemen frühzeitig erkennen. Dies umfasst sowohl interne als auch externe Bedrohungen, wie etwa Cyberangriffe, Datenschutzverletzungen, Systemausfälle oder menschliches Versagen.

Indem Unternehmen ihre Risiken systematisch analysieren und bewerten, können sie gezielte Maßnahmen ergreifen, um potenziellen Schwachstellen zu begegnen. Dies bedeutet, dass sie besser auf mögliche Angriffe vorbereitet sind und schneller auf Sicherheitsvorfälle reagieren können. Finanzielle Schäden und Reputationsverluste können somit vermieden werden.

Der dahinterstehende Grundgedanke: Würden alle Unternehmen diese Praxis umsetzen, entstünde ein kohärentes Sicherheitsniveau, das die europäische Infrastruktur besser schützen und stärken kann.

Informationssicherheitsstandards in Lieferketten sicherstellen

Die Sicherheit in der Lieferkette ist ein Schwerpunkt der NIS2 Anforderungen. Unternehmen müssen sicherstellen, dass ihre Geschäftspartner und Dienstleister angemessene Sicherheitsvorkehrungen für ihre Informationssicherheit treffen. Daher werden Sicherheitsanforderungen häufig Vertragsbedingung und -bestandteil sein.

Es ist abzusehen, dass Informationssicherheitszertifizierungen bei der Auftragsvergabe eine herausragende Rolle als Beleg für den Fokus auf Informationssicherheit spielen werden: Sie beweisen, dass ein Unternehmen seine Stakeholder bestmöglich vor Risiken in der Informationssicherheit schützt.

Ein gutes Beispiel ist die Automobilbranche: Das TISAX®-Label ist bereits seit einigen Jahren ein ausschlaggebender Faktor bei der Auswahl von Zulieferern von Automobilherstellern. Mit diesem Standard soll unter anderem verhindert werden, dass böswillige Akteure über die Informationssysteme von Zulieferern durch sogenannte „Supply-Chain-Angriffe“ Zugriff auf Informationen wie Prototypen, Kundendaten und andere kritische Informationen erhalten.

Angriffe auf die Informationssicherheit in Lieferketten können weitreichende Schäden für beauftragende Unternehmen und Zulieferer nach sich ziehen. Daher vertrauen viele Unternehmen schon bei der Auftragsvergabe auf Zertifizierungen. Mit einem standardisierten ISMS kann eine solche Zertifizierung erlangt werden.

Sicherheitsvorfälle melden und angemessen behandeln

Unternehmen, die als Betreiber Kritischer Infrastruktur in den Anwendungsbereich der NIS2 Anforderungen fallen, müssen ihre nationale Cybersecurity-Behörde unverzüglich über signifikante Störungen, Vorfälle und Bedrohungen ihrer kritischen Dienstleistungen unterrichten.

Im Rahmen der Umsetzung der NIS2 Anforderungen muss das Unternehmen ein effektives Sicherheitsprogramm mit klaren Richtlinien und Verfahren für den Umgang mit Sicherheitsvorfällen implementieren. Damit sollen weitreichende Bedrohungen frühzeitig erkannt und begrenzt werden.

Das Incident Management (Sicherheitsvorfall-Management) ist ein fester Bestandteil von Informationssicherheits-Managementsystemen (ISMS) nach dem ISO/IEC 27001-Standard.

Die ISO-27001-Richtlinien beinhalten qualifizierte Vorgaben zur schnellen Identifizierung und Behebung von Sicherheitsvorfällen, zur Aufrechterhaltung des Betriebs während des Vorfalls und zur Wiederherstellung der Systeme nach einem Notfall.

Die NIS2 Anforderungen verlangen klare Kommunikationswege, Eskalationsverfahren und Notfallpläne, damit die Organisationen angemessen auf Sicherheitsvorfälle reagieren können.

Policies

Die Unternehmen müssen Richtlinien (Policies) für Risiken und Informationssicherheit entwickeln und umsetzen.

Diese Richtlinien definieren Vorgaben für den Umgang mit Cyber-Sicherheitsrisiken und stellen sicher, dass geeignete Schutzmaßnahmen ergriffen werden. Mit SECJURs Digital Compliance Office generieren Sie diese Richtlinien automatisiert und können so erheblich Zeit einsparen.

Aufrechterhaltung des Geschäftsbetriebs

Betreiber müssen Maßnahmen für das Business Continuity Management (BCM) umsetzen, um sicherzustellen, dass ihre kritischen Dienstleistungen auch im Falle eines Cyber-Sicherheitsvorfalls aufrechterhalten werden können.

Dies beinhaltet die Errichtung eines geeigneten Back-up-Managements, das Krisenmanagement und die Wiederherstellung nach einem Notfall.

Einkauf

Als Unternehmen müssen Sie Sicherheitsaspekte bei der Beschaffung von IT- und Netzwerk-Systemen berücksichtigen. Dies beinhaltet die Sicherstellung von Sicherheitsanforderungen betreffend die Produkte und Dienstleistungen, die sie erwerben. Damit sollen Unternehmen sicherstellen, dass sie den erforderlichen Sicherheitsanforderungen entsprechen.

Effektivität und Wirksamkeit

Unternehmen müssen Maßnahmen zur Messung und Bewertung der Effektivität ihrer Cybersecurity- und Risikomanagement-Maßnahmen implementieren. Dies wird durch die NIS2 Anforderungen verlangt und ermöglicht, die Wirksamkeit ihrer Sicherheitsmaßnahmen zu bewerten und bei Bedarf Anpassungen vorzunehmen.

Kommunikation

Verschlüsselte Sprach-, Video- und Textkommunikation ist ein wichtiges Implementierungs-To-Do, um die Vertraulichkeit und Integrität von Kommunikationsinhalten zu gewährleisten. Schließlich möchte kein Unternehmen, dass vertrauliche Geschäftsinterna nach außen dringen.

Personalwesen

Es müssen im Rahmen der NIS2 Anforderungen zudem geeignete Maßnahmen zur Sicherheit des Personals ergriffen werden. Dazu gehören zum Beispiel Zugangskontrollen, die fachgerechte Verwaltung von Anlagen und die Sicherstellung, dass nur berechtigtes Personal Zugriff auf sensible Systeme und Daten hat.

Kryptografie

Unternehmen müssen Vorgaben für den Einsatz von Kryptografie (Verschlüsselung von Informationen) festlegen und sie dort, wo möglich, implementieren. Kryptografie dient dazu, Daten zu schützen und die Vertraulichkeit und Integrität von Informationen sicherzustellen.

„Cybersecurity-Hygiene“ vermitteln

Die NIS2 Anforderungen schreiben vor, dass Unternehmen ihre Mitarbeiter in der „Çybersecurity-Hygiene“ schulen. Was verbirgt sich hinter dem Begriff?

Ähnlich wie bei der persönlichen Hygiene, bei der regelmäßiges Duschen und Händewaschen zur Vorbeugung von gefährlichen Krankheiten beitragen, umfasst die Cybersecurity-Hygiene Maßnahmen, die dazu beitragen sollen, Cyber-Bedrohungen zu minimieren und das Risiko von Sicherheitsvorfällen zu verringern. Typische Beispiele dafür sind zum Beispiel der korrekte Umgang mit Passwörtern oder das Erkennen von Phishingmails. Ganz allgemein werden meist Best Practices im Umgang mit sensiblen Daten und der sicheren Nutzung von IT-Systemen gelehrt.

Authentifizierung

Ein wichtiger Grundsatz in der Informationssicherheit ist die Vertraulichkeit. Selbstverständlich sollten nur diejenigen Personen Zugriff auf Personalakten oder Forschungsdaten haben, die dazu berechtigt sind. Unternehmen sollten daher, wo es möglich ist, Multi-Faktor-Authentifizierung und Single Sign-On (SSO) einsetzen, um die Sicherheit der Zugangsmechanismen zu erhöhen und unbefugten Zugriff zu verhindern.

Notfall-Kommunikation

Unternehmen sollen gesicherte Notfall-Kommunikationssysteme implementieren, um die Kommunikation und Koordination im Falle eines Sicherheitsvorfalls oder einer Krise sicherzustellen.

NIS2 Anforderungen: Cybersicherheit durch Zusammenarbeit der EU-Staaten

Ein zentrales Element der NIS2 Anforderungen ist die Notwendigkeit einer intensiven Zusammenarbeit und Kontrolle der Cybersicherheit zwischen den Mitgliedstaaten. Dieser umfassende Ansatz berücksichtigt die grenzüberschreitende Natur von Cyberbedrohungen und verlangt eine koordinierte Antwort auf diese Risiken.

Unternehmen und Organisationen müssen daher ihre Zusammenarbeit intensivieren, um ihre Systeme zu schützen und potenzielle Angriffe abzuwehren.  

Die Bedeutung der NIS2 Anforderungen kann nicht unterschätzt werden. Angesichts der zunehmenden Bedrohungen im Cyberraum ist es unerlässlich, dass Unternehmen und Organisationen die erforderlichen Schritte unternehmen, um ihre Netzwerke und Informationen zu sichern.  

Die Einhaltung der NIS2 Anforderungen wird zur obersten Priorität für Unternehmen in ganz Europa, da sie sicherstellen müssen, dass ihre Sicherheitsmaßnahmen den strengen Standards gerecht werden.

Fazit

Die NIS2 Anforderungen zeigen, dass die EU ernsthaft bestrebt ist, die Cybersicherheit ihrer Mitgliedsstaaten zu verbessern und die Resilienz von Unternehmen und kritische Infrastrukturen (KRITIS) zu stärken. Betroffene Unternehmen müssen hierauf reagieren und die erforderlichen Maßnahmen zeitnah umsetzen.

Die NIS2 Richtlinie erfordert von Unternehmen die Umsetzung von angemessenen Sicherheitsmaßnahmen zum Schutz ihrer Netz- und Informationssysteme. Dazu gehören die Einführung von Sicherheitsrichtlinien und -verfahren, die angemessene Reaktion auf Sicherheitsvorfälle sowie die Gewährleistung einer ausreichenden Widerstandsfähigkeit gegen Cyberangriffe.

Mit SECJURs Digital Compliance Office können Sie schnell und effizient ein Informationssicherheits-Managementsystem nach ISO/IEC 27001, dem Goldstandard der Informationssicherheit, aufbauen und die NIS2 Anforderungen erfüllen.

Der Vorteil: Mit unserer Automatisierungsplattform sparen Sie hunderte Stunden Arbeitsaufwand und stellen sicher, dass Ihr Unternehmen die NIS2 Anforderungen erfüllt.

Tobias Forbes

Tobias ist ISO/IEC 27001 Officer & Auditor und ein erfahrener Experte für Informationssicherheit. Als solcher steht er in Kontakt mit Kunden unterschiedlichster Bedarfe: Von Startup bis Konzern, von Automobil- bis Versicherungsbranche. Er hat zahlreiche erfolgreiche Audits begleitet und weiß, worauf es beim Aufbau eines robusten ISMS ankommt.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

June 5, 2023
10 min
Datenschutz-Folgenabschätzung: So funktioniert das Risiko-Werkzeug

Erfahren Sie in unserem neuesten Blogartikel, wie die Datenschutz-Folgenabschätzung (DSFA) Unternehmen dabei unterstützt, personenbezogene Daten effektiv zu schützen. Lesen Sie, welche Kriterien eine DSFA erforderlich machen und wie Unternehmen die Risiken für die Rechte und Freiheiten der Betroffenen bewerten können. Zudem erklären wir, warum die DSFA kein einmaliger Prozess ist, sondern regelmäßig durchgeführt werden sollte.

Lesen
June 7, 2023
12 min
Hinweisgeberschutzgesetz – das HinSchG im Überblick

In unserem neuesten Blogartikel geben wir Ihnen wichtige Einblicke in das Hinweisgeberschutzgesetz. Erfahren Sie mehr über die Bedeutung dieses Gesetzes und seine Hintergründe, was es genau umfasst und welche Vorteile es für Unternehmen bietet. Zudem werfen wir einen Blick auf die Pflichten und Verantwortlichkeiten, die mit der Umsetzung einhergehen. Mit praxisnahen Beispielen aus dem Unternehmensalltag und hilfreichen Tipps zur erfolgreichen Umsetzung des Gesetzes bieten wir Ihnen eine erste wertvolle Orientierung zum Hinweisgeberschutzgesetz.

Lesen
September 25, 2023
10 min
Bitkom-Studie: Mittelstand im Visier der Cyberkriminalität

Laut einer aktuellen Bitkom-Studie erlitt die deutsche Wirtschaft einen Schaden von 206 Milliarden Euro durch Cyberkriminalität, wobei vor allem Angriffe aus dem Umfeld der Organisierten Kriminalität zugenommen haben. Sowohl Großunternehmen als auch kleine und mittelständische Unternehmen waren betroffen. Wie können Sie Ihr Unternehmen schützen?

Lesen
TO TOP