NIS 2 Checkliste – Anforderungen der NIS 2 Richtlinie pragmatisch umsetzen

NIS 2 Checkliste – Anforderungen der NIS 2 Richtlinie pragmatisch umsetzen

Die NIS 2 Richtlinie der EU stellt Unternehmen vor neue Herausforderungen in der Informationssicherheit. Sie setzt höhere Standards für die Absicherung von Netz- und Informationssystemen und verlangt von der Geschäftsleitung eine aktive Mitverantwortung. Diese FAQ soll Ihnen helfen, die Anforderungen der NIS 2 Richtlinie zu verstehen und sie pragmatisch in Ihrem Unternehmen umzusetzen. Ob Sie direkt betroffen sind oder sich als Teil der Lieferkette vorbereiten müssen – hier erfahren Sie, was zu beachten ist und welche Maßnahmen Sie ergreifen sollten. Unsere praxisnahe NIS 2 Checkliste und Expertenempfehlungen unterstützen Sie dabei, die Umsetzung effizient und sicher zu gestalten.

Gilt die NIS 2 Richtlinie für mein Unternehmen?

Die NIS 2 Richtlinie betrifft eine Vielzahl von Unternehmen in der EU, die als Betreiber essenzieller Dienste und wichtige digitale Anbieter gelten. Ob Ihr Unternehmen unter diese Kategorie fällt, hängt von spezifischen Anwendungskriterien ab, die im Gesetz definiert sind.

Anwendungskriterien:

Um schnell herauszufinden, ob die NIS 2 Richtlinie für Ihr Unternehmen gilt, können Sie den BSI Checker nutzen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Behörde für Cybersicherheit in Deutschland und bietet mit dem Checker-Tool eine einfache Möglichkeit, die Anwendbarkeit der Richtlinie zu überprüfen. Sie können hierzu auch unseren Blogbeitrag lesen.

Lieferketten-Risiken:

Auch wenn Ihr Unternehmen nicht direkt unter die NIS 2 Richtlinie fällt, kann sie trotzdem für Sie wichtig sein. Das liegt daran, dass Sie möglicherweise Teil der Lieferkette von Unternehmen sind, die unter die NIS 2 fallen. Diese Unternehmen müssen Risiken in ihrer Lieferkette besser managen und strenge Sicherheitsvorkehrungen treffen. Das bedeutet, dass Sie als Zulieferer oder Partner bestimmte Sicherheitsmaßnahmen umsetzen müssen, um diese Anforderungen zu erfüllen.

Was sind die Mindestmaßnahmen gemäß der voraussichtlichen Umsetzung des Gesetzes?

Die NIS 2 Richtlinie bringt strenge Anforderungen, die nicht nur Unternehmen betreffen, die direkt unter die Richtlinie fallen, sondern auch deren Lieferkettenpartner. Daher ist es wichtig, dass alle betroffenen Akteure grundlegende Sicherheitsmaßnahmen verstehen und umsetzen. Im Zentrum dieser Anforderungen steht die Verantwortung der Unternehmensführung.

Governance & Verantwortung der Geschäftsführung:

Die Geschäftsleitung spielt eine entscheidende Rolle bei der Umsetzung der NIS 2 Vorgaben. Sie muss aktiv Verantwortung für die Informationssicherheit im Unternehmen übernehmen und sicherstellen, dass alle Sicherheitsmaßnahmen konsequent umgesetzt werden. Das bedeutet, dass Informationssicherheit in die Unternehmensstrategie eingebunden wird, und die Geschäftsführung regelmäßig über Risiken und Schutzmaßnahmen informiert ist.

 

Nur so kann ein wirksames Risikomanagement gewährleistet werden. Dies umfasst u. a. auch das die Geschäftsführung zum Thema Cybersicherheit regelmäßig geschult wird. Die Umsetzung der NIS 2 Richtlinie ist ein Top-Down Projekt. Konkret bedeutet dies, dass wenn die Geschäftsführung nicht mitzieht, die Umsetzung schon zum scheitern verurteilt ist.

Risikomanagement

Eine klare Governance-Struktur und die aktive Beteiligung der Geschäftsführung bilden die Grundlage für ein wirksames Sicherheitskonzept. Doch Verantwortung alleine reicht nicht aus. Um die Vorgaben der NIS 2 Richtlinie effektiv umzusetzen, müssen diese in ein solides und systematisches Risikomanagement eingebettet werden.

 

Ein gut strukturiertes Risikomanagement ist der Ausgangspunkt für alle weiteren Sicherheitsmaßnahmen. Unternehmen müssen regelmäßig Risiken identifizieren, bewerten und geeignete Schutzmaßnahmen ableiten. Dies bedeutet, dass eine umfassende Risikobewertung durchgeführt werden muss, um potenzielle Schwachstellen und Bedrohungen zu erkennen. Darauf aufbauend können Sicherheitsvorkehrungen priorisiert und optimal eingesetzt werden.

 

Der Fokus liegt hierbei auf einem präventiven Ansatz: Risiken sollen frühzeitig erkannt und minimiert werden, bevor sie zu einem ernsthaften Problem werden. So schafft ein effektives Risikomanagement die Basis, um die Anforderungen aus Artikel 21 der NIS 2 Richtlinie zu erfüllen und potenzielle Cyberangriffe abzuwehren.

Was fordert Artikel 21 der NIS 2 Richtlinie?

Risikobasierter Ansatz

Artikel 21 Abs. 1 der NIS 2 Richtlinie stellt klar, dass sichergestellt werden muss, dass „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen“ ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen. Diese Maßnahmen sollen die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste verhindern oder zumindest möglichst geringhalten.

 

Die Maßnahmen müssen dem aktuellen Stand der Technik entsprechen und gegebenenfalls auf europäische oder internationale Normen Bezug nehmen. Dabei sind die Umsetzungskosten zu berücksichtigen, allerdings ohne Kompromisse beim Sicherheitsniveau einzugehen. Die Verhältnismäßigkeit der Maßnahmen wird anhand der Risikoexposition der Einrichtung, ihrer Größe sowie der Wahrscheinlichkeit und Schwere möglicher Sicherheitsvorfälle beurteilt. Dies schließt auch gesellschaftliche und wirtschaftliche Auswirkungen mit ein.

 

Diese Vorgaben sind uns keine Unbekannte und basieren auf einem risikobasierten Ansatz, der bereits aus Artikel 32 der Datenschutz-Grundverordnung (DSGVO) bekannt ist. Genau wie bei der DSGVO müssen auch hier die Sicherheitsmaßnahmen an das jeweilige Risiko angepasst werden. Das bedeutet, dass Unternehmen ihre Maßnahmen an der Wahrscheinlichkeit und Schwere potenzieller Sicherheitsvorfälle ausrichten müssen, um einen angemessenen Schutz zu gewährleisten. So wird sichergestellt, dass die eingesetzten Ressourcen effizient und gezielt zur Abwehr der größten Bedrohungen eingesetzt werden.

Konkrete Aufgabenbereiche

Nachdem wir uns mit dem risikobasierten Ansatz befasst haben, den Artikel 21 Absatz 1 der NIS 2 Richtlinie beschreibt, gehen wir nun auf die konkreten Sicherheitsmaßnahmen ein, die nach Absatz 2 gefordert werden. Diese Maßnahmen beruhen auf einem ganzheitlichen Ansatz, der nicht nur die Netz- und Informationssysteme, sondern auch deren physische Umgebung absichert. Hier sind die wesentlichen Punkte:

  1. Risikoanalyse und Sicherheitskonzepte für Informationssysteme: Unternehmen müssen detaillierte Konzepte für die Risikoanalyse entwickeln, um die Sicherheit ihrer Informationssysteme zu gewährleisten.
  2. Bewältigung von Sicherheitsvorfällen:
    Es ist notwendig, effektive Verfahren zur Erkennung, Meldung und Bewältigung von Sicherheitsvorfällen einzurichten, um schnell und effizient auf Bedrohungen reagieren zu können.
  3. Aufrechterhaltung des Betriebs und Krisenmanagement:
    Maßnahmen wie Backup-Management und Notfallwiederherstellung sind essenziell, um den Geschäftsbetrieb im Krisenfall aufrechtzuerhalten.
  4. Sicherheit der Lieferkette:
    Die Richtlinie fordert, sicherheitsrelevante Aspekte in den Beziehungen zu Lieferanten und Dienstleistern zu berücksichtigen, um Risiken in der gesamten Lieferkette zu minimieren.
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung:
    Dies umfasst das Management von Schwachstellen und die Einführung sicherer Verfahren bei der Entwicklung und dem Erwerb von Netz- und Informationssystemen.
  6. Bewertung der Wirksamkeit von Risikomanagementmaßnahmen:
    Konzepte und Verfahren zur regelmäßigen Überprüfung und Verbesserung der Cybersicherheitsmaßnahmen müssen implementiert werden.
  7. Grundlegende Cyberhygiene und Schulungen:
    Alle Mitarbeiter sollten regelmäßig in grundlegenden Cyberhygienepraktiken und Cybersicherheit geschult werden, um die allgemeine Sicherheitskultur im Unternehmen zu stärken.
  8. Kryptografie und Verschlüsselung:
    Verfahren für den Einsatz von Kryptografie, einschließlich Verschlüsselung, sind zu definieren und anzuwenden, wo es nötig ist.
  9. Sicherheit des Personals und Zugriffskontrollkonzepte:
    Dies schließt Maßnahmen wie Zugangskontrollen und das Management physischer und digitaler Ressourcen ein, um unbefugten Zugriff zu verhindern.
  10. Multi-Faktor-Authentifizierung und gesicherte Kommunikation:
    Der Einsatz von Multi-Faktor-Authentifizierung (MFA) ist verpflichtend, ebenso wie gesicherte Kommunikationssysteme, um eine robuste Sicherheitsinfrastruktur zu gewährleisten.

Diese Maßnahmen werden durch die Implementation Guidelines der EU konkretisiert, die eine wertvolle Orientierungshilfe bieten. Diese Guidelines, die sich derzeit in der Kommentierungsphase befinden, enthalten detaillierte Anleitungen zur Umsetzung der NIS 2 Anforderungen. Sie bieten eine solide Grundlage, auf die sich Unternehmen bereits jetzt stützen können, um eine ausreichende Sicherheitsumsetzung zu gewährleisten. Die Guidelines sind hier verfügbar: ENISA Implementation Guidance on NIS 2 Security Measures.

 

Umsetzung über ISO 27001 oder die Implementation Guidelines?

Neben den Implementation Guidelines haben wir aber auch die Möglichkeit uns an der ISO 27001 zu orientieren und diese Umzusetzen. Die Frage, ob man sich bei der Umsetzung der NIS 2 Richtlinie an der ISO 27001 orientieren sollte, ist dabei von entscheidender Bedeutung. Die Implementation Guidelines der EU bieten eine umfassende Grundlage, um die Anforderungen der NIS 2 umzusetzen. Sie decken viele Bereiche ab, die auch in der ISO 27001 enthalten sind, wie z. B. Risikomanagement, Incident Management und Asset Management. Dies bedeutet, dass eine Orientierung an der ISO 27001 eine langfristige Investition in einen international anerkannten Standard darstellen kann, der – falls gewünscht – später auch zertifiziert werden kann.

 

Allerdings muss jedes Unternehmen abwägen, ob eine Zertifizierung notwendig oder gewünscht ist. Die ISO 27001 ist ideal für Unternehmen, die sich eine formelle Zertifizierung und einen weltweit anerkannten Standard sichern möchten. Wenn eine Zertifizierung jedoch nicht angestrebt wird, können die Implementation Guidelines eine praktische und weniger aufwändige Alternative sein. Sie helfen dabei, die NIS 2 Anforderungen zu erfüllen, ohne den formellen Zertifizierungsprozess der ISO 27001 durchlaufen zu müssen.

 

Ein hilfreiches Werkzeug, um diese Entscheidung zu unterstützen, ist die OpenKRITIS Mapping Tabelle. Diese Tabelle zeigt auf, wie die Anforderungen der NIS 2 mit den Maßnahmen der ISO 27001 übereinstimmen. So können Sie besser einschätzen, ob eine ISO 27001-Integration für Ihr Unternehmen sinnvoll ist oder ob die EU-Implementation Guidelines ausreichend sind.

NIS 2 Checkliste

Die Umsetzung der NIS 2 Richtlinie kann komplex und herausfordernd sein. Doch Sie müssen diese Aufgabe nicht alleine bewältigen. Über unsere Webseite können Sie ganz einfach einen unverbindlichen Beratungstermin buchen. Gemeinsam unterstützen wir Sie dabei, die Anforderungen der NIS 2 Richtlinie effizient und sicher umzusetzen. Dabei nutzen wir Synergien aus Ihrer bestehenden Zusammenarbeit mit IT-Dienstleistern, bereits umgesetzten Datenschutzmaßnahmen und anderen Compliance-Prozessen, um den Aufwand so gering wie möglich zu halten.

 

Unsere Expertise stellt sicher, dass Sie optimal vorbereitet sind – unabhängig davon, ob Sie sich an der ISO 27001 orientieren oder die EU-Implementation Guidelines nutzen möchten. Um Ihnen einen schnellen Überblick über die wichtigsten Maßnahmen zu geben, haben wir eine praktische NIS 2 Checkliste zusammengestellt. Diese hilft Ihnen, die zentralen Punkte strukturiert und effektiv umzusetzen.

Checkliste: Umsetzung der NIS 2 Richtlinie

  1. Prüfen Sie die Anwendbarkeit der NIS 2 Richtlinie für Ihr Unternehmen.
    Überprüfen Sie mithilfe des BSI Checkers, ob Ihr Unternehmen direkt unter die NIS 2 fällt oder ob Sie als Teil der Lieferkette betroffen sind.
  2. Definieren Sie Governance-Verantwortlichkeiten
    Integrieren Sie Informationssicherheit in die Unternehmensstrategie und stellen Sie sicher, dass die Geschäftsführung aktiv involviert ist.
  3. Führen Sie eine Risikobewertung durch
    Entwickeln Sie ein umfassendes und systematisches Risikomanagement, um Bedrohungen frühzeitig zu erkennen und zu minimieren.
  4. Zu betrachtende Mindestmaßnahmen
    Die folgenden Punkte gelten nur, wenn Ihr Unternehmen direkt von der NIS 2 Richtlinie betroffen ist oder als Teil der Lieferkette entsprechende Sicherheitsanforderungen erfüllen muss:
    1. Policy on the Security of Network and Information Systems: Erstellen Sie eine klare Sicherheitsrichtlinie für Ihre Systeme.
    2. Risk Management Policy: Entwickeln und implementieren Sie eine umfassende Risikomanagementstrategie.
    3. Incident Handling: Richten Sie Prozesse ein, um Sicherheitsvorfälle schnell zu erkennen, zu melden und zu beheben.
    4. Business Continuity and Crisis Management: Planen Sie Maßnahmen zur Sicherstellung der Betriebsfähigkeit und zum Management von Krisen.
    5. Supply Chain Security: Bewerten Sie Sicherheitsrisiken in Ihrer Lieferkette und arbeiten Sie mit Partnern zusammen, um diese zu minimieren.
    6. Security in Network and Information Systems Acquisition, Development, and Maintenance: Achten Sie auf Sicherheitsmaßnahmen beim Erwerb, der Entwicklung und der Wartung Ihrer Systeme.
    7. Policies and Procedures to Assess the Effectiveness of Cybersecurity Risk-Management Measures: Überprüfen und verbessern Sie kontinuierlich Ihre Sicherheitsmaßnahmen.
    8. Basic Cyber Hygiene Practices and Security Training: Schulen Sie Ihre Mitarbeiter regelmäßig in grundlegender Cyberhygiene und Sicherheitsverfahren.
    9. Cryptography: Setzen Sie Verschlüsselung und andere kryptografische Verfahren ein, um die Sicherheit zu erhöhen.
    10. Human Resources Security: Implementieren Sie Sicherheitsmaßnahmen, die den Schutz Ihres Personals gewährleisten.
    11. Access Control: Sorgen Sie dafür, dass nur autorisierte Personen Zugriff auf kritische Systeme und Daten haben.
    12. Asset Management: Führen Sie eine vollständige Inventarisierung und Sicherung aller Vermögenswerte durch.
    13. Environmental and Physical Security: Schützen Sie Ihre physischen Standorte und Umgebungen vor Bedrohungen.
Nach oben scrollen
Cookie Consent mit Real Cookie Banner