top of page

NEWS 18.09.2023

Die neue NIS-2 Richtlinie: Das muss man beachten!

18.September 2023

Bereits im letzten Jahr trat die NIS2-RL in Kraft. Diese folgt der NIS Richtlinie und soll einheitliche Cybersicherheit im EU-Raum bringen. Zentrale Änderungen waren die Erweiterung des Anwendungsbereiches und schärfere Sanktionen. Was das jetzt allerdings für die einzelnen Unternehmen bedeutet, bleibt für Viele noch offen – und das nicht nur, weil die nationale Gesetzgebung noch offen ist.

Die Network-and-Information-Security-Richtlinie 2.0, kurz NIS2-RL, hat viele Unternehmen überrascht, insbesondere wohl die jetzt neue „Selbsteinschätzung“ und die daraus gegebenenfalls folgende Umsetzung der Vorgaben. Natürlich ist zu sagen, dass es noch keine endgültigen Aussagen von Behörden dazu gibt, Unternehmen bleibt im ersten Schritt derzeit lediglich die Möglichkeit zu einer gut begründeten, nachweislichen Zuordnung – oder auch Nicht-Zuordnung.

Schritt 1: Zuordnung und Scoping

Maßgebliches Kriterium ist die Zugehörigkeit zu einem von 18 Sektoren, diese sind in den Anhängen I und II der NIS2-RL konkretisiert. Im Anhang findet man Verweise zu diversen Richtlinien, die eine Zuteilung erleichtern sollen. Fällt man in einen der Sektoren wie z.B. Energie, Post- und Kurierdienste, Verkehr oder Verarbeitendes Gewerbe/Herstellung von Waren, so macht man den nächsten Schritt.

Nun muss geprüft werden, ob man als Einrichtung als kleines, mittleres oder großes Unternehmen gilt. Daraus ergibt sich die Einstufung zu wesentlicher oder wichtiger Einrichtung:

 

 

 

Soweit so gut – das würde eigentlich bedeuten, dass kleine Unternehmen nicht in die NIS2-RL fallen, aber auch hier gibt es Ausnahmen. Auf diese wollen wir hier aber nicht im Detail eingehen.

Des Weiteren gibt es auch Sonderkonstellationen, etwa wenn komplexe Unternehmensstrukturen mit Mutter- und Tochtergesellschaften betroffen sind. Wie diese größenmäßig einzuteilen sind, finden sie in der NIS2-RL im Erwägungsgrund 16.

Scoping

 

Schritt 2: Risikoanalyse

Ist das Unternehmen jetzt zugeteilt und die betroffenen Organisationseinheiten identifiziert, folgt der nächste Schritt – die Risikoanalyse. Dabei werden die Risiken identifiziert, die sich im Unternehmen ergeben. So kann man hier z.B. überprüfen, welche Schwachstellen im Netzwerk identifiziert werden können oder etwa auch, ob es Schwachstellen in der physischen Sicherheit gibt.

Die Risikoanalyse muss gefahrenübergreifend durchgeführt werden, d.h. auch Gefährdungen wie Feuer oder ein Stromausfall müssen betrachtet werden.

 

Schritt 3: Umsetzung der Maßnahmen

Ist die Risikoanalyse abgeschlossen, kommt der entscheidende Teil der Umsetzung: Maßnahmen werden definiert und implementiert.

Dabei orientiert man sich an den Ergebnissen der Risikoanalyse: Für die identifizierten Risiken werden Gegenmaßnahmen definiert und im Anschluss umgesetzt. Die NIS2-RL sieht hier bereits 10 Maßnahmen vor, an denen sich Unternehmen orientieren können:

 

  1. Risikoanalyse und Sicherheit für Informationssysteme

  2. Bewältigung von Sicherheitsvorfällen

  3. Business Continuity und Krisenmanagement

  4. Sicherheit der Lieferkette

  5. Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT

  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen

  7. Cyberhygiene und Schulungen zur Cybersicherheit

  8. Kryptografie und ggf. Verschlüsselung

  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle

  10. Multi-Faktor-Authentifizierung

 

Abschließend kann gesagt werden, dass die NIS2-RL in jedem Fall auf die Wirtschaftlichkeit der Maßnahmen und die Umsetzung hinweist. Für Unternehmen bleibt der Aufwand groß, umso wichtiger ist daher eine effiziente und sinnvolle Umsetzung der Anforderungen.

Wir bei secriso haben dazu ein mehrstufiges Konzept zur Umsetzung der NIS2-RL entwickelt. Wir unterstützen Sie gerne bei der Zuordnung, dem Scoping und der Maßnahmenumsetzung, aber auch für das Risikomanagement können Sie auf Unterstützung durch uns und unsere Software 4conform setzen! Der Umsetzungsaufwand kann mit uns optimiert werden!

Sie erreichen uns per Mail unter office@secriso.com oder telefonisch unter +43 463 276376

Grafik NIS2.png
bottom of page