NEWS 19.10.2024
NIS2-Durchführungsverordnung 2024: Wichtige Erkenntnisse für betroffene Einrichtungen!
19. Oktober 2024
Am 17. Oktober 2024 hat die Europäische Kommission eine entscheidende Durchführungsverordnung zur NIS2-Richtlinie erlassen. Diese Verordnung stellt technische und methodische Anforderungen an Unternehmen, die in der digitalen Infrastruktur tätig sind. Hierzu zählen DNS-Diensteanbieter, TLD-Namensregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Anbieter von Inhaltsbereitstellungsnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten, Anbieter von Online-Marktplätzen, von Online-Suchmaschinen und von Plattformen für soziale Netzwerke sowie Vertrauensdiensteanbieter. Für Sicherheitsverantwortliche ergibt sich daraus ein klarer Handlungsbedarf.
Wir haben uns die Durchführungsverordnung angesehen und geben Ihnen nachstehend einen Überblick zu den zentralen Bereiche, einen Auszug zu den geforderten Maßnahmen und ein Fazit zur Umsetzung in Ihrer Organisation.
1. Verpflichtende Netz- und Informationssicherheitspolitik
Unternehmen müssen eine umfassende Netz- und Informationssicherheitspolitik entwickeln und kontinuierlich aktualisieren. Diese Richtlinie legt fest, dass die Sicherheitsziele der Organisation dokumentiert und mit der Gesamtstrategie des Unternehmens verknüpft werden müssen. Diese Politik ist nicht nur intern zu kommunizieren, sondern auch regelmäßig durch das Management zu überprüfen und weiterzuentwickeln, insbesondere nach Vorfällen oder signifikanten Änderungen.
Fazit: Dies erfordert eine aktive und kontinuierliche Rolle des Managements und der Sicherheitsverantwortlichen, um die Umsetzung sicherzustellen und auf neue Bedrohungen flexibel reagieren zu können.
2. Risikomanagement: Framework und Prozesse
Eine der Kernanforderungen ist die Einführung eines strukturierten Risikomanagement-Frameworks.
Unternehmen müssen:
-
Sicherheitsrisiken identifizieren und bewerten,
-
einen Risikobehandlungsplan entwickeln und regelmäßig überwachen,
-
diesen mindestens einmal jährlich oder nach Vorfällen aktualisieren.
Fazit: Sicherheitsverantwortliche müssen kontinuierlich die Sicherheitslage des Unternehmens überwachen und sicherstellen, dass angemessene Maßnahmen zur Risikobehandlung ergriffen und dokumentiert werden. Die methodische Umsetzung des Risikomanagements samt dokumentierter Beschreibung und der Einsatz einer Risikomanagement-Softwarelösung machen definitiv Sinn.
3. Umgang mit Sicherheitsvorfällen
Die Verordnung fordert klare Prozeduren für den Umgang mit Sicherheitsvorfällen. Es müssen Mechanismen zur Erkennung, Meldung und Bewältigung solcher Vorfälle implementiert werden.
Dazu gehört:
-
Ein Kategorisierungs- und Klassifizierungssystem für Vorfälle,
-
ein Eskalations- und Kommunikationsplan,
-
regelmäßige Tests der Vorfallreaktionsprozesse.
Fazit: Sicherheitsverantwortliche müssen sicherstellen, dass die Mitarbeitenden und das Unternehmen auf Vorfälle vorbereitet sind und effizient reagieren können, um Schäden zu minimieren.
4. Geschäftskontinuität und Krisenmanagement
Die Verordnung verlangt von Unternehmen einen Notfallplan für die Geschäftskontinuität und ein robustes Krisenmanagement.
Dazu gehören:
-
Pläne zur Wiederherstellung von IT-Systemen nach Vorfällen,
-
regelmäßige Tests und Überprüfungen dieser Pläne,
-
Sicherstellung von Backup-Systemen und redundanten Ressourcen.
Fazit: Dies bedeutet, dass Unternehmen nicht nur auf technischer Ebene vorbereitet sein müssen, sondern auch organisatorische Maßnahmen für den Fortbestand des Geschäftsbetriebs implementieren müssen. Mit einer Business Impact Analyse (BIA) können die Geschäftsanforderungen an die IT strukturiert identifiziert und festgelegt werden.
5. Lieferketten-Sicherheit
Ein weiteres zentrales Element der Verordnung ist die Sicherstellung der Cybersicherheit innerhalb der Lieferkette.
Unternehmen müssen:
-
Eine Sicherheitsrichtlinie für Lieferanten einführen,
-
Sicherstellen, dass Lieferanten den Cybersicherheitsstandards des Unternehmens entsprechen,
-
regelmäßige Audits und Überprüfungen bei Lieferanten und Dienstleister durchführen.
Fazit: Sicherheitsverantwortliche müssen nicht nur interne Prozesse steuern, sondern auch externe Partner und Zulieferer in die Sicherheitsstrategie integrieren.
6. Technische Anforderungen: Updates, Netzwerkschutz und Segmentierung
Technische Maßnahmen umfassen die regelmäßige Aktualisierung von IT- und Sicherheitssystemen und die Implementierung von Maßnahmen zum Schutz der Netzwerke.
Dies umfasst:
-
Proaktive Sicherheitsupdates,
-
Netzwerksicherheit durch Zugangssteuerungen und Netzwerksegmentierung,
-
Protokollierung von Netzwerksystemen und regelmäßige Überprüfung der Log-Daten auf Auffälligkeiten.
Fazit: Sicherheitsverantwortliche müssen sicherstellen, dass die technische Infrastruktur des Unternehmens auf dem neuesten Stand der Sicherheitsanforderungen ist.
Schlussfolgerung
Die neuen Anforderungen aus der NIS2-Durchführungsverordnung erhöhen den Druck auf die betroffenen Einrichtungen, ein umfassendes Cybersicherheitsmanagement (ISMS) zu implementieren. Sicherheitsverantwortliche spielen eine Schlüsselrolle bei der Umsetzung dieser Vorgaben und müssen sicherstellen, dass sowohl technische als auch organisatorische Maßnahmen in allen Bereichen greifen. Dies erfordert nicht nur technische Expertise, sondern auch die Fähigkeit, externe Partner und interne Stakeholder zu integrieren und die Sicherheitsstrategie kontinuierlich anzupassen.
Sie benötigen professionelle Hilfe bei der Umsetzung von NIS2 oder der Beurteilung von Sicherheitsmaßnahmen?
Kontaktieren Sie uns per Mail unter office@secriso.com oder telefonisch unter +43 463 276376