Welche Pflichten sind mit NIS 2 verbunden?

Governance:

Sämtliche Risikomanagementmaßnahmen wesentlicher oder wichtiger Einrichtungen, sind von den Leitungsorganen zu billigen und zu überwachen. Die Leitungsorgane sollen verpflichtet, andere Mitarbeitende sollen ermutigt werden an entsprechenden Schulungen teilzunehmen.

Wesentliche und wichtige Einrichtungen müssen die Risiken für die Sicherheit der Netz- und Informationssysteme…

  • …beherrschen und
  • …die Auswirkungen etwaige Vorfälle auf den Empfänger der Dienste verhindert oder möglichst geringhalten.
  • die Auswirkungen etwaige Vorfälle auf andere Dienste verhindert oder möglichst geringhalten.

Dies gilt für solche Systeme, welche für den Betrieb oder für die Erbringung von Diensten genutzt werden.

Dazu sind geeignete und verhältnismäßige, technische, operative und organisatorische Maßnahmen zu ergreifen. Der Stand der Technik, sowie einschlägige Normen sind unter Einbeziehung entstehender Kosten und bestehender Risiken (Ausmaß der Risikoexposition, Größe der Einrichtung, Wahrscheinlichkeit, Schwere sowie gesellschaftliche und wirtschaftliche Auswirkungen) im Verhältnis zu berücksichtigen.

Die Maßnahmen sind auf Grundlage eines gefahrübergreifenden Ansatzes zu entwickeln, welcher die physische Umwelt der NIS-Systeme vor Sicherheitsvorfällen schützt. Folgendes muss der Ansatz umfassen:

a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;
b) Bewältigung von Sicherheitsvorfällen;
c) Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;
d) Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;

  • Spezifische Schwachstellen einzelner unmittelbarer (Dienst-)Anbieter sind zu berücksichtigen
  • Die Gesamtqualität der Produkte und Cybersicherheitspraxis von (Dienst-)Anbietern sind zu berücksichtigen
    Die koordinierte Risikobewertungen der Sicherheit kritischer Lieferketten sind zu berücksichtigen.
  • Diese werden ggf. von einer Kooperationsgruppe veröffentlicht.

e) Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;
f) Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
g) grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
h) Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
i) Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;
j) Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Wesentliche und wichtige Einrichtungen haben unverzüglich über jeden Sicherheitsvorfall Bericht zu erstatten. Damit einher geht auch die Information möglicher beeinträchtigter Dienste und das Festhalten grenzübergreifender Auswirkungen. An wen diese Meldung zu erfolgen hat, steht bis zur deutschen Umsetzung noch aus.

Stellen Einrichtungen fest, dass Empfänger ihrer Dienste durch erhebliche Cyberbedrohungen betroffen sein könnten, teilen sie unverzüglich Maßnahmen oder Abhilfemaßnahmen als Reaktion auf die Bedrohung mit. Auch die Tatsache dieser erheblichen Cyberbedrohung ist mitzuteilen.

Eine entsprechende Zertifizierung kann von den Mitgliedstaaten für bestimmte Produkte, Prozesse und Dienste vorausgesetzt werden, muss es aber nicht.

Juristen die schnell helfen
Zurück

Marktplatz IT-Sicherheit: weitere Angebote

Beiträge IT-Sicherheit

newspaper - news - icon
News
IT-Sicherheit-News
artikel paper - artikel - icon
Artikel
IT-Sicherheit-Artikel
Sprechblasen - Blog - Icon
Blog
IT-Sicherheit-Blogeinträge
Büroklammer - Whitepaper - Icon
Whitepaper
IT-Sicherheit-Whitepaper

ITS-Couch
ITS-Couch-Sofa-Icon
Markplatz Formate
Experten sehen & hören
its-couch-podcast-icon
IT-Sicherheit-Podcast
IT-Sicherheit zum hören

Ratgeber IT-Sicherheit
Glühbirne - Ratgeber - Icon
Cyber-Risk-Check
Hilfestellungen IT-Sicherheit
Dokument mit Stern - Studien - Icon
IT-Sicherheitsstudien
IT-Sicherheit-Studien
Glossar Cyber-Sicherheit - Glossar - Icon
Glossar
Glossar Cyber-Sicherheit
Buch - Icon
Vorlesung Cyber-Sicherheit
Lehrbuch “Cyber-Sicherheit”

Forum IT-Sicherheit

Datenschutz - Icon
Datenschutz
Diskussionsforum
Penetrationstests - Icon
Penetrationstests
Diskussionsforum
NIS2
NIS2
Diskussionsforum
Stand der Technik
Diskussionsforum
IT Supply-Chain-Security Icon
It-Supply Chain Security
Diskussionsforum

IT-Sicherheitstools

Interaktive Awareness-Schulung
Selbstlernangebot IT-Sicherheit
Zahnräder - Tools - Icon
Tools für IT-Sicherheitschecks
Tools zu verschiedenen Aspekten

Interaktive Listen
IT-Notfall
Kontaktdaten von IT-Sicherheitsanbietern
Penetrationstests - Icon
Penetrationstests
Kontaktdaten von IT-Sicherheitsanbietern
markplatz_illustration_beauftragtertest
Informationssicherheitsbeauftragter
Kontaktdaten von IT-Sicherheitsanbietern
SOC - Icon
Security Operations Center (SOC)
Kontaktdaten von IT-Sicherheitsanbietern
Datenschutzbeauftragter-Icon
Der Datenschutzbeauftragte (DSB)
Kontaktdaten von IT-Sicherheitsanbietern

Zertifikate IT-Sicherheit

Personenzertifikate - Icon
Personenzertifikate
Interaktive Liste
Unternehmenszertifikate - Icon
Unternehmenszertifikate
Interaktive Liste

Veranstaltungen

Anbieterverzeichnis
Marktplatz IT-Sicherheit Skip to content