Welche Pflichten sind mit NIS2 verbunden?

Governance:

Sämtliche Risikomanagementmaßnahmen wesentlicher oder wichtiger Einrichtungen, sind von den Leitungsorganen zu billigen und zu überwachen. Die Leitungsorgane sollen verpflichtet, andere Mitarbeitende sollen ermutigt werden an entsprechenden Schulungen teilzunehmen.

Wesentliche und wichtige Einrichtungen müssen die Risiken für die Sicherheit der Netz- und Informationssysteme…

  • …beherrschen und
  • …die Auswirkungen etwaige Vorfälle auf den Empfänger der Dienste verhindert oder möglichst geringhalten.
  • die Auswirkungen etwaige Vorfälle auf andere Dienste verhindert oder möglichst geringhalten.

Dies gilt für solche Systeme, welche für den Betrieb oder für die Erbringung von Diensten genutzt werden.

Dazu sind geeignete und verhältnismäßige, technische, operative und organisatorische Maßnahmen zu ergreifen. Der Stand der Technik, sowie einschlägige Normen sind unter Einbeziehung entstehender Kosten und bestehender Risiken (Ausmaß der Risikoexposition, Größe der Einrichtung, Wahrscheinlichkeit, Schwere sowie gesellschaftliche und wirtschaftliche Auswirkungen) im Verhältnis zu berücksichtigen.

Die Maßnahmen sind auf Grundlage eines gefahrübergreifenden Ansatzes zu entwickeln, welcher die physische Umwelt der NIS-Systeme vor Sicherheitsvorfällen schützt. Folgendes muss der Ansatz umfassen:

a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;
b) Bewältigung von Sicherheitsvorfällen;
c) Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;
d) Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;

  • Spezifische Schwachstellen einzelner unmittelbarer (Dienst-)Anbieter sind zu berücksichtigen
  • Die Gesamtqualität der Produkte und Cybersicherheitspraxis von (Dienst-)Anbietern sind zu berücksichtigen
    Die koordinierte Risikobewertungen der Sicherheit kritischer Lieferketten sind zu berücksichtigen.
  • Diese werden ggf. von einer Kooperationsgruppe veröffentlicht.

e) Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;
f) Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
g) grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
h) Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
i) Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;
j) Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Wesentliche und wichtige Einrichtungen haben unverzüglich über jeden Sicherheitsvorfall Bericht zu erstatten. Damit einher geht auch die Information möglicher beeinträchtigter Dienste und das Festhalten grenzübergreifender Auswirkungen. An wen diese Meldung zu erfolgen hat, steht bis zur deutschen Umsetzung noch aus.

Stellen Einrichtungen fest, dass Empfänger ihrer Dienste durch erhebliche Cyberbedrohungen betroffen sein könnten, teilen sie unverzüglich Maßnahmen oder Abhilfemaßnahmen als Reaktion auf die Bedrohung mit. Auch die Tatsache dieser erheblichen Cyberbedrohung ist mitzuteilen.

Eine entsprechende Zertifizierung kann von den Mitgliedstaaten für bestimmte Produkte, Prozesse und Dienste vorausgesetzt werden, muss es aber nicht.

Juristen die schnell helfen
IT-Sicherheitsgesetze - Überblick
Marktplatz IT-Sicherheit: weitere Angebote
BEITRÄGE IT-SICHERHEIT
newspaper - news - icon
News
IT-Sicherheit-News
artikel paper - artikel - icon
Artikel
IT-Sicherheit-Artikel
Sprechblasen - Blog - Icon
Blog
IT-Sicherheit-Blogeinträge
Büroklammer - Whitepaper - Icon
Whitepaper
IT-Sicherheit-Whitepaper
Use Cases - Whitepaper - Icon
Use Cases IT-Sicherheit
Use Cases zu IT-Sicherheitsthemen
RATGEBER IT-SICHERHEIT
Glühbirne - Ratgeber - Icon
Cyber-Risiko-Check
Hilfestellungen IT-Sicherheit
Glossar Cyber-Sicherheit - Glossar - Icon
Glossar
Glossar Cyber-Sicherheit
Dokument mit Stern - Studien - Icon
IT-Sicherheitsstudien
IT-Sicherheit-Studien
Buch - Icon
Vorlesung Cyber-Sicherheit
Lehrbuch "Cyber-Sicherheit"
IT-Gesetze Icon
IT-Sicherheitsgesetze
Aktueller Gesetzesrahmen
secaware - icon
IT-Sicherheitszahlen
Aktuelle Kennzahlen
Tools - icon
IT-Sicherheitsthemen
Orientierung in der IT-Sicherheit
FORUM IT-SICHERHEIT
Datenschutz - Icon
Datenschutz
Diskussionsforum
Penetrationstests - Icon
Penetrationstests
Diskussionsforum
NIS2
NIS2
Diskussionsforum
Stand der Technik - icon
Stand der Technik
Diskussionsforum
IT Supply-Chain-Security Icon
IT-Supply Chain Security
Diskussionsforum
IT-COUCH
TS-Couch-Sofa-Icon
Marktplatz Formate
Experten sehen & hören
ts-couch-podcast-icon
IT-Sicherheit-Podcast
IT-Sicherheit zum hören
its-couch-video-icon
Livestream IT-Sicherheit
Events & Material
INTERAKTIVE LISTEN
IT-Notfall
IT-Notfall
IT-Notfall
Penetrationstests
IT-Notfall
Informationssicherheitsbeauftragte (ISB)
IT-Notfall
Security Operations Center (SOC)
IT-Notfall
Datenschutzbeauftragte (DSB)
IT-Notfall
IT-Sicherheitsrecht
Juristische Beratung
IT-SICHERHEITSTOOLS
secaware - icon
Interaktive Awareness-Schulung
Selbstlernangebot IT-Sicherheit
Tools - icon
Tools für IT-Sicherheitschecks
Tools zu verschiedenen Aspekten
ZERTIFIKATE IT-SICHERHEIT
Personenzertifikate - icon
Personenzertifikate
Interaktive Liste
unternehmenzertifikate - icon
Unternehmenszertifikate
Interaktive Liste
Produktzertifikate - icon
Produktzertifikate
Interaktive Liste
VERANSTALTUNGEN
ANBIETERVERZEICHNIS
Skip to content