Die NIS2 – Richtlinie und die Anforderungen – Hier finden Sie alle Details für betroffene Unternehmen und was Sie dazu wissen müssen!
Die NIS2 – Richtlinie und die
Anforderungen an Unternehmen
Die NIS2 – Richtlinie verpflichtet betroffene Unternehmen, die in einen der regulierten Sektoren fallen folgende Anforderungen zu erfüllen:
- Es sind geeignete technische, operative sowie organisatorische Maßnahmen zu ergreifen
- Es ist ein Risikomanagement einzuführen um Risiken für die Sicherheit von Netzwerk- und Informationssystemen zu bewerten und zu behandeln
- Es sind entsprechende Maßnahmen zu ergreifen um Sicherheitsvorfälle zu verhinden bzw. die möglichen Auswirkungen zu minimieren
Die Sicherheitsanforderungen beinhalten gemäß der NIS2-Richtlinie lediglich grundlegende Angaben, doch die daraus resultierenden Maßnahmen müssen auf einem gefahrenübergreifenden Ansatz basieren, der sowohl Cyberbedrohungen als auch die physische Sicherheit von IT-Systemen berücksichtigt.
Die NIS2-Richtlinie sieht vor, dass folgende Anforderungen und entsprechende Maßnahmen umgesetzt werden
-
Etablierung eines Risikomanagements
-
Sicherstellen von Informationssicherheitsstandards in Lieferketten
-
Einsatz von Systemen zur Angriffserkennung
-
Behandlung von Sicherheitsvorfällen und deren Meldung
-
Entwicklung von Policies für Risiko und Informationssicherheit
-
Notfallmanagement zur Aufrechterhaltung des Geschäftsbetriebes
-
Berücksichtigung von Sicherheitsaspekten bei der Beschaffung
-
Etablierung einer Leistungsbewertung der Informationssicherheit
-
Sichere Kommunikation
-
Personalmanagement im Sinne von Zugangskontrollen
-
Kryptographische Vorgaben zum Erhalt der Vertraulichkeit und Integrität
-
Schulung im Sinne der “Cyber-Hygiene“
Wer ist von der NIS2 betroffen
Besonders wichtige Einrichtungen
- Energie
- Wasser
- Verkehr
- Finanzwesen
- Gesundheit
- IT-Infrastruktur
- IT-Dienste
- Weltraum
Wichtige Einrichtungen
- Energie
- Verkehr
- Finanzwesen
- Gesundheit
- Post & Kurier
- Abfallwirtschaft
- Chemie
- Lebensmittel
- Wasser
- IT-Infrastruktur
- IT-Dienste
- Online-Dienste
- Weltraum
- Produktion
- Forschung
Die Schritte für Anforderungen der NIS2-Richtlinie durch die Einführung eines ISMS nach ISO 27001 oder CISIS12
Reifegrad und GAP-Analyse
- Überprüfung der vorhandenen Dokumentation
- Durchführung der Reifegrad-Ermittlung
- Durchführung der GAP-Analyse
- Nachbearbeitung und Erstellen der Auswertung
- Präsentation und Besprechung der Ergebnisse
- Empfehlungen zur weiteren Vorgehensweise
Projektplanung
- Abstimmung des Projektplans und Projektstrukturplans
- Abstimmung eines Terminplans
- Bestimmung der Projektziele
- Aufbau des Projekt-Teams
- Planung und Definition der Projektorganisation
- Durchführung der Projekt – Umweltanalyse
- Klärung von Projektrisiken
- Festlegung von Projektregeln
- Durchführung des Kick-Off
Projektphase / Durchführung
- Priorisierung und Umsetzung der Arbeitspakete gemäß
Projektstrukturplan - Durchführung regelmäßiger Jourfix-Termine zur Besprechung iterativer
Projektphasen - Erstellung der gesamten ISMS – Dokumentation
- Schulung der Mitarbeiter
- Roll-Out und Umsetzung der geplanten Maßnahmen
Bewertung der ISMS Leistung
- Überprüfung der Erfüllung der Anforderungen
- Abgleich der Maßnahmen mit den Anforderungen interessierter Parteien
- Prüfung der Wirksamkeit von umgesetzten Maßnahmen
- Durchführung von finalen Korrekturen
- Durchführung eines Pre-Audits
- Erstellen eines Management – Reports
Zertifizierung des ISMS
- Vorbereitung des Audits hinsichtlich der Terminierung
- Anmelden des Zertifizierungs-Audits
bei einem ausgewählten
Zertifizierungsdienstleister - Durchführung des Audits mit einem externen Auditor
- Begleitung des externen Zertifizierungs-Audits
- Nachbearbeitung der Ergebnisse
Projektabschluss
- Erarbeitung der Maßnahmenpläne aus den Ergebnissen der Punkte aus dem Audit
- Priorisierung von weiteren Aktivitäten
- Lessons-Learning Meeting
- Projektabschluss