What is the NIS2 Directive?

NIS2 ist die zweite Version der Netzwerk- und Informationssicherheitsrichtlinie (NIS) der EU und der wichtigste Cybersicherheitsstandard in der EU. NIS2 aktualisiert NIS, indem es die vom Gesetz und seinen Anforderungen betroffenen Sektoren erweitert. Bis zum 17. Oktober 2024 müssen die EU-Mitgliedsstaaten NIS2 in nationales Recht umsetzen, sodass alle von NIS2 betroffenen Organisationen bis zum vierten Quartal 2024 Compliance sein müssen.

Infinity Global Services KONTAKTIEREN SIE EINEN EXPERTEN

What is the NIS2 Directive?

Die Bedeutung der NIS2-Richtlinie

NIS2 erstellt einen Standardsatz von Cybersicherheitsanforderungen für Organisationen, die den EU-Mitgliedsstaaten wesentliche oder wichtige Dienste bereitstellen. Dadurch verringert sich das Risiko, dass Cyberangriffe auf diese Organisationen erhebliche Auswirkungen auf die EU-Bürger haben könnten.

Von der NIS2-Richtlinie betroffene Sektoren

Die NIS2-Richtlinie klassifiziert Sektoren in wesentliche und wichtige Einheiten. Beispiele für wesentliche Einheiten (EE) sind:

  • Energy
  • Verkehrswesen
  • Finanzwesen
  • Öffentliche Verwaltung
  • Gesundheitswesen
  • Raum
  • Wasserversorgung
  • Digitale Infrastruktur

NIS2 wirkt sich auch auf wichtige Einheiten (IE) aus, wie zum Beispiel:

  • Postdienst
  • Abfallmanagement
  • Chemikalien
  • Forschung
  • Essen
  • Fertigung
  • Digitale Anbieter

Außer von der Branche ist auch die Größe der Organisation von Einfluss auf die NIS2- Compliance . Grundsätzlich müssen EE mindestens 250 Mitarbeiter beschäftigen und einen Jahresumsatz von über 50 Millionen Euro oder eine Bilanzsumme von 43 Millionen Euro aufweisen. IEs müssen grundsätzlich mindestens 50 Mitarbeiter und einen Jahresumsatz bzw. eine Jahresbilanz von mindestens 10 Millionen Euro haben. Allerdings variieren diese Regeln je nach Sektor. Darüber hinaus können Unternehmen, die der einzige Anbieter einer bestimmten Dienstleistung in einem EU-Mitgliedsstaat sind, unabhängig von ihrer Größe als EE oder IE eingestuft werden.

Was sind die NIS2-Anforderungen?

NIS2 erstellt vier Sätze organisatorischer Anforderungen auf hoher Ebene, darunter:

  • Risikomanagement: Organisationen sollten ihre Cyberrisiken durch Reaktion auf Vorfälle, Lieferkettensicherheit, Netzwerksicherheit, Zugriffskontrolle und die Verwendung von Verschlüsselung verwalten.
  • Verantwortung des Unternehmens: Die Unternehmensleitung ist für die Sicherheit des Unternehmens verantwortlich und sollte beim Cyber-Risikomanagement eine aktive und informierte Rolle übernehmen.
  • Meldepflichten: NIS2 definiert Meldepflichten für bedeutende Sicherheitsvorfälle, einschließlich einer 24-stündigen „Frühwarnung“.
  • Geschäftskontinuität: Betroffene Organisationen sollten über Strategien zur Geschäftskontinuität verfügen, darunter die Erstellung von Wiederherstellungsplänen, Notfallverfahren und einem Krisenreaktionsteam.

Darüber hinaus legt sie einen Satz von zehn Mindestanforderungen fest, darunter:

  1. Durchführen von Risikobewertungen und Implementieren von Sicherheitsrichtlinien für IT-Systeme.
  2. Implementieren von Richtlinien und Verfahren für die Verwendung von Kryptografie und Verschlüsselung.
  3. Sicherung und Steuerung der Schwachstelle bei der Systembeschaffung.
  4. Implementieren von Sicherheitsverfahren für Benutzer, die auf vertrauliche Daten zugreifen können.
  5. Verwendung von mehrstufiger Authentifizierung (MFA), kontinuierlicher Authentifizierung und gegebenenfalls verschlüsselter Kommunikation.
  6. Bewertung der Wirksamkeit der implementierten Sicherheitskontrollen.
  7. Planung zur Erkennung und Reaktion auf Vorfälle.
  8. Schulung der Mitarbeiter in grundlegender Computerhygiene.
  9. Planung der Geschäftskontinuität und Notfallwiederherstellung (Backups, fortgesetzter Zugriff usw.)
  10. Sicherung der Lieferkette und Umgang des Unternehmens mit potenziellen Schwachstellen in Drittbeziehungen.

Strafen für NIS2-Verstöße

NIS2 legt verschiedene Arten von Strafen fest, die gegen eine Organisation beiCompliance verhängt werden können, darunter:

  • Nicht-monetäre Strafen: Nationale Aufsichtsbehörden dürfen Organisationen zur Einhaltung der Vorschriften zwingen, sie zwingen, verbindliche Anweisungen zu befolgen, ein Sicherheitsaudit durchzuführen oder ihre Kunden über eine potenzielle Bedrohung zu informieren.
  • Verwaltungsstrafen: Verwaltungsstrafen hängen von der Art der juristischen Person ab. Gegen EEs drohen Geldbußen in Höhe von 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist). IEs können Geldstrafen von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes verhängt werden.
  • Strafrechtliche Sanktionen: NIS2 ermöglicht es, das Top-Management bei grober Fahrlässigkeit persönlich für Sicherheitsvorfälle verantwortlich zu machen. Hierzu gehört die Anordnung an das Unternehmen, Compliance-Verstöße öffentlich zu machen, öffentlich zu erklären, um welchen Verstoß es sich handelte und wer dafür verantwortlich ist, sowie die vorübergehende Sperrung einzelner Personen für die Ausübung von Führungspositionen.

Stellen Sie mit IGS sicher, dass Ihr Unternehmen den NIS2- Compliance

Ziel der NIS2-Richtlinie ist es, das Risiko zu begrenzen, dass Cyberangriffe auf wichtige und bedeutende Einrichtungen in der EU deren Fähigkeit beeinträchtigen, Dienstleistungen für die EU-Bürger bereitzustellen. Diese Aktualisierung der ursprünglichen NIS erweitert den Geltungsbereich der Richtlinie, setzt aktualisierte Anforderungen um und gibt den Regulierungsbehörden die Befugnis, zusätzliche und strengere Strafen gegen Organisationen zu verhängen, die ihre Anforderungen nicht erfüllen.

Das Erreichen Compliance der NIS2-Richtlinie bis zum Stichtag im vierten Quartal 2024 ist für alle betroffenen Organisationen von entscheidender Bedeutung und erfordert die Implementierung eines robusten Cybersicherheitsprogramms. Check Point bietet mit seinem Infinity Global Services-Programm Unterstützung für Unternehmen, die dieses und andere Cybersicherheitsziele erreichen möchten.

 

Check PointDie NIS2/DORA-Bereitschaftsbewertung von umfasst eine Vor-Ort-Bewertung Check Point der bestehenden einer Organisation Compliance mit der NIS2-Richtlinie durch leitende -Berater. Basierend auf dieser Bewertung bietet Check Point Hinweise, wie Organisationen identifizierte Sicherheitslücken schließen und Compliance des Standards erreichen können. Weitere Informationen dazu, wie Sie Ihre NIS2- Compliance Ziele vor Ablauf der Frist erreichen, erhalten Sie von uns.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK