Was ist die NIS2 Richtlinie?
NIS2 steht für Network and Information Security Directive und legt Cyber Security Mindeststandards auf europäischer Ebene fest. Die Veröffentlichung der NIS 2-RL0
(Network-and-Information-Security-Richtlinie 2.0) im EU-Amtsblatt war am 27.12.2022.
In Kraft getreten ist die Richtlinie am 16.01.2023.
Wann müssen die Anforderungen der NIS2 Richtlinie umgesetzt sein?
Die Richtlinie muss bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden.
Dazu hat das Bundesministerium des Innern und für Heimat im April 2023 einen ersten,
im Juli 2023 einen zweiten Referentenentwurf sowie im September 2023
einen weiteren Entwurf (Diskussionspapier) vorgelegt.
Welche Neuerungen gibt es?
• verschärfte Anforderungen an die Informationssicherheit
• konkretere Vorgaben zu spezifischen Risikomanagementmaßnahmen
(Umsetzung von Risikonanalysen und IT-Sicherheitskonzepte)
• Betonung der Verantwortung des Managements
• schärfere Sanktionen bei Verstöße
Was sollten Unternehmen jetzt tun?
• Durchführung einer Risikobewertung, um potenzielle Risiken
zu identifizieren und zu beurteilen
• Implementierung eines Informationssicherheismanagementsystems (ISMS),
um verbindliche Regeln und Verfahrung zu etablieren, um Informationswerte
angemessen und strukturiert zu schützen
• Mitarbeiter zum Thema Informationssicherheit schulen
NIS2 konform durch ISMS
Einer der wichtigsten Pfeiler zur Umsetzung der NIS2 Richtlinie ist ein implementiertes und gepflegtes ISMS. Ein Informationssicherheitsmanagementsystem ist die stabile Grundlage, Informationssicherheit und IT-Sicherheit strukturiert zu realisieren und die Anforderungen der NIS2 Richtlinie zu berücksichtigen. Das implementierte ISMS bündelt das Wissen einer Organisation. Informationswerte werden mit den Schutzzielen Vertraulichkeit, Verfügbarkeit und Integrität vor Kompromittierung abgesichtert, um wirtschaftlichen Schaden oder Verlust abzuwenden.
