HELMICH IT-SECURITY SERVICES
NIS-2 Richtlinie
Quick-Check
Mit der NIS-2-Richtlinie gelten ab Oktober 2024 neue verpflichtende Sicherheitsmaßnahmen und Meldepflichten für viele Unternehmen und Organisationen in 18 kritischen Sektoren. Diese Richtlinie ersetzt die NIS-Richtlinie von 2016 und zielt darauf ab, ein höheres gemeinsames Cybersicherheitsniveau in der EU zu erreichen. Betroffene Unternehmen müssen jetzt handeln, um den neuen Anforderungen gerecht zu werden und hohe Strafen zu vermeiden. Lesen Sie weiter, um herauszufinden, ob Ihr Unternehmen betroffen ist und welche Schritte Sie unternehmen sollten.
Ist mein Unternehmen betroffen?
Die NIS-2-Richtlinie betrifft zahlreiche Sektoren und Unternehmen. Prüfen Sie, ob Ihr Unternehmen in eine der folgenden Kategorien fällt:
Sektoren mit hoher Kritikalität (Anhang I der NIS-2)
1. Energie
- Elektrizitätsunternehmen, Verteilernetzbetreiber, Übertragungsnetzbetreiber, Erzeuger
- Betreiber von Fernwärme oder Fernkälte
- Betreiber von Erdöl-Fernleitungen, Anlagen zur Produktion, Raffination, Aufbereitung von Erdöl
- Versorgungsunternehmen, Verteilernetzbetreiber, Fernleitungsnetzbetreiber, Betreiber von Speicheranlagen oder LNG-Anlagen im Bereich Erdgas
- Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung
2. Verkehr
- Luftfahrtunternehmen, Flughafenleitungsorgane, Betreiber von Verkehrsmanagementsystemen
- Infrastrukturbetreiber und Eisenbahnunternehmen im Schienenverkehr
- Passagier- und Frachtbeförderungsunternehmen, Hafenleitungsorgane, Betreiber von Schiffsverkehrsdiensten in der Schifffahrt
- Straßenverkehrsbehörden und Betreiber intelligenter Verkehrssysteme
3. Bankwesen
- Kreditinstitute
4. Finanzmarktinfrastrukturen
- Betreiber von Handelsplätzen, zentrale Gegenparteien
5. Gesundheitswesen
- Gesundheitsdienstleister
- Einrichtungen für Forschung und Entwicklung in Bezug auf Arzneimittel
- Hersteller pharmazeutischer Erzeugnisse und kritischer Medizinprodukte
6. Trinkwasser
- Lieferanten und Unternehmen der Wasserversorgung
7 . Abwasser
- Unternehmen der Abwasserbewirtschaftung
8. Digitale Infrastruktur
- Betreiber von Internet-Knoten
- DNS-Dienstanbieter, TLD-Namenregister
- Anbieter von Cloud-Computing-Diensten und Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Vertrauensdiensteanbieter
- Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste
9. Verwaltung von IKT-Diensten (B2B)
Anbieter verwalteter Dienste und Sicherheitsdienste
10. Öffentliche Verwaltung
- Einrichtungen der öffentlichen Verwaltung von Zentralregierungen und auf regionaler Ebene
11. Weltraum
- Betreiber von Bodeninfrastrukturen zur Unterstützung von weltraumgestützten Diensten
Sonstige kritische Sektoren (Anhang II der NIS-2)
1. Post- und Kurierdienste
- Anbieter von Post- und Kurierdiensten
2. Abfallbewirtschaftung
- Unternehmen der Abfallbewirtschaftung
3. Produktion, Herstellung und Handel mit chemischen Stoffen
- Chemikalienhersteller und -händler
4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Lebensmittelunternehmen im Großhandel und industrielle Produktion
5. Verarbeitendes Gewerbe/Herstellung von Waren
- Hersteller von Medizinprodukten
- In-vitro-Diagnostika
- Datenverarbeitungsgeräten
- Elektronischen und optischen Erzeugnissen
- Elektrischen Ausrüstungen
- Maschinen
- Kraftwagen und Fahrzeugen
6. Anbieter digitaler Dienste
- Anbieter von Online-Marktplätzen
- Online-Suchmaschinen
- Plattformen für Dienste sozialer Netzwerke
7. Forschung
- Forschungseinrichtungen
Wann tritt die Richtlinie in Kraft?
Die NIS-2-Richtlinie (EU) 2022/2555 ist seit 2023 auf EU-Ebene in Kraft, muss jedoch in nationales Recht umgesetzt werden.
Ab dem 18. Oktober 2024 müssen die nationalen Gesetze angewendet werden.
Was habe ich zu beachten?
Maßnahmen zum Risikomanagement für Cybersicherheit (Art. 21)
Sie müssen mindestens folgende Cybersecurity-Maßnahmen umsetzen:
Risikoanalyse und Sicherheit für Informationssysteme
Ermittlung und Bewertung potenzieller Sicherheitsrisiken in Ihren IT-Systemen, um angemessene Schutzmaßnahmen zu implementieren.
Schlagworte: Risk Assessment, Vulnerability Assessment, Sicherheitsrichtlinien
Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle
Implementierung von Mechanismen zur frühzeitigen Erkennung und Analyse von Sicherheitsvorfällen sowie Strategien zur schnellen Eindämmung und Reaktion.
Schlagworte: EDR (Endpoint Detection and Response), XDR (Extended Detection and Response), Incident Detection, SIEM (Security Information and Event Management), Incident Response Plan
Backup-Management und Krisenmanagement
Regelmäßige Erstellung von Sicherungskopien wichtiger Daten und Entwicklung von Notfallplänen zur Aufrechterhaltung des Geschäftsbetriebs bei Krisen.
Schlagworte: Disaster Recovery Plan (DRP), Notfallmanagement, Business Continuity Management System (BCMS), Information Security Management Software (ISMS), Data Backup
Sicherheit in der Lieferkette
Sicherstellung, dass alle externen Partner und Dienstleister Ihre Sicherheitsanforderungen erfüllen, um Schwachstellen in der Lieferkette zu vermeiden.
Schlagworte: Supply Chain Security, Third-Party Risk Management, Lieferantenbewertung
Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme
Einführung und Überwachung von Sicherheitsstandards während des gesamten Lebenszyklus von IT-Systemen, von der Anschaffung über die Entwicklung bis hin zur Wartung.
Schlagworte: Secure Development Lifecycle (SDLC), Patch Management, Secure Coding
Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
Regelmäßige Überprüfung und Bewertung der implementierten Sicherheitsmaßnahmen, um ihre Wirksamkeit sicherzustellen und kontinuierliche Verbesserungen vorzunehmen.
Schlagworte: Security Audits, Penetration Testing, Continuous Monitoring
Cyberhygiene und Schulungen in Cyber Security
Durchführung von Schulungen und Sensibilisierungsmaßnahmen, um sicherzustellen, dass alle Mitarbeiter grundlegende Sicherheitspraktiken kennen und anwenden.
Schlagworte: Security Awareness Training, Phishing Simulations, Cyber Hygiene
Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
Verwendung von Verschlüsselungstechniken, um die Vertraulichkeit und Integrität sensibler Daten zu gewährleisten.
Schlagworte: Encryption, Mailverschlüsselung, SSL/TLS, Public Key Infrastructure (PKI)
Personalsicherheit, Zugriffskontrolle und Asset Management
Implementierung von Maßnahmen zur Sicherstellung der Vertrauenswürdigkeit und Schulung des Personals, Kontrolle des Zugangs zu Systemen und Verwaltung der physischen und digitalen Vermögenswerte.
Schlagworte: Access Control, Identity and Access Management (IAM), Asset Management, ZTNA (Zero Trust Network Access)
Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
Einsatz zusätzlicher Authentifizierungsfaktoren, um die Sicherheit bei der Anmeldung zu erhöhen und kontinuierliche Authentifizierung zur Erkennung ungewöhnlicher Aktivitäten.
Schlagworte: MFA (Multi-Factor Authentication), ZTNA (Zero Trust Network Access), Biometric Authentication, Adaptive Authentication
Sichere Sprach-, Video- und Text-Kommunikation, ggf. auch im Notfall
Sicherstellung der Sicherheit aller Kommunikationsmittel, einschließlich Notfallkommunikation, um den Austausch sensibler Informationen zu schützen.
Schlagworte: End-to-End Encryption, Secure Messaging, Emergency Communication Systems
Unser Service
Die Helmich IT-Security GmbH bietet Ihnen umfassende Unterstützung bei der Umsetzung dieser Maßnahmen.
Von der Risikoanalyse bis hin zur Schulung Ihrer Mitarbeiter – wir haben die passenden Lösungen für Ihre individuellen Bedürfnisse.
HELMICH IT-SECURITY
Bereit für die NIS-2-Richtlinie?
Kontaktieren Sie die Helmich IT-Security GmbH, um sicherzustellen, dass Ihr Unternehmen alle Anforderungen erfüllt und optimal aufgestellt ist.
Unsere Experten helfen Ihnen bei der Umsetzung der Richtlinie und bieten maßgeschneiderte Lösungen für Ihre Cybersicherheitsanforderungen.