HELMICH IT-SECURITY SERVICES

NIS-2 Richtlinie
Quick-Check

Mit der NIS-2-Richtlinie gelten ab Oktober 2024 neue verpflichtende Sicherheitsmaßnahmen und Meldepflichten für viele Unternehmen und Organisationen in 18 kritischen Sektoren. Diese Richtlinie ersetzt die NIS-Richtlinie von 2016 und zielt darauf ab, ein höheres gemeinsames Cybersicherheitsniveau in der EU zu erreichen. Betroffene Unternehmen müssen jetzt handeln, um den neuen Anforderungen gerecht zu werden und hohe Strafen zu vermeiden. Lesen Sie weiter, um herauszufinden, ob Ihr Unternehmen betroffen ist und welche Schritte Sie unternehmen sollten.

Ist mein Unternehmen betroffen?

Die NIS-2-Richtlinie betrifft zahlreiche Sektoren und Unternehmen. Prüfen Sie, ob Ihr Unternehmen in eine der folgenden Kategorien fällt:

Sektoren mit hoher Kritikalität (Anhang I der NIS-2)

1. Energie

  • Elektrizitätsunternehmen, Verteilernetzbetreiber, Übertragungsnetzbetreiber, Erzeuger
  • Betreiber von Fernwärme oder Fernkälte
  • Betreiber von Erdöl-Fernleitungen, Anlagen zur Produktion, Raffination, Aufbereitung von Erdöl
  • Versorgungsunternehmen, Verteilernetzbetreiber, Fernleitungsnetzbetreiber, Betreiber von Speicheranlagen oder LNG-Anlagen im Bereich Erdgas
  • Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung

2. Verkehr

  • Luftfahrtunternehmen, Flughafenleitungsorgane, Betreiber von Verkehrsmanagementsystemen
  • Infrastrukturbetreiber und Eisenbahnunternehmen im Schienenverkehr
  • Passagier- und Frachtbeförderungsunternehmen, Hafenleitungsorgane, Betreiber von Schiffsverkehrsdiensten in der Schifffahrt
  • Straßenverkehrsbehörden und Betreiber intelligenter Verkehrssysteme

3. Bankwesen

  • Kreditinstitute

4. Finanzmarktinfrastrukturen

  • Betreiber von Handelsplätzen, zentrale Gegenparteien

5. Gesundheitswesen

  • Gesundheitsdienstleister
  • Einrichtungen für Forschung und Entwicklung in Bezug auf Arzneimittel
  • Hersteller pharmazeutischer Erzeugnisse und kritischer Medizinprodukte

6. Trinkwasser

  • Lieferanten und Unternehmen der Wasserversorgung

7 . Abwasser

  • Unternehmen der Abwasserbewirtschaftung

8. Digitale Infrastruktur

  • Betreiber von Internet-Knoten
  • DNS-Dienstanbieter, TLD-Namenregister
  • Anbieter von Cloud-Computing-Diensten und Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Vertrauensdiensteanbieter
  • Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste

9. Verwaltung von IKT-Diensten (B2B)

Anbieter verwalteter Dienste und Sicherheitsdienste

10. Öffentliche Verwaltung

  • Einrichtungen der öffentlichen Verwaltung von Zentralregierungen und auf regionaler Ebene

11. Weltraum

  • Betreiber von Bodeninfrastrukturen zur Unterstützung von weltraumgestützten Diensten

Sonstige kritische Sektoren (Anhang II der NIS-2)

1. Post- und Kurierdienste

  • Anbieter von Post- und Kurierdiensten

2. Abfallbewirtschaftung

  • Unternehmen der Abfallbewirtschaftung

3. Produktion, Herstellung und Handel mit chemischen Stoffen

  • Chemikalienhersteller und -händler

4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln

  • Lebensmittelunternehmen im Großhandel und industrielle Produktion

5. Verarbeitendes Gewerbe/Herstellung von Waren

  • Hersteller von Medizinprodukten
  • In-vitro-Diagnostika
  • Datenverarbeitungsgeräten
  • Elektronischen und optischen Erzeugnissen
  • Elektrischen Ausrüstungen
  • Maschinen
  • Kraftwagen und Fahrzeugen

6. Anbieter digitaler Dienste

  • Anbieter von Online-Marktplätzen
  • Online-Suchmaschinen
  • Plattformen für Dienste sozialer Netzwerke

7. Forschung

  • Forschungseinrichtungen

Wann tritt die Richtlinie in Kraft?

Die NIS-2-Richtlinie (EU) 2022/2555 ist seit 2023 auf EU-Ebene in Kraft, muss jedoch in nationales Recht umgesetzt werden.

Ab dem 18. Oktober 2024 müssen die nationalen Gesetze angewendet werden.

Was habe ich zu beachten?

Maßnahmen zum Risikomanagement für Cybersicherheit (Art. 21)
Sie müssen mindestens folgende Cybersecurity-Maßnahmen umsetzen:

Risikoanalyse und Sicherheit für Informationssysteme

Ermittlung und Bewertung potenzieller Sicherheitsrisiken in Ihren IT-Systemen, um angemessene Schutzmaßnahmen zu implementieren.

Schlagworte: Risk Assessment, Vulnerability Assessment, Sicherheitsrichtlinien

Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle

Implementierung von Mechanismen zur frühzeitigen Erkennung und Analyse von Sicherheitsvorfällen sowie Strategien zur schnellen Eindämmung und Reaktion.

Schlagworte: EDR (Endpoint Detection and Response), XDR (Extended Detection and Response), Incident Detection, SIEM (Security Information and Event Management), Incident Response Plan

Backup-Management und Krisenmanagement

Regelmäßige Erstellung von Sicherungskopien wichtiger Daten und Entwicklung von Notfallplänen zur Aufrechterhaltung des Geschäftsbetriebs bei Krisen.

Schlagworte: Disaster Recovery Plan (DRP), Notfallmanagement, Business Continuity Management System (BCMS), Information Security Management Software (ISMS), Data Backup

Sicherheit in der Lieferkette

Sicherstellung, dass alle externen Partner und Dienstleister Ihre Sicherheitsanforderungen erfüllen, um Schwachstellen in der Lieferkette zu vermeiden.

Schlagworte: Supply Chain Security, Third-Party Risk Management, Lieferantenbewertung

Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme

Einführung und Überwachung von Sicherheitsstandards während des gesamten Lebenszyklus von IT-Systemen, von der Anschaffung über die Entwicklung bis hin zur Wartung.

Schlagworte: Secure Development Lifecycle (SDLC), Patch Management, Secure Coding

Bewertung der Wirksamkeit der Risikomanagementmaßnahmen

Regelmäßige Überprüfung und Bewertung der implementierten Sicherheitsmaßnahmen, um ihre Wirksamkeit sicherzustellen und kontinuierliche Verbesserungen vorzunehmen.

Schlagworte: Security Audits, Penetration Testing, Continuous Monitoring

Cyberhygiene und Schulungen in Cyber Security

Durchführung von Schulungen und Sensibilisierungsmaßnahmen, um sicherzustellen, dass alle Mitarbeiter grundlegende Sicherheitspraktiken kennen und anwenden.

Schlagworte: Security Awareness Training, Phishing Simulations, Cyber Hygiene

Einsatz von Kryptografie und gegebenenfalls Verschlüsselung

Verwendung von Verschlüsselungstechniken, um die Vertraulichkeit und Integrität sensibler Daten zu gewährleisten.

Schlagworte: Encryption, Mailverschlüsselung, SSL/TLS, Public Key Infrastructure (PKI)

Personalsicherheit, Zugriffskontrolle und Asset Management

Implementierung von Maßnahmen zur Sicherstellung der Vertrauenswürdigkeit und Schulung des Personals, Kontrolle des Zugangs zu Systemen und Verwaltung der physischen und digitalen Vermögenswerte.

Schlagworte: Access Control, Identity and Access Management (IAM), Asset Management, ZTNA (Zero Trust Network Access)

Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung

Einsatz zusätzlicher Authentifizierungsfaktoren, um die Sicherheit bei der Anmeldung zu erhöhen und kontinuierliche Authentifizierung zur Erkennung ungewöhnlicher Aktivitäten.

Schlagworte: MFA (Multi-Factor Authentication), ZTNA (Zero Trust Network Access), Biometric Authentication, Adaptive Authentication

Sichere Sprach-, Video- und Text-Kommunikation, ggf. auch im Notfall

Sicherstellung der Sicherheit aller Kommunikationsmittel, einschließlich Notfallkommunikation, um den Austausch sensibler Informationen zu schützen.

Schlagworte: End-to-End Encryption, Secure Messaging, Emergency Communication Systems

Unser Service

Die Helmich IT-Security GmbH bietet Ihnen umfassende Unterstützung bei der Umsetzung dieser Maßnahmen.

Von der Risikoanalyse bis hin zur Schulung Ihrer Mitarbeiter – wir haben die passenden Lösungen für Ihre individuellen Bedürfnisse.

HELMICH IT-SECURITY

Bereit für die NIS-2-Richtlinie?

Kontaktieren Sie die Helmich IT-Security GmbH, um sicherzustellen, dass Ihr Unternehmen alle Anforderungen erfüllt und optimal aufgestellt ist.
Unsere Experten helfen Ihnen bei der Umsetzung der Richtlinie und bieten maßgeschneiderte Lösungen für Ihre Cybersicherheitsanforderungen.