Definition und Zweck

Das Hauptziel von NIS2 ist die Verstärkung der Sicherheitsanforderungen, die Erweiterung des Umfangs der abgedeckten Sektoren und Dienste und die Verbesserung der Zusammenarbeit zwischen den Mitgliedstaaten. Sie soll sicherstellen, dass kritische und wichtige Einrichtungen geeignete Maßnahmen ergreifen, um Cybersicherheitsrisiken zu managen, Vorfälle zu melden und ihre Netzwerke und Informationssysteme gegen Cyberbedrohungen zu sichern.

Governance-Organ

NIS2 wird von der Europäischen Union geregelt, wobei die Überwachung und Umsetzung von den nationalen Regulierungsbehörden jedes Mitgliedstaates verwaltet wird. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) spielt eine wichtige Rolle bei der Unterstützung der Umsetzung der Richtlinie.

Letzte Aktualisierung

NIS2 wurde 2022 vom Europäischen Parlament verabschiedet. Die Umsetzung und Überführung in nationales Recht durch die EU-Mitgliedstaaten läuft, wobei eine Frist für die vollständige Einhaltung festgelegt wurde.

Anwendung auf

NIS2 gilt für eine breite Palette von Sektoren, die wesentliche und wichtige Dienste bereitstellen, darunter:

• Energie
• Transport
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheitssektor
• Trinkwasserver- und -entsorgung
• Digitale Infrastruktur
• Öffentliche Verwaltung
• Raumfahrt

Darüber hinaus umfasst sie Anbieter digitaler Dienste wie Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste.

Kontrollen und Anforderungen

NIS2 umfasst mehrere wichtige Anforderungen, darunter:

• Risikomanagement-Maßnahmen: Die Einheiten müssen angemessene technische und organisatorische Maßnahmen zur Bewältigung der Risiken für die Sicherheit von Netzwerken und Informationssystemen umsetzen.
• Vorfallmeldung: Die Einheiten müssen der zuständigen nationalen Behörde jeden bedeutenden Vorfall ohne ungerechtfertigte Verzögerung melden.
• Sicherheitspolitiken: Annahme und Umsetzung umfassender Sicherheitsrichtlinien, die das Risikomanagement, das Vorfallmanagement, die Geschäftskontinuität und die Krisenbewältigung abdecken.
• Versorgungskettensicherheit: Maßnahmen zur Bewertung und Sicherstellung der Sicherheit von Versorgungsketten und Dienstleistern.
• Zusammenarbeit und Informationsaustausch: Teilnahme an Netzwerken zum Informationsaustausch und Zusammenarbeit mit anderen Einheiten und nationalen Behörden.
• Audit und Konformität: Regelmäßige Audits und Bewertungen zur Sicherstellung der Einhaltung der NIS2-Richtlinie.

Für eine vollständige Liste der Kontrollen und Anforderungen, lesen Sie bitte die offizielle Dokumentation der NIS2-Richtlinie.

Audit-Typ, Frequenz und Dauer

Audits zur Einhaltung der NIS2-Richtlinie umfassen in der Regel Bewertungen durch nationale Regulierungsbehörden oder externe Auditoren. Diese Audits können Überprüfungen der Cybersicherheitsrichtlinien, der Verfahren, der Notfallpläne und der technischen Kontrollen umfassen. Die Häufigkeit der Audits wird von den nationalen Regulierungsbehörden festgelegt, aber regelmäßige Audits werden erwartet, um eine kontinuierliche Einhaltung der NIS2-Anforderungen sicherzustellen.

Die Dauer eines Audits hängt von der Größe und Komplexität der Organisation, dem Umfang der erbrachten Dienstleistungen und der Tiefe des Audits ab.