NIS2 Assessment - NIS2 Umsetzung - NIS2 Audits

Einleitung

Ist Ihr Unternehmen von NIS2 betroffen? Wir erläutern Ihnen, wie Sie die Umsetzung der Anforderungen Schritt-für-Schritt effizient angehen können und stellen Ihnen einen kostenfreien Leitfaden zur Verfügung, der die wesentlichen Schritte zur NIS2-Compliance beschreibt.

Mit unseren Produkten, darunter das NIS2 Richtlinien- und Coachingpaket, speziell für KMU und Enterprise, unterstützen wir Sie bei der Umsetzung bestmöglich.

Lassen Sie uns gemeinsam die Herausforderungen der Cybersecurity meistern und Ihre Organisation auf den neuesten Stand bringen!

Die Grundsätze von NIS2

Die NIS2-Richtlinie wurde als Reaktion auf die sich ändernde Bedrohungslandschaft und die zunehmende Bedeutung der Cybersicherheit entwickelt. Sie betont die Wichtigkeit der Cybersicherheit für den Schutz kritischer Infrastrukturen und den reibungslosen Betrieb von Dienstleistungen in der gesamten EU. NIS2 legt besonderen Wert auf Maßnahmen zur Vorbeugung gegen Cyberangriffe und zur Steigerung der Resilienz von Netzwerken und Systemen, um die Auswirkungen möglicher Bedrohungen zu minimieren.

Für Unternehmen bedeutet es, dass:

Diese Sicherheitsvorkehrungen treffen müssen, um Risiken für ihre Netzwerke und Informationssysteme zu minimieren. Dazu gehören technische und organisatorische Maßnahmen wie Risikomanagement, Notfallpläne und regelmäßige Sicherheitsüberprüfungen.
Sicherheitsvorfälle, die erhebliche Auswirkungen auf den Betrieb eines Unternehmens haben, müssen innerhalb eines engen Zeitrahmens gemeldet werden.

Auch Unternehmen, die nicht direkt von NIS2 betroffen sind, werden vermehrt Informationssicherheitsanforderungen für ihre Kunden nachweisen müssen. Daher empfehlen wir allen Unternehmen und Organisationen sich mit den in NIS2 geforderten Maßnahmen zu beschäftigen und diese zu erfüllen.

NIS2 Fakten

Die Gültigkeit der EU-NIS2-Richtlinie 2022/2555

Die EU NIS2 Richtlinie 2022/2555 ist per 14. Dezember 2022 beschlossen und sieht eine Umsetzung in den Mitgliedsstaaten per 18. Oktober 2024 vor, jedoch werden weder Deutschland noch Österreich diese Frist durch die Verabschiedung eines nationalen Umsetzungsgesetzes erfüllen.

Die NIS2 Umsetzung in Deutschland

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) hier als externer Link wird ab 2024 in Kraft treten. Es überführt die EU-weiten Mindeststandards für Cybersecurity der EU NIS2 Richtlinie in eine deutsche Regulierung. Das Gesetz liegt als Entwurf für das Kabinett von Juli 2024 vor. Das Inkrafttreten ist aktuell für März 2025 geplant.

Die NIS2 Umsetzung in Österreich

In Österreich liegt ein Entwurf des nationalen Umsetzungsgesetzes des Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024) als Entwurf vor, der vorerst noch nicht beschlossen wurde. Durch die Nationalratswahlen wird es höchstwahrscheinlich zu einer Verzögerung bei der Umsetzung in nationales Recht kommen. Aktuell gehen Experten von einem Inkrafttreten per 1. Juni 2025 aus.

Die 10 Risikomanagementmaßnahmen der NIS2

a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;
b) Bewältigung von Sicherheitsvorfällen;
c) Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;
d) Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;
e) Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;
f) Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
g) grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
h) Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
i) Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;
j) Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach‑, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

In Österreich werden in der Anlage 3 des NISG 2024/2025 eine Vielzahl an Informationssicherheitsmaßnahmen definieren, die von Unternehmen zu erfüllen sind. Die Maßnahmen orientieren sich stark an der ISO 27001, wodurch Unternehmen die sich an der ISO 27001 orientieren oder bereits zertifiziert sind deutliche Umsetzungsvorteile haben.

Schritt 1 – Klärung der NIS2 Betroffenheit

Nutzen Sie den SEC4YOU Entscheidungsbaum rechts, um zu klären, ob Ihr Unternehmen NIS2 unterliegt. Die Definition der Sektoren finden Sie im Anhang 1 und Anhang 2 der EU-NIS2-Richtlinie 2022/2555.

Kennen Sie den einfachen NIS2 Online Ratgeber?

Mit dem NIS2 Online-Ratgeber der WKO und prüfen Sie in wenigen Klicks, ob ihr Unternehmen nach NIS2 als wesentliche Einrichtung oder wichtige Einrichtung gilt: NIS2 Online Ratgeber (externer Link)

Sind Sie sich nicht sicher ob Ihr Unternehmen betroffen ist?

Das Ergebnis ist eine Entscheidung, ob Sie als “Wesentliche Einrichtung” oder “Wichtige Einrichtung” gelten, oder ob Sie nicht von NIS2 betroffen sind. Konsultieren Sie bei Klärungsbedarf einen Rechtsanwalt.

Zum Vergrößern anklicken

Schritt 2 — Die Umsetzung von NIS2

Die Umsetzung von NIS2 erfordert ein vereinfachtes Informationssicherheits-Managementsystem (ISMS). Hierzu empfehlen wir zumindest die folgenden Punkte:

Ernennung eines/einer Verantwortlichen für die Informationssicherheit (InfoSec)
Durchführung einer Business-Impact-Analyse, um die Kritikalität der Kernprozesse in Bezug auf Recovery-Time-Objective (RTO) und Recovery-Point-Objective (RPO) zu bewerten.
Durchführung einer IKT-Risikobewertung und die Erhebung von erforderlichen Risikomanagementmaßnahmen
Umsetzung der von NIS2 geforderten Risikomanagementmaßnahmen und in der Risikobewertung identifizierten zusätzlichen Maßnahmen
Kontrolle der Vollständigkeit der Umsetzung der Anforderungen des NISG 2024/2025 durch interne Audits

Orientieren Sie sich an der folgenden Umsetzungsmethode:

SEC4YOU Leitfaden für die NIS2 Umsetzung

Betroffenen Unternehmen bieten wir zwei kostenfreie Leitfäden an, die die wesentlichen Schritte der NIS2 Einführung beschreiben.

Der Leitfaden für die individuelle Umsetzung beschreibt auf 14 Seiten und in 18 Schritten wir Unternehmen die NIS2 fristgerecht einhalten können. Der Leitfaden beschreibt auch welche Dokumentationen zu erstellen sind.

Im zweiten Download Angebot dem Leitfaden für die NIS2 Umsetzung mit dem SEC4YOU NIS2 Richtlinien- und Coaching Paket zeigen wir, wie Unternehmen mit dem

aus dem SEC4YOU Shop NIS2 umsetzen können. In diesem Dokument geht es primär um die richtige Umsetzung der Vorlagen.