Die NIS2 Richt­li­nie (EU-Richt­li­nie 2022/2555) kommt, auch wenn die­se noch nicht durch ein natio­na­les Gesetz umge­setzt ist. Das deut­sche PDF-Doku­ment der EU-Richt­li­nie umfasst 73 Sei­ten. Wir haben die Bran­chen, Unter­neh­mens­grö­ßen und das Resul­tat ob ein Unter­neh­men als “Wesent­li­che Ein­rich­tung” oder “Wich­ti­ge Ein­rich­tung” betrof­fen ist in einem Ent­schei­dungs­baum zusammengefasst.

Alle Infor­ma­tio­nen in der Gra­fik sind nach bes­tem Wis­sen und mit Sorg­falt zusam­men­ge­stellt. Wir über­neh­men kei­ne Haf­tung für die Rich­tig­keit, Aktua­li­tät und Voll­stän­dig­keit. Ins­be­son­de­re stel­len sie kei­nen Ersatz für im Ein­zel­fall not­wen­di­ge recht­li­che oder tech­ni­sche Bera­tung dar.

Entscheidungsbaum NIS2

  • SEC4YOU Emp­feh­lung

Soll­ten Sie sich als “Wesent­li­che Ein­rich­tung” oder “Wich­ti­ge Ein­rich­tung” iden­ti­fi­zie­ren und bis jetzt noch nicht von der NIS (NIS1) betrof­fen sein, haben sie eine Rei­he von Maß­nah­men umzusetzen.

Hier ein Aus­zug aus Arti­kel 21 der Richt­li­nie: …Netz- und Infor­ma­ti­ons­sys­te­me und die phy­si­sche Umwelt die­ser Sys­te­me vor Sicher­heits­vor­fäl­len zu schüt­zen, und zumin­dest Fol­gen­des umfassen:

  1. Kon­zep­te in Bezug auf die Risi­ko­ana­ly­se und Sicher­heit für Informationssysteme;
  2. Bewäl­ti­gung von Sicherheitsvorfällen;
  3. Auf­recht­erhal­tung des Betriebs, wie Back­up-Manage­ment und Wie­der­her­stel­lung nach einem Not­fall, und Krisenmanagement;
  4. Sicher­heit der Lie­fer­ket­te ein­schließ­lich sicher­heits­be­zo­ge­ner Aspek­te der Bezie­hun­gen zwi­schen den ein­zel­nen Ein­rich­tun­gen und ihren unmit­tel­ba­ren Anbie­tern oder Diensteanbietern;
  5. Sicher­heits­maß­nah­men bei Erwerb, Ent­wick­lung und War­tung von Netz- und Infor­ma­ti­ons­sys­te­men, ein­schließ­lich Manage­ment und Offen­le­gung von Schwachstellen;
  6. Kon­zep­te und Ver­fah­ren zur Bewer­tung der Wirk­sam­keit von Risi­ko­ma­nage­ment­maß­nah­men im Bereich der Cybersicherheit;
  7. grund­le­gen­de Ver­fah­ren im Bereich der Cyber­hy­gie­ne und Schu­lun­gen im Bereich der Cybersicherheit;
  8. Kon­zep­te und Ver­fah­ren für den Ein­satz von Kryp­to­gra­fie und gege­be­nen­falls Verschlüsselung;
  9. Sicher­heit des Per­so­nals, Kon­zep­te für die Zugriffs­kon­trol­le und Manage­ment von Anlagen;
  10. Ver­wen­dung von Lösun­gen zur Mul­ti-Fak­tor-Authen­ti­fi­zie­rung oder kon­ti­nu­ier­li­chen Authen­ti­fi­zie­rung, gesi­cher­te Sprach‑, Video- und Text­kom­mu­ni­ka­ti­on sowie gege­be­nen­falls gesi­cher­te Not­fall­kom­mu­ni­ka­ti­ons­sys­te­me inner­halb der Einrichtung.
Kom­ple­xi­tät: 75%
Eigen­leis­tung (blau): 50%
Aufwand/Kosten: 100%