Welche Anforderungen beinhaltet die NIS2?
Das NIS2-Umsetzungsgesetz legt umfassende Vorgaben fest, um die Cyber Security in betroffenen Einrichtungen zu stärken. Sie verlangt nicht nur klare Prozesse zur Risikominimierung, sondern auch konkrete Maßnahmen zur Einhaltung gesetzlicher Pflichten. Nachfolgend finden Sie einen Überblick über die zentralen Anforderungen, die Unternehmen umsetzen müssen, um konform zu sein.
Identifizierung aller betroffenen Dienstleistungen & Anlagen
Jedes Unternehmen ist dazu verpflichtet, vom Gesetz betroffene Dienstleistungen und Anlagen eigenverantwortlich zu identifizieren.
Registrierung der betroffenen Dienstleistungen & Anlagen
Sie sind von NIS2 betroffen? Dann gilt es, keine Zeit zu verlieren: Der nächste Schritt ist eine fristgerechte Registrierung betroffener Bereiche und Anlagen beim BSI. Betroffene Einrichtungen haben dazu nur 3 Monate Zeit. Wir empfehlen Ihnen, die eigene Betroffenheit zeitnah zu prüfen und eine Registrierung vorzunehmen.
Einrichtung einer Kontaktstelle
Alle Institutionen sind verpflichtet, dem BSI aktuelle Kontaktdaten (E-Mail, öffentliche IP-Adressbereiche und Telefonnummern) zu nennen. Betreiber kritischer Anlagen müssen über diese Kontaktstelle jederzeit erreichbar sein.
Meldepflichten
Bei einem erheblichen Sicherheitsvorfall besteht unverzüglich die Pflicht zur Meldung, spätestens innerhalb von 24 Stunden nach Kenntniserlangung. Geht die Meldung nicht rechtzeitig beim BSI sowie beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe ein, drohen empfindliche Geldstrafen. Zudem sind Folgemeldungen zu leisten. Innerhalb von 72 Stunden nach der Erstmeldung müssen Organisationen detailliertere Informationen über den Vorfall bereitstellen. Abschließende Meldungen erfolgen, sobald weitere relevante Erkenntnisse oder Maßnahmen verfügbar sind.
Risikomanagement
Das NIS2-Umsetzungsgesetz rückt die Verantwortung leitender Personen in den Fokus – nicht zuletzt durch die private Haftung. Betroffene Unternehmen müssen Maßnahmen ergreifen, die dem aktuellen Stand der Technik entsprechen und die geltenden europäischen und internationalen Normen einhalten. Wir empfehlen, ein Risikomanagement basierend auf den international anerkannten Normen zu implementieren.
Informationspflichten
Bei erheblichen Sicherheitsvorfällen kann das BSI die betroffenen Institutionen anweisen, Kunden und Nutzer unverzüglich über den Vorfall zu unterrichten. In bestimmten Branchen müssen die Institutionen zusätzlich erklären, welche Maßnahmen sie ergreifen, um den Schaden zu beheben.
Nachweispflichten
Betreiber kritischer Anlagen müssen die Umsetzung geeigneter und wirksamer Maßnahmen zur Schadensprävention gegenüber dem BSI regelmäßig nachweisen. Auch besonders wichtige und wichtige Einrichtungen müssen auf Verlangen des BSI die Einhaltung der Regelungen von einer unabhängigen Stelle überprüfen lassen.