NIS-2 Checkliste
1. Legen Sie Verantwortlichkeiten fest
Suchen, benennen und befähigen Sie mindestens zwei Personen Ihres Unternehmens, eine koordinierende Rolle für die Informationssicherheit zu übernehmen. Benennen oder bestellen Sie einen externen IT-Sicherheitsbeauftragten.
2. Registrieren Sie sich im BSI-Portal
NIS-2-betroffene Unternehmen und Einrichtungen müssen im ersten Schritt eine Registrierung beim digitalen Dienst “Mein Unternehmenskonto” (MUK) vornehmen. Mit dem dort generierten ELSTER-Organisationszertifikat können Sie sich im zweiten Schritt beim BSI-Portal registrieren.
Nutzen Sie für die Registrierung im BSI-Portal folgende Hilfestellungen:
Anleitung zur Registrierung im BSI-Portal
Informationen zu “Mein Unternehmenskonto”
Anleitung zur Nutzeroberfläche und Administration im BSI-Portal
3. Lassen Sie sich als Geschäftsführer schulen
Als Unternehmensleitung tragen Sie die Verantwortung im Bereich der Umsetzung und Überwachung von Risikomanagementmaßnahmen. Das BSI-Gesetz sieht eine regelmäßige Schulungspflicht zu Risikomanagement im Bereich der Informationssicherheit für Geschäftsleitungen vor. Das BSI hat hierfür eine Handreichung zur Geschäftsleitungsschulung zur Verfügung gestellt.
4. Machen Sie eine Bestandsaufnahme Ihrer Informationssicherheit
5. Implementieren Sie Risikomanagementmaßnahmen
NIS-2-betroffene Einrichtungen müssen dem BSI-Gesetz zufolge “geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen” zur Sicherheit der Informationstechnik ergreifen.
6. Kommen Sie Ihrer Meldepflicht nach
Besonders wichtige” und “wichtige Einrichtungen” sowie Betreiber kritischer Anlagen sind dazu verpflichtet, dem BSI erhebliche Sicherheitsvorfälle zu melden.
Das BSI-Portal dient u. a. als Meldestelle für schwerwiegende Sicherheitsvorfälle. Einrichtungen, die von NIS-2 betroffen sind und vor Registrierung im BSI-Portal einen erheblichen Sicherheitsvorfall erleiden, melden diesen dem BSI über ein Online-Formular. Eine Anleitung zur Meldung von Vorfällen über das BSI-Portal finden sie hier.
KRITIS-Betreiber nutzen prioritär weiterhin das Melde- und Informationsportal (MIP) zur Abgabe ihrer Meldungen und können so übergangsweise etablierte Prozesse weiter nutzen. Das MIP wird mindestens bis 31.07.2026, voraussichtlich sogar bis 31.12.2026 für diesen Zweck weiter zur Verfügung stehen.
Legen Sie Prozesse und Rollen fest, damit es im Fall der Fälle dann schnell gehen kann. Nur schnelle Meldungen erlauben es dem BSI, ein verlässliches Lagebild zu erstellen und – für alle Einrichtungen wichtig – schnelle und aktuelle Warnungen zu verteilen.
Detaillierte Informationen zur Meldepflicht finden Sie im #nis2know-Infopaket Meldepflicht.
7. Gewährleisten Sie den Empfang von Warnungen und Lageberichten
Bereiten Sie sich auch darauf vor, wie Sie mit vom BSI eingehenden Warnungen und Lageberichten umgehen: An welche E-Mail-Adresse können diese geschickt werden? Wer empfängt die Warnungen, ggf. 24/7? Können Sie eine automatische Alarmierung implementieren?