NIS-2 ist auf dem Weg.
Am 18. Oktober 2024 soll das nationale Umsetzungsgesetz zu dieser Richtlinie in Kraft treten, welches insbesondere auch viele mittelständische Unternehmen betreffen wird. Wer sich noch nicht mit diesem Thema beschäftigt hat, sollte dies daher möglichst bald tun. Doch was ist im Vorfeld wichtig? Wir stellen Ihnen vier Maßnahmen vor, mit denen Sie sich optimal auf Ihre NIS-2-Konformität vorbereiten können.
1. Betroffenheitsanalyse
Diese Analyse findet auf zwei Ebenen statt. Die NIS-2-Richtlinie betrifft alle Unternehmen gewisser Sektoren, unter Umständen schon ab 50 Mitarbeitern. Die Kriterien werfen regelmäßig Fragen und Unklarheiten auf. Daher sollten Sie unbedingt zunächst prüfen, ob NIS-2 auf Ihr Unternehmen Anwendung finden wird. Wenn dies der Fall ist, müssen intern alle Abteilungen, Personengruppen und Einzelpersonen identifiziert werden, die direkt oder indirekt von NIS-2 betroffen sein werden. All diese werden in einem Projekt zusammengefasst und regelmäßig auf denselben Stand gebracht.
2. Cybersicherheitsmaßnahmen prüfen und umsetzen
Unternehmen, die von NIS-2 betroffen sind, müssen ausnahmslos die Norm ISO 27001 umsetzen, was die Implementierung, Umsetzung und Dokumentation eines effektiven Informationssicherheits-Managementsystems (ISMS) voraussetzt. Lassen Sie sich bezüglich der erforderlichen Maßnahmen zu ISMS und Risikomanagement beraten und prüfen Sie anhand einer umfassenden Analyse Ihrer Infrastruktur, ob oder wie Sie die geforderten Mindestmaßnahmen erfüllen bzw. bis zum Stichtag erfüllen werden.
Dies schließt auch die Sicherheit Ihrer genutzten Lieferketten mit ein, da diese in NIS-2 explizit Erwähnung finden. Verschaffen Sie sich einen umfassenden Überblick über deren Struktur und prüfen Sie die Sicherheit der einzelnen Lieferanten, beispielsweise anhand von Zertifikaten. Hierbei ist darauf zu achten, dass Zertifikate regelmäßig erneuert werden müssen.
3. Registrierung beim BSI
Als betroffenes Unternehmen müssen Sie sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Prüfen Sie im Vorfeld jedoch unbedingt, ob Sie überhaupt unter die NIS-2-Richtlinie fallen.
4. Meldeprozesse definieren
Tritt in Ihrem Unternehmen ein Cybersicherheitsvorfall oder zumindest ein Verdacht darauf auf, sind Sie nach NIS-2 verpflichtet, dies der Meldebehörde innerhalb von 24 Stunden schriftlich mitzuteilen und nach spätestens 72 Stunden zu bewerten. Ergänzend dazu sieht die Richtlinie einen ausführlichen Bericht zu jedem Vorfall vor, welcher innerhalb eines Monats an die Meldebehörde gesendet werden muss. Um diese Fristen einhalten zu können und einen reibungslosen Ablauf zu gewährleisten, ist es unabdingbar, mit den Projektverantwortlichen und dem Datenschutzbeauftragten entsprechende Prozesse zu definieren, die im Ernstfall von den Verantwortlichen zeitnah umgesetzt werden können.
Uns ist bewusst, dass noch viele Fragen bezüglich der Umsetzung von NIS-2 offen sind. Wir unterstützen Sie gerne bei individuellen Herausforderungen sowie mit allgemeinen Infos zum jeweils aktuellen Stand der Veröffentlichungen.
Entdecken Sie passen dazu unsere kostenfreie Webinar-Reihe „Handlungsdruck durch NIS-2 – rechtzeitig vorbereitet sein.“
Darin erläutern wir Ihnen regelmäßig, welche konkreten Punkte Sie allgemein bei der Umsetzung beachten sollten und wie der aktuelle Stand dazu ist. Bei unserem nächsten Termin am 18. April 2024 gehen wir beispielsweise auch auf den aktuellen Referentenentwurf ein und stellen Ihnen die Inhalte übersichtlich dar. Gerne stehen wir Ihnen im Anschluss für Fragen und Diskussionen zur Verfügung.