Die neue NIS2-Richtlinie – Teil 2
Welche Organisationen betrifft diese Richtlinie noch?
Unabhängig von der Größe der Organisation gilt diese Richtlinie auch für Organisationen in den entsprechenden Sektoren / Branchen im 1. Teil meines Artikels, wenn (Artikel 2 Abs. 2 NIS-Richtlinie)
Dienste erbracht werden von:
- Anbietern von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten;
- Vertrauensdiensteanbietern
- Namenregistern der Domäne oberster Stufe und Domänennamensystem-Diensteanbietern;
- es sich bei der Einrichtung in einem Mitgliedstaat um den einzigen Anbieter eines Dienstes handelt, der für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich ist;
- sich eine Störung des von der Einrichtung erbrachten Dienstes wesentlich auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken könnte;
- eine Störung des von der Einrichtung erbrachten Dienstes zu einem wesentlichen Systemrisiko führen könnte, insbesondere in Sektoren, in denen eine solche Störung grenzübergreifende Auswirkungen haben könnte;
- die Einrichtung aufgrund der besonderen Bedeutung, die sie auf nationaler oder regionaler Ebene für den betreffenden Sektor oder die betreffende Art des Dienstes oder für andere voneinander abhängige Sektoren in dem Mitgliedstaat hat, kritisch ist;
- Einrichtungen der öffentlichen Verwaltung (zentrale und regionale Ebene)
- bereits als Kritis eingestufte Organisation
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;
- Bewältigung von Sicherheitsvorfällen;
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulung im Bereich der Cybersicherheit;
- Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Bis Wann habe ich Zeit?
Bis zum 17.10.2024 muss die Bundesregierung, die erforderlichen Vorschriften erlassen und veröffentlichen. Ab dem 18.10.2024 sind diese Vorschriften umzusetzen. Ihr seht das ist nicht viel Zeit wenn auf der sogenannten „grünen Wiese“ angefangen wird.
Ob es ein neues IT-Sicherheitsgesetz 3.0 geben wird oder Anpassungen des bestehenden IT-Sicherheitsgesetzes 2.0 bleibt abzuwarten. Mein Kenntnisstand ist, dass ein Referentenentwurf im ersten Halbjahr 2023 erscheinen soll.
In jedem Falle sollten betroffene Organisationen sich zeitnah mit den Themen beschäftigen.
Einige der geforderten Maßnahmen sind bereits vorhanden und müssen vermutlich nur optimiert werden, da sich diese Maßnahmen auch bereits seit 2018 aus der DSGVO / GDPR ergeben haben.
Diese Artikel Reihe soll alle Verantwortlichen über kommende Änderungen an der IT-Sicherheitsfront informieren.
Im letzten Teil dieser Artikel Reihe informiere ich euch über eingeräumte Befugnisse, Sanktionen … .
Zum 1. Teil der Reihe geht es hier
Wenn Ihr Fragen habt, nehmt Kontakt über unser Kontaktformular auf oder schreibt uns eine E-Mail an office@konzept17.de.
Autor: Dirk Bussenius
2. Februar 2023
