ZENTRALE:

T +49 4621 5 30 40 50 mail[at]konzept17.de
Schloss als Symbol für Datenschutz und IT-Sicherheit

NIS2-Richtlinie – Teil 2: Betroffene Organisationen und Mindeststandards

In Teil 2 unserer Artikelreihe zur NIS2-Richtlinie (EU) 2022/2555 erfahren Sie, welche Organisationen von dieser Richtlinie betroffen sind und welche Maßnahmen als Mindeststandards definiert wurden. Die Richtlinie zielt darauf ab, das Cybersicherheitsniveau in der Europäischen Union zu erhöhen und den Schutz kritischer Infrastrukturen sicherzustellen.

Welche Organisationen betrifft die NIS2-Richtlinie?

Unabhängig von der Größe gilt die NIS2-Richtlinie für Organisationen in den entsprechenden Sektoren, die im ersten Teil dieser Artikelreihe erwähnt wurden. Betroffen sind unter anderem:

  • Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste
  • Vertrauensdiensteanbieter
  • Namenregister der Domäne oberster Stufe und DNS-Diensteanbieter
  • Einrichtungen, deren Dienste für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich sind
  • Organisationen, deren Störungen wesentliche Auswirkungen auf die öffentliche Ordnung, Sicherheit oder Gesundheit haben könnten
  • Einrichtungen der öffentlichen Verwaltung (zentrale und regionale Ebene)
  • Bereits als Kritis eingestufte Organisationen

Mindeststandards gemäß Artikel 21 der NIS2-Richtlinie

Die NIS2-Richtlinie definiert mehrere Maßnahmen, die als Mindeststandards gelten und von betroffenen Organisationen umgesetzt werden müssen:

  • Risikomanagement und Sicherheit: Konzepte für die Risikoanalyse und Sicherheitsstrategien für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen: Protokolle zur Reaktion auf und zur Bewältigung von Sicherheitsvorfällen
  • Betriebsaufrechterhaltung: Backup-Management, Notfallwiederherstellung und Krisenmanagement
  • Lieferkettensicherheit: Sicherheit in der Lieferkette, einschließlich der Beziehungen zu Anbietern
  • Sicherheitsmaßnahmen: Management und Offenlegung von Schwachstellen, Sicherheitsmaßnahmen bei der Entwicklung und Wartung von Systemen
  • Cyberhygiene: Grundlegende Verfahren im Bereich der Cyberhygiene und Schulung der Mitarbeitenden
  • Kryptografie: Verfahren zur sicheren Verschlüsselung und Nutzung von Kryptografie
  • Zugriffskontrolle: Sicherheitskonzepte für das Personal und Zugriffskontrollen
  • Multi-Faktor-Authentifizierung: Nutzung sicherer Kommunikationssysteme und Authentifizierungsmethoden

Zeitrahmen für die Umsetzung

Die betroffenen Organisationen haben bis zum 17. Oktober 2024 Zeit, um die Anforderungen der NIS2-Richtlinie umzusetzen. Ab dem 18. Oktober 2024 treten die Vorschriften in Kraft. Es wird erwartet, dass die Bundesregierung bis dahin die notwendigen Vorschriften erlassen und veröffentlicht hat. Unternehmen sollten bereits jetzt mit den Vorbereitungen beginnen, um den Anforderungen rechtzeitig zu entsprechen.

Einige der geforderten Maßnahmen sind möglicherweise bereits vorhanden und müssen lediglich optimiert werden, insbesondere wenn diese bereits seit der Einführung der DSGVO (GDPR) im Jahr 2018 umgesetzt wurden.

Im letzten Teil dieser Artikelreihe werden wir auf die eingeräumten Befugnisse und Sanktionen eingehen.

Zum ersten Teil der Reihe gelangen Sie hier.

Haben Sie Fragen zur NIS2-Richtlinie? Kontaktieren Sie uns gerne für weitere Informationen.

Tel.: 04621 5 30 40 50

E-Mail: mail@konzept17.de

Autor: Dirk Bussenius

2. Februar 2023

 

Datenschutz-News

Wir geben Antworten,
bevor Sie Fragen haben.

News BLOG »