NIS2 Ergebnis Sonderfall

Ergebnis: Sie sind von der NIS 2 Richtlinie betroffen

Auf Grundlage der von Ihnen abgegebenen Informationen kann von einer NIS 2 Betroffenheit ausgegangen werden. Durch die von Ihnen getätigten Angaben kann von einem Sonderfall ausgegangen werden, da Sie in einem der folgenden Bereiche agieren: Anbieter von DNS-Diensten, TLD- Namensregister, Dienstleistungen zur Registrierung von Domänennamen, Anbieter von Cloud-Computing-Diensten, Vertrauensdiensteanbieter, Anbieter von öffentlich zugänglichen elektronischen Kommunikationsdiensten, öffentliche Verwaltung, Betreiber kritischer Anlagen (KRITIS-Betreiber). Für oben genannte Einrichtungen gilt die NIS 2 unabhängig von der Beschäftigtenzahl.

Welche Maßnahmen nun ergriffen werden müssen, erläutern wir Ihnen nachfolgend in einer kurzen Zusammenfassung.

Sicherheit und Risikomanagement

Betroffene Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um die IT und Prozesse ihrer erbrachten Dienste zu schützen, Störungen zu vermeiden und Auswirkungen von Sicherheits­vorfällen gering zu halten.

Dazu gehören z.B.

  • Verantwortlichkeit der oberen Führungsebene
    Die oberste Führungsebene muss umzusetzende Cybersicherheitsmaßnahmen genehmigen, die Umsetzung beaufsichtigen und kann haftbar/strafbar gemacht werden, wenn die Cybersicherheitsmaßnahmen nicht ordnungsgemäß umgesetzt werden.
  • Schulung der oberen Ebene und Mitarbeiter
    Die obere Führungsebene muss eine Cybersicherheitsschulung absolvieren und Mitarbeitern die regelmäßige Teilnahme an Cybersicherheitsschulungen ermöglichen
  • Risikobasierter Ansatz
    Für die Beurteilung der Risiken müssen Gefährdungsbeurteilungen auf dem Grundsatz des risikobasierten Ansatzes basieren.
  • Umsetzung von technischen und organisatorischen Maßnahmen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu reduzieren und verhindern zu können.
  • Sicherheit der Lieferkette
    Kritische Schnittstellen in der Lieferkette müssen geprüft werden. Auch hier müssen technische und organisatorische Maßnahmen zum Schutz ergriffen werden.
  • Berichtserstattung über erhebliche Vorfälle

Dokumentation und Nachweise:

Umgesetzte Maßnahmen müssen dokumentiert und mittels internen Audits zyklisch überprüft werden.

Entsprechende Dokumente können Schulungs- und Sensibilisierungspläne, Risikobehandlungspläne, ein Verfahren zum Vorfallmanagement, eine Backup-Richtlinie, ein Notfallplan und eine Zugangssteuerungsrichtlinie sein. Diese Auflistung ist nicht abschließend.

Bußgelder:

Für wesentliche Einrichtungen betragen die Geldbußen bis zu 10 Millionen Euro oder 2 % des gesamten Jahresumsatzes.

Für wichtige Einrichtungen betragen die Geldbußen bis zu 7 Millionen Euro oder 1,4 % des gesamten Jahresumsatzes.

Registrierung und Datenbank

Die ENISA erstellt und pflegt ein Register der DNS-Diensteanbieter, TLD-Namenregister, Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke.

EU Mitgliedsstaaten verlangen von den oben genannten Einrichtungen, dass sie bis zum 17.01.2025 den zuständigen Behörden folgende Angaben übermitteln:

  1. Name der Einrichtung,
  2. gegebenenfalls, einschlägiger Sektor, Teilsektor und Art der Einrichtung gemäß Anhang I oder II,
  3. Anschrift der Hauptniederlassung der Einrichtung und ihrer sonstigen Niederlassungen in der Union oder, falls sie nicht in der Union niedergelassen ist, Anschrift ihres nach Artikel 26 Absatz 3 benannten Vertreters,
  4. aktuelle Kontaktdaten, einschließlich E-Mail-Adressen und Telefonnummern der Einrichtung und gegebenenfalls ihres gemäß Artikel 26 Absatz 3 benannten Vertreters,
  5. die Mitgliedstaaten, in denen die Einrichtung Dienste erbringt, und
  6. die IP-Adressbereiche der Einrichtung.

Die zuständigen Behörden werden jedoch von den Mitgliedstaaten als Verantwortliche für die Cybersicherheit und für die Aufsichtsaufgaben noch benannt. Wir gehen davon aus, dass dies das BSI sein wird.

KRITIS-Betreiber müssen sich seit Juli 2015 beim BSI registrieren.

Sollten Sie Betreiber kritischer Anlagen sein, müssen Sie zusätzliche Informationen bei der Registrierung übermitteln.

Datenbank der Domänennamen-Registrierungsdaten

Um zur Sicherheit, Stabilität und Resilienz des Domänennamensystems beizutragen, verpflichten die Mitgliedstaaten, dass die TLD-Namenregister und die Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, genaue und vollständige Domänennamen-Registrierungsdaten in einer eigenen Datenbank im Einklang mit dem Datenschutzrecht der Union in Bezug auf personenbezogene Daten mit der gebotenen Sorgfalt sammeln und pflegen.

Meldepflicht von Sicherheitsvorfällen

  • Frühwarnung innerhalb von 24 Stunden ab Kenntnis:
    Verdacht, ob der Vorfall auf rechtswidriger oder böswilliger Handlung beruht und ob grenzüberschreitend.
  • Ausführlicher Bericht innerhalb von 72 Stunden ab Kenntnis:
    Erste Bewertung des Sicherheitsvorfalls, inklusive Schweregrad, Auswirkungen und ggf. die Kompromittierungsindikatoren.
  • Fortschritts-/Abschlussbericht ein Monat nach Meldung:
    Ausführliche Beschreibung, Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen, ggf. die grenzüberschreitenden Auswirkungen.

Unverbindliche Beratung:

Kommen Sie gerne für ein unverbindliches Beratungsgespräch auf uns zu. Wir wissen, der Gesetzes-Dschungel ist nicht immer ganz verständlich. Wir klären Ihre Situation und schätzen Ihre Einrichtung individuell ein.

Auch der Einsatz unseres Softwaretools EDIRA kann Ihnen in der Erfüllung der Anforderungen aus der NIS 2 helfen. Sprechen Sie uns gerne darauf an.

Was uns auszeichnet

Kontaktieren Sie uns

X

Sie sind Ihrer digitalen Souveränität bereits einen großen Schritt näher gekommen.

Wir freuen uns auf Ihr Interesse und Ihre Fragen.

Was ist die Summe aus 4 und 4?
Diese Anfrage ist für Sie unverbindlich und keine Zahlungsmittel sind notwendig.

WebConference Bestellung

X

Wir freuen uns, dass Sie sich für WebConference entschieden haben.

Füllen Sie bitte das unten stehende Formular aus. In Kürze kommt jemand auf Sie zu und lässt Ihnen die Vertragsunterlagen zukommen.

Was ist die Summe aus 6 und 7?

Demozugang anfordern

X

Sie sind Ihrer digitalen Souveränität bereits einen großen Schritt näher gekommen.

Was ist die Summe aus 6 und 7?
Diese Anfrage ist für Sie unverbindlich und keine Zahlungsmittel sind notwendig.