NIS-2 Ergebnis wesentliche Einrichtung
Ergebnis: Sie sind von der NIS-2-Richtlinie betroffen
Auf Grundlage der von Ihnen abgegebenen Informationen kann von einer NIS-2 Betroffenheit ausgegangen werden. Ihre Einrichtung gehört zu den wesentlichen (besonders wichtig) Einrichtungen.
Welche Maßnahmen nun ergriffen werden müssen, erläutern wir Ihnen nachfolgend in einer kurzen Zusammenfassung.
Sicherheit und Risikomanagement
Besonders wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um die IT und Prozesse ihrer erbrachten Dienste zu schützen, Störungen zu vermeiden und Auswirkungen von Sicherheitsvorfällen gering zu halten.
Dazu gehören z.B.
- Verantwortlichkeit der oberen Führungsebene
Die oberste Führungsebene muss umzusetzende Cybersicherheitsmaßnahmen genehmigen, die Umsetzung beaufsichtigen und kann haftbar/strafbar gemacht werden, wenn die Cybersicherheitsmaßnahmen nicht ordnungsgemäß umgesetzt werden. - Schulung der oberen Ebene und Mitarbeiter
Die obere Führungsebene muss eine Cybersicherheitsschulung absolvieren und Mitarbeitern die regelmäßige Teilnahme an Cybersicherheitsschulungen ermöglichen - Risikobasierter Ansatz
Für die Beurteilung der Risiken müssen Gefährdungsbeurteilungen auf dem Grundsatz des risikobasierten Ansatzes basieren. - Umsetzung von technischen und organisatorischen Maßnahmen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu reduzieren und verhindern zu können.
- Sicherheit der Lieferkette
Kritische Schnittstellen in der Lieferkette müssen geprüft werden. Auch hier müssen technische und organisatorische Maßnahmen zum Schutz ergriffen werden. - Berichtserstattung über erhebliche Vorfälle
Dokumentation und Nachweise:
Umgesetzte Maßnahmen müssen dokumentiert und mittels internen Audits zyklisch überprüft werden.
Entsprechende Dokumente können Schulungs- und Sensibilisierungspläne, Risikobehandlungspläne, ein Verfahren zum Vorfallmanagement, eine Backup-Richtlinie, ein Notfallplan und eine Zugangssteuerungsrichtlinie sein. Diese Auflistung ist nicht abschließend.
Bußgelder:
Für wesentliche Einrichtungen betragen die Geldbußen bis zu 10 Millionen Euro oder 2 % des gesamten Jahresumsatzes.
Registrierung und Meldepflichten
Besonders wichtige Einrichtungen müssen sich innerhalb von drei Monaten beim BSI registrieren, u.a mit: Name, Rechtsform, Kontaktdaten, Mail/Telefon, IP-Adressbereiche, Sektor und Teilsektor, EU-Staaten mit Geschäftsaktivitäten. Für bestimmte Einrichtungen gelten spezielle Registrierungsregeln.
Betreiber kritischer Anlagen müssen zusätzliche Informationen bei der Registrierung übermitteln.
Meldepflicht von Sicherheitsvorfällen
- Frühwarnung innerhalb von 24 Stunden ab Kenntnis:
Verdacht, ob der Vorfall auf rechtswidriger oder böswilliger Handlung beruht und ob grenzüberschreitend. - Ausführlicher Bericht innerhalb von 72 Stunden ab Kenntnis:
Erste Bewertung des Sicherheitsvorfalls, inklusive Schweregrad, Auswirkungen und ggf. die Kompromittierungsindikatoren. - Fortschritts-/Abschlussbericht ein Monat nach Meldung:
Ausführliche Beschreibung, Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen, ggf. die grenzüberschreitenden Auswirkungen.
Unverbindliche Beratung:
Kommen Sie gerne für ein unverbindliches Beratungsgespräch auf uns zu. Wir wissen, der Gesetzes-Dschungel ist nicht immer ganz verständlich. Wir klären Ihre Situation und schätzen Ihre Einrichtung individuell ein.
Auch der Einsatz unseres Softwaretools EDIRA kann Ihnen in der Erfüllung der Anforderungen aus der NIS-2 helfen. Sprechen Sie uns gerne darauf an.