NIS-2 Ergebnis wesentliche Einrichtung

Ergebnis: Sie sind von der NIS-2-Richtlinie betroffen

Auf Grundlage der von Ihnen abgegebenen Informationen kann von einer NIS-2 Betroffenheit ausgegangen werden. Ihre Einrichtung gehört zu den wesentlichen (besonders wichtig) Einrichtungen.

Welche Maßnahmen nun ergriffen werden müssen, erläutern wir Ihnen nachfolgend in einer kurzen Zusammenfassung.

Sicherheit und Risikomanagement

Besonders wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um die IT und Prozesse ihrer erbrachten Dienste zu schützen, Störungen zu vermeiden und Auswirkungen von Sicherheits­vorfällen gering zu halten.

Dazu gehören z.B.

  • Verantwortlichkeit der oberen Führungsebene
    Die oberste Führungsebene muss umzusetzende Cybersicherheitsmaßnahmen genehmigen, die Umsetzung beaufsichtigen und kann haftbar/strafbar gemacht werden, wenn die Cybersicherheitsmaßnahmen nicht ordnungsgemäß umgesetzt werden.
  • Schulung der oberen Ebene und Mitarbeiter
    Die obere Führungsebene muss eine Cybersicherheitsschulung absolvieren und Mitarbeitern die regelmäßige Teilnahme an Cybersicherheitsschulungen ermöglichen
  • Risikobasierter Ansatz
    Für die Beurteilung der Risiken müssen Gefährdungsbeurteilungen auf dem Grundsatz des risikobasierten Ansatzes basieren.
  • Umsetzung von technischen und organisatorischen Maßnahmen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu reduzieren und verhindern zu können.
  • Sicherheit der Lieferkette
    Kritische Schnittstellen in der Lieferkette müssen geprüft werden. Auch hier müssen technische und organisatorische Maßnahmen zum Schutz ergriffen werden.
  • Berichtserstattung über erhebliche Vorfälle

Dokumentation und Nachweise:

Umgesetzte Maßnahmen müssen dokumentiert und mittels internen Audits zyklisch überprüft werden.

Entsprechende Dokumente können Schulungs- und Sensibilisierungspläne, Risikobehandlungspläne, ein Verfahren zum Vorfallmanagement, eine Backup-Richtlinie, ein Notfallplan und eine Zugangssteuerungsrichtlinie sein. Diese Auflistung ist nicht abschließend.

Bußgelder:

Für wesentliche Einrichtungen betragen die Geldbußen bis zu 10 Millionen Euro oder 2 % des gesamten Jahresumsatzes.

Registrierung und Meldepflichten

Besonders wichtige Einrichtungen müssen sich innerhalb von drei Monaten beim BSI registrieren, u.a mit: Name, Rechtsform, Kontaktdaten, Mail/Telefon, IP-Adressbereiche, Sektor und Teilsektor, EU-Staaten mit Geschäftsaktivitäten. Für bestimmte Einrichtungen gelten spezielle Registrierungs­regeln.

Betreiber kritischer Anlagen müssen zusätzliche Informationen bei der Registrierung übermitteln.

Meldepflicht von Sicherheitsvorfällen

  • Frühwarnung innerhalb von 24 Stunden ab Kenntnis:
    Verdacht, ob der Vorfall auf rechtswidriger oder böswilliger Handlung beruht und ob grenzüberschreitend.
  • Ausführlicher Bericht innerhalb von 72 Stunden ab Kenntnis:
    Erste Bewertung des Sicherheitsvorfalls, inklusive Schweregrad, Auswirkungen und ggf. die Kompromittierungsindikatoren.
  • Fortschritts-/Abschlussbericht ein Monat nach Meldung:
    Ausführliche Beschreibung, Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen, ggf. die grenzüberschreitenden Auswirkungen.

Unverbindliche Beratung:

Kommen Sie gerne für ein unverbindliches Beratungsgespräch auf uns zu. Wir wissen, der Gesetzes-Dschungel ist nicht immer ganz verständlich. Wir klären Ihre Situation und schätzen Ihre Einrichtung individuell ein.

Auch der Einsatz unseres Softwaretools EDIRA kann Ihnen in der Erfüllung der Anforderungen aus der NIS-2 helfen. Sprechen Sie uns gerne darauf an.

Was uns auszeichnet

Kontaktieren Sie uns

Sie sind Ihrer digitalen Souveränität bereits einen großen Schritt näher gekommen.

Wir freuen uns auf Ihr Interesse und Ihre Fragen.

Was ist die Summe aus 9 und 6?
Diese Anfrage ist für Sie unverbindlich und keine Zahlungsmittel sind notwendig.

WebConference Bestellung

X

Wir freuen uns, dass Sie sich für WebConference entschieden haben.

Füllen Sie bitte das unten stehende Formular aus. In Kürze kommt jemand auf Sie zu und lässt Ihnen die Vertragsunterlagen zukommen.

Bitte addieren Sie 1 und 6.

Demozugang anfordern

X

Sie sind Ihrer digitalen Souveränität bereits einen großen Schritt näher gekommen.

Was ist die Summe aus 1 und 4?
Diese Anfrage ist für Sie unverbindlich und keine Zahlungsmittel sind notwendig.