NIS2 – Verbesserung der Cybersecurity in der EU

Organisationen sollten ein Informationssicherheitsmanagementsystem einrichten und pflegen, das einen systematischen, proaktiven Ansatz für das Risikomanagement ermöglicht.

Organisationen müssen angemessene Fähigkeiten entwickeln, um Cyberangriffe zu verhindern und abzuschrecken. Um dies effektiv zu tun, müssen Organisationen Folgendes identifizieren:

• Ihre wichtigsten Schwachstellen
• Welche Maßnahmen zur Cybersicherheit erforderlich sind, um das Risiko der Ausnutzung von Schwachstellen zu minimieren
• Wie die Organisation etwaige Vorfälle erkennen kann und darauf reagieren wird

Die Richtlinie verlangt ausdrücklich, dass „wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen, die diese Einrichtungen für ihren Betrieb oder die Erbringung ihrer Dienste nutzen, und um die Auswirkungen von Vorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder zu minimieren.“

Organisationen sollten planen, wie sie auf einen Angriff reagieren werden. Die betroffenen Akteure müssen geschult werden, und es müssen Pläne für den Umgang mit Vorfällen, die sich auf die Geschäftskontinuität auswirken, sowie für die Wiederherstellung nach Störungen und potenziellen Ausfallzeiten erstellt werden.

Organisationen müssen die Risiken, die durch Schwachstellen innerhalb ihrer Lieferkette entstehen, bewerten und verwalten. Diese Anforderung ermutigt Organisationen, mit ihren Lieferanten zusammenzuarbeiten und sicherzustellen, dass alle Parteien die Risiken verstehen, die mit der Teilnahme an der Lieferkette verbunden sind, unabhängig davon, was geliefert wird.

Schwachstellen inerhalb der Netzwerke von Organisationen müssen offengelegt werden. Organisationen müssen transparent sein in Bezug auf das Schwachstellenmanagement, die Möglichkeit für die Öffentlichkeit bieten, Schwachstellen zu melden, und sicherstellen, dass die relevanten Abteilungen auf die Informationen reagieren können.

Diese Transparenz ermöglicht es anderen Organisationen, auf die Informationen zu reagieren und sicherzustellen, dass sie nicht durch bekannte Schwachstellen ausgenutzt werden.

Die NIS2 verlangt, dass eine Organisation innerhalb von 24 Stunden nach Bekanntwerden eines „bedeutenden“ Vorfalls einen ersten Bericht, innerhalb von 72 Stunden einen vollständigen Bericht und spätestens einen Monat nach der Meldung des Vorfalls einen Abschlussbericht erstellt, der Folgendes enthält

• Eine detaillierte Beschreibung des Vorfalls, einschließlich seiner Schwere und Auswirkungen
• Die Art der Bedrohung oder die Grundursache, die den Vorfall wahrscheinlich ausgelöst hat
• Angewandte und laufende Abhilfemaßnahmen
• Ggf. die grenzüberschreitenden Auswirkungen des Vorfalls.

Ein „schwerwiegender“ Vorfall ist ein Vorfall, der zu einer schwerwiegenden Störung des Betriebs oder zu einem finanziellen Verlust für die betroffene Einrichtung geführt hat oder führen kann, oder ein Vorfall, der andere natürliche oder juristische Personen beeinträchtigt hat oder beeinträchtigen kann, indem er erhebliche materielle oder immaterielle Schäden verursacht.

Die NIS2 fördert die enge Zusammenarbeit und den Austausch von Daten auf EU-Ebene zwischen den Mitgliedstaaten. Dies ermöglicht eine effiziente und koordinierte Reaktion auf Cyber-Vorfälle sowohl auf nationaler als auch auf EU-Ebene. NIS2 fördert auch die Verwendung europäischer und internationaler Standards und technischer Spezifikationen, die für die Sicherheit von Netz- und Informationssystemen durch die Mitgliedstaaten relevant sind, und harmonisiert so die Art und Weise, wie gute Sicherheitspraktiken entwickelt werden.