Während viele EU-Länder immer noch dabei sind, die Details zur Umsetzung der NIS2-Richtlinie zu klären, wissen wir, dass einige Schlüsselelemente in jeder nationalen Umsetzung enthalten sein werden. Hier konzentrieren wir uns auf zwei davon: Artikel 21 und Artikel 23.
NIS2 Artikel 21: Die Sorgfaltspflicht
Artikel 21 umreißt wichtige Cybersicherheitspraktiken, die jedes Unternehmen gemäß den NIS2-Vorschriften implementiert haben muss. Sie haben wahrscheinlich bereits an viele davon gedacht und Schritte unternommen, um sie für die Stabilität und Zukunft Ihres Unternehmens umzusetzen. Für die anderen steht Ihnen Eye Security zur Seite.
Zu den obligatorischen Cybersicherheitsmaßnahmen gemäß Artikel 21 gehören:
- Risikoanalyse und Informationssicherheitsrichtlinien
- Vorfallbearbeitung - Dies ist ein integraler Bestandteil von Eye's CyberGuard-Service.
- Geschäftskontinuität, wie Backup-Management und Notfallplanung, und Krisenmanagement - Im Falle eines Cyber-Vorfalls garantiert Eye Security Unterstützung im Rahmen seines CyberGuard-Service. Das Krisenmanagement ist in dieser Unterstützung für die Vorfallreaktion enthalten.
- Sicherheit in der Beschaffung, Entwicklung und Wartung von Netzwerk- und Informationssystemen - Die Schwachstellenanalyse (einschließlich neu identifizierter Schwachstellen) ist Teil des CyberGuard-Service von Eye.
- Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheitsrisikomanagementmaßnahmen
- Grundlegende Cyberhygienepraktiken und Schulungen - Der optionale Awareness-Service von Eye Security umfasst regelmäßige Phishing-Simulationen und Schulungen für Mitarbeiter, die auf solche Phishing-E-Mails hereinfallen.
- Richtlinien und Verfahren zur Nutzung von Kryptografie und, falls zutreffend, Verschlüsselung
- Personalsicherheit, Zugriffsrichtlinien und Vermögensverwaltung
- Bei Bedarf die Verwendung von Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierungslösungen, sichere Kommunikation für Sprache, Video und Text sowie sichere Notfallkommunikationssysteme innerhalb des Unternehmens - das Eye-Portal zeigt Sicherheitsmaßnahmen wie die Nutzung von MFA auf und gibt Kunden Einblick in die tatsächliche Anwendung von Sicherheitsmaßnahmen.
NIS2 Artikel 23: Meldepflicht
Artikel 23 der NIS2-Richtlinie legt die Anforderungen für die Meldung erheblicher Sicherheitsvorfälle fest. Es definiert, was einen Vorfall ausmacht, die obligatorischen Berichte und den Inhalt, der in diesen Berichten erforderlich ist.
Ein Cyber-Vorfall wird definiert als:
- Eine schwerwiegende Betriebsstörung der Dienste der Organisation.
- Ein Vorfall, der zu finanziellen Schäden führen könnte.
- Ein Vorfall, der anderen natürlichen oder juristischen Personen materiellen oder immateriellen Schaden zufügen könnte.
Die konkreten Kriterien für diese Schwellenwerte müssen noch festgelegt werden, aber wir behalten die Entwicklungen im Auge.
Niemand will einen Vorfall - aber wenn Ihrem Unternehmen unter NIS2 ein solcher passiert, müssen Sie ihn wie folgt melden:
Innerhalb von 24 Stunden nach einem Vorfall müssen Sie ihn der Aufsichtsbehörde und dem für Ihren Sektor bestimmten CSIRT melden. Dieser Bericht muss angeben, ob der Vorfall durch rechtswidriges oder bösartiges Handeln verursacht wurde und ob er grenzüberschreitende Auswirkungen haben könnte.
Nach 72 Stunden muss ein Folgebericht eingereicht werden. Dieser Bericht sollte die Informationen aus dem ersten Bericht aktualisieren und eine erste Bewertung der Schwere und Auswirkungen des Vorfalls liefern.
Einen Monat nach dem Vorfall muss ein abschließender Bericht eingereicht werden. Dieser Bericht sollte eine detaillierte Beschreibung des Vorfalls enthalten, einschließlich seiner Schwere und Auswirkungen, des Typs der Bedrohung oder der wahrscheinlichen Ursache, angewendeter und laufender Risikominderungsmaßnahmen sowie, falls zutreffend, der grenzüberschreitenden Auswirkungen des Vorfalls.
Während eines Vorfalls kann das CSIRT oder die zuständige Behörde/ Aufsichtsbehörde einen Zwischenbericht anfordern. Dieser Bericht sollte relevante Updates zur Situation liefern.
Denken Sie daran, die Verbesserung Ihrer Cybersicherheit geht nicht nur darum, Vorschriften zu erfüllen - es geht um Sie, Ihre Kunden und die Sicherheit Ihres Unternehmens. Greifen Sie auf unsere NIS2-Informationszentrale zu, um mehr zu erfahren.
So unterstützen wir Sie.
Eye Security bietet rund um die Uhr Schutz, schnelle und kompetente Reaktion auf Vorfälle und sogar Versicherungsschutz. Unser umfassender Cyberschutz ist maßgeschneidert für kleine und mittelständische Unternehmen. Vereinbaren Sie eine Demo, um mehr zu erfahren.