ISMS Copilot
Unterstützte Frameworks

NIS2-Richtlinie

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist die aktualisierte Cybersicherheitsgesetzgebung der EU, die umfassende Sicherheits- und Meldeanforderungen für wesentliche und wichtige Einrichtungen in kritischen Sektoren festlegt. Seit dem 18. Oktober 2024 erweitert NIS2 den Geltungsbereich und die Durchsetzung ihrer Vorgängerin (NIS1) erheblich, indem sie mehr Sektoren abdeckt und strengere Verpflichtungen auferlegt.

Der ISMS Copilot verfügt über spezielles Wissen zu den NIS2-Anforderungen. Sie können framework-spezifische Fragen stellen, Richtlinien erstellen, die an den NIS2-Artikeln ausgerichtet sind, und Compliance-Lücken mithilfe des KI-Assistenten bewerten.

Wer muss die NIS2-Compliance einhalten?

NIS2 gilt für Organisationen, die in der EU in 18 kritischen Sektoren tätig sind, kategorisiert als:

Wesentliche Einrichtungen (höhere Kritikalität):

  • Energie (Elektrizität, Öl, Gas, Wasserstoff)

  • Verkehr (Luft, Schiene, Wasser, Straße)

  • Bankwesen und Finanzmarktinfrastrukturen

  • Gesundheitswesen (Gesundheitsdienstleister, Labore, Medizinproduktehersteller)

  • Trinkwasser und Abwasser

  • Digitale Infrastruktur (Internet-Knoten, DNS-Anbieter, Cloud-Dienste, Rechenzentren)

  • Öffentliche Verwaltung

  • Weltraum

Wichtige Einrichtungen (moderate Kritikalität):

  • Post- und Kurierdienste

  • Abfallbewirtschaftung

  • Produktion und Vertrieb von Chemikalien

  • Produktion und Vertrieb von Lebensmitteln

  • Produzierendes Gewerbe (Medizinprodukte, Elektronik, Maschinenbau, Kraftfahrzeuge)

  • Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)

  • Forschungseinrichtungen

Die Schwellenwerte für die Unternehmensgröße variieren je nach Mitgliedstaat, gelten jedoch im Allgemeinen für mittlere und große Unternehmen (50+ Mitarbeiter oder 10 Mio. €+ Jahresumsatz). Kleine und Kleinstunternehmen können einbezogen werden, wenn sie kritische Dienste erbringen.

Kernsicherheitsanforderungen

NIS2 schreibt ein umfassendes Paket an Cybersicherheitsmaßnahmen in zehn Bereichen vor:

  1. Risikomanagement: Identifizierung und Bewertung von Cybersicherheitsrisiken für Netz- und Informationssysteme

  2. Bewältigung von Sicherheitsvorfällen: Erkennung von, Reaktion auf und Wiederherstellung nach Sicherheitsvorfällen

  3. Business Continuity: Backup-Management, Disaster Recovery und Krisenmanagement

  4. Sicherheit der Lieferkette: Bewertung und Management von Sicherheitsrisiken durch Zulieferer und Dienstleister

  5. Sicherheit bei der Beschaffung: Integration von Sicherheit in die Beschaffung von Systemen und Diensten

  6. Schwachstellenmanagement: Bewertung von Schwachstellen sowie Bereitstellung von Patches und Updates

  7. Richtlinien und Verfahren: Dokumentierte Sicherheitsrichtlinien für Zugriffskontrolle, Asset-Management und Authentifizierung

  8. Kryptografie und Verschlüsselung: Schutz der Vertraulichkeit und Integrität von Daten

  9. Personalsicherheit: Zugriffskontrollrichtlinien, Schulungen und Sensibilisierungsprogramme

  10. Multi-Faktor-Authentifizierung und sichere Kommunikation: Implementierung starker Authentifizierung und verschlüsselter Notfallkommunikationssysteme

Meldepflichten bei Vorfällen

NIS2 führt strenge Zeitpläne für die Meldung von Vorfällen ein:

  • Frühwarnung (24 Stunden): Benachrichtigung des nationalen CSIRT oder der zuständigen Behörde innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Vorfalls

  • Meldung des Vorfalls (72 Stunden): Übermittlung einer ersten Bewertung einschließlich Schweregrad, Kompromittierungsindikatoren (IoCs) und ersten Auswirkungen

  • Abschlussbericht (1 Monat): Erstellung eines detaillierten Berichts mit Ursachenanalyse, Auswirkungsbewertung und Abhilfemaßnahmen

Die Nichtmeldung von Vorfällen innerhalb dieser Fristen kann erhebliche Strafen nach sich ziehen, einschließlich Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Governance und Rechenschaftspflicht

NIS2 betont die Verantwortung der Leitungsorgane:

  • Rechenschaftspflicht auf Vorstandsebene: Leitungsorgane müssen Cybersicherheitsmaßnahmen genehmigen und deren Umsetzung überwachen

  • Persönliche Haftung: Die Geschäftsführung kann für die Nichteinhaltung persönlich haftbar gemacht werden

  • Schulungsanforderungen: Die Geschäftsführung muss an Cybersicherheitsschulungen teilnehmen

  • Aufsichtsbehörde: Nationale Behörden können Vor-Ort-Inspektionen und Audits durchführen

Sanktionen und Durchsetzung

NIS2 führt EU-weit harmonisierte Sanktionen ein:

  • Wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Wert höher ist)

  • Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (je nachdem, welcher Wert höher ist)

Sanktionen können bei Nichtumsetzung von Sicherheitsmaßnahmen, Verstößen gegen die Meldepflicht oder mangelnder Kooperation mit den Behörden verhängt werden.

Wie ISMS Copilot hilft

ISMS Copilot bietet umfassende Unterstützung für die NIS2-Compliance:

  • Framework-spezifische Anleitung: Stellen Sie Fragen zu spezifischen NIS2-Artikeln, Sicherheitsmaßnahmen oder Meldepflichten

  • Erstellung von Richtlinien: Erstellen Sie audit-bereite Richtlinien, die alle zehn Cybersicherheitsbereiche abdecken

  • Gap-Analyse: Laden Sie bestehende Sicherheitsdokumentationen hoch, um Lücken im Vergleich zu den NIS2-Anforderungen zu identifizieren

  • Risikobewertungen: Erstellen Sie NIS2-konforme Risikobewertungen für Systeme und Lieferkettenbeziehungen

  • Incident-Response-Planung: Entwickeln Sie Klassifizierungsschemata für Vorfälle und Melde-Workflows, die an den NIS2-Fristen ausgerichtet sind

  • Compliance-Roadmaps: Fordern Sie Implementierungshilfen basierend auf Ihrem Unternehmenstyp und Sektor an

  • Organisation des Workspace: Verwalten Sie NIS2-Projekte getrennt von anderen Compliance-Initiativen

Die KI verfügt über direktes Wissen zur Struktur und den Anforderungen von NIS2, sodass Sie in Ihren Prompts auf spezifische Artikel oder Sicherheitsmaßnahmen Bezug nehmen können.

Versuchen Sie zu fragen: „Erstelle eine Richtlinie zur Lieferkettensicherheit gemäß NIS2 Artikel 21“ oder „Was sind die Meldepflichten für wesentliche Einrichtungen unter NIS2?“

Erste Schritte

Um mit der NIS2-Compliance-Arbeit in ISMS Copilot zu beginnen:

  1. Erstellen Sie einen dedizierten Workspace für die NIS2-Compliance

  2. Fragen Sie die KI, ob Ihre Organisation als wesentliche oder wichtige Einrichtung gilt

  3. Erstellen Sie grundlegende Richtlinien für die zehn Cybersicherheitsbereiche

  4. Laden Sie bestehende Cybersicherheitsrichtlinien für eine Gap-Analyse hoch

  5. Entwickeln Sie einen Incident-Response-Plan mit NIS2-konformen Melde-Workflows

  6. Erstellen Sie einen Prozess zur Bewertung der Lieferkettensicherheit

Umsetzung in den Mitgliedstaaten

Während NIS2 Mindestanforderungen festlegt, können einzelne EU-Mitgliedstaaten durch nationale Umsetzungsgesetze zusätzliche Verpflichtungen auferlegen. Prüfen Sie die Leitfäden Ihrer nationalen Cybersicherheitsbehörde für länderspezifische Anforderungen.

Weiterführende Ressourcen

  • Offizieller Text der NIS2-Richtlinie: EUR-Lex

  • ENISA (Agentur der Europäischen Union für Cybersicherheit) Leitfäden und Ressourcen

  • Kontakte der nationalen CSIRT und zuständigen Behörden

War das hilfreich?