REALTECH SmartCMDB

Bestens ausgerüstet für NIS2

Die Netz- und Informationssicherheitsrichtlinie 2 (NIS2) zielt mit ihren strikten Anforderungen darauf ab, die Cybersicherheit kritischer Infrastrukturen zu stärken und einheitliches Cybersicherheitsniveau in der EU sicherstellen. Die Frist rückt näher, doch viele Unternehmen sind noch nicht vorbereitet. Erfahren Sie das Wichtigste über NIS2 und entdecken Sie, wie eine CMDB Sie bei der NIS2-Compliance unterstützen kann.

Demo vereinbaren

Was ist NIS2?

NIS2, kurz für Netz- und Informationssicherheitsrichtlinie 2, ist eine europäische Gesetzgebung, die darauf abzielt, die Sicherheit von Netzwerken und Informationssystemen in kritischen Infrastrukturen zu erhöhen. Die NIS2-Richtlinie baut auf den Grundlagen der bereits bestehenden NIS-Richtlinie aus dem Jahr 2016 auf.

Sie legt spezifische Anforderungen an Unternehmen fest, die Dienste erbringen, die für das Funktionieren der Gesellschaft von wesentlicher Bedeutung sind. Die EU strebt mit der NIS2 an, Angriffe auf kritische Infrastruktur zu verhindern und somit schwerwiegende Folgen zu vermeiden. Unternehmen im Geltungsbereich sind verpflichtet, geeignete Sicherheitsmaßnahmen zu treffen.

Wann tritt die NIS2-Richtlinie in Kraft?

NIS2 gilt schon seit 2023 auf EU-Ebene. Die EU-Mitgliedstaaten haben jedoch bis zum 17. Oktober 2024 Zeit, um die NIS2-Richtlinie in nationales Recht umzusetzen. Ab diesem Zeitpunkt müssen betroffene Unternehmen NIS2-konform sein. In Deutschland liegt seit Juli 2023 ein Referentenentwurf für das NIS2-Umsetzungsgesetz (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG) und ein Diskussionspapier vor.

Welche Änderungen bringt NIS2?

NIS2 bringt bedeutende Änderungen im Bereich der Cybersicherheit für Unternehmen mit sich:

Erweiterung des Geltungsbereichs: Eine größere Anzahl von Unternehmen wird von den Bestimmungen der NIS2-Richtlinie betroffen sein.
Höhere Sanktionen: Verstöße gegen die Sicherheitsbestimmungen ziehen nun drastischere Strafen nach sich.
Haftung der Geschäftsführung: Die Geschäftsführung kann mit ihrem Privatvermögen haften, falls Sicherheitsbestimmungen verletzt werden.
Verschärfung der Schutzmaßnahmen: Organisationen sind verpflichtet, ihre Schutzmaßnahmen zu verschärfen, darunter Cyber-Risikomanagement, Kontrolle und Überwachung, Umgang mit Zwischenfällen und Aufrechterhaltung der Geschäftskontinuität.
Strengere Meldepflichten: Bedeutende Sicherheitsvorfälle müssen innerhalb von 24 Stunden dem Bundesamt für Sicherheit in der Informationstechnik gemeldet werden, gefolgt von einer ersten Bewertung innerhalb von 72 Stunden und einem detaillierten Abschlussbericht innerhalb eines Monats.

Welche Unternehmen sind von NIS2 betroffen?

NIS2 unterscheidet zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“. Die Zuordnung erfolgt anhand des Grades der Kritikalität in dem entsprechenden Sektor sowie der Unternehmensgröße. Die Zugehörigkeit bestimmt das Ausmaß der behördlichen Aufsicht (proaktiv bei wesentlichen Einrichtungen und reaktiv bei wichtigen Einrichtungen) und die Höhe der möglichen Geldstrafen.

Hinweis: Unternehmen sind selbst dafür verantwortlich zu ermitteln, ob die NIS2-Richtlinie auf sie zutrifft. Behörden teilen ihnen nicht aktiv mit, dass sie den Vorgaben der NIS2 unterliegen.

Unternehmensgröße

Einrichtungen mit mindestens 50 Mitarbeitern oder mindestens 10 Millionen Euro Jahresumsatz. Es gibt jedoch Ausnahmen und einige Einrichtungen fallen unabhängig von ihrer Größe in den Geltungsbereich von NIS2.

Wirtschaftssektor

Der zweite Aspekt ist der Sektor, in dem ein Unternehmen tätig ist. Die NIS2 definiert insgesamt 18 Sektoren. Die neue Richtlinie gilt auch indirekt für Dienstleister und Lieferanten von betroffenen Einrichtungen.

Wesentliche Einrichtungen

Sektoren mit hoher Kritikalität

Energie
Verkehr
Bankwesen
Finanzmarktinfrastrukturen
Gesundheit
Trinkwasser
Abwasser
Digitale Infrastruktur
Verwaltung von IKT-Diensten
Öffentliche Verwaltung
Weltraum

Wichtige Einrichtungen

Sonstige kritische Sektoren

Post- und Kurierdienste
Abfallwirtschaft
Chemie
Lebensmittel
Verarbeitendes Gewerbe
Anbieter digitaler Dienste
Forschung

So werden Ihre IT- und OT-Prozesse NIS2-ready
Webinar am 02.05.2024

kostenlos anmelden

Was müssen betroffene Unternehmen beachten?

Mit NIS2 gelten für viele Organisationen strenge Sicherheitsmaßnahmen und Meldepflichten. Betroffene Unternehmen müssen hohe Anforderungen an ihr Risikomanagement, Vorfallmanagement, die Geschäftskontinuität und das Reporting erfüllen.

Eine entscheidende Anforderung von NIS2 ist die strukturierte Analyse und Dokumentation von Vermögenswerten, die im Zusammenhang mit Netz- und Informationssystemen stehen. Das Ziel dieser Anforderung ist, eine Inventarisierung und Klassifizierung der Vermögenswerte durchzuführen, die für den Betrieb dieser kritischen Systeme wichtig sind.

Vermögenswerte identifizieren

Betreiber wesentlicher Dienste müssen alle Vermögenswerte (Assets) identifizieren, die im Zusammenhang mit ihren Netz- und Informationssystemen stehen. Dies kann Hardware, Software, Daten, Infrastrukturen, Anwendungen, Services und andere Ressourcen umfassen.

Strukturierte Analyse durchführen

Die Identifizierung der Assets sollte strukturiert und systematisch erfolgen. Durch eine umfassende Analyse können relevanten Vermögenswerte gezielt erfasst und beurteilt werden.

Klassifizierung der Vermögenswerte

Die erfassten Vermögenswerte sollten klassifiziert werden, um deren Wert, Bedeutung, Vertraulichkeit, Integrität und Verfügbarkeit zu bewerten. Dies hilft dabei, Prioritäten für Sicherheitsmaßnahmen festzulegen und Ressourcen effektiv zuzuweisen.

Dokumentation

Die Ergebnisse der Analyse und Klassifizierung der Assets sollten dokumentiert werden, um eine klare und transparente Übersicht über die Vermögenswerte und ihre Sicherheitsanforderungen zu erhalten. Diese Dokumentation dient als Grundlage für die Entwicklung von Sicherheitsmaßnahmen und -strategien.

Konzeption

Der Betreiber erstellt ein geeignetes Konzept zur Verwaltung von Vermögenswerten für die Identifizierung, Klassifizierung und Inventarisierung sowohl der IT-Prozesse, -Systeme und -Komponenten als auch von Softwareplattformen/- lizenzen sowie Applikationen.

Aktualisierung und Überprüfung

Die Analyse und Dokumentation der Vermögenswerte sollten regelmäßig aktualisiert und überprüft werden, um sicherzustellen, dass sie den aktuellen Anforderungen und Bedrohungen entsprechen. Neue Assets sollten erfasst und bewertet, veraltete oder nicht mehr relevante Vermögenswerte archiviert werden.

NIS2 mit SmartITSM von REALTECH

SmartITSM (mit der integrierten SmartCMDB) unterstützt Sie bei der Umsetzung der NIS2-Richtlinie, indem es eine präzise Inventarisierung Ihrer IT-/OT-Infrastruktur ermöglicht. Die intelligente Configuration Management Database von REALTECH bietet eine zuverlässige und automatisierte Erfassung, Dokumentation sowie Überwachung Ihrer kritischen IT-/OT-Umgebung. Die so gewonnenen Daten können nahtlos Sie in Ihre Geschäftsprozesse integrieren. SmartITSM leistet dadurch einen entscheidenden Beitrag zur Nachvollziehbarkeit und Sicherheit im KRITIS- und NIS2-Umfeld.

Asset-Verwaltung in der Energiebranche
Volle Transparenz für Ihre IT- und OT-Landschaft

mehr erfahren

FAQs: NIS2-Richtlinie

NIS2 differenziert zwischen wesentlichen Einrichtungen (Sektoren mit hoher Kritikalität) und wichtigen Einrichtungen (sonstige kritische Sektoren). Dazu zählen beispielsweise Unternehmen aus den Bereichen Energie, Gesundheitswesen, Finanzen und Verkehr. Ebenso betroffen sind Unternehmen mit über 50 Angestellten und einem Jahresumsatz von mehr als 10 Millionen Euro.

Für Unternehmen bedeutet NIS2, dass sie strenge Sicherheitsvorkehrungen einhalten müssen. Dies umfasst besonders strenge Anforderungen an das Risikomanagement, Vorfallmanagement, die Geschäftskontinuität und das Reporting. Unternehmen müssen unter anderem ihre IT-Infrastruktur gründlich analysieren und geeignete Sicherheitsmaßnahmen implementieren.

Das NIS2-Umsetzungsgesetz in Deutschland wird voraussichtlich ab Oktober 2024 in Kraft treten.

Ein häufiges Problem ist die Herstellung der Transparenz über alle Assets eines Unternehmens. Dies manuell zu bewerkstelligen wäre äußerst aufwendig und wirtschaftlich ineffizient. Daher ist eine technische NIS2-Lösung notwendig. Eine CMDB bietet hierfür einen geeigneten Ansatz.

Um kontinuierliche Aktualität aller Assets sicherzustellen, ist eine technische Lösung mit einem hohen Automatisierungsgrad unabdingbar. Idealerweise sollte die Lösung über Features wie Auto-Discovery, Baselining und Alerting verfügen. Die SmartCMDB bietet hierfür alle erforderlichen Optionen.

In diesem Artikel:

Definition

Inkrafttreten

Änderungen durch NIS2

Betroffene Unternehmen

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen, die in der Cookie Box von Borlabs Cookie vom Besucher ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	WPML
Anbieter	Eigentümer dieser Website
Zweck	Speichert die aktuelle Sprache.
Cookie Name	_icl_, wpml_, wp-wpml_*
Cookie Laufzeit	1 Tag

Name	Cloudflare
Anbieter	Cloudflare Inc., 665 3rd St. #200, San Francisco, CA 94107, USA
Zweck	Dieses Cookie versetzt Cloudflare in die Lage, den Datenverkehr zwischen Ihrem Browser und unserer Webseite zu analysieren und als Filter zwischen unseren Servern und potenziell bösartigem Datenverkehr aus dem Internet zu dienen.
Datenschutzerklärung	https://www.cloudflare.com/de-de/privacypolicy
Host(s)	cloudflare.com
Cookie Name	__cf_bm
Cookie Laufzeit	1 Tag

Akzeptieren	YouTube
Name	YouTube
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Wird verwendet, um YouTube-Inhalte zu entsperren.
Datenschutzerklärung	https://policies.google.com/privacy
Host(s)	google.com
Cookie Name	NID
Cookie Laufzeit	6 Monate

Akzeptieren	HubSpot
Name	HubSpot
Anbieter	HubSpot
Zweck	Wir nutzen Hubspot für Marketing und Vertriebszwecke.
Datenschutzerklärung	https://legal.hubspot.com/de/privacy-policy
Host(s)	.hubspot.com
Cookie Name	__hs_opt_out, __hs_d_not_track, hs_ab_test, hs-messages-is-open, hs-messages-hide-welcome-message, __hstc, hubspotutk, __hssc, __hssrc, messagesUtk