{"id":294433,"date":"2024-04-13T00:40:10","date_gmt":"2024-04-12T22:40:10","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=294433"},"modified":"2024-04-13T00:40:10","modified_gmt":"2024-04-12T22:40:10","slug":"praxisleitfaden-zur-nis-2-umsetzung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/04\/13\/praxisleitfaden-zur-nis-2-umsetzung\/","title":{"rendered":"Praxisleitfaden zur NIS-2-Umsetzung"},"content":{"rendered":"

\"SicherheitDie NIS-2-Richtlinie (NIS steht f\u00fcr Network and Information Security) der Europ\u00e4ischen Union legt verbindliche Cyber Security-Mindeststandards f\u00fcr Betreiber Kritischer Infrastrukturen fest. Nach aktuellem Stand muss diese Richtlinien von betroffenen Unternehmen bis Oktober 2024 umgesetzt werden. IT-Verantwortliche sollten daher handeln und pr\u00fcfen, ob sie mit der Unternehmens-IT unter die NIS-2-Richtlinie fallen. Aber was muss man wissen und umsetzen?<\/p>\n

<\/p>\n

Die EU NIS-2-Richtlinie<\/h2>\n

\"\"Die Richtlinie zu Network and Information Security, auch kurz NIS-2-Richtlinie genannt, ist eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, die bereits 2022 beschlossen<\/a>, und  im Dezember 2022 im Amtsblatt der Europ\u00e4ischen Union ver\u00f6ffentlicht wurde. NIS-2 ist am 16. Januar 2023 offiziell EU-weit in Kraft getreten. <\/p>\n

Die Mitgliedstaaten haben nun bis Oktober 2024 Zeit, NIS-2 in nationales Recht umzusetzen. In Deutschland erfolgt die Umsetzung durch das NIS-2UmsuCG, welches aktuell als Referentenentwurf vorliegt. Ab dem 17. Oktober 2024 gelten die Vorgaben der Richtlinie NIS-2 in allen EU-L\u00e4ndern.<\/p>\n

Ziel der Richtlinie ist die St\u00e4rkung von Risiko- und Sicherheitsvorfallmanagement und der Zusammenarbeit. NIS-2 bildet die Grundlage f\u00fcr Risikomanagementma\u00dfnahmen und Meldepflichten im Bereich Cybersicherheit in allen Sektoren, die unter die Richtlinie fallen. Dazu geh\u00f6ren etwa Energie, Verkehr, Gesundheit und digitale Infrastruktur. <\/p>\n

Mit der \u00fcberarbeiteten Richtlinie sollen die Anforderungen an die Cybersicherheit und die Umsetzung von Cybersicherheitsma\u00dfnahmen zwischen verschiedenen Mitgliedstaaten harmonisiert werden. Dazu werden Mindestvorschriften f\u00fcr einen Rechtsrahmen und Mechanismen f\u00fcr eine wirksame Zusammenarbeit zwischen den zust\u00e4ndigen Beh\u00f6rden der einzelnen Mitgliedstaaten festgelegt. Die Liste der Sektoren und T\u00e4tigkeiten, f\u00fcr die Verpflichtungen im Hinblick auf die Cybersicherheit gelten, werden aktualisiert und es werden Abhilfema\u00dfnahmen und Sanktionen festgelegt, um die Durchsetzung zu gew\u00e4hrleisten. Eine \u00dcbersicht, warum NIS-2 notwendig wurde, findet sich beispielsweise auf dieser Webseite<\/a>. <\/p>\n

Fragen zur Umsetzung\/Betroffenheit<\/h2>\n<\/p>\n

Ich hatte hier im Blog bereits einige Informationen im Blog-Beitrag NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden<\/a> aufbereitet und auf die Kriterien zur Einstufung unter die NIS-2-Richtlinie skizziert. Die Tage bin ich auf folgenden Tweet von Prof. Dr. Dennis Kipker gesto\u00dfen. <\/p>\n

\"Praxisleitfaden<\/a><\/p>\n

Dr. Dennis Kipker ist Professor f\u00fcr IT-Recht und hat sich bereits l\u00e4nger mit Fragen rund um NIS-2 auseinander gesetzt. Aus den sich ergebenden Fragen hat Dr. Kipker einen \"Praxisleitfaden zur Umsetzung von NIS-2\" als mehrseitiges PDF-Dokument (mit Stand November 2023) erstellt, welches er auf den Seiten von Trend Micro kostenlos zum Download<\/a> anbietet. Dort geht es um folgende Fragen:<\/p>\n