NIS-2-Checkliste

Im Folgenden werden zentrale Anforderungen der NIS-2-Richtlinie für besonders wichtige und wichtige Einrichtungen sowie Betreiber kritischer Anlagen, die den besonders wichtigen Einrichtungen zuzurechnen sind, aufgeführt.

Registrierungspflicht​​​​​​​

  • Betroffene Unternehmen und Organisationen sind verpflichtet, sich spätestens nach drei Monaten zu registrieren. Geplant ist, dass die Registrierung bei einer gemeinsam vom Bundesamt für Sicherheit in der Informationstechnik und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichteten Registrierungsmöglichkeit zu erfolgen hat.

Pflichten der Geschäftsleitung

  • Die Geschäftsleitung ist verpflichtet, die erforderlichen Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen.
  • Die Geschäftsleitung muss regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen.

Risikomanagement

  • Betroffene Unternehmen und Organisationen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden. Die Auswirkungen von Sicherheitsvorfällen sollen möglichst gering gehalten werden.
  • Die Verhältnismäßigkeit der Maßnahmen muss durch jedes betroffene Unternehmen bzw. jede betroffene Organisation individuell unter Einhaltung des Stands der Technik bestimmt werden. Die Gesamtverantwortung dafür liegt bei der Geschäftsführung.
  • Es muss eine angemessene Dokumentation für den Nachweis der Umsetzung der Maßnahmen erstellt und verfügbar gehalten werden.

Mindestens sind folgende Punkte unter Berücksichtigung des aktuellen Stands der Technik umzusetzen:

  • Konzepte zur Risikoanalyse und zur Sicherheit der Informationstechnik
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs, Backup-Management, Wiederherstellung nach einem Notfall, Krisenmanagement
  • Sicherheit der Lieferkette
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen
  • angemessener Umgang mit Schwachstellen (unter anderem Patch-Management)
  • Systematische Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Informationssicherheit
  • grundlegende Cyberhygiene
  • zielgruppenspezifische Schulungen zur Informationssicherheit, z.B. für Geschäftsführungen mit dem Schwerpunkt Risikomanagement, IT-Sicherheit für Systemadministratoren und allgemeine Maßnahmen zur Cyberhygiene für alle Mitarbeiter
  • systematischer Einsatz von Kryptografie und Verschlüsselung
  • Sicherheit des Personals
  • Konzepte für die Zugriffskontrolle und für das Management von Anlagen
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung
  • gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
    Die EU hat sich vorbehalten, dedizierte Rechtsakte zu Umsetzungsvorgaben zu erlassen.

Hinweis
Die von NIS-2 geforderten Maßnahmen sind grundsätzlich nicht neu, sondern seit langem etablierte „Best Practices“ der Informationssicherheit. Software enthält Schwachstellen, die durch das Einspielen von Patches geschlossen werden. Diese Patches werden von Herstellern bereitgestellt. „Best Practice“ ist es, sich über vom Hersteller bereitgestellte Updates zu informieren und Patches zeitnah einzuspielen. Das von der Richtlinie geforderte Patch-Management sollte also bei den meisten Unternehmen schon aus eigenem Interesse etabliert sein, um keine gravierenden Schwachstellen zu haben.
Die Betreiber kritischer Anlagen sind schon jetzt nach BSIG zu weiterführenden konkreten Maßnahmen verpflichtet, wie z.B. Systeme zur Angriffserkennung einzusetzen. Darüber hinaus müssen im Bereich der kritischen Anlagen höhere Sicherheitsanforderungen umgesetzt werden. Für bisherige Betreiber kritischer Anlagen sind in Bezug auf Risikomanagementmaßnahmen keine großen Änderungen zu erwarten.

Meldepflicht
Betroffene Unternehmen und Organisationen sind verpflichtet

  • Innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall eine Erstmeldung dazu abzugeben. Dabei gelten als Sicherheitsvorfälle auch solche Situationen, die zu einem erheblichen Schaden führen können, dieser jedoch nicht oder noch nicht eingetreten ist.
  • Nach 72 Stunden eine ausführliche Meldung mit allen benötigten Informationen abzugeben.
  • Nach einem Monat eine Abschlussmeldung einzureichen. Sollte der Vorfall noch andauern, ist eine Fortschrittsmeldung und eine Abschlussmeldung nach dem Vorfall abzugeben.

Die Meldungen haben an eine vom Bundesamt für Sicherheit in der Informationstechnik und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete gemeinsame Meldestelle zu erfolgen.

Nachweispflicht

  • Betroffene Unternehmen und Organisationen sind verpflichtet, Nachweise zum Risikomanagement und die umgesetzten Maßnahmen zur Informationssicherheit vorzuhalten.
  • Betreiber kritischer Anlagen haben die Umsetzung der Maßnahmen zu einem festgelegten Zeitpunkt (frühestens drei Jahre nachdem sie erstmals oder spätestens drei Jahre nachdem sie erneut als ein Betreiber einer kritischen Anlage gelten, und anschließend alle drei Jahre) durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachzuweisen.
  • Des Weiteren können auch wichtige und besonders wichtige Einrichtungen, ähnlich der Betreiber kritischer Anlagen, dazu verpflichtet werden, Sicherheitsaudits, Prüfungen oder Zertifizierung nachzuweisen.

Sanktionen

Haftung
Das NIS2UmsuCG erweitert die Haftung von Geschäftsleitungen bei schuldhaftem Handeln in Bezug auf die Anforderungen dieses Gesetzes.

Bußgelder
Abhängig von der Art und Ausprägung des Verstoßes und abhängig von der Kategorie können Bußgelder in unterschiedlicher Höhe anfallen:

  • Bei besonders wichtigen Einrichtungen einschließlich der Betreiber kritischer Anlagen bis zu
    • 10 Millionen € oder
    • 2 % des Jahresumsatzes für Unternehmen, die mehr als 500 Millionen € Jahresumsatz erzielen.
  • Bei wichtigen Einrichtungen bis zu
    • 7 Millionen € oder
    • 1,4 % des Jahresumsatzes, falls mehr als 500 Millionen € Jahresumsatz erzielt werden.

Weitere Empfehlungen und Hilfestellungen
Nachdem derzeit konkrete bundesrechtliche Vorgaben und Anforderungen noch nicht vorliegen, sollten Sie sich daher im Risikomanagement und bei den konkreten Maßnahmen an allgemeinen „Best Practices“ im Bereich der Informationssicherheit halten.

Die Handlungsempfehlung „Informationssicherheit für kleine und mittelständische Unternehmen“ des LSI ist eine Sammlung etablierter „Best Practices“, deren Umsetzung für kleine und mittlere Unternehmen dringend empfohlen ist. Das zugehörige Vorgehensmodell empfiehlt eine zeitliche Reihenfolge bei der Umsetzung der „Best Practices“ der Handlungsempfehlung.

Ergänzend zu diesen Empfehlungen legen wir allen Unternehmen und Organisationen nahe, das Thema Informationssicherheit systematisch und nachhaltig anzugehen. Die Einführung eines Informationssicherheitsmanagementsystems (ISMS) auf der Basis einer etablierten Norm, wie zum Beispiel der ISO/IEC 27001, bietet hierfür eine geeignete Möglichkeit.

Dieses Dokument in seiner aktuellen Fassung und weitere Dokumente zur Hilfestellung finden Sie im Downloadbereich des Landesamts für Sicherheit in der Informationstechnik.

Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung.