Was müssen betroffene Unternehmen tun , um NIS-2 konform zu sein

Maßnahmen zum Risikomanagement für Cybersicherheit

(Art. 1 § 30 im NIS2UmsuCG-Entwurf)

Laut NIS2 müssen mindestens die folgenden Cybersecurity-Maßnahmen umgesetzt werden, um die Risiken für die Sicherheit Ihrer Netz- und Informationssysteme zu kontrollieren– und das Eintreten und die Konsequenzen von Sicherheitsvorfällen möglichst gering zu halten. Sie müssen die IT-Systeme und deren physische Umwelt schützen  Wieviel genau angemessen ist, sollten Sie nach einem risikobasierten Ansatz für sich festlegen.

  • Policies: Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
  • Vorfallsbewältigung: Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle
  • Business Continuity: Backup-Management und Wiederherstellung, Krisenmanagement
  • Supply Chain: Sicherheit in der Lieferkette
  • Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme, einschließlich Management und Offenlegung von Schwachstellen
  • Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
  • Cyberhygiene, Schulung: Cyberhygiene (z.B. Updates) und Schulungen in Cyber Security
  • Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
  • Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management
  • Authentifizierung: Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
  • Kommunikation: Sichere Sprach-, Video- und Text-Kommunikation, ggf. auch im Notfall