Um die Anforderungen aus dem NIS-2-Gesetz verständlich und umsetzbar zu machen, haben wir sie in 16 Themencluster gegliedert. So behalten Sie als Unternehmen den Überblick und können gezielt prüfen, wo Handlungsbedarf besteht:
1. Governance
Das NIS-2-Themencluster Governance bezieht sich auf die Pflichten der Geschäftsleitung, welche im NIS-2-Gesetz in §38 verankert sind. Darüber hinaus zielt das Themencluster auf das Schaffen von Bewusstsein für Cybersicherheit auf höchster Unternehmensebene sowie grundlegende Anforderungen, die vor einem strukturierten Risikomanagementprozess durchgeführt werden sollten.
2. Risikoanalyse & ITS-Konzepte
Das NIS-2-Themencluster Konzepte in Bezug auf die Risikoanalyse und die Sicherheit in der Informationstechnik ist im NIS-2-Gesetz in §30 (1) verankert.
Das Ziel der Risikoanalyse ist es, potenzielle Gefahren und deren Auswirkungen systematisch zu erkennen, zu bewerten und zu priorisieren, um geeignete Maßnahmen zur Risikovermeidung, -minderung oder -überwachung festlegen zu können.
Unter Risikoanalyse wird in diesem Kontext gemäß BSI Standard 200-2 und 200-3 der komplette Prozess verstanden, um Risiken zu beurteilen (identifizieren, einschätzen und bewerten) sowie diese zu behandeln.
3. Incident Management
Das NIS-2-Themencluster Bewältigung von Sicherheitsvorfällen ist im NIS-2-Gesetz in §30 (1) verankert.
Ziel des Themenclusters ist es, Sicherheitsvorfälle kontrolliert zu managen, Auswirkungen zu minimieren und die Sicherheit dauerhaft zu verbessern.
Als Grundlage für die Anforderungen, die sich aus dem Themencluster Bewältigung von Sicherheitsvorfällen ergeben, werden in diesem Kontext Elemente der BSI Bausteine OPS.1.1.5 Protokollierung, DER.1 Erkennung von Sicherheitsvorfällen und DER.2.1 Behandlung von Sicherheitsvorfällen herangezogen.
4. Betriebskontinuität
Das NIS-2-Themencluster Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement ist im NIS-2-Gesetz in §30 (1) verankert.
Ziel des Themenclusters, ist die Eingrenzung von Schäden bei Beibehaltung des Geschäftsbetriebs in Notfällen und Krisen ohne Unterbrechungen.
Als Grundlage für die Anforderungen, die sich aus dem Themencluster ergeben, werden in diesem Kontext die BSI Bausteine OPS.1.1.2 Ordnungsgemäße IT-Administration, DER.4 Notfallmanagement und CON.3 Datensicherungskonzept herangezogen.
Weiterführende Informationen werden in dem BSI-Standard 200-4 Business Continuity Management behandelt.
5. Lieferkettensicherheit
Das NIS-2-Themencluster Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern ist im NIS-2-Gesetz in §30 (1) verankert.
Das Ziel der Sicherheit in der Lieferkette ist es, Risiken und Schwachstellen entlang aller Liefer- und Transportwege zu identifizieren und zu minimieren, um die Verfügbarkeit, Integrität und Zuverlässigkeit von Produkten, Dienstleistungen und Informationen durchgängig zu gewährleisten.
Als Grundlage für die Anforderungen, die sich aus dem Themencluster ergeben, werden in diesem Kontext die BSI Bausteine OPS.2.3 Nutzung von Outsourcing und OPS.3.2 Anbieten von Outsourcing sowie die Management Blitzlicht – Grundlagen des Cyber-Supply Chain Risk Management des BSI herangezogen.
6. Sichere Infrastruktur
Das NIS-2-Themencluster Sicherheit beim Erwerb, Entwicklung und Wartung von Netz und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen ist im NIS-2-Gesetz in §30 (2) verankert.
Das Ziel ist es sicherzustellen, dass Netz- und Informationssysteme über ihren gesamten Lebenszyklus sicher konzipiert, beschafft, entwickelt und betrieben werden.
Als Grundlage für die Anforderungen, die sich aus dem Themencluster ergeben, werden in diesem Kontext die BSI Bausteine OPS.1.1.3 Patch- und Änderungsmanagement und OPS.1.1.4 Schutz vor Schadprogrammen, NET.3.2 Firewalls und NET.3.4 Network Access Control herangezogen.
7. Wirksamkeit Risikomanagement
Das NIS-2-Themencluster Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik ist im NIS-2-Gesetz in §30 (1) verankert.
Das Ziel dieses Themenclusters ist die Überprüfung, ob getroffene Sicherheitsmaßnahmen tatsächlich wirken und, ob der Sicherheitsprozess kontinuierlich optimiert wird.
Als Grundlage für die Anforderungen, die sich aus dem Themencluster ergeben, werden in diesem Kontext Elemente der BSI Bausteine OPS.1.1.5 Protokollierung, ISMS.2 Audit und Compliance, DER.1 Erkennung von Sicherheitsvorfällen, DER.2.1 Behandlung von Sicherheitsvorfällen und DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle herangezogen.
8. Schulungen
Das NIS-2-Themencluster Schulungen im Bereich der Sicherheit in der Informationstechnik ist im NIS-2-Gesetz in §30 (2) verankert.
Das Ziel dieses Themencluster sollte es sein, ein Sicherheitsbewusstsein im gesamten Unternehmen zu verankern und Mitarbeitende aus unterschiedlichen Rollen angemessen zu schulen, sodass menschliche Fehler als Gefahrenquelle minimiert werden.
Als Grundlage für die Anforderungen, die sich aus dem Themencluster ergeben, werden in diesem Kontext Elemente der BSI Bausteine ORP.2 Personal und ORP.3 Sensibilisierung und Schulung zur Informationssicherheit herangezogen.
9. Kryptografie
Das NIS-2-Themencluster Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung ist im NIS-2-Gesetz in §30 (2) verankert.
Das Ziel dieses Themenclusters ist es, Informationen und Daten durch wirksame kryptografische Maßnahmen zuverlässig zu schützen, sodass die Vertraulichkeit, Integrität und Authentizität jederzeit gewährleistet werden kann.
Als Grundlage für die Anforderungen, die sich aus dem Themencluster ergeben, werden in diesem Kontext Elemente der BSI Bausteine CON.1 Kryptokonzept herangezogen.
10. Authentisierung
Das NIS-2-Themencluster Verwendung von Lösungen zur Multi-Faktor-Authentisierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung ist im deutschen NIS-2-Gesetz in §30 (1) verankert.
Das Ziel des Themenclusters ist es, sichere und zuverlässige Authentifizierung sowie belastbare und geschützte Kommunikationswege insbesondere im Notfall zu gewährleisten.
Als Grundlage für die Anforderungen, die sich aus dem Themencluster ergeben, werden in diesem Kontext Elemente des BSI Bausteins ORP.4 Identitäts- und Berechtigungsmanagement und der BSI Standard 200-1 Managementsysteme für Informationssicherheit herangezogen.
11. Personal- & Zugriffssicherheit
Das NIS-2-Themencluster Erstellung von Konzepten für die Sicherheit des Personals, die Zugriffskontrolle und für die Verwaltung von IKT-Systemen, -Produkten und -Prozessen ist im NIS-2-Gesetz in §30 (1) verankert.
Das Ziel des Themenclusters ist es, Personal, Zugriffe und Anlagen so zu schützen und zu steuern, dass kein unbefugter Zugriff und kein Missbrauch möglich ist.
Als Grundlage für die Anforderungen, die sich aus dem Themencluster ergeben, werden in diesem Kontext die BSI Bausteine ORP.1 Organisation und ORP.2 Personal, ORP.4 Identitäts- und Berechtigungsmanagement sowie das Infopaket nis2know Personalsicherheit des BSI herangezogen.
12. Berichterstattung
Das NIS-2-Themencluster Berichterstattung verweist auf die Anforderungen, die sich aus der Meldepflicht und den Meldefristen bei Sicherheitsvorfällen ergeben. Diese sind im NIS-2-Gesetz in §32 geregelt.
13. Sektorspezifika
Das NIS-2-Themencluster „Sektorspezifische Anforderungen“ verweist auf regulatorische Vorgaben und gesetzliche Anforderungen, die sich aus dem jeweiligen Sektor ergeben, in dem Ihr Unternehmen Waren herstellt oder Dienstleistungen erbringt.
Neben der NIS-2-Richtlinie können somit weitere sektorspezifische Regelwerke relevant sein, beispielsweise das Energiewirtschaftsgesetz (EnWG) im Energiesektor. Diese Anforderungen bestehen unabhängig von der NIS-2-Regulierung und sind gesondert zu berücksichtigen. Hierzu zählen unter anderem die branchenspezifischen Sicherheitsstandards (B3S) des jeweiligen Sektors.
Die dargestellten Inhalte dienen dabei ausschließlich als Orientierungshilfe und erheben keinen Anspruch auf Vollständigkeit. Sie stellen keine Rechtsberatung dar und gewährleisten keine rechtliche Konformität. Eine eigenständige rechtliche Prüfung im Hinblick auf die jeweils anwendbaren Vorschriften wird empfohlen.
14. Registrierung
Das NIS-2-Themencluster Registrierung verweist auf die Anforderungen, die sich aus der Registrierungspflicht ergeben. Diese sind im NIS-2-Gesetz in §33 und §34 geregelt.
15. TLD-Anforderungen
Das NIS-2-Themencluster Besondere Anforderungen für „Top Level Domain Name Registries“ und Domain-Name-Registry-Dienstleister verweist auf spezielle Anforderungen, die insbesondere für Betreiber von kritischen Anlagen und/oder Dienstleistungen aus dem NIS-2-Gesetz hervorgehen.
16. KRITIS-Anforderungen
Das NIS-2-Themencluster Besondere Anforderungen für KRITIS-Betreiber verweist auf spezielle Anforderungen, die insbesondere für Betreiber von kritischen Anlagen und/oder Dienstleistungen aus dem deutschen NIS-2-Gesetz hervorgehen. Im Allgemeinen gelten für KRITIS-Betreiber gemäß §30 (1) höhere Maßstäbe als für anderweitige besonders wichtige und wichtige Einrichtungen.