Was ist bei den NIS2 (Netzwerk und Informationssysteme 2) neu?
Wer ist von der NIS2 Richtline betroffen?
Was sind die Ziele der NIS2-Richtlinien?
Checkliste zum Einhalten der NIS2
- Richtlinien für Risiken und Informationssicherheit: Erstelle klare Regeln, wie du mit deinen Daten und Systemen umgehst und wie du dich vor Cyberangriffen schützt.
- Prävention, Detektion und Bewältigung von Cyber Incidents: Sorge dafür, dass du mögliche Bedrohungen frühzeitig erkennst und abwehrst und dass du einen Plan hast, wie du im Ernstfall reagierst.
- Business Continuity Management (BCM) mit Backup Management, Disaster Recovery, Krisen Management: Stelle sicher, dass du deine wichtigen Daten regelmäßig sicherst und dass du im Falle eines Ausfalls schnell wieder einsatzbereit bist. Bereite dich auch auf mögliche Krisensituationen vor und trainiere dein Team dafür.
- Sicherheit in der Lieferkette — bis zur sicheren Entwicklung bei Zulieferern: Achte darauf, dass deine Lieferanten und Partner ebenfalls hohe Sicherheitsstandards einhalten und dass du keine unsicheren Produkte oder Dienstleistungen verwendest oder anbietest.
- Sicherheit in der Beschaffung von IT und Netzwerk-Systemen: Kaufe nur Hardware und Software, die geprüft und zertifiziert sind und die keine bekannten Schwachstellen aufweisen. Informiere dich über die Hersteller und deren Sicherheitspraktiken.
- Vorgaben zur Messung von Cyber und Risiko Maßnahmen: Überprüfe regelmäßig, wie wirksam deine Sicherheitsmaßnahmen sind und ob du deine Ziele erreichst. Nutze dafür geeignete Indikatoren und Methoden.
- Cyber Security Hygiene: Schule dich und dein Team in den Grundlagen der Cybersicherheit und halte dich an die gängigen Empfehlungen, wie z.B. starke Passwörter, Updates, Virenschutz etc.
- Vorgaben für Kryptographie und wo möglich Verschlüsselung: Nutze moderne Verschlüsselungstechnologien, um deine Daten zu schützen, sowohl bei der Übertragung als auch bei der Speicherung. Verwende nur vertrauenswürdige Algorithmen und Schlüssel.
- Human Resources Security: Sorge dafür, dass deine Mitarbeiterinnen und Mitarbeiter sensibilisiert sind für die Risiken im Cyberraum und dass sie sich entsprechend verhalten. Führe auch geeignete Kontrollen durch, z.B. bei der Einstellung oder beim Ausscheiden von Personal.
- Zugangskontrolle: Regle, wer Zugriff auf deine Daten und Systeme hat und unter welchen Bedingungen. Verwende dafür geeignete Mechanismen, wie z.B. Rollen, Berechtigungen, Protokolle etc.
- Asset Management: Führe ein Inventar deiner IT-Ressourcen (Hardware, Software, Daten etc.) und halte es aktuell. Kennzeichne deine Assets entsprechend ihrer Wichtigkeit und Schutzbedürftigkeit.
- Einsatz von Multi Faktor Authentifizierung und SSO: Erhöhe die Sicherheit deiner Anmeldungen, indem du mehrere Faktoren (z.B. Passwort, PIN (Personal Identification Number), Token etc.) verlangst. Nutze auch Single Sign-On (SSO), um die Anzahl der Anmeldungen zu reduzieren.
- Einsatz sicherer Sprach-, Video- und Text-Kommunikation: Verwende nur Kommunikationsmittel, die verschlüsselt sind und die deine Privatsphäre respektieren. Vermeide unsichere Kanäle, wie z.B. öffentliches WLAN oder unverschlüsselte E-Mails.
- Einsatz gesicherter Notfall-Kommunikations-Systeme: Stelle sicher, dass du im Falle einer Störung oder eines Angriffs noch kommunizieren kannst. Nutze dafür alternative Systeme, die unabhängig von deinem normalen Netzwerk sind.
Welche Sanktionen drohen bei Nichteinhaltung der NIS2?
Fazit
Mach´s einfach digital