Die Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) 

Ziel der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) ((EU) 2016/1148) ist es ein höher Niveau der Netz- und Informationssystemsicherheit in der gesamten EU zu schaffen. Die EU-Mitgliedstaaten haben bis zum 9. Mai 2018 Zeit, die NIS-Richtlinie in nationales Recht umzusetzen.

Download des Compliance-Leitfadens
Wir bieten eine klare und transparente Preisgestaltung.
 

Der Geltungsbereich der NIS-Richtlinie: Wer muss sich daran halten?

Die Richtlinie gilt für:

  • Betreiber wesentlicher Dienste (OESs), die in der EU niedergelassen sind, und
  • Anbieter digitaler Dienste (DSPs), die Dienstleistungen für Personen innerhalb der EU anbieten 1.

1Die Richtlinie gilt nicht für DSPs, die als Kleinstunternehmen und kleine Unternehmen gelten (Unternehmen mit weniger als 50 Beschäftigten, deren Jahresumsatz und/oder Bilanzsumme weniger als 10 Millionen Euro beträgt).

 

Die NIS-Richtlinie schreibt vor, dass OESs und DSPs:

  • Geeignete technische und organisatorische Maßnahmen zur Sicherung ihrer Netzwerke und Informationssysteme ergreifen.
  • Die neuesten Entwicklungen einbeziehen und mögliche Risiken ihrer Systeme berücksichtigen;
  • Geeignete Maßnahmen ergreifen, um Sicherheitsvorfälle zu verhindern oder zumindest die Auswirkungen zu minimieren, um die Geschäftskontinuitätzu gewährleisten; und
  • Die zuständige Behörde unverzüglich zu benachrichtigen in Bezug auf die sicherheitsrelevanten Ereignisse, die einen wesentlichen Einfluss auf die Geschäftskontinuität haben.

 

Konsequenzen bei Nichteinhaltung der NIS-Richtlinie

Die Mitgliedstaaten sind verpflichtet, ihre eigenen Regeln für Geldstrafen festzulegen und müssen die erforderlichen Maßnahmen ergreifen, um deren Durchsetzung zu gewährleisten. Es ist davon auszugehen, dass die Mitgliedstaaten harte Strafen ähnlich der DSGVO (Datenschutz-Grundverordnung) verhängen werden.

Die Einhaltung kann durch regelmäßige Audits der OESs überwacht werden.

 

Was ist ein?

Die NIS-Richtlinie zielt darauf ab, die Cybersicherheit in Sektoren, die stark von der Informations- und Kommunikationstechnologie (IKT) abhängig sind, zu verbessern. Bestimmte Unternehmen, die in kritischen Branchen tätig sind, werden als OES bezeichnet.

Die von der NIS-Richtlinie betroffenen Sektoren sind:

  • Trinkwasserlieferung und -versorgung;
  • Energie;
  • Digitale Infrastruktur
  • Bankwesen;
  • Finanzmarktinfrastrukturen;
  • Gesundheitswesen; und
  • Verkehr.

 

Was ist ein Dienstleister (DSP)?

Die NIS-Richtlinie gilt für die folgenden wichtigen DSPs, die ihre Dienste normalerweise "gegen Entgelt, im Fernabsatz, auf elektronischem Wege und auf individuellen Wunsch eines DSP" erbringen.

DSPs können als die folgenden Organisationen kategorisiert werden:

  • Online-Suchmaschin
  • Cloud-Computing-Dienste.
  • Online-Marktplätze.

 

Spezifische Compliance-Anforderungen für DSPs:

Die Richtlinie besagt, dass es den DSPs freisteht, "technische und organisatorische Maßnahmen zu ergreifen, die sie für angemessen und verhältnismäßig halten, um die Risiken zu managen", solange diese Maßnahmen ein "angemessenes Sicherheitsniveau" bieten und die Anforderungen der NIS-Richtlinie berücksichtigen.

DSPs müssenein Sicherheitsniveau gewährleisten, das dem Risiko entspricht, das mit dem Angebot der Aufgeführten Dienste verbunden ist, wobei die folgenden Elemente zu berücksichtigen sind:

  • Sicherheitssysteme und -einrichtungen
  • Ereignisbehandlung
  • Business Continuity Management
  • Überwachung, Auditierung und Prüfung
  • Einhaltung internationaler Standards

Durchführungsverordnung der Kommission für DSPs

Eine Durchführungsverordnung schafft mehr Klarheit für DSPs, wie sie die NIS-Richtlinie erfüllen sollen.

Zusätzlich zur Informationssicherheit und Maßnahmen zur Geschäftskontinuität, müssen DSPs Maßnahmen zur Reaktion auf Vorfälle festlegen, die auf einer Bewertung der Schwere des Vorfalls basieren.

Die Durchführungsverordnung tritt am 10. Mai 2018 in Kraft und gilt für alle EU-Mitgliedstaaten.

Informieren Sie sich über unseren Schulungskurs zum Thema Incident Response Management

 

Was sollte getan werden, um die Einhaltung der NIS-Richtlinie zu erreichen?

Der beste Ansatz, um Compliance zu erreichen, besteht darin, dass DSPs und OESs ein Programm zur Cyber-Resilienz umsetzen, das Folgendes beinhaltet:

  • Robuste Cyber-Sicherheitsvorkehrungen.
  • Angemessene Maßnahmen zur Vorbeugung von Cyberrisiken.
  • Geeignete Tools und Systeme zur Behandlung und Meldung von Vorfällen und Datenverstößen.

 

Erreichen von Compliance durch Cyber-Resilienz

Artikel 19 der NIS-Richtlinie fördert die Verwendung europäischer oder international anerkannter Normen und Spezifikationen für die Sicherheit von Netzen und Informationssystemen.

Die Einhaltung der NIS-Richtlinie wird durch die Einführung eines integrierten Managementsystems erreicht, das ISO 27001 und ISO 22301 umfasst. Es wird Ihrer Organisation helfen, eine international akzeptierte Haltung der Cyber-Resilienz zu erreichen.

auf der Grundlage von Best Practices des Risikomanagements - genau so, wie es die neue Gesetzgebung verlangt - und die Belastung durch mehrfache Compliance-Audits.

Download des Compliance-Leitfadens

 

Warum IT Governance?

  • Wir bieten eine umfassende Auswahl an Beratung, Schulungen und Tools, die für die Einhaltung der NIS-Richtlinien erforderlich sind.
  • Unsere einzigartige Kombination aus technischem Know-how und solider Erfahrung mit internationalen Managementsystemstandards ermöglicht es uns, eine Komplettlösung für die Einhaltung der Vorschriften zu liefern und das Projekt von Anfang bis Ende zu managen.
  • Als Teil unserer Arbeit mit Organisationen in allen Branchen haben wir Hunderte von Projekten auf der ganzen Welt durchgeführt.
  • Wir sind unabhängig von Anbietern und Zertifizierungsstellen und ermutigen unsere Kunden, die für ihre Bedürfnisse und Ziele am besten geeignete Lösung auszuwählen.
  • Wir verfügen über multidisziplinäre Teams, die strenge Penetrationstests Ihrer Systeme und Netzwerke durchführen können, Projektmanager für die Umsetzung von Compliance-Projekten und Expertenwissen, um Ihren Vorstand zu informieren und eine geeignete Risikominderungsstrategie zu entwickeln.
  • Wir beraten Sie praxisnah und arbeiten nach Ihrem Budget und Ihren organisatorischen Bedürfnissen. Kein Unternehmen oder Projekt ist jemals zu groß oder zu klein.
Wir bieten eine klare und transparente Preisgestaltung.

 

oben