{"id":115661,"date":"2024-01-22T11:21:11","date_gmt":"2024-01-22T11:21:11","guid":{"rendered":"https:\/\/staging.advisera.com\/articles\/8-requirements-nis2\/"},"modified":"2024-09-19T17:59:12","modified_gmt":"2024-09-19T17:59:12","slug":"8-anforderungen-nis2","status":"publish","type":"adv_resources","link":"https:\/\/staging.advisera.com\/de\/artikel\/8-anforderungen-nis2\/","title":{"rendered":"Die 8 wichtigsten Anforderungen an die Cybersicherheit und Berichterstattung in NIS2"},"content":{"rendered":"<p><em>Aktualisiert am 6. M\u00e4rz 2024 (Umsetzung in den Mitgliedsstaaten)<\/em><\/p>\n<p>Wenn sich Ihr Unternehmen auf die Einhaltung von <a href=\"https:\/\/staging.advisera.com\/de\/artikel\/was-ist-nis2\/\" target=\"_blank\" rel=\"noopener\">NIS 2 <\/a>vorbereitet, fragen Sie sich wahrscheinlich, was Sie tun m\u00fcssen. In diesem Artikel werden die wichtigsten Anforderungen zur Einhaltung der NIS 2 vorgestellt, wobei der Schwerpunkt auf Kapitel IV &#8211; Risikomanagementma\u00dfnahmen und Berichtspflichten im Bereich der Cybersicherheit &#8211; liegt.<\/p>\n<div class=\"post-featured\">\n<div class=\"post-featured--title\">Die wichtigsten NIS2-Anforderungen:<\/div>\n<div class=\"post-featured--content\">\n<ol>\n<li>Verantwortlichkeiten der oberen F\u00fchrungsebene<\/li>\n<li>Wichtigkeit der Schulung<\/li>\n<li>Risikobasierter Ansatz f\u00fcr Cybersicherheit<\/li>\n<li>Cybersicherheit als eine Mischung aus technischen, betrieblichen und organisatorischen Ma\u00dfnahmen<\/li>\n<li>Sicherheit der Lieferkette<\/li>\n<li>Berichterstattung \u00fcber erhebliche Vorf\u00e4lle<\/li>\n<li>Verwendung zertifizierter IT-Produkte und -Dienstleistungen<\/li>\n<li>Geldbu\u00dfen<\/li>\n<\/ol>\n<\/div>\n<\/div>\n<p>\u00dcberraschenderweise sind von den 46 Artikeln der NIS 2 Richtlinie, nur die Artikel 20 bis 25 wirklich relevant f\u00fcr Unternehmen (<a href=\"https:\/\/staging.advisera.com\/de\/artikel\/fuer-wen-gilt-nis2\/\" target=\"_blank\" rel=\"noopener\">d.h. wesentliche und wichtige Einrichtungen<\/a>), die NIS 2-konform werden m\u00fcssen; die meisten anderen Artikel spezifizieren die Anforderungen f\u00fcr staatliche Stellen, die die Cybersicherheit regeln.<\/p>\n<p>Siehe auch: <a href=\"https:\/\/staging.advisera.com\/de\/artikel\/nis2-umsetzungsschritte\/\" target=\"_blank\" rel=\"noopener\">15 Umsetzungsschritte f\u00fcr NIS 2-Ma\u00dfnahmen zum Risikomanagement im Bereich der Cybersicherheit<\/a><\/p>\n<p>Diese wichtigsten Anforderungen befinden sich in Kapitel IV und drehen sich um zwei Hauptthemen: Risikomanagement im Bereich der Cybersicherheit und Berichtspflichten. Neben Kapitel IV gibt es nur wenige Anforderungen, die f\u00fcr wesentliche und wichtige Einrichtungen relevant sind.<\/p>\n<p>Hier sind also die wichtigsten NIS 2-Anforderungen, auf die Sie achten sollten:<\/p>\n<div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script>\n<h2>1) Verantwortlichkeiten der oberen F\u00fchrungsebene<\/h2>\n<p>Gem\u00e4\u00df <a href=\"https:\/\/staging.advisera.com\/de\/nis2\/governance\/\" target=\"_blank\" rel=\"noopener\">Artikel 20<\/a>, muss die obere F\u00fchrungsebene von wesentlichen und wichtigen Einrichtungen:<\/p>\n<ul>\n<li>die im Unternehmen umzusetzenden Cybersicherheitsma\u00dfnahmen genehmigen,<\/li>\n<li>deren Umsetzung beaufsichtigen und<\/li>\n<li>sie kann haftbar gemacht werden, wenn die Cybersicherheit nicht ordnungsgem\u00e4\u00df umgesetzt wird.<\/li>\n<\/ul>\n<p>In den Artikeln <a href=\"https:\/\/staging.advisera.com\/de\/nis2\/aufsichts-und-durchsetzungsmassnahmen-in-bezug-auf-wesentliche-einrichtungen\/\" target=\"_blank\" rel=\"noopener\">32<\/a> und <a href=\"https:\/\/staging.advisera.com\/de\/nis2\/aufsichts-und-durchsetzungsmassnahmen-in-bezug-auf-wichtige-einrichtungen\/\" target=\"_blank\" rel=\"noopener\">33<\/a> wird au\u00dferdem die Haftung der gesetzlichen Vertreter wesentlicher und wichtiger Einrichtungen betont.<\/p>\n<h2>2) Wichtigkeit der Schulung<\/h2>\n<p>Gem\u00e4\u00df Artikel 20 m\u00fcssen die Mitglieder der oberen F\u00fchrungsebene eine Cybersicherheitsschulung absolvieren und ihren Mitarbeitern die regelm\u00e4\u00dfige Teilnahme an einer solchen Schulung erm\u00f6glichen.<\/p>\n<p>Die NIS 2 schreibt vor, dass solche Schulungen die Identifizierung von Risiken, die Bewertung von Cybersicherheitspraktiken und die Frage, wie diese Cybersicherheitsma\u00dfnahmen dem Unternehmen bei der Erbringung seiner Dienstleistungen helfen, abdecken m\u00fcssen.<\/p>\n<p>Klicken Sie hier, um <a href=\"https:\/\/staging.advisera.com\/training\/security-awareness-training\/#company-account\" target=\"_blank\" rel=\"noopener\">25 Videos zum Sicherheitsbewusstsein<\/a> zu sehen, mit denen Sie die Mitarbeiter Ihres Unternehmens schulen k\u00f6nnen.<\/p>\n<h2>3) Risikobasierter Ansatz f\u00fcr Cybersicherheit<\/h2>\n<p><a href=\"https:\/\/staging.advisera.com\/de\/nis2\/risikomanagementmassnahmen-im-bereich-der-cybersicherheit\/\" target=\"_blank\" rel=\"noopener\">Artikel 21<\/a> schreibt vor, dass die Cybersicherheitsma\u00dfnahmen den damit verbundenen Risiken angemessen sein m\u00fcssen; bei der Bewertung der Risiken m\u00fcssen die Unternehmen gem\u00e4\u00df NIS2 Folgendes ber\u00fccksichtigen:<\/p>\n<ul>\n<li>Gef\u00e4hrdung durch Risiken<\/li>\n<li>Gr\u00f6\u00dfe des Unternehmens<\/li>\n<li>Wahrscheinlichkeit des Auftretens von Vorf\u00e4llen und deren Schweregrad<\/li>\n<li>gesellschaftliche und wirtschaftliche Auswirkungen von Vorf\u00e4llen.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><img decoding=\"async\" class=\"aligncenter size-full wp-image-116437\" src=\"https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/the-8-most-important-cybersecurity-and-reporting-requirements-in-nis-2-german.png\" alt=\"NIS2-Anforderungen: 8 Dinge, die Sie \u00fcber Cybersicherheit und Berichterstattung wissen m\u00fcssen\" width=\"2500\" height=\"1309\" title=\"\" srcset=\"https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/the-8-most-important-cybersecurity-and-reporting-requirements-in-nis-2-german.png 2500w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/the-8-most-important-cybersecurity-and-reporting-requirements-in-nis-2-german-300x157.png 300w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/the-8-most-important-cybersecurity-and-reporting-requirements-in-nis-2-german-768x402.png 768w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/the-8-most-important-cybersecurity-and-reporting-requirements-in-nis-2-german-1024x536.png 1024w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/the-8-most-important-cybersecurity-and-reporting-requirements-in-nis-2-german-1536x804.png 1536w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2024\/01\/the-8-most-important-cybersecurity-and-reporting-requirements-in-nis-2-german-2048x1072.png 2048w\" sizes=\"(max-width: 2500px) 100vw, 2500px\" \/>NIS2-Anforderungen: 8 Dinge, die Sie \u00fcber Cybersicherheit und Berichterstattung wissen m\u00fcssenNIS2-Anforderungen: 8 Dinge, die Sie \u00fcber Cybersicherheit und Berichterstattung wissen m\u00fcssen<\/p>\n<h2>4) Cybersicherheit als eine Mischung aus technischen, betrieblichen und organisatorischen Ma\u00dfnahmen<\/h2>\n<p>Artikel 21 verpflichtet die Unternehmen \u201egeeignete und verh\u00e4ltnism\u00e4\u00dfige technische, operative und organisatorische Ma\u00dfnahmen zu ergreifen, um die Risiken f\u00fcr die Sicherheit der Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorf\u00e4llen auf die Empf\u00e4nger ihrer Dienste und auf andere Dienste zu verhindern oder m\u00f6glichst gering zu halten.\u201d<\/p>\n<p>Dar\u00fcber hinaus fordert Artikel 21 einen gefahren\u00fcbergreifenden Ansatz, was im Grunde bedeutet, dass sich die Unternehmen auf ein breites Spektrum potenzieller Bedrohungen vorbereiten m\u00fcssen.<\/p>\n<p>Schlie\u00dflich legt Artikel 21 eine Reihe von Cybersicherheitsdokumenten und -ma\u00dfnahmen fest, die in diesem Artikel aufgef\u00fchrt sind: <a href=\"https:\/\/staging.advisera.com\/de\/artikel\/nis-2-erforderliche-dokumente\/\" target=\"_blank\" rel=\"noopener\">Liste der erforderlichen Dokumente nach NIS 2<\/a>.<\/p>\n<h2>5) Sicherheit der Lieferkette<\/h2>\n<p>Artikel 21 verlangt von Unternehmen, dass sie den Risiken im Zusammenhang mit Direktlieferanten und Dienstleistern besondere Aufmerksamkeit widmen, insbesondere:<\/p>\n<ul>\n<li>Schwachstellen, die f\u00fcr jeden direkten Lieferanten und Dienstleistungsanbieter spezifisch sind<\/li>\n<li>Gesamtqualit\u00e4t der Produkte und Cybersicherheitspraktiken von Lieferanten und Dienstleistern<\/li>\n<li>Sichere Entwicklungsverfahren von Lieferanten und Dienstleistern.<\/li>\n<\/ul>\n<h2>6) Berichterstattung \u00fcber erhebliche Vorf\u00e4lle<\/h2>\n<p>Artikel 23 verpflichtet die Unternehmen, den Computer-Notfallteams (CSIRTs) alle erheblichen Vorf\u00e4lle auf folgende Weise zu melden:<\/p>\n<ul>\n<li>Fr\u00fchwarnung &#8211; gibt an, ob der Verdacht besteht, dass der erhebliche Vorfall durch unrechtm\u00e4\u00dfige oder b\u00f6swillige Handlungen verursacht wird oder grenz\u00fcberschreitende Auswirkungen haben k\u00f6nnte.<\/li>\n<li>Meldung des Vorfalls &#8211; liefert eine erste Bewertung des erheblichen Vorfalls, einschlie\u00dflich seines Schweregrads und seiner Auswirkungen, sowie, falls verf\u00fcgbar, der Kompromittierungsindikatoren.<\/li>\n<li>Zwischenbericht &#8211; liefert relevante Status-Aktualisierungen.<\/li>\n<li>Abschlussbericht &#8211; muss sp\u00e4testens einen Monat nach Meldung des Vorfalls erstellt werden.<\/li>\n<li>Fortschrittsbericht &#8211; wird im Falle eines laufenden Vorfalls zum Zeitpunkt der Vorlage des Abschlussberichts erstellt.<\/li>\n<\/ul>\n<p>Siehe auch: <a href=\"https:\/\/staging.advisera.com\/de\/artikel\/berichtspflichten-nis2\/\" target=\"_blank\" rel=\"noopener\">Welche Berichtspflichten bestehen nach NIS 2?<\/a><\/p>\n<h2>7) Verwendung zertifizierter IT-Produkte und -Dienstleistungen<\/h2>\n<p>Die NIS 2 verlangt nicht, dass wesentliche und wichtige Einrichtungen zertifiziert werden. Die NIS-2-Richtlinie erm\u00f6glicht es jedoch den EU-L\u00e4ndern (Mitgliedstaaten) oder der EU-Kommission, von diesen Einrichtungen die Verwendung zertifizierter IT-Produkte oder -Dienstleistungen zu verlangen. Zum Zeitpunkt der Abfassung dieses Artikels gibt es noch keine Anforderungen f\u00fcr die Verwendung zertifizierter IT-Produkte oder -Dienstleistungen, aber es ist sehr wahrscheinlich, dass dies zur Pflicht wird.<\/p>\n<p>Diese IT-Produkte und -Dienstleistungen m\u00fcssen nach dem europ\u00e4ischen Zertifizierungssystem f\u00fcr Cybersicherheit zertifiziert sein.<\/p>\n<h2>8) \u00dcberwachung und Geldbu\u00dfen<\/h2>\n<p>NIS-2 erfordert eine strenge Aufsicht \u00fcber wesentliche und wichtige Einrichtungen: Inspektionen vor Ort, \u00dcberwachung au\u00dferhalb des Unternehmens, Audits der Cybersicherheit und Sicherheitsscans.<\/p>\n<p>\u00c4hnlich wie in der EU DSGVO werden in <a href=\"https:\/\/staging.advisera.com\/de\/nis2\/allgemeine-bedingungen-fuer-die-verhaengung-von-geldbussen-gegen-wesentliche-und-wichtige-einrichtungen\/\" target=\"_blank\" rel=\"noopener\">Artikel 34<\/a> Geldbu\u00dfen f\u00fcr Unternehmen eingef\u00fchrt, die die NIS 2 nicht einhalten:<\/p>\n<ul>\n<li>F\u00fcr wesentliche Unternehmen: maximal 10 Millionen EUR oder maximal 2 % des gesamten weltweiten Jahresumsatzes<\/li>\n<li>F\u00fcr wichtige Unternehmen: maximal 7 Mio. EUR oder maximal 1,4 % des gesamten weltweiten Jahresumsatzes.<\/li>\n<\/ul>\n<p>Nach den Erfahrungen mit der EU DSGVO zu urteilen, werden in den ersten ein oder zwei Jahren nach Inkrafttreten in der Regel keine hohen Strafen gegen Unternehmen verh\u00e4ngt; in letzter Zeit sind solche Geldbu\u00dfen jedoch durchaus \u00fcblich.<\/p>\n<h2>Zus\u00e4tzliche Rechtsvorschriften der EU-L\u00e4nder<\/h2>\n<p>Leider ist die Geschichte hier noch nicht zu Ende &#8211; die EU-L\u00e4nder (Mitgliedstaaten) k\u00f6nnen zus\u00e4tzlich zu den Vorschriften der NIS 2 ihre eigenen Cybersicherheits- und Berichtsanforderungen einf\u00fchren. Dieser Prozess der Verabschiedung lokaler Rechtsvorschriften auf der Grundlage einer EU-Richtlinie wird als &#8222;Umsetzung&#8220; bezeichnet.<\/p>\n<p>Zum Zeitpunkt der Abfassung dieses Artikels hat nur ein Mitgliedstaat die NIS 2 in sein lokales Recht umgesetzt:<\/p>\n<ul>\n<li><a href=\"https:\/\/staging.advisera.com\/articles\/croatia-cybersecurity-act-vs-nis-2\/\" target=\"_blank\" rel=\"noopener\">What are additional requirements of Croatia\u2019s Cybersecurity Act when compared to NIS 2?<\/a><\/li>\n<\/ul>\n<p>Wie im Falle des kroatischen Cybersicherheitsgesetzes werden die meisten Mitgliedstaaten wahrscheinlich keine gr\u00f6\u00dferen neuen Anforderungen einf\u00fchren, es ist jedoch mit einigen kleineren zus\u00e4tzlichen Anforderungen zu rechnen &#8211; ich werde diesen Artikel auf jeden Fall aktualisieren, wenn dies geschieht.<\/p>\n<p><em>Alle Dokumente, die f\u00fcr die Einhaltung der NIS 2-Richtlinie erforderlich sind, finden Sie in diesem<\/em>\u00a0<a href=\"https:\/\/staging.advisera.com\/toolkits\/nis-2-documentation-toolkit\/\" target=\"_blank\" rel=\"noopener\">NIS 2-Dokumentations-Toolkit<\/a>,\u00a0<em>das alle Politiken, Verfahren, Pl\u00e4ne und andere Vorlagen enth\u00e4lt<\/em>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Aktualisiert am 6. M\u00e4rz 2024 (Umsetzung in den Mitgliedsstaaten) Wenn sich Ihr Unternehmen auf die Einhaltung von NIS 2 vorbereitet, fragen Sie sich wahrscheinlich, was Sie tun m\u00fcssen. In diesem Artikel werden die wichtigsten Anforderungen zur Einhaltung der NIS 2 vorgestellt, wobei der Schwerpunkt auf Kapitel IV &#8211; Risikomanagementma\u00dfnahmen und Berichtspflichten im Bereich der Cybersicherheit [&hellip;]<\/p>\n","protected":false},"author":26,"featured_media":115757,"comment_status":"open","ping_status":"closed","template":"","tags":[],"class_list":["post-115661","adv_resources","type-adv_resources","status-publish","has-post-thumbnail","hentry","adv_resource_type-articles-de","adv_standard-nis-2-de","adv_topic-implementation","adv_topic-legal-requirements","adv_level-beginner"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/de\/wp-json\/wp\/v2\/adv_resources\/115661","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/de\/wp-json\/wp\/v2\/adv_resources"}],"about":[{"href":"https:\/\/staging.advisera.com\/de\/wp-json\/wp\/v2\/types\/adv_resources"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/de\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/de\/wp-json\/wp\/v2\/comments?post=115661"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/de\/wp-json\/wp\/v2\/adv_resources\/115661\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/de\/wp-json\/wp\/v2\/media\/115757"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/de\/wp-json\/wp\/v2\/media?parent=115661"}],"wp:term":[{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/de\/wp-json\/wp\/v2\/tags?post=115661"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}