1. KONZEPT FÜR DIE SICHERHEIT VON NETZ- UND INFORMATIONSSYSTEMEN
2. KONZEPT FÜR DAS RISIKOMANAGEMENT
3. BEWÄLTIGUNG VON SICHERHEITSVORFÄLLEN
4. BETRIEBSKONTINUITÄTS- UND KRISENMANAGEMENT
5. SICHERHEIT DER LIEFERKETTE
6. SICHERHEITSMAßNAHMEN BEI ERWERB, ENTWICKLUNG UND WARTUNG VON NETZ- UND INFORMATIONSSYSTEMEN
7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE
10. SICHERHEIT DES PERSONALS
11. ZUGRIFFSKONTROLLE
12. ANLAGEN- UND WERTEMANAGEMENT
13. SICHERHEIT DES UMFELDS UND PHYSISCHE SICHERHEIT
ANNEX zur NIS2-Umsetzungsverordnung der EU
Inhalte der NIS2UmsVo
Annex zur NIS2-Umsetzungsverordnung: Ihr Leitfaden zur Cybersicherheit
Die NIS2-Umsetzungsverordnung (UmsVO) setzt neue Maßstäbe für Cybersicherheit in der Europäischen Union. Ein zentraler Bestandteil dieser Verordnung ist der Annex, der technische und methodische Anforderungen definiert, um Unternehmen und Organisationen gegen wachsende Cyberbedrohungen zu schützen. Dieser Annex bildet die Grundlage für die Umsetzung der NIS2-Richtlinie (EU) 2022/2555 und ist essenziell für alle Akteure, die kritische Infrastrukturen betreiben oder wesentliche Dienste anbieten.
Was regelt der Annex der NIS2-Umsetzungsverordnung?
Der Annex konkretisiert die Anforderungen der NIS2-Richtlinie und legt fest, wie Unternehmen:
- Cyberrisiken managen,
- Sicherheitsvorfälle behandeln und melden,
- Geschäftskontinuität und Krisenmanagement gewährleisten und
- Sicherheitsanforderungen an Lieferketten und IT-Systeme umsetzen.
Kernpunkte des Annex
- Risikomanagement: Unternehmen sind verpflichtet, Risiken systematisch zu identifizieren, zu bewerten und Maßnahmen zu deren Minimierung umzusetzen. Dies schließt die Dokumentation und regelmäßige Überprüfung von Sicherheitsmaßnahmen ein.
- Vorfallmanagement: Der Annex definiert klare Prozesse für die Meldung, Analyse und Behebung von Sicherheitsvorfällen. Ziel ist es, den Schaden zu minimieren und ähnliche Vorfälle in Zukunft zu verhindern.
- Lieferkettensicherheit: Besondere Anforderungen gelten für die Zusammenarbeit mit Lieferanten und Dienstleistern. Unternehmen müssen sicherstellen, dass ihre Partner ebenfalls hohe Sicherheitsstandards einhalten.
- Geschäftskontinuität und Krisenmanagement: Der Annex fordert die Erstellung von Plänen zur Aufrechterhaltung des Geschäftsbetriebs im Falle eines Cyberangriffs oder anderer Vorfälle. Diese Pläne sollen regelmäßig getestet und aktualisiert werden.
- Systementwicklung und Wartung: IT-Systeme und Netzwerke müssen sicher entwickelt, betrieben und gewartet werden. Dazu gehören regelmäßige Sicherheitsupdates, Konfigurationsmanagement und der Schutz vor unbefugten Zugriffen.
- Menschliche Sicherheitsressourcen: Schulungen und Sensibilisierungsprogramme sind ein Muss. Alle Mitarbeitenden, insbesondere Führungskräfte und technische Teams, müssen in Bezug auf Cybersicherheit geschult werden.