ISGroup Cybersicherheitsberatung

Welche spezifischen Anforderungen muss ein Unternehmen erfüllen, um gemäß der EU-Cybersicherheitsrichtlinie als „kritische Einrichtung“ zu gelten?

Die Quellen enthalten keine Informationen zu den spezifischen Anforderungen, die ein Unternehmen erfüllen muss, um gemäß der EU-Cybersicherheitsrichtlinie (NIS2) als „kritische Einrichtung“ zu gelten. Die Quellen geben jedoch an, dass die als kritisch eingestuften Einrichtungen in der Richtlinie (EU) 2022/2557 definiert sind. Um zu vertiefen, wer in den Anwendungsbereich fällt, ist es zudem hilfreich, die von der ACN veröffentlichte Liste der NIS2-pflichtigen Einrichtungen zu konsultieren.

Die Quellen führen zudem verschiedene Anforderungen für „wesentliche und wichtige Einrichtungen“ auf, darunter:

  • Technische, operative und organisatorische Maßnahmen ergreifen, um Risiken für die Sicherheit von Netz- und Informationssystemen zu bewältigen.
  • Jeden erheblichen Sicherheitsvorfall unverzüglich an das zuständige Computer Security Incident Response Team (CSIRT) oder die nationale Behörde melden.
  • Zertifizierte IKT-Produkte, -Dienste und -Prozesse nutzen, die gemäß den europäischen Cybersicherheits-Zertifizierungssystemen zertifiziert wurden.
  • Mit den zuständigen Behörden kooperieren im Falle von Untersuchungen oder Sicherheitsvorfällen.
  • Ein CSIRT benennen oder einrichten.
  • Eine nationale Cybersicherheitsstrategie verabschieden.
  • Eine oder mehrere zuständige Behörden benennen oder einrichten, die für das Management von Cybersicherheitsvorfällen und Krisen großen Ausmaßes verantwortlich sind.

Die Quellen erläutern, dass die NIS2-Richtlinie zwar ein breites Spektrum an Sektoren und Einrichtungen abdeckt, einige Unternehmen – etwa im Finanzsektor – jedoch zusätzlich oder anstelle der NIS2-Richtlinie anderen EU-Regelungen unterliegen können. Finanzinstitute fallen beispielsweise unter die Verordnung (EU) 2022/2554 (DORA), die ähnliche Anforderungen an das Cybersicherheits-Risikomanagement und die Meldung von Vorfällen enthält wie die NIS2-Richtlinie. Die Quellen spezifizieren jedoch, dass Finanzinstitute dennoch den Artikeln der NIS2-Richtlinie unterliegen, die nationale Cybersicherheitsstrategien, nationale Pläne zur Reaktion auf Cybersicherheitsvorfälle und -krisen sowie das europäische Netzwerk für Cybersicherheitskrisen (EU-CyCLONe) betreffen. Für Organisationen, die ihre Position in Bezug auf diese Verpflichtungen überprüfen müssen, kann der von ISGroup angebotene Weg zur NIS2-Compliance ein konkreter Ausgangspunkt sein.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *