Vektor-Illustration eines blauen Hintergrunds bestehend aus den Buchstaben null und eins. In der Mitte ist ein weißes Schloss. Um das Schloss ist ein Kreis aus gelben Sternen
© PX Media | stock.adobe.com

Durchführungsverordnung zur NIS-2 Richtlinie für digitale Infrastruktur

Risikomanagementmaßnahmen und erhebliche Sicherheitsvorfälle für digitale Infrastruktur

Lesedauer: 2 Minuten

13.01.2025

Ziel der NIS-2-Richtlinieist ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union.

Für bestimmte „digitale“ Sektoren gibt es für die Mindestanforderungen an Risikomanagementmaßnahmen und wann ein Sicherheitsvorfall als erheblich gilt eine EU-weit geltende Durchführungsverordnungder Europäischen Kommission.  

Die Verordnung gilt ausschließlich für folgende Einrichtungen:

  • DNS-Diensteanbieter
  • TLD-Namenregister
  • Anbieter von Cloud-Computing-Diensten
  • Anbieter von Rechenzentrumsdiensten
  • Betreiber von Inhaltszustellnetzen
  • Anbieter verwalteter Dienste (MSP)
  • Anbieter verwalteter Sicherheitsdienste (MSSP)
  • Anbieter von Online-Marktplätzen
  • Online-Suchmaschinen
  • Plattformen für Dienste sozialer Netzwerke
  • Vertrauensdiensteanbieter

Die Durchführungsverordnung gilt unmittelbar. Wann die Umsetzung der NIS-2-Richtlinie in Österreich generell erfolgt, ist allerdings abhängig vom parlamentarischen Gesetzgebungsprozess und noch offen

Es wird Leitlinien für die Umsetzung der NIS-2-Risikomanagementmaßnahmen geben, die derzeit als Entwurf auf englisch zur Verfügung stehen.

Einrichtungen, die in anderen EU-Mitgliedstaaten unter die jeweiligen Umsetzungsgesetze zur NIS-2-Richtlinie fallen, können allerdings auch schon früher betroffen sein. Allerdings ist z.B. auch in Deutschland das NIS-2-Umsetzungsgesetz noch ausständig.

Risikomanagementmaßnahmen

Die Anforderungen der festgelegten Risikomanagementmaßnahmen umfassen unter anderem eine regelmäßige Durchführung von Risikobewertungen zur Identifikation von potentiellen Sicherheitsrisiken und darauf aufbauend die Implementation von geeigneten technischen und organisatorischen Sicherheitsmaßnahmen, die Dokumentation und Nachverfolgbarkeit der durchgeführten Risikomanagementprozesse und implementierten Maßnahmen und die Schulung und Sensibilisierung der Mitarbeiter:innen.

Erheblicher Sicherheitsvorfall

Ein Sicherheitsvorfall gilt unter anderem als erheblich und muss damit gemeldet werden, wenn er potenziell eine Beeinträchtigung kritischer Dienste zur Folge hat und substanzielle Auswirkungen auf die Vertraulichkeit, Integrität oder Verfügbarkeit von Netz- und Informationssystemen drohen. Die Kriterien wie Ausfallzeit und Nutzerbetroffenheit und die Schwellenwerte für die Einstufung eines Vorfalls als erheblich variieren je nach Sektor und Art der Dienstleistung.

Technische und methodische Anforderungen

Die Durchführungsverordnung listet im Anhang folgende technische und methodische Anforderungen auf:

1. Konzept für die Sicherheit von Netz- und Informationssystemen 

1.1. Konzept für die Sicherheit von Netz- und Informationssystemen 
1.2. Rollen, Verantwortlichkeiten und Weisungsbefugnisse

2. Konzept für das Risikomanagement 

2.1. Risikomanagementrahmen
2.2. Überwachung der Einhaltung
2.3. Unabhängige Überprüfung der Netz- und Informationssicherheit

3. Bewältigung von Sicherheitsvorfällen 

3.1. Konzept für die Bewältigung von Sicherheitsvorfällen
3.2. Überwachung und Protokollierung
3.3. Meldung von Ereignissen
3.4. Bewertung und Klassifizierung von Ereignissen
3.5. Reaktion auf Sicherheitsvorfälle
3.6. Überprüfungen nach Sicherheitsvorfällen

4. Betriebskontinuitäts- und Krisenmanagement 

4.1. Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs
4.2. Backup-Sicherungs- und Redundanzmanagement
4.3. Krisenmanagement

5. Sicherheit der Lieferkette 

5.1. Konzept für die Sicherheit der Lieferkette
5.2. Verzeichnis der Anbieter und Diensteanbieter

6. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen 

6.1. Sicherheitsmaßnahmen beim Erwerb von IKT-Diensten oder IKT-Produkten
6.2. Sicherer Entwicklungszyklus
6.3. Konfigurationsmanagement
6.4. Änderungsmanagement, Reparatur und Wartung
6.5. Sicherheitsprüfung
6.6. Sicherheitspatch-Management
6.7. Netzsicherheit
6.8. Netzsegmentierung
6.9. Schutz gegen Schadsoftware und nicht genehmigte Software
6.10. Behandlung und Offenlegung von Schwachstellen

7. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit

8. Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit 

8.1. Sensibilisierungsmaßnahmen und grundlegende Verfahren im Bereich der Cyberhygiene
8.2. Sicherheitsschulungen

9. Kryptografie

10. Sicherheit des Personals 

10.1. Sicherheit des Personals
10.2. Zuverlässigkeitsüberprüfung
10.3. Verfahren zur Beendigung oder Änderung des Beschäftigungsverhältnisses
10.4. Disziplinarverfahren

11. Zugriffskontrolle 

11.1. Konzept für die Zugriffskontrolle
11.2. Management von Zugangs- und Zugriffsrechten
11.3. Privilegierte Konten und Systemverwaltungskonten
11.4. Systemverwaltungssysteme
11.5. Identifizierung
11.6. Authentifizierung
11.7. Multifaktor-Authentifizierung

12. Anlagen- und Wertemanagement 

12.1. Anlagen- und Werteklassifizierung
12.2. Behandlung von Anlagen und Werten
12.3. Konzept für Wechseldatenträger
12.4. Anlagen- und Werteinventar
12.5. Abgabe, Rückgabe oder Löschung von Anlagen und Werten bei Beendigung des Beschäftigungsverhältnisses

13. Sicherheit des Umfelds und physische Sicherheit 

13.1. Unterstützende Versorgungsleistungen
13.2. Schutz vor physischen Bedrohungen und Bedrohungen des Umfelds
13.3. Perimeter und physische Zutrittskontrolle

Weitere interessante Artikel
  • Lernen mit dem Laptop, Webinare
    Ausbildungen / Personenzertifizierungen im Bereich Informationssicherheit
    Weiterlesen