Empfehlungen und Meldepflichten BSI veröffentlicht NIS-2-Infopakete

Anbieter zum Thema

BSI Bundesamt f. Sicherheit in der Informationstechnik

PresseBox - unn | UNITED NEWS NETWORK GmbH

Was müssen Unternehmen, für die die NIS-2-Richtlinie gilt, melden – und wann? Und wie kann eine gesetzeskonforme Risikoanalyse erfolgen? Das BSI gibt Hilfe in Form von NIS-2-Infopaketen zu den Anforderungen der Richtlinie.

Was NIS 2 angeht, herrscht in vielen Unternehmen nach wie vor Unsicherheit. Mit Infor­ma­tions­paketen will das BSI Hinweise zur Meldepflicht erheblicher Sicherheitsvorfälle sowie zu Fristen und Inhalten dieser Meldungen bereitstellen. Jüngst wurden zwei neue Infor­ma­tions­pakete veröffentlicht: NIS-2-Risikoanalyse und NIS-2-Meldepflicht

In zehn Schritten zur NIS-2-Konformität, Teil 1

NIS 2 – Anschnallpflicht für Unternehmen

NIS-2 Risikoanalyse

Unternehmen, die unter NIS-2-Richtlinie fallen, sind verpflichtet, eine regelmäßige Ri­si­ko­analyse durchzuführen und geeignete Schutzmaßnahmen zu ergreifen und diese zu doku­mentieren. Bei der Wahl der der Methodik hierfür sind die Betroffenen frei. Als Orien­tier­ung empfiehlt das BSI bestehende Standards wie BSI-Standard-200-3 und -200-4, Kapitel 9.

Bestandteile der Risikoanalyse sind:

• Identifikation von Bedrohungen und Schwachstellen

• Bewertung der Risiken

• Bewertung der Sicherheitsmaßnahmen

• Dokumentation und Compliance

• Integration in das Sicherheitsmanagement

Der Aufbau einer Risikoanalyse erfolgt in sechs Schritten:

• 1. Kontext verstehen

• 2. Assets identifizieren

• 3. Risikobewertung durchführen

• 4. Risikobehandlung

• 5. Dokumentation

• 6. Regelmäßige Überprüfung/Konsolidierung

Daten-Compliance

NIS2 – verspätet, aber aktueller denn je

NIS-2 Meldepflicht

Auch die Meldepflicht ist ein wesentlicher Bestandteil von NIS 2. Besonders wichtige und wichtige Einrichtungen sowie Betreiber von kritischen Infrastrukturen sind verpflichtet, dem BSI erhebliche Sicherheitsvorfälle zu melden. Dazu gehören solche, die schwerwiegende Betriebsstörungen zur Folge haben oder zu finanziellen Verlusten der Einrichtungen geführt haben oder führen können. Auch Vorfälle, die andere Personen oder Betreiber beeinträchtigen können, gehören dazu.

Die Sicherheitsvorfälle müssen, nachdem die Betroffenen davon erfahren haben, gemeldet werden. Das BSI listet die Fristen dazu auf, welche jedoch die Maximalzeiten sind, die nicht ausgenutzt werden sollten.

Frühe Erstmeldung: Innerhalb von 24 Stunden nach Kenntniserlangung

• Charakter einer Frühwarnung

• Verdacht, ob Vorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist

• Verdacht, ob grenzüberschreitende Auswirkungen möglich sind

Referentenentwurf zur NIS-2-Richtlinie

NIS-2-Umsetzung: Der große Wurf gelingt noch nicht

Meldung: Innerhalb von 72 Stunden nach Kenntniserlangung

• Aktualisierung der Informationen der frühen Erstmeldung

• Bewertung des erheblichen Sicherheitsvorfalls

• Schweregrad des Vorfalls

• Auswirkungen des Vorfalls

• gegebenenfalls Kompromittierungsindikatoren (IOCs)

Folgemeldung/Abschlussmeldung: Spätestens nach einem Monat nach Meldung

• Abschlussmeldung, wenn Vorfall beendet ist, ansonsten Folgemeldung

• ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen

• Angaben zur Art der Bedrohung bzw. zugrundeliegenden Ursache

• Angaben zu den getroffenen und laufenden Abhilfemaßnahmen

• grenzüberschreitende Auswirkungen des Sicherheitsvorfalls

Nachdem das betroffene Unternehmen den Vorfall bearbeitet und beseitigt hat sowie eine Abschlussmeldung beim BSI eingereicht hat, ist der Meldevorgang beendet.

Weitere Fragen, zum Beispiel, was die Meldung genau enthalten muss, wie Einrichtungen Vorfälle melden können und wer dies für die betroffene Einrichtung tun kann, beantwortet das BSI hier.

Wer sich nicht sicher ist, ob sein Unternehmen unter NIS 2 fällt, kann online die NIS-2-Betroffenheitsprüfung durchführen.

Weckruf für Unternehmen

NIS-2 – Nicht warten, machen!

(ID:50493671)