NIS2-Konformitätssicherheitsbewertung für EU-Organisationen
Die NIS2-Richtlinie (bis Oktober 2024 in nationales Recht umgesetzt) erweitert den Umfang der Cybersicherheitsverpflichtungen in den EU-Mitgliedstaaten erheblich. KENSAI unterstützt wesentliche und wichtige Einrichtungen bei der Erfüllung der NIS2-Anforderungen gemäß Artikel 21 durch kontinuierliche Schwachstellenbewertung.
Starten Sie die NIS2-Bewertung → Buchen Sie eine DemoWer unterliegt NIS2?
NIS2 erweitert den Anwendungsbereich von NIS1 erheblich und deckt nun zwei Entitätskategorien ab:
| Kategorie | Sektoren | Aufsicht |
|---|---|---|
| Wesentliche Wesenheiten | Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Wasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement, öffentliche Verwaltung, Raumfahrt | Proaktive Überwachung; Pflichtprüfungen |
| Wichtige Einheiten | Postdienste, Abfallwirtschaft, Chemikalien, Lebensmittel, Fertigung, digitale Anbieter, Forschung | Reaktive Aufsicht; Ermittlungen ausgelöst |
Größenschwellen: Gilt im Allgemeinen für mittelgroße Unternehmen (≥ 50 Mitarbeiter oder ≥ 10 Mio. € Umsatz). Für einige Sektoren (kritische Infrastruktur) gibt es keine Größenschwelle.
NIS2 Artikel 21: Maßnahmen zum Cybersicherheitsrisikomanagement
Artikel 21 verlangt „geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen“. Wichtige Anforderungen für das Schwachstellenmanagement:
Richtlinien zur Risikoanalyse, einschließlich der systematischen Identifizierung von Schwachstellen in Systemen, die für die Bereitstellung wesentlicher Dienste verwendet werden.
Sicherheitsmaßnahmen während des gesamten Systemlebenszyklus, einschließlich Schwachstellenmanagement und Offenlegungsrichtlinien.
Organisationen müssen über Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit verfügen. Sicherheitstests sind der wichtigste technische Mechanismus.
Sicherheitsmaßnahmen zur Behebung von Schwachstellen in der Lieferkette, einschließlich der Bewertung der Sicherheitspraktiken direkter Lieferanten und Dienstleister.
🚨 NIS2-Bußgelder: Bis zu 10 Millionen € oder 2 % des weltweiten Umsatzes
Gegen wesentliche Unternehmen drohen Höchststrafen von 10.000.000 € oder 2 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Auf wichtige Unternehmen entfallen 7.000.000 € oder 1,4 % des weltweiten Umsatzes. NIS2 führt auch die persönliche Haftung des Managements ein – leitende Angestellte können persönlich für Fahrlässigkeit haftbar gemacht werden, die zu NIS2-Verstößen führt.
Anforderungen an das NIS2-Schwachstellenmanagement
Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat Implementierungsleitfäden veröffentlicht, in denen die technischen Anforderungen von NIS2 klargestellt werden. Zu den Erwartungen an das Schwachstellenmanagement gehören:
- Vermögensinventar:Umfassende Bestandsaufnahme aller IKT-Ressourcen, die für die Bereitstellung wesentlicher Dienste verwendet werden
- Regelmäßiges Scannen auf Schwachstellen:Systematische Identifizierung von Schwachstellen – Häufigkeit im Verhältnis zum Risiko
- Penetrationstests:Regelmäßige Sicherheitstests im Verhältnis zur Unternehmensklassifizierung und zum Risikoprofil
- Patch-Management:Rechtzeitige Anwendung von Sicherheitspatches – kritische Patches innerhalb definierter SLAs
- Offenlegung von Sicherheitslücken:Richtlinie für den Empfang und Umgang mit Offenlegungen von Sicherheitslücken von externen Forschern
- Sicherheitstests für die Lieferkette:Bewertung von IKT-Lieferanten und -Dienstleistern
Wie KENSAI die NIS2-Konformität unterstützt
✓ Wesentliche Service-Asset-Erkennung
Erkennt und inventarisiert automatisch alle IKT-Ressourcen, die an der Bereitstellung wesentlicher Dienste beteiligt sind – die Grundlage für die NIS2-Konformität.
✓ Verhältnismäßige Risikoprüfung
Konfigurieren Sie die Scanhäufigkeit und -tiefe proportional zur Anlagenkritikalität – wichtige Servicesysteme werden häufiger und gründlicher getestet.
✓ Bewertung der Lieferkette
Das externe Angriffsflächenmanagement für IKT-Lieferanten erfüllt die Sicherheitsanforderungen der Lieferkette gemäß NIS2 Artikel 21(2)(h).
✓ Management-Reporting
NIS2 macht das Management persönlich haftbar – KENSAI bietet Führungskräfte-Dashboards für Einblicke in das Schwachstellenrisiko auf Vorstandsebene.
✓ NIS2-Beweispaket
Erstellen Sie eine prüfungsbereite Dokumentation für die Inspektion durch die zuständige nationale Behörde – Scanverlauf, Sanierungsaufzeichnungen und Richtliniennachweise.
✓ Korrelation zwischen Vorfällen
Verknüpfen Sie Schwachstellen mit der 24-Stunden-Benachrichtigungspflicht bei Vorfällen – wissen Sie sofort, wenn eine Schwachstelle aktiv ausgenutzt wird.
NIS2 vs. NIS1: Was sich bei Sicherheitstests geändert hat
| Aspekt | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Umfang | Nur Betreiber wesentlicher Dienste | Wesentliche + wichtige Einheiten (10x mehr Organisationen) |
| Sicherheitsmaßnahmen | Vage „geeignete Maßnahmen“ | Spezifische 10-Punkte-Sicherheitsmaßnahmenliste |
| Aufsicht | Leichte nationale Ansätze | Harmonisierte EU-weite proaktive Aufsicht |
| Geldstrafen | Je nach Mitgliedsstaat unterschiedlich | Harmonisierte Höchstbeträge (10 Mio. € / 2 % Umsatz) |
| Haftung des Managements | Nicht angegeben | Persönliche Haftung für Führungskräfte |
| Lieferkette | Nicht erforderlich | Ausdrücklich erforderlich |
Erfüllen Sie die NIS2-Cybersicherheitsanforderungen mit KENSAI
Angesichts der persönlichen Haftung des Managements und Bußgeldern von bis zu 2 % des weltweiten Umsatzes ist die Einhaltung von NIS2 eine Angelegenheit auf Vorstandsebene. KENSAI bietet das automatisierte Schwachstellenmanagement und die Dokumentation, die zum Nachweis der NIS2-Konformität gegenüber den zuständigen nationalen Behörden erforderlich sind.
Starten Sie die NIS2-Konformität → Sprechen Sie mit einem NIS2-Experten