Zunächst ist NIS2 eine Richtlinie der EU. Die Umsetzung der Richtlinie erfolgt in den einzelnen Mitgliedsstaaten - somit auch in Deutschland.

NIS2 legt wesentliche und wichtige Mindestanforderungen an die Cybersicherheit in Unternehmen fest.

• Risikoanalyse und Sicherheit für Informationssysteme

• Bewältigung von Sicherheitsvorfällen

• Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisen- Management

• Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit

• Sicherheit in der Entwicklung, Beschaffung und Wartung; Management von Schwachstellen

• Bewertung der Effektivität von Cybersicherheit und Risikomanagement

• Schulungen Cybersicherheit und Cyberhygiene

• Kryptografie und Verschlüsselung

• Personalsicherheit, Zugriffskontrolle und Anlagenmanagement

• Multi-Faktor Authentisierung und kontinuierliche Authentisierung

• Sichere Kommunikation (Sprach, Video- und Text)

Eine bewährte und gute Lösung die Anforderungen aus NIS2 umzusetzen ist die Einführung eines Informationssicherheitsmanagementsystems. Hierfür gibt es eine internationale Norm - die ISO27001.

Die ISO27001 ist eine bewährte und weltweit anerkannte Zertifizierung. Eine ISO27001-Zertifizierung bietet nicht nur eine bewährte Vorgehensweise zur Einhaltung von Sicherheitsstandards, sondern stärkt auch das Vertrauen von Kunden und Partnern in die Sicherheitsmaßnahmen des zertifizierten Unternehmens.

Die NIS2-Richtlinie erwähnt zudem ausdrücklich die ISO27001 als Referenzstandard. Dies bedeutet, dass bei Unternehmen die nach ISO27001 zertifiziert sind, zunächst davon ausgegangen wird, dass diese konform sind mit der NIS2-Richtlinie, ausser, es gibt spezifische Faktoren, die das Gegenteil besagen; daher garantiert eine ISO27001 Zertifizierung nicht, dass ihr Unternehmen den Anforderungen der NIS2-Richtlinie entspricht.

Die ISO 27001 ist daher ein sinnvolles Hilfsmittel für Organisationen, welche die NIS2-Richtlinie erfüllen müssen. Durch die Implementierung der ISO27001 können Sie sicherstellen, dass sie den geltenden Vorschriften entsprechen und gleichzeitig ein robustes Cybersicherheitsniveau aufrecht erhalten.

Die NIS2-Richtlinie erweitert die Meldepflichten und erlangt von den Unternehmen, auch sicherheitsrelevante Vorfälle, die erhebliche Auswirkungen auf die Verfügbarkeit von Diensten haben könnten, den nationalen Behörden zu melden.

Die NIS2 Richtlinie stärkt die Sanktionen und legt einheitlichere Strafen für Verstöße gegen die Vorschriften fest.

Die NIS2 Richtlinie hebt die Bedeutung der Zertifizierung und der Nutzung von EU-weit anerkannten Normen hervor, um die Cybersicherheit zu verbessern.

Die NIS2 Richtlinie verstärkt die Zusammenarbeit und die Rolle der EU-Agentur für Cybersicherheit (ENISA) bei der Unterstützung der Mitgliedstaaten in Fragen der Cybersicherheit.

Die Unterschiede von NIS1 vs NIS2 verdeutlichen, dass die NIS2 Richtlinie eine Weiterentwicklung und Ausweitung der NIS1 Richtlinie ist, um auf die sich ständig ändernde Bedrohungslandschaft und die wachsende Bedeutung der Cybersicherheit in Europa zu reagieren