Zweifel und Klarstellungen bezüglich der Implementierung von NIS2 in unseren Unternehmen

Wir haben kürzlich in einem anderen Flu-Project-Artikel über die NIS2-Richtlinie gesprochen, in diesem Fall einem anderen Thema mit einem sehr ähnlichen Aspekt gewidmet, der Einführung des 2. RTS-Pakets, das von der AES für die DORA-Konformität gestartet wurde. Im heutigen Beitrag möchten wir uns jedoch auf NIS2 und einige der verschiedenen Zweifel konzentrieren, die in den letzten Monaten aufgetaucht sind. Deshalb werde ich diesen Beitrag als FAQ behalten, der für Sie in Ihren jeweiligen Organisationen nützlich sein kann.

Zur Erinnerung: Wenn wir über NIS2 sprechen, beziehen wir uns auf die Richtlinie (EU) 2022/2555: NIS 2 (v2 der Netzwerk- und Informationssicherheit), die darauf abzielt, die Cybersicherheit in der EU zu erhöhen und dabei wesentliche Sektoren als Hebel zu nutzen. Es hat nichts mit dem (amerikanischen) NIST zu tun, dessen Ähnlichkeit in drei von vier Buchstaben reiner Zufall ist ;). Diese neue Verordnung wurde geschaffen, um die Richtlinie (EU) 2016/1148 vom 6. Juli 2016 (ehemalige NIS1-Richtlinie) zu aktualisieren und aufzuheben.

NIS2 unterscheidet zwei große Gruppen, für die je nach Kritikalität bestimmte Anforderungen gelten. Diese Anforderungen gelten für Unternehmen dieser Branchen, sofern sie mehr als 50 Arbeitnehmer beschäftigen (also mindestens ein mittelständisches Unternehmen sind):

• Sektoren mit hoher Kritikalität:
• Energie
• Transport
• Bank
• Infrastrukturen Finanzmärkte
• Gesundheitssektor
• Trinkwasser
• Abwasser
• Digitale Infrastruktur
• IKT-Dienstleistungen (B2B)
• Öffentliche Verwaltung
• Raum

• Andere kritische Sektoren:
• Post- und Kurierdienste
• Abfallmanagement
• Herstellung, Produktion und Vertrieb chemischer Stoffe und Gemische
• Lebensmittelproduktion, -verarbeitung und -verteilung
• Herstellung: Unter anderem Gesundheitsprodukte.
• Digitale Dienstleister
• Untersuchung

Aufgrund des Wortlauts von Artikel 2 Nummer 1 der Richtlinie, der einige Kontroversen hervorgerufen hat, weil der Wortlaut Verwirrung stiftet, gelten diese Anforderungen jedoch nicht nur für diese 18 Sektoren in mittleren und großen Organisationen, sondern auch gelten für jede Organisation in diesen Sektoren, unabhängig von der Größe, unter Umständen.

Diese Hypothese wird nach der Veröffentlichung des National Cryptological Center bestätigt, das auf dieser Seite klarstellt , dass die Maßnahmen unabhängig von ihrer Größe für beide Gruppen (hohe Kritikalität und kritische Sektoren) in Fällen im Zusammenhang mit der nationalen Sicherheit und dem Betrieb kritischer Sektoren gelten Infrastrukturen, in Forschungszentren (z. B. Lehrzentren), in regionalen und lokalen Verwaltungen (z. B. Stadtverwaltungen), was andererseits selbstverständlich ist, da dies in vielen Fällen, beispielsweise in Städten und Kleinstädten, der Fall ist erreichen zwar nicht die 50-Personen-Grenze, sind aber für die Bürger, den Staat usw. von mehr als wesentlicher Bedeutung. Im folgenden Screenshot von der CCN-Website können Sie diese Details einsehen: 

In derselben Veröffentlichung können Sie eine sehr interessante Infografik herunterladen , die das National Security Scheme (ENS) mit NIS2 verbindet und in der klargestellt wird, dass in den Augen der Verwaltung ein Unternehmen sein wird, das das ENS auf höchstem Niveau zertifiziert hat gelten als „konform“ mit der NIS2-Richtlinie. Wenn Sie also bereits über diese Zertifizierung verfügen, haben Sie Ihre Hausaufgaben bereits erledigt:

Ebenso wird klargestellt, dass Unternehmen mit ENS-Medium- und Basic-Zertifizierungen den Schwerpunkt auf die Themen Kontinuität und Lieferantenmanagement legen müssen, wie sie in der Richtlinie selbst definiert sind.

Um zu verstehen, worum es bei NIS2 geht, empfehle ich zwei der offiziellen Veröffentlichungen, die wir auf Spanisch haben, die offizielle Übersetzung der Richtlinie selbst :

Und der CCN-STIC 892 Guide , der erst vor wenigen Tagen veröffentlicht wurde: