BSI veröffentlicht NIS2-Checkliste: Sechs Schritte für den Einstieg in die NIS2-Umsetzung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine NIS2-Checkliste veröffentlicht, die Unternehmen und Einrichtungen bei der schrittweisen Vorbereitung auf die Anforderungen der NIS2-Regulierung unterstützen soll.

Viele Unternehmen stehen derzeit vor ähnlichen Fragen: Gilt NIS2 für uns? Welche internen Verantwortlichkeiten müssen geschaffen werden? Wann ist eine Registrierung beim BSI erforderlich? Und welche technischen und organisatorischen Maßnahmen müssen konkret umgesetzt werden?

Die BSI-Checkliste bietet hierfür einen praxisnahen Einstieg. Sie strukturiert zentrale Aufgaben der NIS2-Vorbereitung in sechs Schritte.

1. NIS2-Betroffenheit prüfen

Der erste Schritt besteht darin, zu prüfen, ob das eigene Unternehmen oder die eigene Einrichtung unter die NIS2-Regulierung fällt.

Diese Prüfung ist nicht immer allein anhand von Mitarbeiterzahl oder Umsatz möglich. Relevante Faktoren sind unter anderem Branche, Unternehmensgröße, angebotene Dienstleistungen, Konzernstruktur und die nationale Umsetzung der NIS2-Vorgaben.

Das BSI verweist hierfür unter anderem auf den NIS2-Entscheidungsbaum und die NIS2-Betroffenheitsprüfung. Das Ergebnis einer solchen Prüfung dient jedoch nur der ersten Orientierung und ersetzt keine rechtliche Bewertung.

Enobyte-Service: Kurzprüfung: Anwendbarkeit der NIS2-Richtlinie

2. Verantwortlichkeiten festlegen

NIS2 macht Cybersicherheit zu einem Thema der Unternehmensleitung. Geschäftsleitungen und Leitungsorgane müssen Risikomanagementmaßnahmen im Bereich Cybersicherheit genehmigen, deren Umsetzung überwachen und die damit verbundenen Risiken angemessen berücksichtigen.

Die BSI-Checkliste empfiehlt, mindestens zwei Personen im Unternehmen zu benennen und zu befähigen, eine koordinierende Rolle für die Informationssicherheit zu übernehmen. Diese Personen sollten über die notwendigen Kompetenzen, Befugnisse und Ressourcen verfügen, um Informationssicherheit wirksam im Unternehmen zu verankern.

3. Registrierung im BSI-Portal vorbereiten

NIS2-betroffene Unternehmen und Einrichtungen müssen sich beim BSI-Portal registrieren.

Für die Registrierung in Deutschland ist unter anderem ein ELSTER-Organisationszertifikat erforderlich, das über den digitalen Dienst „Mein Unternehmenskonto“ beantragt werden kann. Unternehmen sollten daher frühzeitig prüfen, ob die notwendigen organisatorischen und technischen Voraussetzungen für die Registrierung bereits vorhanden sind.

4. Meldeprozesse für Sicherheitsvorfälle etablieren

Ein weiterer zentraler Bestandteil der NIS2-Umsetzung ist die Vorbereitung auf Meldepflichten bei erheblichen Sicherheitsvorfällen.

Unternehmen sollten bereits vor einem Vorfall festlegen, welche internen Stellen informiert werden müssen, wer die Bewertung des Vorfalls vornimmt und wer die Kommunikation mit Behörden koordiniert.

Für betroffene Einrichtungen in Deutschland sind insbesondere die zeitlichen Anforderungen relevant:

• Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme des Vorfalls
• Meldung innerhalb von 72 Stunden nach Kenntnisnahme des Vorfalls
• Abschlussbericht innerhalb eines Monats nach der Meldung

Diese Anforderungen machen deutlich, dass Incident Response nicht erst im Ernstfall organisiert werden kann. Rollen, Eskalationswege und Meldeprozesse müssen vorab definiert, dokumentiert und getestet werden.

Enobyte-Service: CSIRT Services

5. Schulung der Geschäftsleitung veranlassen

NIS2 sieht vor, dass Geschäftsleitungen regelmäßig Schulungen zu Cybersicherheitsrisiken und Risikomanagementmaßnahmen erhalten.

Ziel ist, dass Entscheidungsträger die relevanten Risiken verstehen, angemessene Maßnahmen bewerten und ihre Aufsichts- und Steuerungsaufgaben sachgerecht wahrnehmen können.

Für Unternehmen bedeutet dies, dass NIS2-Schulungen nicht nur als Compliance-Pflicht verstanden werden sollten. Sie sind auch ein wichtiger Bestandteil einer wirksamen Governance-Struktur für Informationssicherheit.

Enobyte unterstützt Unternehmen bei der Umsetzung dieser Anforderungen mit praxisnahen NIS2-Schulungen für Geschäftsleitungen, bei Bedarf auch auf Englisch oder Japanisch.

Mehr erfahren: NIS2 Manager Training

6. Risikomanagementmaßnahmen umsetzen

Der letzte Schritt betrifft die praktische Umsetzung technischer und organisatorischer Maßnahmen.

Die Pflicht zur Umsetzung von Risikomanagementmaßnahmen ergibt sich aus Artikel 21 der NIS2-Richtlinie.

NIS2 verlangt, dass betroffene Einrichtungen angemessene, verhältnismäßige und wirksame Maßnahmen zur Beherrschung von Cybersicherheitsrisiken ergreifen.

Dazu gehören insbesondere:

• Richtlinien für Risikoanalyse und Sicherheit von Informationssystemen
• Incident-Response-Prozesse
• Business Continuity, Backup, Wiederherstellung und Krisenmanagement
• Sicherheit der Lieferkette
• Sicherheit bei Beschaffung, Entwicklung und Wartung von ICT-Systemen
• Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
• Cyberhygiene und Cybersicherheitsschulungen
• Einsatz von Kryptografie und Verschlüsselung
• Personalsicherheit, Zugriffskontrolle und Asset Management
• Multi-Faktor-Authentisierung und sichere Kommunikationsmittel

Für viele Unternehmen wird die Herausforderung darin bestehen, bestehende Maßnahmen systematisch zu erfassen, Lücken zu identifizieren und daraus eine priorisierte Umsetzungs-Roadmap abzuleiten.

Enobyte-Services: NIS2 Assessment, CSIRT Services

NIS2-Unterstützung durch Enobyte

Enobyte unterstützt Sie bei Fragen rund um NIS2 sowie bei der Registrierung bei den zuständigen Behörden, dem Aufbau von Incident-Response-Strukturen, Management-Schulungen und der Umsetzung von Risikomanagementmaßnahmen.

Wenn Ihr Unternehmen Unterstützung bei der NIS2-Umsetzung benötigt, kontaktieren Sie uns gerne an.