NIS-2: ENISA-Leitlinien sollen Implementierung erleichtern
Die EU-Agentur für Cybersicherheit (ENISA) hat Leitlinien zur praktischen Umsetzung der NIS-2-Richtlinie durch Maßnahmen zum Cybersicherheitsrisikomanagement in 18 kritischen Sektoren wie digitalen Infrastrukturen, Energie, Verkehr oder Gesundheit veröffentlicht.
Welche Kompetenzen brauche ich?
ENISA hat gemäß den Artikeln 6 und 10 des Cybersecurity Act den Leitfaden “Rollen und Fähigkeiten von Cybersicherheitsfachleuten für besonders wichtige und wichtige Einrichtungen” erstellt. Der Leitfaden basiert auf dem Europäischen Rahmenwerk für Cybersicherheitskompetenzen (ECSF), dem Referenzrahmen der EU für die Definition und Bewertung von Cybersicherheitskompetenzen für Fachkräfte.
Die NIS-2-Richtlinie betrifft Zehntausende von Unternehmen in der gesamten Europäischen Union (EU). Viele von ihnen sind erstmals mit neuen rechtlichen Anforderungen konfrontiert und müssen ihren Personalbedarf decken, um die Einhaltung der Vorschriften zu gewährleisten. Insbesondere für mittelständische Unternehmen ist die Umsetzung der rechtlichen Anforderungen in klare Aufgaben für ihre Mitarbeiter eine große Herausforderung. Sie stellen sich Fragen wie:
- Welche Rollen und Fähigkeiten werden benötigt, um diese Anforderungen zu erfüllen?
- Welche Schritte können bei der Umsetzung der notwendigen Organisations-, Personal- und Strategieplanung unterstützen?
Die ENISA hat gemäß den Artikeln 6 und 10 des Cybersecurity Act diesen Leitfaden zu den Fähigkeiten und Rollen von Cybersicherheitsfachleuten erstellt, die zur wirksamen Erfüllung dieser gesetzlichen Anforderungen erforderlich sind. Der Leitfaden basiert auf dem Europäischen Rahmenwerk für Cybersicherheitskompetenzen (ECSF), dem Referenzrahmen der EU für die Definition und Bewertung von Cybersicherheitskompetenzen für Fachkräfte, wie in der Mitteilung zur Cybersecurity Skills Academy erwähnt.
Wie setze ich die NIS 2 um?
Der Technischen Leitlinien zur Umsetzung der NIS2-Richtlinie bieten praktische Hinweise, Belegbeispiele und Übersichten zu Sicherheitsanforderungen, um Betreiber von Digitaler Infrastruktur, Unternehmen im Bereich IKT-Dienstleistungsmanagements und andere digitale Anbieter bei der Umsetzung der Verordnung zu unterstützen. Die Cybersicherheitsanforderungen für diese Unternehmen sind auf EU-Ebene durch die Durchführungsverordnung (EU) 2024/2690 festgelegt.
Die Technischen Leitlinien richten sich an folgende Arten von Unternehmen:
- Anbieter von Domain Name System-Diensten
- Top-Level-Domain-Name-Registries
- Anbieter von Cloud-Computing-Diensten
- Anbieter von Rechenzentren
- Anbieter von Content-Delivery-Networks
- Managed Service Provider und Managed Security Service Provider
- Anbieter von Online-Marktplätzen
- Online-Suchmaschinen und Plattformen für soziale Netzwerke
- Anbieter von Vertrauensdiensten.
Sie deckt die folgenden technischen und methodischen Anforderungen ab
- Richtlinie zur Sicherheit von Netzwerk- und Informationssystemen
- Richtlinie zum Risikomanagement
- Umgang mit Vorfällen
- Geschäftskontinuität und Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheit bei Beschaffung, Entwicklung und Wartung von Netzwerk- und Informationssystemen
- Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Risikomanagement im Bereich Cybersicherheit
- Grundlegende Cyberhygienepraktiken und Sicherheitsschulungen
- Kryptografie
- Personalsicherheit
- Zugangskontrolle
- Anlagenverwaltung
- Umwelt- und physische Sicherheit
Die NIS-2-Richtlinie legt Anforderungen an Maßnahmen zum Cybersicherheitsrisikomanagement in 18 kritischen Sektoren wie digitalen Infrastrukturen, Energie, Verkehr oder Gesundheit fest, die in nationales Recht umgesetzt werden müssen. Für die Sektoren NIS-2 (Digitale Infrastruktur) und IKT-Dienstleistungsmanagement werden diese Cybersicherheitsanforderungen auf EU-Ebene durch die Durchführungsverordnung 2024/2690 der Kommission vom 17. Oktober 2024 weiter konkretisiert.
(Quelle ENISA)