Network and Information Security – Version 2 (NIS-2)

Die EU-Richtlinie NIS-2 (EU) 2022/2555 (“Network and Information Security – Version 2”) stellt eine überarbeitete Version der 2016 eingeführten NIS-Richtlinie dar. NIS-2 ist im Januar 2023 EU-weit in Kraft getreten und wird derzeit von den Mitgliedsstaaten umgesetzt. Ziel der NIS-2 ist die Gewährleistung eines “hohen gemeinsamen Cybersicherheitsniveaus” für den EU-Binnenmarkt.

Die Zielgruppe von NIS-2 ist, ähnlich wie bei KRITIS, Unternehmen in “kritischen” Industriesektoren. Dabei wird der Begriff “kritisch” im Vergleich zu KRITIS auf 18 Sektoren ausgeweitet, die im Anhang der Direktive in “Sektoren mit hoher Kritikalität” und “sonstige kritische Sektoren” eingeteilt werden. Auch bezüglich der Unternehmensgröße und dem Jahresumsatz gibt es eine neue Einteilung in Unternehmen “mittlerer” Größe und “großer” Unternehmen. Insgesamt sind von NIS-2 deutlich mehr Unternehmen betroffen als von NIS oder dem bisherigen IT-Sicherheitsgesetz.

Ähnlich zu bisherigen Rahmenwerken stellt auch die NIS-2-Richtline verschiedene Mindestanforderungen an betroffene Unternehmen (Artikel 21), unter anderem:

  • “a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme”
  • “d) Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern”
  • “e) Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen”
  • “g) grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit”

Als Anbieter für Penetrationstests mit über 10 Jahren Erfahrung ist NSIDE der richtige Partner, um Ihnen bei der Umsetzung der Mindestanforderung zur Seite zu stehen. Kommen Sie hierzu gerne auf uns zu, um sich beraten zu lassen. Dies schließt Konzept-Analysen, Penetrationstests, Quellcode-Analysen oder Schwachstellenscans ein, bei letzteren beraten wir Sie auch gerne für einen eigenen Aufbau.

Critical Entities Resilience (CER)

Die CER-Richtline (EU) 2022/2557 („Critical Entities Resilience“) befasst sich mit der Resilienz kritischer Infrastruktur. Damit schlägt die Europäische Union den Bogen von NIS-2 zu physischer Widerstandsfähigkeit gegenüber äußerer Bedrohungen. Die Mindestanforderungen der CER fordern von betroffenen Unternehmen unter anderem „einen angemessenen physischen Schutz ihrer Räumlichkeiten und kritischen Infrastrukturen zu gewährleisten, unter gebührender Berücksichtigung zum Beispiel von dem Aufstellen von Zäunen und Sperren, Instrumenten und Verfahren für die Überwachung der Umgebung, Detektionsgeräten und Zugangskontrollen“.

Das Red-Team der NSIDE kann Sie mit über 10 Jahren Erfahrung in diesem Bereich dabei unterstützen, zielgerichtet Schwachstellen im physischen Perimeter zu erkennen. Dies ermöglicht Ihnen, effiziente Maßnahmen zur Umsetzung der CER-Richtline zu ergreifen.

OFFENSIVE CYBER SECURITY

Kontaktieren Sie uns, um Ihre Sicherheitslücken zu finden und zu schließen.