Add to collection(s) Add to saved
  1. No category
Uploaded by studylib

NIS2

advertisement 
NIS2
06. Juli 2023
Jens Wonneberger
CISO - Director Information Security & Data Protection
MANN+HUMMEL
Wir trennen das Nützliche vom Schädlichen
2
MANN+HUMMEL
NIS2
06. Juli 2023
HERKUNFT UND ZIELE VON NIS2
Die Ziele der EU durch die NIS2
Hohes Cybersicherheitsniveau in der gesamten Union schaffen
Große Unterschiede zwischen den Mitgliedstaaten beheben
Ausweitung des Anwendungsbereichs nach Sektoren auf einen
größeren Teil der Wirtschaft sowie der Lieferketten
Einheitliche Kriterien festlegen, welche Einrichtungen betroffen sind
Rechtssicherheit hinsichtlich der Risikomanagementmaßnahmen im
Bereich der Cybersicherheit gewährleisten
Massive Kontroll- und Eingriffsrechte & Sanktionen (Bußgelder)
schaffen
Persönliche Haftung der Leitungsebene bei Nichteinhaltung
3
MANN+HUMMEL
NIS2
06. Juli 2023
HERKUNFT UND ZIELE VON NIS2
Zeitleiste
EU NIS2 & RCE/CER
IT-SiG 2.0
IT-SiG 1.0 & KritisV 1.0
2014-2019
KritisV 1.5
2020
2021
EU NIS-Richtlinie
NIS2UmsuCG & BSIG
2022
2023
2024
KRITIS Dachgesetz &
Kabinettsbeschluss NIS2UmsuCG
Kommissionsentwurf
NIS2-Richtlinie
4
MANN+HUMMEL
NIS2
06. Juli 2023
HERKUNFT UND ZIELE VON NIS2
Änderungen des BSI-Gesetzes durch das NIS2UmsuCG
Schwerpunktmäßig werden folgende Änderungen vorgenommen:
Einführung der NIS-2 Einrichtungskategorien mit einer signifikanten Ausweitung der betroffenen Unternehmen
Der Katalog der Mindestsicherheitsanforderungen des Art. 21 Abs. 2 NIS-2-Richtlinie wird in das BSIG
übernommen
Die bislang einstufige Meldepflicht bei Vorfällen wird durch das dreistufige Melderegime ersetzt
Ausweitung des BSI-Instrumentariums hinsichtlich der von der NIS-2-Richtlinie vorgegebenen
Aufsichtsmaßnahmen
Einführung eines der EU-DSGVO nachempfundenen Bußgeldrahmens
5
MANN+HUMMEL
NIS2
06. Juli 2023
BETROFFENHEITSANALYSE
Definitionen Großunternehmen / mittleres Unternehmen
„Großunternehmen“ ein Unternehmen das
a) mindestens 250 Mitarbeiter beschäftigt, oder
b) einen Jahresumsatz von mindestens 50 Millionen EUR und zudem
eine Jahresbilanzsumme von mindestens 43 Millionen EUR aufweist.
„„mittleres Unternehmen“ ein Unternehmen das
a) mindestens 50 und höchstens 249 Mitarbeiter beschäftigt und zudem
einen Jahresumsatz von weniger als 50 Millionen EUR oder
eine Jahresbilanzsumme von weniger als 43 Millionen EUR aufweist,
oder
b) weniger als 50 Mitarbeiter beschäftigt und einen Jahresumsatz und eine
Jahresbilanzsumme von jeweils mindestens 10 Millionen EUR und
einen Jahresumsatz von höchstens 50 Millionen EUR
sowie eine Bilanzsumme von höchstens 43 Millionen EUR aufweist
6
MANN+HUMMEL
NIS2
06. Juli 2023
BETROFFENHEITSANALYSE
Kritische Anlagen
Eine kritische Anlage ist eine Anlage unabhängig der Unternehmensgröße,
die den Sektoren…
•
•
•
•
•
•
•
•
•
Energie,
Verkehr und Transport,
Bankwesen,
Finanzmarktinfrastrukturen,
Gesundheitswesen,
Trinkwasser,
Abwasser,
Ernährung,
…
angehört und die von hoher Bedeutung für das Funktionieren des Gemeinwesens ist, da durch
ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die
öffentliche Sicherheit eintreten würden.
7
MANN+HUMMEL
NIS2
06. Juli 2023
BETROFFENHEITSANALYSE
Besonders wichtige Einrichtungen (NIS2: „wesentliche Einrichtungen“)
Eine besonders wichtige Einrichtung ist…
• Eine kritische Anlage (unabhängig von der Unternehmensgröße)
• ein Großunternehmen, das einer der Einrichtungsarten der Sektoren zuzuordnen ist:
❖ Energie,
❖ Verkehr und Transport,
❖ Bankwesen*, Finanzmarktinfrastrukturen*,
❖ Gesundheitswesen,
❖ Trinkwasser, Abwasser,
❖ digitale Infrastruktur,
❖ Verwaltung von IKT-Diensten (Business-to-Business)
❖ Weltraum
• ein mittleres Unternehmen, das
❖ Anbieter von TK-Diensten oder öffentlich zugänglichen TK-Netzen ist
• die Bundesministerien und das Bundeskanzleramt
*Derzeit laufen noch die Abstimmungen mit dem BMF bezüglich Ausnahmen (Stichwort DORA)
8
MANN+HUMMEL
NIS2
06. Juli 2023
BETROFFENHEITSANALYSE
Wichtige Einrichtungen
Eine wichtige Einrichtung ist…
• ein mittleres Unternehmen, das einer der
Einrichtungsarten der Sektoren zuzuordnen ist:
❖ Energie,
❖ Verkehr und Transport,
❖ Bankwesen*, Finanzmarktinfrastrukturen*,
❖ Gesundheitswesen,
❖ Trinkwasser, Abwasser,
❖ digitale Infrastruktur,
❖ Verwaltung von IKT-Diensten (Business-to-Business)
❖ Weltraum
9
MANN+HUMMEL
NIS2
•
ein mittleres Unternehmen oder Großunternehmen, das
einer der Einrichtungsarten der Sektoren zuzuordnen ist:
❖ Logistik,
❖ Siedlungsabfall,
❖ Produktion, verarbeitendes Gewerbe,
❖ Chemie,
❖ Ernährung,
❖ Anbieter digitaler Dienste oder Forschung zuzuordnen
ist,
…und keine besonders wichtige Einrichtung ist.
06. Juli 2023
BETROFFENHEITSANALYSE
Drei Schritte zur Ermittlung der tatsächlichen Betroffenheit
1. implisense.com
2. nacecode.de Überprüfen der NACE-Code-Definitionen
Überprüfen, welche NACECodes für das eigene
Unternehmen gelten
3. NIS2 Anhang II Überprüfen, welche Teil-Sektoren welche NACE-Codes enthalten
10
MANN+HUMMEL
NIS2
06. Juli 2023
UMZUSETZENDE MASSNAHMEN
Registrierungspflicht
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind
verpflichtet, spätestens drei Monate nachdem sie erstmals oder erneut als eine der
vorgenannten Einrichtungen gelten, dem BSI die folgenden Angaben zu
übermitteln:
• Name der Einrichtung, Rechtsform und Handelsregisternummer,
• die Anschrift und aktuellen Kontaktdaten, einschließlich E-Mail-Adresse,
IP-Adressbereiche, Telefonnummern,
• der relevante Sektor oder soweit einschlägig Teilsektor,
• gegebenenfalls eine Liste der Mitgliedstaaten, in denen sie Dienste erbringen,
die in den Anwendungsbereich dieser Richtlinie fallen
Bei Änderungen zu übermittelnden Angaben sind diese unverzüglich, spätestens
jedoch zwei Wochen ab dem Zeitpunkt der Änderung dem BSI zu übermitteln.
Wer eine Registrierung nicht oder nicht rechtzeitig vornimmt oder innerhalb von
zwei Wochen ab dem Zeitpunkt der Änderung seiner Angaben dem BSI
übermittelt, handelt ordnungswidrig.
Melde- und Informationsportal des BSI https://mip2.bsi.bund.de/
11
MANN+HUMMEL
NIS2
01.10.2024 + 3 Monate = 01.01.2025
06. Juli 2023
UMZUSETZENDE MAßNAHMEN
Risikomanagementmaßnahmen (Art. 21)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet,
• verhältnismäßige technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit,
Integrität, Authentizität und Vertraulichkeit der IT-Systeme zu vermeiden,
• Auswirkungen von Sicherheitsvorfällen auf ihre oder andere Dienste zu verhindern oder möglichst gering zu halten und
• die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen.
Maßnahmen sollen den Stand der Technik* einhalten und unter Berücksichtigung
• der gegebenenfalls einschlägigen Normen
• des Ausmaßes der Risikoexposition
• der Größe der Einrichtung
• der Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen
• der gesellschaftlichen und wirtschaftlichen Auswirkungen
• der Umsetzungskosten
ein Sicherheitsniveau der IT-Systeme gewährleisten, das dem bestehenden Risiko angemessen ist.
Wer eine Risikomanagementmaßnahme nicht, nicht richtig, oder nicht rechtzeitig trifft, handelt ordnungswidrig.
12
MANN+HUMMEL
NIS2
* Stand der Technik - TeleTrusT - Bundesverband IT-Sicherheit e.V. / IT Security Association Germany
06. Juli 2023
UMZUSETZENDE MAßNAHMEN
Risikomanagementmaßnahmen (Art. 21)
Risikomanagementmaßnahmen müssen mindestens umfassen:
• Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
• Bewältigung von Sicherheitsvorfällen
• Aufrechterhaltung des Betriebs, wie Backup-Management und
Wiederherstellung nach einem Notfall, und Krisenmanagement
• Sicherheit der Lieferkette
• Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IT-Systemen
• Management von Schwachstellen,
• Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
• grundlegende Verfahren der Cyberhygiene
• Schulungen im Bereich der Cybersicherheit
• Konzepte und Verfahren für Kryptografie und Verschlüsselung
• Sicherheit des Personals
• Konzepte für die Zugriffskontrolle und Management von Anlagen
• Verwendung von Lösungen zur Multi-Faktor-Authentifizierung
• gesicherte Sprach-, Video- und Textkommunikation
• gegebenenfalls gesicherte Notfallkommunikationssysteme
13
MANN+HUMMEL
NIS2
06. Juli 2023
MELDEPFLICHTIGE VORFÄLLE UND FRISTEN
Erheblicher Sicherheitsvorfall
Ein „erheblicher Sicherheitsvorfall“ ist ein Sicherheitsvorfall, der
a) schwerwiegende Betriebsstörungen der Dienste oder finanzielle
Verluste für die betreffende Einrichtung verursacht hat oder
verursachen kann;
oder
b) andere natürliche oder juristische Personen durch erhebliche
materielle oder immaterielle Schäden beeinträchtigt hat oder
beeinträchtigen kann.
14
MANN+HUMMEL
NIS2
06. Juli 2023
MELDEPFLICHTIGE VORFÄLLE UND FRISTEN
Meldepflichten
1.
Innerhalb 24 Stunden nach Kenntniserlangung eines erheblichen
Sicherheitsvorfalls; frühe Erstmeldung, ob Verdacht auf rechtswidrige
Handlungen oder grenzüberschreitende Auswirkungen besteht
2.
Spätestens nach 72 Stunden, eine Meldung mit erster Bewertung
einschließlich des Schweregrads und der Auswirkungen, sowie
gegebenenfalls die Kompromittierungsindikatoren (IoC)
3.
Auf Ersuchen des Bundesamtes eine Zwischenmeldung
4.
Spätestens einen Monat nach Übermittlung eine Abschlussmeldung über:
❖ ausführliche Beschreibung des Sicherheitsvorfalls
❖ Art der Bedrohung bzw. zugrunde liegenden Ursache
❖ getroffene und laufende Abhilfemaßnahmen
❖ ggf. grenzüberschreitende Auswirkungen
Wer eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig
macht, handelt ordnungswidrig.
Melde- und Informationsportal des BSI https://mip2.bsi.bund.de/
15
MANN+HUMMEL
NIS2
06. Juli 2023
PFLICHTEN & ACCOUNTABILITY FÜR LEITUNGSORGANE
Ausweitung der Geschäftsführer-Haftung
Geschäftsleiter besonders wichtiger Einrichtungen und wichtiger
Einrichtungen sind verpflichtet, die ergriffenen Risikomanagementmaßnahmen zur Cybersicherheit zu billigen und ihre Umsetzung
zu überwachen. Die Beauftragung eines Dritten ist nicht zulässig.
Geschäftsleiter, welche ihre Pflichten verletzen, haften persönlich
der Einrichtung für den entstandenen Schaden wie
Regressansprüche und Bußgeldforderungen (Binnenhaftung im
Verhältnis Einrichtung-Geschäftsleiter).
Ein Verzicht der Einrichtung auf Ersatzansprüche oder ein Vergleich
der Einrichtung über diese Ansprüche ist unwirksam.
Die Geschäftsleiter von Wesentlichen und Wichtigen Einrichtungen
und deren Mitarbeiter müssen regelmäßig an Schulungen
teilnehmen und ausreichende Kenntnisse und Fähigkeiten in
Cybersicherheits-Risikomanagementpraktiken erwerben.
16
MANN+HUMMEL
NIS2
“Cybersicherheit kann nicht mehr so gehandhabt
werden, dass man zu einem IT-Mitarbeiter sagt:
“Ok, mach irgendwas, damit wir sicher sind.”
Der CEO und der Vorstand müssen wissen, was zu
tun ist, wie sie die Kontrolle erlangen können und wo
sie als Unternehmen stehen.”
- Bart Groothuis
06. Juli 2023
NEXT STEPS
Empfehlungen für die nächsten Schritte
1.
Betroffenheitsanalyse
Identifizieren Sie betroffene Teile Ihrer Organisation.
2.
Management ins Boot holen
Zeigen Sie dem Management die Folgen auf und benennen Sie die Vorteile.
3.
Risikomanagementmaßnahmen
GAP-Analyse zur Ermittlung der bereits implementierten Maßnahmen.
4.
NIS-2-Umsetzungsprojekt
Setzten Sie ein Umsetzungsprojekt zur Implementierung der
Risikomanagementmaßnahmen auf und berücksichtigen Sie das Vorhaben
bereits heute in Ihrer Budgetplanung.
5.
Registrierung und Meldung an die Behörden
Treffen Sie die Vorkehrung zur Registrierung vor und bereiten Sie die
notwendigen Prozesse zur Meldung eines erheblichen Sicherheitsvorfalles vor
und üben Sie den Ablauf.
6.
Regulatorisches Monitoring
Etablieren Sie ein Regulierungsmonitoring, welches neue Gesetzgebungen
frühzeitig erkennt, analysiert, bewertet und in die Umsetzung bringt.
17
MANN+HUMMEL
NIS2
06. Juli 2023
NEXT STEPS
Ausblick
Dieses NIS2UmsuCG tritt vorbehaltlich der
Verkündung am 1. Oktober 2024 in Kraft.
Bei einer Verkündung im März 2024 stehen den
Einrichtungen noch sechs Monate zur Umsetzung der
gesetzlichen Verpflichtungen zur Verfügung.
Der hier genannte Zeitpunkt ist der letzte
Quartalsbeginn vor Ablauf der Umsetzungsfrist des
Artikel 41 NIS-2- Richtlinie am 17. Oktober 2024.
Im Übrigen sind die für die Verpflichtungen von
Wesentlichen und Wichtigen Einrichtungen
maßgeblichen Inhalte der NIS-2-Richtlinie bereits seit
dem Kommissionsentwurf aus Dez. 2020 bekannt.
18
MANN+HUMMEL
NIS2
06. Juli 2023
Q&A
Fragen?
19
MANN+HUMMEL
NIS2
06. Juli 2023
Richtlinien und Verordnungen auf europäischer Ebene
Neu
Aufhebung
Neu
Änderung
RICHTLINIE (EU) 2022/2555
“Maßnahmen für ein hohes
gemeinsames
Cybersicherheitsniveau in der Union”
“NIS-2-Richtlinie”
RICHTLINIE (EU) 2016/1148
„Maßnahmen zur Gewährleistung
eines hohen gemeinsamen
Sicherheitsniveaus von Netz- und
Informationssystemen in der Union“
„NIS-Richtlinie“
RICHTLINIE (EU) 2022/2557
„Resilienz kritischer
Einrichtungen“
„CER-Richtlinie“
VERORDNUNG (EU) Nr. 910/2014
„Elektronische Identifizierung und
Vertrauensdienste für elektronische
Transaktionen im Binnenmarkt“
20
MANN+HUMMEL
NIS2
06. Juli 2023
Gesetze auf nationaler Ebene
Neu
Aufhebung
Erweiterung
Gesetz über das Bundesamt für Sicherheit
NIS-2-Umsetzungs- und
in der Informationstechnik
Cybersicherheitsstärkungsgesetz
„BSI-Gesetz – BSIG“
“Gesetzes zur Umsetzung der NIS-2Richtlinie und zur Regelung
wesentlicher Grundzüge des
Informationssicherheitsmanagements
in der Bundesverwaltung”
21
MANN+HUMMEL
NIS2
“NIS2UmsuCG”
Neu
Änderung
KRITIS-Dachgesetz
Telekommunikationsgesetz
Resilienz-Anforderungen für Telekommunikationsgesetz vom
Kritische Infrastrukturen
23. Juni 2021 (BGBl. I S. 1858)
„Gesetz zum Schutz Kritischer
(TKG)
Infrastrukturen“
06. Juli 2023
Cyberhygiene & Cyberschutz
Zur Cyberhygiene gehören
Zum Cyberschutz gehören
•
•
•
•
•
•
•
Zero-Trust-Grundsätze
Software- und Hardware-Updates
Gerätekonfiguration
Passwortänderungen
Verwaltung neuer Installationen
Einschränkung von Zugriffskonten
auf Administratorenebene
Sicherung von Daten
Netzwerksegmentierung
Identitäts- und
Zugriffsmanagement
Sensibilisierung der Mitarbeiter
22
MANN+HUMMEL
•
•
•
NIS2
•
•
•
aktive Verhütung, Erkennung,
Überwachung, Analyse und
Abschwächung von
Sicherheitsverletzungen im
Netzwerk
Detektionswerkzeuge
Bereinigungsdienste
Die Fähigkeit Bedrohungsinformationen und –analysen,
Warnungen zu Cyberaktivitäten und
Reaktionsmaßnahmen schnell und
automatisch auszutauschen und
zu verstehen
06. Juli 2023
Aufsichts- und Durchsetzungsmaßnahmen für
besonders wichtige Einrichtungen
Das BSI kann bei besonders wichtigen Einrichtungen
• die Einhaltung der Anforderungen überprüfen
• zur Überprüfung eines qualifizierten unabhängigen Dritten bedienen
• zum Zweck der Überprüfung die Geschäftsräume während der üblichen Betriebszeiten betreten
• die Vorlage von Unterlagen verlangen
• für die Überprüfung Gebühren und Auslagen erheben
• Anweisungen in Bezug auf Maßnahmen erlassen und zu deren Berichterstattung einfordern
• verbindliche Anweisungen zur Umsetzung erlassen
• anweisen Kunden die potenziell von einer erheblichen Cyberbedrohung betroffen sind zu
unterrichten
• anweisen, Informationen zu Verstößen gegen diese Richtlinie öffentlich bekannt zu machen
• einen für einen bestimmten Zeitraum Überwachungsbeauftragten benennen
• sofern Anordnungen nicht nachkommen werden, Zertifizierung der Einrichtung aussetzen
• der Geschäftsführung die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen
• die zuständige Datenschutzbehörde unterrichten
23
MANN+HUMMEL
NIS2
06. Juli 2023
Aufsichts- und Durchsetzungsmaßnahmen für
wichtige Einrichtungen
Erlangt das BSI Kenntnis, wonach eine wichtige Einrichtung die Anforderungen an die Risikomanagementmaßnahmen
nicht oder nicht richtig umsetzt, so kann es folgende Maßnahmen durchführen:
•
•
•
•
•
•
Die Einhaltung der Anforderungen überprüfen
Die Umsetzung verbindlich anweisen
Informationen anfordern, um die angewiesene Umsetzung zu überprüfen
Anweisen Kunden die potenziell von einer erheblichen Cyberbedrohung betroffen sind zu unterrichten
Anweisen, Informationen zu Verstößen gegen diese Richtlinie öffentlich bekannt zu machen
Unterrichtung der zuständigen Datenschutzbehörde
24
MANN+HUMMEL
NIS2
06. Juli 2023
Zuständigkeit des BSI
Das BSI ist zuständige Aufsichtsbehörde für die Einhaltung der
Vorschriften durch wichtige und besonders wichtige Einrichtungen,
die in der Bundesrepublik Deutschland niedergelassen sind.
Die Zuständigkeit für wichtige und besonders wichtige Einrichtungen
bestimmt sich nach dem Niederlassungsprinzip.
Abweichend davon ist das BSI für die Einrichtung in der gesamten
Europäischen Union zentral zuständig für Diensteanbieter für DNS,
Cloud Computing, Rechenzentren, Online-Marktplätzen, OnlineSuchmaschinen und sozialen Netzwerken, wenn diese ihre
Hauptniederlassung in der Bundesrepublik Deutschland haben.
25
MANN+HUMMEL
NIS2
06. Juli 2023
Terminologie
•
Aus:
“Gesetz über das Bundesamt für Sicherheit in der Informationstechnik
(BSI-Gesetz – BSIG)”
Wird: “Gesetz über das Bundesamt für Sicherheit in der Informationstechnik
und über die Sicherheit in der Informationstechnik von Betreibern und
Einrichtungen (BSI-Gesetz – BSIG)”
•
•
Aus:
Wird:
“Verfügbarkeit, Integrität oder Vertraulichkeit”
“Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit”
•
Aus:
Wird:
“Kritische Infrastruktur”
“Kritische Anlage”
•
Aus:
Wird:
“Unternehmens von besonderem öffentlichem Interesse”
“besonders wichtige Einrichtung oder wichtige Einrichtung”
•
•
Aus:
Wird:
“Sicherheitslücken”
“Schwachstellen”
26
MANN+HUMMEL
NIS2
06. Juli 2023
Sektoren und Teilsektoren
Das Bundesministerium des Innern und für Heimat bestimmt durch Rechtsverordnung, nach Anhörung von Vertretern der Wissenschaft, der
betroffenen Betreiber, Einrichtungen und der betroffenen Wirtschaftsverbände (..) und Verbraucherschutz unter Festlegung
der in den jeweiligen Sektoren Energie, Transport und Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser,
Abwasser, Ernährung, digitale Infrastruktur, sowie Siedlungsabfallentsorgung wegen ihrer Bedeutung als kritisch anzusehenden
Dienstleistungen und deren als bedeutend anzusehenden Versorgungsgrads, welche Anlagen oder Teile davon als kritische Anlagen im
Sinne dieses Gesetzes gelten,
sowie welche Einrichtungsarten in den Sektoren Energie, Transport und Verkehr, Bankwesen, Finanzmarktinfrastrukturen,
Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (Business-to-Business), und Weltraum
Einrichtungsarten besonders wichtige Einrichtungen sind, und
welche Einrichtungsarten in den Sektoren Energie, Transport und Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen,
Trinkwasser, Abwasser, digitale Infrastruktur, Siedlungsabfallentsorgung, Logistik, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe,
Anbieter digitaler Dienste oder Forschung Einrichtungsarten wichtige Einrichtungen sind.
Damit die neue BSI-KritisV noch vor Inkrafttreten des Gesetzes im Übrigen erlassen werden kann, tritt dieser Artikel vor den Übrigen in Kraft.
[Anm. BMI CI1 – Diese Vorschrift (§ 10 BSIG aF.) ist Gegenstand der Evaluierung gemäß Art. 6 Abs. 1 Nr. 1 Zweites Gesetz zur Erhöhung der
Sicherheit informationstechnischer Systeme vom 18. Mai 2021 (BGBl. I S. 1122). Diese Änderung erfolgt vorbehaltlich der Ergebnisse dieser
Evaluierung und wird gegebenenfalls noch auf deren Grundlage angepasst.]
27
MANN+HUMMEL
NIS2
06. Juli 2023
Rückmeldungen des Bundesamts
gegenüber meldenden Einrichtungen
Nach Eintreffen der Frühwarnung antwortet das BSI innerhalb von 24
Stunden mit einer Rückmeldung zu dem erheblichen Sicherheitsvorfall
und, auf Ersuchen der Einrichtung, Orientierungshilfen oder operativer
Beratung für die Durchführung möglicher Abhilfemaßnahmen.
Das BSI leistet auf Ersuchen der betreffenden Einrichtung zusätzliche
technische Unterstützung. Wird bei dem erheblichen
Sicherheitsvorfall ein krimineller Hintergrund vermutet, gibt das
Bundesamt ferner Orientierungshilfen für die Meldung an die
Strafverfolgungsbehörden.
Ist eine Sensibilisierung der Öffentlichkeit erforderlich, einen laufenden
erheblichen Sicherheitsvorfall zu bewältigen so kann das BSI nach
Konsultation der betroffenen Einrichtung die Öffentlichkeit über den
erheblichen Sicherheitsvorfall informieren oder die Einrichtung
auffordern, dies zu tun.
28
MANN+HUMMEL
NIS2
06. Juli 2023
Nachweispflichten für besonders wichtige Einrichtungen
Besonders wichtige Einrichtungen haben die Erfüllung der Anforderungen an die
Risikomanagementmaßnahmen alle zwei Jahre dem BSI nachzuweisen.
Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen.
Die Einrichtungen übermitteln dem BSI die Ergebnisse der durchgeführten Audits, Prüfungen oder
Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel.
Es kann bei Sicherheitsmängeln die Vorlage eines geeigneten Mängelbeseitigungsplanes sowie
geeignete Nachweise über die erfolgte Mängelbeseitigung verlangen.
Wer einen Nachweis nicht oder nicht rechtzeitig erbringt handelt ordnungswidrig.
29
MANN+HUMMEL
NIS2
06. Juli 2023
Bußgeldkatalog besonders wichtiger Einrichtungen
Bis zu zehn Millionen Euro oder mit einem Höchstbetrag von mindestens 2 % des gesamten weltweiten im vorangegangenen
Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Betroffene angehört,
• Risikomanagementmaßnahme nicht, nicht richtig, oder nicht rechtzeitig umgesetzt
• Einen Nachweis nicht richtig oder nicht vollständig erbracht
• Nachweispflichten nicht erfüllt
• Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erstattet
Bis zu zwei Millionen Euro
• Mitwirkungspflicht bei Wiederherstellung der Sicherheit des infizierten Systems nicht nachgekommen
• Maßnahmen zur Abwehr konkreter erheblicher Gefahren nicht ergriffen
• Sicherheitsmängel nicht beseitigt und keinen geeigneten Mängelbeseitigungsplans vorgelegt
Bis zu fünfhunderttausend Euro
• Registrierung nicht oder nicht rechtzeitig vorgenommen oder eine dort genannte Stelle nicht oder nicht rechtzeitig benannt
• Die zur Bewältigung der Störung notwendigen Informationen nicht herausgegeben
• Betreten eines Raums nicht gestattet, eine Unterlage nicht rechtzeitig vorlegt, eine Auskunft nicht rechtzeitig erteilt
• Änderungen der Registrierung nicht mitgeteilt
• Einer verbindlichen Anweisung widersetzt
30
MANN+HUMMEL
NIS2
06. Juli 2023
Bußgeldkatalog wichtiger Einrichtungen
Bis zu sieben Millionen Euro oder mit einem Höchstbetrag von mindestens 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten
Umsatzes des Unternehmens, dem der Betroffene angehört,
•
Risikomanagementmaßnahme nicht, nicht richtig, oder nicht rechtzeitig umgesetzt
•
Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erstattet
Bis zu zwei Millionen Euro
•
Mitwirkungspflicht bei Wiederherstellung der Sicherheit des infizierten Systems nicht nachgekommen
•
Maßnahmen zur Abwehr konkreter erheblicher Gefahren nicht ergriffen
•
Beseitigung der Sicherheitsmängel und Vorlage eines geeigneten Mängelbeseitigungsplans
Bis zu fünfhunderttausend Euro
•
Registrierung nicht oder nicht rechtzeitig vorgenommen oder eine dort genannte Stelle nicht oder nicht rechtzeitig benannt
•
Die zur Bewältigung der Störung notwendigen Informationen nicht herausgegeben
Bis zu einhunderttausend Euro
•
Nichtmitteilung von Änderungen der registrierten Informationen
•
Widersetzung einer verbindlichen Anweisung
•
Anweisung der Informationspflicht gegenüber Kunden oder der Öffentlichkeit nicht nachgekommen
31
MANN+HUMMEL
NIS2
06. Juli 2023
Weitere neue Aufgaben des BSI
•
Das BSI darf zukünftig zur Detektion von Sicherheitsrisiken
Maßnahmen an den öffentlich erreichbaren Schnittstellen
durchführen. Bisher war dies auf bloße Portscans beschränkt und
die Annahme eines ungeschützten Systems war die Voraussetzung.
Wird eine Schwachstelle erkannt, sind die für das IT-System
Verantwortlichen unverzüglich darüber zu informieren.
•
Das BSI ist der nationale Koordinator für koordinierte Offenlegung
von Schwachstellen.
•
Eine von ENISA gepflegte europäische Schwachstellenbank wird
für Transparenz und Unabhängigkeit der EU sorgen
•
Das BSI ermöglicht den Informationsaustausch zwischen den
Einrichtungen, Bundesverwaltung sowie deren Dienstleistern und
Lieferanten zu Cyberbedrohungen, Schwachstellen, IoC und
Cybersicherheitswarnungen.
32
MANN+HUMMEL
NIS2
06. Juli 2023
Related documents
Plakat 16
Plakat 16
98ad5a60a4f93f27591be8281775b683a7e17440-2
98ad5a60a4f93f27591be8281775b683a7e17440-2
Studienbescheinigung 11161210 (1)
Studienbescheinigung 11161210 (1)
invoice
invoice
Journal List New
Journal List New
рк
рк
informationsblatt zu den inflationsausgleichszahlungen fuer besoldungsempfaenger
informationsblatt zu den inflationsausgleichszahlungen fuer besoldungsempfaenger
Download
advertisement