NIS2 Schnellstart-Anleitung

A. Im Anwendungsbereich: NIS2-Einrichtungen

B. In der Lieferkette einer NIS2-Einrichnug

Das NIS2-Einrichtungen die Cybersicherheit ihrer Lieferkette verwalten müssen, können sie von Ihrer Organisation verlangen, Cybersicherheitsmaßnahmen zu ergreifen: Das Zentrum für Cybersicherheit Belgien empfiehlt, diejenigen zu identifizieren, die für Ihre Cybersicherheit von entscheidender Bedeutung sind und sie aufzufordern mindestens das Sicherheitsniveau CyberFundamentals Basic umzusetzen.

Alle NIS2-Einrichtungen müssen sich bei Safeonweb@Work registrieren:

• Einrichtungen in den digitalen Bereichen des Gesetzes müssen sich vor dem 18. Dezember 2024 registrieren.
• Alle anderen NIS2-Einrichtungen müssen sich bis spätestens dem 18. März 2025 registrieren lassen.

Ab dem 18. Oktober 2024 sind alle NIS2-Einrichtungen verpflichtet, dem ZCB erhebliche Sicherheitsvorfälle zu melden, d. h. alle Vorfälle, die erhebliche Auswirkungen auf die Erbringung ihrer Dienstleistungen haben und die:

• eine schwerwiegende operationelle Störung der Dienste oder einen finanziellen Verlust für die betreffende Einrichtung verursacht hat oder verursachen kann;
• andere natürliche oder juristische Personen durch die Verursachung eines erheblichen materiellen oder immateriellen Schadens beeinträchtigt hat oder beeinträchtigen kann.

Erhebliche Sicherheitsvorfälle können dem ZCB über seine Plattform zur Meldung von Sicherheitsvorfällen gemeldet werden (Demnächst verfügbar), oder per Telefon an +32 (0)2 501 05 60 (nur für Notfälle von NIS Einrichtungen).

Mit unserem CyFun®-Auswahltool können Sie die für Ihr Unternehmen geeignete Sicherheitsstufe (Basic, Important oder Essential) bestimmen.

Vorstände und Führungskräfte müssen im Bereich der Cybersicherheit geschult werden, um ihrer Verantwortung und Haftung gemäß den NIS2-Vorschriften gerecht zu werden. Um auf Vorstandsebene Managemententscheidungen über Cybersicherheitsstrategien und -maßnahmen treffen zu können, sind Grundkenntnisse über Risikomanagement und Cybersicherheit unerlässlich. Es wäre sinnvoll, die Schulung der Führungskräfte vor April 2025 zu planen. 

Neben der Schulung des Managements ist auch die Schulung der Mitarbeiter immer ein Teil Ihrer Cybersicherheitsmaßnahmen.

NIS2-Einrichtungen können das CyFun®-Framework in 3 Schritten nutzen, um NIS2-konform zu werden:

1. Durchführung einer Lückenanalyse mit dem CyFun® Self-Assessment Tool.
2. Umsetzung der erforderlichen Maßnahmen. Ihr Umsetzungsplan sieht die schrittweise Umsetzung von Cybersicherheitsmaßnahmen vor, wobei die in Schritt 7 genannten Überprüfungsfristen berücksichtigt werden. 
3. Aktualisieren Sie Ihre Selbsteinschätzung und sammeln Sie die erforderlichen Nachweise zur Bestätigung der Umsetzung

Wesentliche Einrichtungen müssen ihre Umsetzung regelmäßig durch eine dritte Partei bewerten und überprüfen lassen. Dies kann durch eine CyFun®-Zertifizierung geschehen, die von einer akkreditierten und autorisierten Konformitätsbewertungsstelle (CAB) erteilt wird. Wesentliche Einrichtungen müssen bis zum 18.04.2026 das Sicherheitsniveau "Basic" oder "Important" erreichen, das endgültige Niveau muss bis zum 18.04.2027 zertifiziert werden.

Wichtige Einrichtungen können sich im Rahmen von CyFun® der gleichen regelmäßigen Konformitätsbewertung unterziehen, die ihnen eine Konformitätsvermutung verleiht. 

Bitte beachten Sie, dass das Vorhandensein des entsprechenden CyFun®-Labels oder -Zertifikats für den Vorstand und das Management sehr wichtig sein kann, um im Falle eines Sicherheitsvorfalls die Einhaltung der Vorschriften nachweisen zu können.

Liste der zugelassenen und akkreditierten Konformitätsbewertungsstellen: (in Kürze).