Optimale Vorbereitung auf die NIS/2-Richtlinie
Die NIS/2-Richtlinie (Network and Information Security) ist die überarbeitete Version der ursprünglichen NIS-Richtlinie, die im Jahr 2016 von der Europäischen Union verabschiedet wurde. Hier sind einige der wichtigsten Punkte der NIS/2-Richtlinie:
- Erweiterter Anwendungsbereich: NIS/2 umfasst nun mehr Sektoren und Unternehmen, die als kritisch eingestuft werden, wie z. B. Gesundheitswesen, Energie, Verkehr und Finanzdienstleistungen.
- Strengere Sicherheitsanforderungen: Unternehmen müssen stärkere Sicherheitsmaßnahmen implementieren, einschließlich Risikomanagement, Vorfallmeldung und kontinuierlicher Überwachung.
- Schutz personenbezogener Daten: Die Richtlinie legt großen Wert auf den Schutz personenbezogener Daten und die Einhaltung der Datenschutz-Grundverordnung (DSGVO).
Anwendungsbereich NIS/2 und DORA
NIS/2 deckt eine breite Palette von Sektoren ab, die als kritisch für die Sicherheit und Stabilität der EU betrachtet werden, wie Energie, Verkehr, Gesundheitswesen und digitale Infrastruktur.
DORA konzentriert sich speziell auf den Finanzsektor und zielt darauf ab, die Betriebsstabilität digitaler Systeme in Finanzinstituten zu verbessern. Die NIS/2-Richtlinie legt eine Reihe von Sicherheitsanforderungen fest, die Unternehmen und Organisationen in der IT einhalten müssen, um ein hohes Maß an Cybersicherheit zu gewährleisten.
Hier sind einige der wichtigsten Richtlinien:
- Risikomanagement: Unternehmen müssen ein umfassendes Risikomanagementsystem implementieren, um potenzielle Bedrohungen und Schwachstellen zu identifizieren und zu bewältigen.
- Sicherheitsmaßnahmen: Es müssen geeignete technische und organisatorische Maßnahmen ergriffen werden, um die Sicherheit von Netz- und Informationssystemen zu gewährleisten. Dazu gehören unter anderem Firewalls, Verschlüsselung und Zugangs-kontrollen.
- Kontinuierliche Überwachung: Die IT-Systeme müssen kontinuierlich überwacht werden, um verdächtige Aktivitäten und potenzielle Sicherheitsvorfälle frühzeitig zu erkennen.
- Schulung und Sensibilisierung: Mitarbeiter müssen regelmäßig geschult und für die Bedeutung der Cybersicherheit sensibilisiert werden. Dies trägt dazu bei, menschliche Fehler zu minimieren und das Sicherheitsbewusstsein zu stärken.
Strafen bei Nichteinhaltung der Richtlinie
Bei Nichteinhaltung der NIS/2-Richtlinie drohen erhebliche Strafen. Die Sanktionen können je nach Schwere des Verstoßes und der Art der betroffenen Einrichtung variieren. Hier sind einige der möglichen Strafen:
- Bußgelder: Für besonders wichtige Einrichtungen können Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen können Bußgelder bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher Betrag höher ist.
- Haftung der Geschäftsleitung: Die NIS/2-Richtlinie sieht vor, dass Mitglieder der Unternehmensleitung persönlich haftbar gemacht werden können, wenn sie ihren Cybersicherheitsverpflichtungen nicht nachkommen.
PROFI Security Workshop NIS/2 und DORA für IBM i
Um all diesen regulatorischen Vorgaben gerecht werden zu können, unterstützen wir Sie gerne bei der Durchführung eines mehrstufigen Aktionsplans:
- Analyse des Systems anhand eines Software-Tools, das bereits erfolgreich im Großbanken-Umfeld im Einsatz ist und sämtliche Vorgaben der Richtlinien abdeckt. Das Tool analysiert durch ca. 1.300 SQL-Abfragen sämtliche sicherheitsrelevanten Werte des IBM i Betriebssystems und gibt detaillierte Reports mit Handlungs-empfehlungen aus.
- Erarbeitung einer Vorgehensweise zum Schliessen der Sicherheitslücken und Umsetzen der Empfehlungen aus dem Scan
- Unterstützung bei der Änderung der sicherheitsrelevanten Einstellungen im IBM i Betriebssystem
- Schulung der Mitarbeiter in sicherheitsrelevanten Themen
