{"id":7592,"date":"2025-05-20T21:08:37","date_gmt":"2025-05-20T21:08:37","guid":{"rendered":"https:\/\/fuentis.com\/?p=7592"},"modified":"2025-05-20T21:25:46","modified_gmt":"2025-05-20T21:25:46","slug":"nis2-richtlinie-umsetzung-der-artikel-21-und-23","status":"publish","type":"post","link":"https:\/\/fuentis.com\/en\/nis2-richtlinie-umsetzung-der-artikel-21-und-23\/","title":{"rendered":"NIS2-Richtlinie: Umsetzung der Artikel 21 und 23"},"content":{"rendered":"
\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

NIS2-Richtlinie: Umsetzung der Artikel 21 und 23<\/b><\/h1>

\"Was<\/p>

Was sind die Artikel 21 und 23 der NIS2?<\/h2>

The NIS2-Richtlinie<\/a> ist ein zentrales Element der europ\u00e4ischen Cybersicherheitsstrategie und betrifft seit ihrem Inkrafttreten deutlich mehr Unternehmen als ihr Vorg\u00e4nger. Sie verpflichtet sogenannte \u201ewesentliche\u201c und \u201ewichtige\u201c Einrichtungen dazu, angemessene Ma\u00dfnahmen zur Gew\u00e4hrleistung ihrer IT-Sicherheit umzusetzen \u2013 und das verbindlich.<\/p>

Besonders relevant sind die Artikel 21 und 23 der Richtlinie: W\u00e4hrend Artikel 21 konkrete Sicherheitsanforderungen definiert, regelt Artikel 23 die Meldepflicht bei Sicherheitsvorf\u00e4llen. Beide Artikel stellen Unternehmen vor die Herausforderung, nicht nur technische, sondern auch organisatorische Vorkehrungen zu treffen \u2013 in vielen F\u00e4llen unter Einhaltung enger Fristen.<\/p>

Artikel 21: Sicherheitsanforderungen im Detail<\/b><\/h3>

Artikel 21 der NIS2-Richtlinie bildet das Herzst\u00fcck der Sicherheitsanforderungen. Er verpflichtet Unternehmen dazu, geeignete technische und organisatorische Ma\u00dfnahmen zu ergreifen, um Risiken f\u00fcr die Sicherheit ihrer Netz- und Informationssysteme wirksam zu erkennen, zu verhindern und zu minimieren. Diese Ma\u00dfnahmen m\u00fcssen dem Stand der Technik entsprechen und im Verh\u00e4ltnis zu den tats\u00e4chlichen Risiken stehen.<\/p>

Im folgenden ist eine kurze Zusammenfassung des Artikel 21 und die darin stehenden Punkte:<\/p>

Risikomanagement und Sicherheitsrichtlinien<\/b><\/h4>

Unternehmen m\u00fcssen strukturierte Verfahren einf\u00fchren, um Risiken f\u00fcr ihre IT-Systeme systematisch zu identifizieren und zu bewerten. Darauf aufbauend sollen Sicherheitsrichtlinien definiert und regelm\u00e4\u00dfig \u00fcberpr\u00fcft werden.<\/p>

Vorfallmanagement<\/b><\/h4>

Es sind Prozesse zur Erkennung, Analyse, Behandlung und Nachverfolgung von Sicherheitsvorf\u00e4llen zu etablieren. Ziel ist es, Auswirkungen zu begrenzen und aus Vorf\u00e4llen zu lernen.<\/p>

Gesch\u00e4ftskontinuit\u00e4t und Krisenmanagement<\/b><\/h4>

Unternehmen m\u00fcssen sicherstellen, dass bei St\u00f6rungen kritischer Systeme ein Notbetrieb m\u00f6glich ist. Dazu geh\u00f6ren unter anderem Backup-Strategien, Notfallpl\u00e4ne und Wiederanlaufverfahren.<\/p>

Sicherheit in der Systementwicklung und -wartung<\/b><\/h4>

Sicherheitsaspekte m\u00fcssen \u00fcber den gesamten Lebenszyklus von IT-Systemen ber\u00fccksichtigt werden \u2013 vom Design \u00fcber die Entwicklung bis hin zu Wartung und Updates.<\/p>

Wirksamkeitsbewertung von Sicherheitsma\u00dfnahmen<\/b><\/h4>

Alle Ma\u00dfnahmen sollen regelm\u00e4\u00dfig evaluiert und bei Bedarf angepasst werden. Dies kann durch interne Audits, externe Pr\u00fcfungen oder technische Tests erfolgen.<\/p>

Cyberhygiene und Schulungen<\/b><\/h4>

Alle Mitarbeitenden m\u00fcssen regelm\u00e4\u00dfig geschult werden, um ein grundlegendes Sicherheitsbewusstsein im Unternehmen zu verankern. Auch einfache Ma\u00dfnahmen wie sichere Passw\u00f6rter oder Sensibilisierung f\u00fcr Phishing spielen hier eine Rolle.<\/p>

Kryptografie und Verschl\u00fcsselung<\/b><\/h4>

Schutz sensibler Daten durch den Einsatz von Verschl\u00fcsselungstechnologien wird ausdr\u00fccklich empfohlen \u2013 insbesondere bei der \u00dcbertragung und Speicherung von Informationen.<\/p>

Zugriffsmanagement und Personalsicherheit<\/b><\/h4>

Nur befugte Personen d\u00fcrfen Zugriff auf sensible Systeme erhalten. Dazu z\u00e4hlen auch Hintergrund\u00fcberpr\u00fcfungen und klare Regelungen bei Rollenwechseln oder dem Ausscheiden von Mitarbeitenden.<\/p>

Authentifizierungs- und Kommunikationssicherheit<\/b><\/h4>

Artikel 21 fordert den Einsatz moderner Authentifizierungsmechanismen, wie z.\u202fB. Multi-Faktor-Authentifizierung, sowie sichere Kommunikationsprotokolle.<\/p>

Artikel 23: Meldepflichten bei Sicherheitsvorf\u00e4llen<\/b><\/h3>

Neben pr\u00e4ventiven Sicherheitsma\u00dfnahmen legt die NIS2-Richtlinie auch besonderen Wert auf ein effektives Reaktionsmanagement. Artikel 23 verpflichtet Unternehmen dazu, erhebliche Sicherheitsvorf\u00e4lle an die zust\u00e4ndigen Beh\u00f6rden zu melden \u2013 schnell, strukturiert und nachvollziehbar.<\/p>

Wann muss gemeldet werden?<\/b><\/h4>

Meldepflichtig ist jeder Vorfall, der erhebliche Auswirkungen auf die Erbringung der betroffenen Dienste hat. Dazu z\u00e4hlen zum Beispiel:<\/p>