Zum Inhalt springen

TISAX® Dokumentation (Handbuch) für KMUs und NIS2 Anforderungen | Blog

Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Informationsmanagementsysteme » NIS2-Umsetzungsgesetz

NIS2-Umsetzungsgesetz

Nachhaltigkeit SAQ 5.0

Bei Buchung von SAQ 5.0 Assessment Questionaire - erhalten Sie Rabatt auf unser Hinweisgebersystem

Gegenüberstellung zu ISO 27001:2022

ISO 27001:2022 ist ein international anerkannter Standard für Informationssicherheitsmanagementsysteme (ISMS). Eine Gegenüberstellung zeigt sowohl Gemeinsamkeiten als auch Unterschiede zu den Anforderungen der NIS2-Richtlinie:

KriteriumNIS2-RichtlinieISO 27001:2022
ZielsetzungHohe Cybersicherheit in der EUSchutz von Informationswerten durch ISMS
VerpflichtungGesetzlich für wesentliche DiensteFreiwillig, aber oft Vertragsbedingung
RisikomanagementPflicht für spezifische SektorenZentraler Bestandteil des ISMS
BerichtspflichtenDetaillierte Vorfallberichte erforderlichNicht spezifisch vorgeschrieben, aber empfohlen
Nationale BehördenPflicht zur EinrichtungKeine spezifische Anforderung
InformationsaustauschVerpflichtend zwischen MitgliedstaatenEmpfohlen innerhalb der Organisation
Audits und ZertifizierungenRegelmäßige Überprüfungen und Zertifikate möglichExterne Audits für Zertifizierung notwendig
Umfang der AnforderungenWesentliche und wichtige DiensteOrganisationen jeglicher Art und Größe
Alles aus einer Hand - Beratung und Umsetzung

Beratung ISO 27001

Sie benötigen Hilfe bei der Implementierung der TISAX® Anforderungen und/oder zur ISO 27001:2022? Kontaktieren Sie uns für ein unverbindliches Angebot. Gerne vermitteln wir eine akkreditierte Zertifizierungsstelle zur Durchführung der Zertifizierung.

Wichtige Anforderungen NIS2-Richtlinie

Für deutsche Unternehmen sind im Bezug auf die NIS2-Richtlinie folgende Punkte besonders wichtig:

  • Compliance und Rechtssicherheit: Sicherstellen, dass alle gesetzlichen Anforderungen der NIS2 rechtzeitig umgesetzt werden, um Strafen zu vermeiden.
  • Risikomanagement: Etablierung eines robusten Risikomanagementsystems zur Identifizierung und Behandlung von IT- und Netzwerksicherheitsrisiken.
  • Meldepflichten: Implementierung eines effizienten Prozesses zur Meldung von Sicherheitsvorfällen innerhalb der vorgeschriebenen Fristen.
  • Technische Maßnahmen: Einführung moderner Sicherheitslösungen wie EDR (Endpoint Detection and Response), Firewalls, Verschlüsselung und Multi-Faktor-Authentifizierung.
  • Schulungen und Sensibilisierung: Regelmäßige Schulungen für Mitarbeiter zur Steigerung des Sicherheitsbewusstseins und zur Minimierung menschlicher Fehler.
  • Lieferkettensicherheit: Sicherstellen, dass auch Lieferanten und Dienstleister den Sicherheitsanforderungen entsprechen.
  • Dokumentation und Nachweis: Führen einer umfassenden Dokumentation aller Sicherheitsmaßnahmen und Risikobewertungen sowie Bereitstellung von Nachweisen gegenüber den Aufsichtsbehörden.
  • Business Continuity Management (BCM): Entwicklung von Notfall- und Wiederherstellungsplänen, um die Geschäftskontinuität im Falle eines Cybervorfalls zu gewährleisten.

Anforderungen NIS2UmsuCG

NIS2UmsuCGAnforderungenKRITISISO 27001TISAX-Richtlinien
§30 (1) Satz 1Die Maßnahmen sollen dem Stand der Technik entsprechen, relevante europäische und internationale Normen berücksichtigen und auf einem gefahrenübergreifenden Ansatz basieren. Sie müssen mindestens folgende Punkte umfassen:BSI-3, BSI-154.3, A.5.4, A.5.29, A.5.30RL-ISMS-01, RL-ISMS-01.3, RL-ISMS-02.0
§30 (1) Satz 3Konzepte zur Risikoanalyse und IT-Sicherheit: Entwicklung und Implementierung von Konzepten zur Analyse und Bewertung von Risiken sowie zur Sicherstellung der IT-SicherheitBSI-166.1.3, 8.3, A.5.31RL-ISMS-01.2, RL-ISMS-06.0, RL-ISMS-07.0
§30 (2) Satz 1Maßnahmen nach Absatz 1 sollen den Stand der Technik einhalten, die einschlä-
gigen europäischen und internationalen Normen berücksichtigen und müssen auf einem
gefahrenübergreifenden Ansatz beruhen		BSI-13, BSI-156.1, 8.2, 8.3, A.5.29, A.5.30RL-ISMS-01, RL-ISMS-01.2, RL-ISMS-01.3
§30 (2) Nr. 1Konzepte zur Risikoanalyse und IT-Sicherheit: Entwicklung und Implementierung von Konzepten zur Analyse und Bewertung von Risiken sowie zur Sicherstellung der IT-SicherheitBSI-13, BSI-146.1, 8.2, 8.3RL-ISMS-01.2, RL-ISMS-06.0, RL-ISMS-07.0
§30 (2) Nr. 1Konzepte für IT-Sicherheit (ISMS)BSI-1, BSI-24.1-10.2, A.5.1, A.5.2, A.5.4RL-ISMS-01, RL-ISMS-01.3
§30 (2) Nr. 2Bewältigung von Sicherheitsvorfällen: Maßnahmen und Verfahren zur effektiven Reaktion auf und Bewältigung von Sicherheitsvorfällen.BSI-77, BSI-78, BSI-79, BSI-80A.5.24, A.5.25, A.5.26, A.5.28, A.6.8RL-ISMS-50.0, RL-ISMS-40.2
§30 (2) Nr. 3Aufrechterhaltung des Betriebs: Implementierung von Backup-Management, Wiederherstellung nach Notfällen und Krisenmanagement, um den kontinuierlichen Betrieb sicherzustellenBSI-17, BSI-18A.5.29, A.5.30, A.5.31, A.8.14RL-ISMS-46.0, RL-ISMS-46.1, RL-ISMS-46.2, RL-ISMS-46.3
§30 (2) Nr. 3Aufrechterhaltung des Betriebs: Implementierung von Backup-Management, Wiederherstellung nach Notfällen und Krisenmanagement, um den kontinuierlichen Betrieb sicherzustellenBSI-22, BSI-23, BSI-24A.8.13, A.8.14, A.8.16RL-ISMS-30.0
§30 (2) Nr. 3Wiederherstellung nach Notfällen (DR und IT-SCM)BSI-19A.5.29, A.5.30RL-ISMS-46.1, RL-ISMS-46.3
§30 (2) Nr. 3KrisenmanagementRL-ISMS-46.0, RL-ISMS-46.2, RL-ISMS-46.3
§30 (2) Nr. 4Sicherheit der Lieferkette: Sicherstellung der Sicherheit in der Lieferkette, einschließlich der Berücksichtigung sicherheitsbezogener Aspekte in den Beziehungen zu Anbietern und Dienstleistern.A.5.21RL-ISMS-52.0
§30 (2) Nr. 4BSI-42, BSI-98, BSI-99A.5.19, A.5.20, A.5.21, A.5.22, A.5.23RL-ISMS-52.0, RL-ISMS-53.0
§30 (2) Nr. 5Sicherheitsmaßnahmen bei IT-Erwerb, -Entwicklung und -Wartung: Sicherheitsmaßnahmen für den Erwerb, die Entwicklung und die Wartung von IT-Systemen, Komponenten und Prozessen, einschließlich des Managements und der Offenlegung von SchwachstellenBSI-43A.5.19, A.5.20, A.5.22, A.5.23, A.8.26RL-ISMS-09.0
§30 (2) Nr. 5Sicherheit bei der Entwicklung von ITBSI-43, BSI-44A.8.25, A.8.26, A.8.27, A.8.28, A.8.29, A.8.30RL-ISMS-32.1
§30 (2) Nr. 5Sicherheit bei der Wartung von ITBSI-45, BSI-76A.5.37, A.7.13, A.8.9, A.8.31RL-ISMS-32.0
§30 (2) Nr. 5Management und Offenlegung von SchwachstellenBSI-25, BSI-84, BSI-83, BSI-96A.5.7, A.8.8, A.8.19RL-ISMS-06.0, RL-ISMS-27.0
§30 (2) Nr. 6Bewertung der Wirksamkeit von Risikomanagementmaßnahmen: Konzepte und Verfahren zur regelmäßigen Bewertung der Wirksamkeit von Sicherheits- und Risikomanagementmaßnahmen.BSI-85, BSI-86, BSI-87, BSI-88, BSI-899.1, 9.3, 10.1, 10.2, A.5.35, A.5.36RL-ISMS-06.0
§30 (2) Nr. 7Cyberhygiene und Schulungen: Einführung grundlegender Cyberhygiene-Verfahren und regelmäßige Schulungen im Bereich der IT-Sicherheit.BSI-687.3, A.6.3RL-ISMS-07.0, RL-ISMS-57.0
§30 (2) Nr. 7Schulungen: Regelmäßige Schulungen im Bereich der IT-SicherheitBSI-687.2, A.6.3RL-ISMS-07.0, RL-ISMS-57.0
§30 (2) Nr. 8Kryptografie und Verschlüsselung: Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung zur Sicherung von Daten.BSI-32, BSI-33, BSI-34, BSI-35A8.24RL-ISMS-39.0
§30 (2) Nr. 9Personalsicherheit und Zugriffskontrolle: Maßnahmen zur Sicherung des Personals, Konzepte zur Zugriffskontrolle und Verwaltung von IT-AnlagenBSI-42, BSI-56, BSI-57, BSI-69, BSI-70A.6.1, A.6.2, A.6.4, A.6.5, A.6.6RL-ISMS-59.0, RL-ISMS-60.0
§30 (2) Nr. 9Zugriffskontrolle: Konzepte zur Zugriffskontrolle und Verwaltung von IT-Anlagen.BSI-27, BSI-28, BSI-58, BSI-59, BSI-60, BSI-61A.5.15, A.5.18RL-ISMS-27.0
§30 (2) Nr. 9Management von Anlagen: Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management
von Anlagen		BSI-5, BSI-6, BSI-7, BSI-8, BSI-9, BSI-10, BSI-12A.5.9, A.5.10, A.5.11, A.5.12, A.5.13, A.7.9, A.8.3RL-ISMS-02.0, RL-ISMS-14.0, RL-ISMS-17.0, RL-ISMS-33.0
§30 (2) Nr. 10Multi-Faktor-Authentifizierung und gesicherte Kommunikation: Einsatz von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung sowie gesicherte Kommunikationssysteme (Sprach-, Video- und Textkommunikation) und gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der EinrichtungBSI-26, BSI-27, BSI-64A.5.16, A.5.17, A.8.5RL-ISMS-24.0
§30 (2) Nr. 10Gesicherte Kommunikationssysteme (Sprach-, Video- und Textkommunikation)BSI-33, BSI-36, BSI-41A.8.20, A.8.21, A.8.12RL-ISMS-29.0
§30 (2) Nr. 10Gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der EinrichtungA.8.14RL-ISMS-46.0, RL-ISMS-46.3
§30 (7)InformationsaustauschBSI-97A.5.5RL-ISMS-43.0
§31 (1)Für Betreiber kritischer Anlagen gelten besonders aufwändige Maßnahmen für ihre informationstechnischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit ihrer kritischen Anlagen entscheidend sindBSI-16, BSI-176.1.3, 8.3, A.5.31RL-ISMS-01, RL-ISMS-02.0
§31 (2)Betreiber kritischer Anlagen sind verpflichtet, Systeme zur Angriffserkennung einzusetzen. Diese Systeme müssen in der Lage sein, kontinuierlich und automatisch geeignete Parameter und Merkmale aus dem laufenden Betrieb zu erfassen und auszuwerten.OH SzA, BSI-90, BSI-91, BSI-92, BSI-93, BSI-94vieleRL-ISMS-35.0, RL-ISMS-37.0, RL-ISMS-54.0
§32 (1)Meldeverpflichtungen bei erheblichen Sicherheitsvorfällen zum Zeitpunkt: Unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung eines erheblichen Sicherheitsvorfalls.
Inhalt: Bestätigung oder Aktualisierung der Informationen aus der frühen Erstmeldung. Einschließlich einer ersten Bewertung des Schweregrads und der Auswirkungen des Sicherheitsvorfalls sowie gegebenenfalls die Angabe von Kompromittierungsindikatoren.		BSI-100A.5.24, A.5.31RL-ISMS-01.2, RL-ISMS-06.0, RL-ISMS-07.0
§33 (1)Besonders wichtige Einrichtungen, wichtige Einrichtungen sowie Domain-Name-Registry-Diensteanbieter sind verpflichtet, sich beim Bundesamt zu registrieren. Diese Registrierung muss spätestens drei Monate nach der erstmaligen oder erneuten Anerkennung als eine der genannten Einrichtungen oder nach dem Beginn der Domain-Name-Registry-Dienstleistungen erfolgenA.5.5RL-ISMS-01.2
§33 (2)Besondere Registrierungspflicht für bestimmte EinrichtungsartenBSI-100A.5.5RL-ISMS-01.2, RL-ISMS-40.0
§34 (1)Gilt für einschlägiger Sektor, Branche und Einrichtungsart wie in Anlage 1 bestimmtA.5.5RL-ISMS-01.2
§35 (1)Unterrichtung der Kunden: Im Fall eines erheblichen Sicherheitsvorfalls kann das Bundesamt besonders wichtige Einrichtungen und wichtige Einrichtungen anweisen, die Empfänger ihrer Dienste unverzüglich über den Vorfall zu unterrichten, wenn dieser die Erbringung des jeweiligen Dienstes beeinträchtigen könnteA.5.26, A.5.31RL-ISMS-31.0
§35 (2)Einrichtungen aus den Sektoren Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Verwaltung von IKT-Diensten und digitale Dienste müssen bei einer erheblichen Cyberbedrohung unverzüglich alle Maßnahmen oder Abhilfemaßnahmen an die potenziell betroffenen Empfänger ihrer Dienste und das Bundesamt mitteilenA.5.31RL-ISMS-31.0
§38 (1)Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen beson-
ders wichtiger Einrichtungen und wichtiger Einrichtungen		BSI-175.1, A.5.31RL-ISMS-40.0
§38 (3)Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, regelmäßig an Schulungen teilzunehmen. Diese Schulungen sollen sicherstellen, dass die Geschäftsleitungen über ausreichende Kenntnisse und Fähigkeiten verfügenBSI-687.2, A.5.31RL-ISMS-07.0, RL-ISMS-57.0

Weitere Informationen finden Sie unter: NIS 2 Directive | NIS2-Info | EUR-Lex

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB Integrations Modell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität | Lead Auditor ISO 14001 u. ISO 45001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

Cookie Consent mit Real Cookie Banner