Die NIS 2-Richtlinie legt deutlich fest, dass die oberste Führungsebene einer Organisation für die Einhaltung der Sicherheitsanforderungen gemäß Artikel 21 verantwortlich gemacht werden kann. Demnach hat die Geschäftsführung mindestens folgende Aufgaben im Bereich der Informationssicherheit gemäß NIS 2:
1. Akzeptieren und Bestätigen von Sicherheitsmaßnahmen:
Die Geschäftsführung ist dafür verantwortlich, die Sicherheitsmaßnahmen für die 13 aufgelisteten Themen zu akzeptieren und zu bestätigen, dass sie ausreichend sind, um die Informationssicherheitsrisiken unter Kontrolle zu halten. (Die 13 Themen umfassen Risikomanagement, Vorfalls Management, Protokollierung und Erkennung, Geschäftskontinuität, Sicherheit in der Lieferkette, sichere Systeme, Bewertung von Sicherheitsmaßnahmen, Cyber-Hygiene, Verschlüsselung, Sicherheit der Humanressourcen, Zugangskontrolle, Vermögensverwaltung und Multi-Faktor-Authentifizierung (MFA)).
2. Überwachung und Sicherstellung der Umsetzung:
Es liegt in der Verantwortung der Geschäftsführung, sicherzustellen, dass die festgelegten Sicherheitsmaßnahmen ordnungsgemäß umgesetzt werden.
3. Überwachung der Sicherheitsmaßnahmen in der Lieferkette und Berichterstattung über Vorfälle:
ie Geschäftsführung muss die Sicherheitsmaßnahmen in der Lieferkette überwachen und bei Sicherheitsvorfällen entsprechend berichten.
Darüber hinaus beteiligt sich die oberste Führungsebene in der Regel zumindest durch die Zuweisung von Ressourcen, die Festlegung von Sicherheitszielen und die Demonstration von Engagement für die Informationssicherheit im Allgemeinen.
Anforderungen der NIS2-Richtlinie an Geschäftsführer/CEOs
Die NIS2-Richtlinie legt den Geschäftsführern und CEOs bestimmte Pflichten im Bereich der Cybersicherheit auf:
1. Implementierung und Aufrechterhaltung eines Risikomanagementsystems für Cybersicherheit:
Die Geschäftsführung muss ein systematisches Risikomanagement für Cybersicherheitsrisiken etablieren und kontinuierlich weiterentwickeln.
2. Festlegung und Umsetzung von Cybersicherheitsstrategien und -zielen:
Es ist die Aufgabe der Geschäftsführung, klare Cybersicherheitsstrategien mit definierten Zielen und Vorgaben zu verabschieden.
3. Bereitstellung angemessener Ressourcen für Cybersicherheit:
Die Geschäftsführung muss sicherstellen, dass dem Bereich Cybersicherheit ausreichend finanzielle und personelle Ressourcen zur Verfügung stehen.
4. Sensibilisierung und Schulung der Mitarbeiter:
Es liegt in der Verantwortung der Geschäftsführung, sicherzustellen, dass alle Mitarbeiter des Unternehmens in Fragen der Cybersicherheit geschult und sensibilisiert werden.
5. Benennung eines Cybersicherheitsbeauftragten:
Die Geschäftsführung muss einen Cybersicherheitsbeauftragten benennen, der für die Umsetzung der Cybersicherheitsstrategie im Unternehmen verantwortlich ist.
6. Meldung von Cybersicherheitsvorfällen:
Die Geschäftsführung muss Cybersicherheitsvorfälle unverzüglich an die zuständigen Behörden melden.
7. Zusammenarbeit mit Behörden und anderen Unternehmen:
Die Geschäftsführung muss mit den zuständigen Behörden und anderen Unternehmen im Bereich der Cybersicherheit zusammenarbeiten.
Anforderungen der NIS2-Richtlinie an CISOs/IT-Security-Verantwortliche
Die NIS2-Richtlinie stellt auch Anforderungen an die CISOs und IT-Sicherheitsverantwortlichen:
1. Implementierung von Cybersicherheitsmaßnahmen gemäß den Anforderungen der NIS2-Richtlinie.
2. Überwachung und Reporting von Cybersicherheitsvorfällen.
3. Sicherstellung der Umsetzung von Cybersicherheitsstrategien und -zielen.
4. Bereitstellung von Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter.
5. Zusammenarbeit mit der Geschäftsführung und anderen relevanten Partnern.
Anforderungen der NIS2-Richtlinie an Compliance Manager
Compliance Manager müssen sicherstellen, dass das Unternehmen die Anforderungen der NIS2-Richtlinie erfüllt. Dazu gehören:
1. Genauigkeit der regulatorischen Anforderungen und Dokumentation der ergriffenen Maßnahmen.
2. Überprüfung der Wirksamkeit der umgesetzten Maßnahmen.
3. Durchführung von Schulungen zur Sensibilisierung der Mitarbeiter für die NIS2-Compliance.
4. Einrichtung eines Verfahrens zur Meldung von Cybersicherheitsvorfällen innerhalb von 24 Stunden an die zuständigen Behörden.
Es ist wichtig, dass Geschäftsführer, CISOs, und Compliance Manager die Anforderungen der NIS2-Richtlinie verstehen und entsprechende Maßnahmen zur Einhaltung dieser Anforderungen ergreifen.