NIS2-Richtlinie
Umsetzung der EU NIS2-Anforderungen und Controls in Kopexa
Die NIS2-Richtlinie (EU 2022/2555) verschärft die Anforderungen an Cybersicherheit für Unternehmen aus kritischen und wichtigen Sektoren in der EU.
Sie löst NIS1 ab und muss bis Oktober 2024 in nationales Recht umgesetzt werden.
Wer ist betroffen?
- Betroffene Sektoren: Energie, Transport, Gesundheit, Digitalanbieter, öffentliche Verwaltung, u.v.m.
- Kategorien:
- Essential Entities (kritisch, >250 MA oder Umsatz >50 Mio €)
- Important Entities (wichtig, KMU bestimmter Sektoren)
- Pflichten: Risiko-Management, technische/organisatorische Sicherheitsmaßnahmen, Meldepflichten.
- Fristen:
- Umsetzung in nationales Recht: 17.10.2024
- Erstes Compliance-Audit: je nach Land 2025/26
Kernanforderungen von NIS2
NIS2 definiert 10 Themenfelder (Art. 21 NIS2). Die wichtigsten:
- Governance & Policies
- Risikomanagement & Security Measures
- Incident Response & Reporting (Meldung binnen 24h/72h)
- Business Continuity & DRP
- Supply-Chain Security
- Zugriffsmanagement & MFA
- Schulung & Awareness
- Logging, Monitoring & Audits
- Kryptografie & Verschlüsselung
- Kontinuierliche Verbesserung (PDCA)
Mapping NIS2 → Kopexa
| NIS2-Anforderung | Kopexa-Modul/Funktion |
|---|---|
| Sicherheitsrichtlinien & Management-Zuständigkeit | Dokumente (Policies) + Review-Zyklus + Owner |
| Risikoanalyse & Behandlung | Risiko-Modul + Risiko-Matrix + Controls + Work Items |
| Incident Handling (24h/72h Meldung) | Incident-Module + Vorfallsregister (Work Items) |
| BC/DR-Plan & Backup | Dokument + Work Items + Controls (Backup-Test) |
| Lieferkettensicherheit | Vendor-Assets + Risikobewertung + Nachweise |
| Zugriffsmanagement & MFA | Asset-Modul + Access-Policy + MFA-Control |
| Awareness & Schulungen | Dokument (Policy) + Trainings-Modul + Evidenz |
| Kontinuierliche Überwachung | Audit-Work Items + Control-Reviews + Reports |
Policy-Lifecycle (Mermaid Diagramm)
PDCA-Zyklus für NIS2
- Plan: Policies, Risikoanalyse, Controls planen
- Do: Maßnahmen implementieren
- Check: Monitoring, Audits, Tests
- Act: Anpassung & Verbesserung
Praktische Umsetzung mit Kopexa (Beispiele)
Sicherheitsrichtlinien
- Erfasse InfoSec-Policy als Dokument
- Owner: CISO, Review jährlich
- Verknüpfe mit Assets (z. B. Cloud-Plattform) und Controls (z. B. Zugriffskontrolle)
Risikomanagement
- Risiken ins Modul eintragen
- Bewertungs-Skalen (Impact × Likelihood)
- Maßnahmen als Work Items, z. B. „MFA einführen“
Incident Response
- IR-Plan als Dokument
- Meldungspflicht 24h: Work Item „Incident gemeldet“
- Evidenz: Incident-Report PDF
Lieferkettensicherheit
- Vendor Assets anlegen (AWS, MS Azure)
- Nachweise (ISO-Zertifikat) hochladen
- Jährliche Vendor-Review Work Items
Checkliste: NIS2-Pflichtdokumente
- Informationssicherheitsleitlinie
- Risikoanalyse-Prozess
- Incident-Response-Plan
- BC/DR-Plan
- Awareness- & Schulungsrichtlinie
- Access-Control-Policy
- Vendor-Security-Policy
- Audit-/Review-Protokolle
Alle als Dokumente + verknüpfte Evidenzen in Kopexa abbilden.
Audit & Nachweispflichten
- Meldepflicht: 24h Frühwarnung, 72h Meldung mit Details
- Dokumentation: alle Policies, Tests, Incidents
- Aufbewahrung: Audit-Logs & Nachweise revisionssicher
Kopexa bietet hierfür:
- Versionierung aller Dokumente
- Audit-Trail (Wer hat was wann geändert)
- Reports für Audits (Export als PDF)
Weiterführende Links
Hinweis: NIS2-Controls sind in Kopexa bereits als Framework verfügbar.
Du kannst sie aktivieren und mit bestehenden Prozessen mappen.