Wie die Einhaltung von Artikel 21 der NIS 2 sichergestellt werden kann
Jessica Doering

März 19, 2025

~

3

 Minuten Lesezeit

NIS 2 Artikel 21 - Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit

Auch hier ist es erwähnenswert, dass von der gesamten NIS-2-Richtlinie (45 Artikel) nur drei Artikel für Unternehmen, die die Vorschriften einhalten wollen, relevant sind. Einer von ihnen ist Artikel 21. Darüber hinaus spielen Artikel 20 (Governance) und Artikel 23 (Berichtspflichten) eine wichtige Rolle. In diesem Blogbeitrag geht es um Artikel 21 der NIS 2 - Maßnahmen zum Management von Cybersicherheitsrisiken und wie ISO 27001 diesen Bereich abdeckt.

NIS 2 Artikel 21: Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit

Die Tatsache, dass sich Cyber-Bedrohungen ständig weiterentwickeln, ist nichts Neues. Deshalb hat die Europäische Union neue und strengere Vorschriften (wie die NIS 2 - Richtlinie) für Organisationen eingeführt, die in wichtigen Sektoren tätig sind.

Ein wichtiger Aspekt dieser Richtlinie ist Artikel 21, in dem die Anforderungen an Maßnahmen des Cybersicherheitsrisikomanagements dargelegt werden.

Was ist NIS 2?

Die NIS 2 - Richtlinie (Netz- und Informationssicherheit 2) ist eine Aktualisierung der ursprünglichen NIS - Richtlinie, die deren Anwendungsbereich erweitert und die Anforderungen an die Cybersicherheit verschärft. Die Richtlinie gilt für eine breite Palette von Sektoren, die als kritisch für das Funktionieren der Gesellschaft gelten, darunter Energie, Gesundheitswesen, Finanzen, öffentliche Verwaltung und digitale Infrastruktur. Lesen Sie mehr darüber in diesem Blog.

Artikel 21: Kernanforderungen an das Risikomanagement im Bereich der Cybersicherheit

Artikel 21 der NIS 2 stellt sicher, dass Organisationen einen umfassenden und risikobasierten Ansatz für das Management von Cybersicherheitsrisiken verfolgen. Zu den wichtigsten Anforderungen gehören:

  • Risikobewertung: Unternehmen müssen regelmäßig die mit ihrer IT- und OT-Infrastruktur (Operational Technology) verbundenen Risiken bewerten. Dazu gehört die Ermittlung von Schwachstellen, potenziellen Bedrohungen und der Wahrscheinlichkeit von Cyberangriffen, die die Verfügbarkeit, Integrität und Vertraulichkeit wichtiger Dienste beeinträchtigen könnten.

  • Sicherheitspolitiken und -verfahren: Unternehmen sind verpflichtet, formelle Sicherheitsrichtlinien einzuführen. Diese Richtlinien sollten Bereiche wie Zugangskontrolle, Patch-Management, Netzwerksicherheit, Erkennung von und Reaktion auf Vorfälle abdecken.

  • Sicherheit der Lieferkette: Die Unternehmen müssen auch Maßnahmen zur Sicherung ihrer Lieferketten ergreifen. Dies bedeutet, dass sie die Cybersicherheitslage von Drittanbietern und Partnern bewerten und sicherstellen müssen, dass sie die Mindestsicherheitsstandards erfüllen.

  • Reaktion auf Zwischenfälle und Wiederherstellung: Artikel 21 unterstreicht die Bedeutung eines gut definierten Verfahrens zur Reaktion auf Zwischenfälle. Dazu gehört die Fähigkeit, Vorfälle im Bereich der Cybersicherheit schnell und effektiv zu erkennen, darauf zu reagieren und sich davon zu erholen.

  • Einsatz modernster Technologie: Organisationen werden ermutigt, modernste Technologien und bewährte Verfahren einzusetzen, um ihre Cybersicherheit zu verbessern. Dazu gehört auch der Einsatz fortschrittlicher Tools für die Erkennung, Überwachung und Abwehr von Bedrohungen.

  • Schulung und Sensibilisierung: Ein entscheidender Aspekt des Risikomanagements besteht darin, sicherzustellen, dass die Mitarbeiter sich der Risiken der Cybersicherheit bewusst sind und regelmäßig in den neuesten Sicherheitspraktiken geschult werden. Der Aufbau einer Kultur des Sicherheitsbewusstseins ist entscheidend für die Verringerung menschlicher Fehler, die zu Cyber-Vorfällen führen könnten.

Warum ist Artikel 21 (NIS2) von Bedeutung?

Die Einführung von Artikel 21 ist ein klares Signal, dass es der Europäischen Union ernst ist mit der Verbesserung der Cybersicherheitsstandards in kritischen Sektoren. Durch die obligatorische Umsetzung von Risikomanagementmaßnahmen soll sichergestellt werden, dass Organisationen einen proaktiven Sicherheitsansatz verfolgen, anstatt nur auf Bedrohungen zu reagieren, nachdem diese bereits eingetreten sind. Durch die Konzentration auf Vorbeugung und Schadensbegrenzung zielt die NIS 2 darauf ab, eine widerstandsfähigere und sicherere digitale Infrastruktur in ganz Europa zu schaffen.

Die Nichteinhaltung von Artikel 21 kann schwerwiegende Folgen haben, darunter Geldstrafen, Rufschädigung und sogar die vorübergehende Einstellung des Betriebs. Für Unternehmen geht es bei der Einhaltung der Vorschriften nicht nur darum, Strafen zu vermeiden, sondern auch darum, ihre Geschäftstätigkeit zu schützen und das Vertrauen von Kunden und Interessengruppen zu erhalten.

Mapping von ISO 27001 auf Artikel 21

Organisationen, die bereits nach ISO 27001, der internationalen Norm für das Informationssicherheitsmanagement, zertifiziert sind, sind gut aufgestellt, um die Anforderungen von Artikel 21 zu erfüllen. ISO 27001 bietet einen Rahmen für die Risikobewertung, das Management von Zwischenfällen und die kontinuierliche Verbesserung, der sich eng an die in der NIS 2 dargelegten Risikomanagementmaßnahmen anlehnt.

Die Organisationen sollten jedoch eine Lückenanalyse durchführen, um sicherzustellen, dass alle Aspekte von Artikel 21 abgedeckt sind, insbesondere im Hinblick auf die Sicherheit der Lieferkette und den Einsatz modernster Technologie. 

Wie Secfix hilft

Die Komplexität der NIS 2-Konformität kann eine Herausforderung sein, aber mit den richtigen Tools und der richtigen Unterstützung ist es machbar. Secfix hat sich darauf spezialisiert, Unternehmen bei der Automatisierung ihrer Cybersecurity-Risikomanagementprozesse zu unterstützen und die Einhaltung von Standards wie ISO 27001 und NIS 2 zu gewährleisten. Unsere Plattform erleichtert die Durchführung von Risikobewertungen, die Überwachung von Drittanbietern und die Einhaltung der neuesten Sicherheitsmaßnahmen.

Mit unserer automatisierten Plattform können Unternehmen den Konformitätsprozess vereinfachen, Zeit sparen und das Risiko von kostspieligen Strafen verringern. Wenn Sie sich auf NIS 2 vorbereiten, kann Secfix Ihnen helfen, ein robustes, sicheres und konformes Cybersicherheitssystem zu schaffen.

Vereinbaren Sie einen Beratungstermin mit uns.

Fokus auf den Sicherheitsaufbau mit Compliance im Hintergrund

Secfix verfügt über das größte EU-Auditoren-Netzwerk und minimiert durch seine Plattform Arbeitszeit, Aufwand und Kosten.

Demo buchen

unverbindlich und kostenlos

Andere Artikel

Welches ist das beste Rahmenwerk für die Informationssicherheit in meinem Unternehmen?

Welches Rahmenwerk für die Informationssicherheit benötigt Ihr Unternehmen?

Welche Rahmenwerke gibt es für die Informationssicherheit?

GDPR

ISO 27001

NIS 2

SOC 2

TISAX

Welche Meldepflichten bestehen für Unternehmen im Rahmen der NIS 2?

NIS 2 Artikel 23 - Berichtspflichten

Welche Meldepflichten gibt es in der NIS 2?

NIS 2

Datenschutz

NIS 2 Artikel 20: Governance, Einhaltung der Cybersicherheit und ISO 27001

NIS 2 Artikel 20 - Governance

Was sind die Anforderungen an die NIS 2 - Governance?

ISO 27001

NIS 2

Erklärung der NIS-Richtlinie: Von der NIS-1- zur NIS-2-Konformität

NIS 1 und NIS 2 - Was Sie wissen müssen

NIS 1 vs. NIS 2: Hauptunterschiede und Compliance-Anforderungen

NIS 2

Datenschutz

NIS 2 mit Secfix vereinfachen

Wer muss nach NIS 2 konform sein?

Wer ist von der europäischen NIS 2 - Richtlinie betroffen?

Datenschutz

NIS 2

Secfix Trust Center: Showcase ISO 27001-Zertifizierung und SOC 2-Berichte, mehr Aufträge gewinnen. Lesen Sie mehr.

Einführung des Secfix Trust Centers: Vertrauen aufbauen und Sicherheitsüberprüfungen optimieren

Wir stellen eine neue Funktion vor: Secfix Trust Center. Präsentieren Sie Ihre Sicherheit und schließen Sie Geschäfte schneller ab.

Produktneuheiten

Jessica Doering

Jess ist das Marketinggenie bei Secfix und liebt jeden Hund auf diesem Planeten!

NIS 2

ISO 27001

NIS 2
NIS 2
ISO 27001
ISO 27001