Programm NIS-2-Congress

Kent Andersson | CEO | ausecus GmbH

Die NIS-2-Richtlinie wirft zahlreiche Fragen hinsichtlich der gesetzlichen Verpflichtungen auf, die Unternehmen und Organisationen betreffen. In Bezug auf den Umfang der Betroffenheit erstreckt sich die NIS-2 auf verschiedene Akteure im digitalen Ökosystem, darunter Betreiber wesentlicher Dienste und digitale Dienstleister. Die Sektoren und Branchen, die von dieser Richtlinie erfasst werden, sind in klaren Definitionen festgelegt und umfassen Bereiche wie Energie, Verkehr, Banken und Finanzwesen sowie digitale Infrastrukturen. Die damit verbundenen Pflichten umfassen die Einhaltung bestimmter Sicherheitsanforderungen, die Implementierung von Risikomanagementverfahren und die Meldung von Sicherheitsvorfällen. Unternehmen müssen nachweisen, dass sie angemessene Sicherheitsmaßnahmen ergriffen haben, um Bedrohungen zu erkennen, ihnen entgegenzuwirken und ihre Auswirkungen zu begrenzen.

Benjamin Kahler | Teamleiter GRC/IT-Security | IT4IPM GmbH

Um den Aufwand und die Struktur der Umsetzung der NIS-2-Richtlinie sinnvoll zu planen, stellt eine GAP-Analyse einen idealen Startpunkt dar. Hierbei wird der IST-Stand mit dem SOLL-Stand verglichen. Im Rahmen der GAP-Analyse werden relevante Prozesse, Systeme und Werte identifiziert und erste mögliche Maßnahmen zur Verbesserung festgelegt. Auch der Geltungsbereich der Maßnahmen zeichnet sich nach einer GAP-Analyse ab. Das Ergebnis ist ein effizienter Start mit klarer Struktur. Im Rahmen des Vortrags besprechen wir das Vorgehen von Anfang bis Ende, einschließlich der nötigen Voraussetzungen wie den Kompetenzen der Analysierenden und den einzuplanenden Ressourcen.

Wolfgang A. Schmid | Datenschutzexperte, Fachanwalt IT-Recht, Gründer und Partner | SFRP Rechtsanwälte

Die Haftung im Rahmen der NIS-2-Richtlinie wirft für Geschäftsleiter eine Vielzahl von Fragen auf, von der Nachweisführung bis hin zur potenziellen Geschäftsleiterhaftung. Geschäftsleiter sind mit Billigungs-, Überwachungs- und Schulungspflichten konfrontiert, die sicherstellen sollen, dass angemessene Sicherheitsvorkehrungen getroffen werden, um die Anforderungen der NIS-2 zu erfüllen. Es ist entscheidend, die Fristen für die Umsetzung der NIS-2-Pflichten im Auge zu behalten, um potenzielle Sanktionen zu vermeiden. Zur Reduzierung der Haftungsrisiken können Geschäftsleiter in Betracht ziehen, bestimmte Aufgaben zu delegieren oder eine Directors-and-Officers-Versicherung (D&O-Versicherung) abzuschließen. Sanktionsvorschriften und Bußgeldrahmen können erhebliche finanzielle Auswirkungen haben, daher ist es wichtig, die gesetzlichen Anforderungen genau zu kennen und zu erfüllen. Neue Rechtsverordnungen wie die 5. BSI-KRITIS-Verordnung können zusätzliche Anforderungen und Verpflichtungen mit sich bringen, die zu berücksichtigen sind. Aufsichts- und Durchsetzungsmaßnahmen sowie Unterrichtungspflichten können die Haftungsrisiken weiter erhöhen, daher ist eine sorgfältige Einhaltung der rechtlichen Vorgaben und eine umfassende Risikobewertung von entscheidender Bedeutung, um potenzielle Haftungsrisiken zu minimieren.

Götz Weinmann | Senior Business Development Manager | Orange Cyberdefense

In Artikel 21 der NIS-2-Richtlinie werden Anforderungen an geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen betroffener Organisationen formuliert. Zwar sind diese insgesamt 10 Maßnahmen eher grob beschrieben (z.B. „Bewältigung von Sicherheitsvorfällen“), es fällt jedoch auf, dass das Thema „Supply Chain“ einen wichtigen Stellenwert einnimmt, denn 2 von 10 Maßnahmen beziehen sich direkt oder indirekt auf dieses Thema.
Warum das Management von Supply Chain Risiken so wichtig ist und wie Organisationen das umsetzen können erklärt Götz Weinmann in diesem Vortrag. 

Dr. Wolfgang Böhmer | Auditor, Fachexperte für IT/Inf.-Sicherheit, Autor

Die Nachweise gemäß der NIS-2-Richtlinie spielen eine entscheidende Rolle bei der Einhaltung der Vorschriften. Dazu gehört die detaillierte Dokumentation der Umsetzung von Risikomanagementmaßnahmen, einschließlich Sicherheitsvorkehrungen und getroffener Maßnahmen. Diese Nachweise können durch interne Sicherheits-Audits, externe Prüfungen oder Zertifizierungen erbracht werden, um die Wirksamkeit und Konformität der Sicherheitsmaßnahmen zu überprüfen. Es ist wichtig zu beachten, dass alle Betreiber kritischer Infrastrukturen dazu verpflichtet sind, Nachweise vorzulegen, und dass die genauen Anforderungen und Zeitpläne je nach nationalen Gesetzen und Vorschriften variieren können. Es ist ratsam, sich frühzeitig über diese Anforderungen zu informieren und sicherzustellen, dass die erforderlichen Nachweise rechtzeitig erbracht werden. Die Vorlage von Nachweisen erfolgt in der Regel gegenüber den zuständigen Behörden oder Aufsichtsorganen und kann je nach Land und Sektor unterschiedlich sein. Eine gründliche Vorbereitung und Planung sind entscheidend, um sicherzustellen, dass die Nachweise vollständig, korrekt und rechtzeitig erbracht werden, um potenzielle Sanktionen zu vermeiden und die Sicherheit kritischer Infrastrukturen zu gewährleisten.