Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Kostenlos testen DEMO

Die Netzwerk- und Informationssystem-Verordnung 2018 (NIS-Verordnung)

Startseite Glossar Die Netzwerk- und Informationssystem-Verordnung 2018 (NIS-Verordnung)

Die Network and Information Systems (NIS) Regulations 2018 sind ein Gesetzeswerk des Vereinigten Königreichs, das am 10. Mai 2018 in Kraft trat. Mit diesen Bestimmungen soll ein einheitlich hohes Sicherheitsniveau für Netzwerke und Informationssysteme im gesamten Vereinigten Königreich gewährleistet werden. Die NIS-Verordnungen bringen einen neuen Ansatz zur Verwaltung von Cyberrisiken, wobei der Schwerpunkt auf Systemen liegt, die für die Bereitstellung essenzieller Dienstleistungen und digitaler Dienste unerlässlich sind.

Die Umsetzung und Durchführung der NIS-Bestimmungen obliegt den zuständigen Behörden, den für jeden Sektor spezifischen Regulierungsstellen. Diese Behörden sind damit beauftragt, die Sicherheitsmaßnahmen ihrer jeweiligen Sektoren zu bewerten und bei Bedarf Verbesserungen anzustoßen.

Die Network and Information Systems Regulations 2018 (NIS-Verordnungen)

Was sind die NIS-Verordnungen 2018?

Die NIS-Verordnungen 2018 entstammen der Richtlinie der Europäischen Union über die Sicherheit von Netz- und Informationssystemen, allgemein bekannt als NIS-Richtlinie. Das Vereinigte Königreich, zu dieser Zeit Mitglied der EU, war verpflichtet, die Richtlinie in sein nationales Recht zu integrieren, und hat daraufhin die NIS-Verordnungen 2018 erlassen. Die NIS-2-Richtlinie wurde im Jahr 2020 verabschiedet.

Obwohl das Vereinigte Königreich die EU verlassen hat, gelten die NIS-Verordnungen weiterhin und belegen das anhaltende Bekenntnis zu einem hohen Grad an Cybersicherheit innerhalb des Vereinigten Königreichs.

Die Struktur der NIS-Verordnungen

Die NIS-Verordnungen bestehen aus 35 Verordnungen, die in sechs Teile untergliedert sind:

  • Allgemeines
  • Betreiber Essentieller Dienste
  • Anbieter Digitaler Dienste
  • Zuständige Behörden und Einzelne Ansprechpartner
  • Sanktionen
  • Schlussbestimmungen

Jeder Teil behandelt einen spezifischen Bereich der NIS-Verordnungen und gibt Auskunft über Anforderungen, Rollen und Verantwortlichkeiten, Durchsetzung und Sanktionen bei Nichteinhaltung.

Die NIS-Verordnungen enthalten auch viele Zeitpläne, die weitere Angaben zu Aspekten wie der Identifikation von Betreibern Essentieller Dienste, Verfügungen zur Durchsetzung, Berufungsverfahren und mehr machen.

NIS-Verordnungen 2018 gegenüber der NIS-Richtlinie der EU: Ähnlichkeiten und Unterschiede

Die NIS-Verordnungen und die NIS-Richtlinie der EU verfolgen dieselben Ziele und Prinzipien, nämlich die Verbesserung der Cybersicherheit bei Essentiellen Diensten und Anbietern digitaler Dienste. Allerdings gibt es Unterschiede in Bezug auf Anwendung und Durchsetzung, hauptsächlich aufgrund spezifischer nationaler Gegebenheiten des Vereinigten Königreichs und dem dortigen Risikoprofil.

Darüber hinaus schreibt die NIS-Richtlinie vor, dass die Mitgliedsstaaten eine einzige zuständige Behörde zur Überwachung der Anwendung der Richtlinie benennen. Im Vereinigten Königreich hingegen gibt es unter seinen NIS-Verordnungen mehrere zuständige Behörden, von denen jede für einen spezifischen Sektor verantwortlich ist.

Der Zweck der NIS-Verordnungen

Das primäre Ziel der NIS-Verordnungen besteht darin, ein hohes Maß an Sicherheit von Netzwerk- und Informationssystemen innerhalb des Vereinigten Königreichs zu erreichen. Dies ist von entscheidender Bedeutung, da die Abhängigkeit von Informationssystemen und digitalen Dienstleistungen erheblich zugenommen hat, was sie zu Hauptzielen für Cyber-Bedrohungen macht. Die Umsetzung von strengen Sicherheitsmaßnahmen kann daher das mit diesen Bedrohungen verbundene Risiko erheblich reduzieren.

Die NIS-Verordnungen zielen auch darauf ab, ein Rahmenwerk zur Förderung von Zusammenarbeit und Informationsaustausch zwischen den Mitgliedsstaaten im Falle eines Cyber-Vorfalls zu etablieren. Diese grenzüberschreitende Zusammenarbeit ist wesentlich, um eine robuste und effektive Reaktion auf bedeutende Cyber-Bedrohungen und Angriffe zu gewährleisten.

Was ist der Anwendungsbereich der NIS-Verordnungen?

Die NIS-Verordnungen betreffen zwei Haupttypen von Einheiten:

  • Die Betreiber wesentlicher Dienste (OES)
  • Digitale Diensteanbieter (DSPs)

Die Verordnungen erkennen an, dass die Einzelheiten dessen, was einen OES oder DSP ausmacht, je nach Sektor variieren können. Daher identifiziert die zuständige Behörde die Einheiten innerhalb ihres Sektors, die den in den Verordnungen festgelegten Kriterien entsprechen.

Die Betreiber wesentlicher Dienste (OES) sind Organisationen, die Dienstleistungen erbringen, die für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten unerlässlich sind. Diese Dienstleistungen müssen die Kriterien für eine Bereitstellung erfüllen, die von Netzwerk- und Informationssystemen abhängig ist, einen Einfluss hat, der zu erheblichen Störungen ihrer Bereitstellung führt und eine Situation, in der die Einheit in Großbritannien ansässig ist. Beispiele für OES sind Einheiten in Sektoren wie Energie, Verkehr, Gesundheit, Trinkwasserversorgung und -verteilung sowie digitale Infrastrukturen.

Digitale Diensteanbieter (DSPs) sind Einheiten, die digitale Dienstleistungen eines bestimmten Typs anbieten, nämlich Online-Marktplätze, Suchmaschinen und Cloud Computing-Dienste. DSPs sind verpflichtet, ein hohes Maß an Sicherheit sicherzustellen und die zuständigen Behörden über alle bedeutenden Vorfälle zu informieren. Die Verordnungen räumen den zuständigen Behörden auch die Befugnis ein, Informationen zu erlangen und Anweisungen an DSPs zu erteilen, um ihre Konformität sicherzustellen.

Identifikation der Betreiber wesentlicher Dienste

Die NIS-Verordnungen verlangen von den zuständigen Behörden, die Betreiber wesentlicher Dienste in ihrem Sektor zu identifizieren, basierend auf einer Reihe von Kriterien. Diese Kriterien berücksichtigen Aspekte wie die Art des Dienstes, die potenzielle Auswirkung eines Vorfalls und die Anzahl der betroffenen Benutzer.

Die Identifizierung dieser Betreiber wird ständig überprüft, um sicherzustellen, dass sie weiterhin die Risiken in jedem Sektor widerspiegelt.

Zuständigkeit der NIS-Verordnungen

Die NIS-Verordnungen gelten für OES und DSPs, die ihren Hauptsitz im Vereinigten Königreich haben oder einen Vertreter im Vereinigten Königreich benennen, wenn ihr Hauptsitz außerhalb des Vereinigten Königreichs liegt. Die globale Natur digitaler Dienste und die potenziell weitreichenden Auswirkungen von Cyber-Vorfällen bedeuten jedoch, dass die Verordnungen eine inhärente internationale Dimension haben.

In diesem Zusammenhang bieten die NIS-Verordnungen einen Rahmen für die grenzüberschreitende Koordination der Reaktionen auf bedeutende Cyber-Vorfälle, die Förderung der Zusammenarbeit und den Austausch von Informationen zwischen den Mitgliedstaaten.

Hauptbestimmungen in den NIS-Verordnungen 2018

Die NIS-Verordnungen 2018 zielen darauf ab, die nationalen Cybersicherheitsfähigkeiten zu verbessern, die Zusammenarbeit zwischen den EU-Mitgliedstaaten zu intensivieren und Netzwerk- und Informationssysteme im gesamten Vereinigten Königreich zu sichern. Die Hauptbestimmungen der Verordnungen beinhalten:

Operative und technische Maßnahmen

Die NIS-Verordnungen verlangen von sowohl OES als auch DSPs die Umsetzung angemessener und verhältnismäßiger operativer und technischer Maßnahmen zur Bewältigung der Risiken für ihre Netzwerk- und Informationssysteme. Diese Maßnahmen sollten die Sicherheit, Integrität, Kontinuität und Verfügbarkeit ihrer Dienste gewährleisten.

Hinweise zu den Einzelheiten dieser Maßnahmen werden von den zuständigen Behörden bereitgestellt, um die spezifische Art und die mit jedem Sektor verbundenen Risiken anzupassen, einschließlich Maßnahmen wie Sicherheitsrichtlinien, Schutz vor unbefugtem Zugriff, Verfahren zur Vorfallbehandlung und Geschäftskontinuitätspläne.

Meldepflicht bei Sicherheitsverstößen

Nach den NIS-Verordnungen haben OES und DSPs die Pflicht, jeden Vorfall zu melden, der eine signifikante Auswirkung auf die Kontinuität des ihnen erbrachten wesentlichen Dienstes hat. Vorfälle müssen der relevanten zuständigen Behörde ohne ungebührliche Verzögerung und nicht später als 72 Stunden nach Kenntnis des Vorfalls gemeldet werden.

Die Benachrichtigung sollte eine Beschreibung des Vorfalls, seine Auswirkungen und die ergriffenen oder geplanten Abhilfemaßnahmen enthalten. Ziel ist es, den zuständigen Behörden die Beurteilung der grenzüberschreitenden Auswirkungen zu ermöglichen und eine effektive Reaktion zu koordinieren.

Vorfallmeldemechanismen

Die NIS-Verordnungen verpflichten die zuständigen Behörden zur Einrichtung effektiver Vorfallmeldemechanismen. Diese Mechanismen sollten es OES und DSPs ermöglichen, ihren Meldepflichten für Vorfälle nachzukommen und den Informationsaustausch über Bedrohungen und Vorfälle zu erleichtern.

Diese Mechanismen dienen auch als Instrument, um das Bewusstsein für Cybersicherheitsrisiken zu erhöhen und eine Kultur der Sicherheit und Belastbarkeit unter OES und DSPs zu fördern.

Pflichten zur Risikomanagement

Die NIS-Verordnungen legen OES und DSPs eine Verpflichtung auf, Risikomanagementpraktiken anzunehmen. Diese Praktiken sollten die Identifikation, Bewertung und Behandlung von Risiken für die Netzwerk- und Informationssysteme, die sie in ihren Tätigkeiten nutzen, ermöglichen.

Derartige Praktiken umfassen umfassende Risikobewertungen, die Umsetzung geeigneter Maßnahmen zur Minderung identifizierter Risiken sowie regelmäßige Tests und Bewertungen der Wirksamkeit dieser Maßnahmen.

Strafen bei Nichtbefolgung

Die Nichteinhaltung der NIS-Verordnungen kann zu erheblichen Strafen führen. Die zuständigen Behörden haben das Recht, Durchsetzungs- und Strafbescheide zu erlassen, mit Geldstrafen von bis zu 17 Millionen Pfund für Vorfälle, die eine unmittelbare Bedrohung des Lebens darstellen oder erhebliche negative Auswirkungen auf die britische Wirtschaft haben.

Die Höhe der Geldstrafe wird anhand der Art, Schwere und Dauer der Nichteinhaltung ermittelt, wobei Faktoren wie der verursachte Schaden, die Auswirkungen auf Einzelpersonen und die Gesellschaft insgesamt sowie frühere Verstöße berücksichtigt werden.

Rolle der zuständigen Behörden gemäß den NIS-Vorschriften

Die NIS-Verordnungen sehen vor, dass eine zuständige Behörde mit der Verantwortung betraut ist, die Umsetzung der NIS-Richtlinie innerhalb eines bestimmten Sektors oder Teilsectors zu gewährleisten und zu überwachen.

Bezeichnung und Zuständigkeiten der zuständigen Behörden

Jeder Sektor im Geltungsbereich der NIS-Verordnungen verfügt über eine bezeichnete zuständige Behörde, die für die Implementierung und Durchsetzung der Verordnungen innerhalb dieses Sektors verantwortlich ist.

Zu den Aufgaben der zuständigen Behörden gehört es sicherzustellen, dass OES und DSPs angemessene und verhältnismäßige Sicherheitsmaßnahmen umsetzen, die Wirksamkeit dieser Maßnahmen zu beurteilen und gegebenenfalls die Einhaltung durchzusetzen.

Kompetenzen der zuständigen Behörden gemäß den NIS-Vorschriften

Die zuständigen Behörden verfügen über eine Reihe von Befugnissen unter den NIS-Vorschriften, um die Einhaltung zu gewährleisten. Dazu gehört die Befugnis, Anweisungen an OES und DSPs zur Behebung von Mängeln zu erteilen, Informationen zu verlangen oder Inspektionen durchzuführen und Strafen bei Nichteinhaltung zu verhängen.

Die Ausübung dieser Befugnisse unterliegt Prozessschutzmechanismen, die einen ausgeglichenen Ansatz zwischen der Notwendigkeit einer sicheren Netzwerk- und Informationssystemsteuerung und dem Schutz der Rechte der regulierten Einheiten garantieren.

Interaktionen zwischen den zuständigen Behörden und den regulierten Einheiten

Die NIS-Verordnungen zielen darauf ab, einen kooperativen Ansatz zur Cybersicherheit zwischen den zuständigen Behörden und den regulierten Einheiten zu schaffen. Die zuständigen Behörden stellen Leitlinien und Unterstützung bereit, um den OES und DSPs zu helfen, ihre Pflichten zu verstehen und geeignete Maßnahmen umzusetzen.

Es besteht auch eine Anforderung für einen regelmäßigen Dialog, der einen offenen Austausch von Informationen über Bedrohungen, Vorfälle und bewährte Praktiken fördert.

Einhaltung der NIS-Verordnungen

Im Folgenden sind einige der wichtigsten Einhaltungsanforderungen der NIS-Verordnungen aufgeführt:

Konformitätsaudits gemäß den NIS-Vorschriften

Die NIS-Vorschriften ermächtigen die zuständigen Behörden, Audits durchzuführen, um die Einhaltung zu beurteilen. Diese können Bewertungen der Sicherheitspraktiken, Risikomanagementprozesse, Reaktionsfähigkeiten bei Vorfällen und andere Aspekte ihrer Netzwerk- und Informationssystem-Sicherheit einer Einheit umfassen. Die Ergebnisse dieser Audits können zu Empfehlungen für Verbesserungen führen oder, bei schwerwiegenden Mängeln, zu Durchsetzungsmaßnahmen.

Einhaltung durch Betreiber wesentlicher Dienstleistungen

Die Betreiber wesentlicher Dienstleistungen müssen eine Reihe von Verpflichtungen gemäß den NIS-Vorschriften erfüllen. Dazu gehören die Durchführung angemessener und verhältnismäßiger Sicherheitsmaßnahmen, die Einhaltung von Meldungsanforderungen bei Vorfällen, die Zusammenarbeit mit der zuständigen Behörde und gegebenenfalls die Durchführung von Audits und Inspektionen. Leitlinien und Unterstützung stehen von den zuständigen Behörden zur Verfügung, um OES dabei zu helfen, ihre Verpflichtungen zu verstehen und zu erfüllen.

Einhaltung durch digitale Dienstanbieter

Digitale Dienstanbieter unterliegen ebenfalls den Einhaltungsanforderungen der NIS-Verordnungen. Obwohl sie mehr Flexibilität bei der Auswahl der Sicherheitsmaßnahmen haben, müssen sie einen hohen Sicherheitsstandard für ihre Netzwerk- und Informationssysteme gewährleisten. Dazu gehört die Einhaltung der Meldepflichten bei Vorfällen und die Zusammenarbeit mit der zuständigen Behörde. Wie bei den OES stellen die zuständigen Behörden Leitlinien und Unterstützung bereit, um den DSPs bei der Einhaltung zu helfen.

Best Practices zur Gewährleistung der Einhaltung

Die Gewährleistung der Einhaltung der NIS-Verordnungen erfordert ein umfassendes Verständnis der Verpflichtungen, die Einrichtung wirksamer Sicherheits- und Risikomanagementmaßnahmen, die Förderung einer Kultur der Cybersicherheit innerhalb der Organisation und die Aufrechterhaltung eines regelmäßigen Dialogs mit der zuständigen Behörde.

Die Übernahme von Best Practices, wie zum Beispiel die Ausrichtung an internationalen Standards, regelmäßiges Testen und Aktualisieren von Maßnahmen sowie der Austausch von Informationen mit anderen Einheiten, kann erheblich zur Einhaltung beitragen.

Kiteworks unterstützt Organisationen bei der Einhaltung der NIS-Verordnungen 2018

Die NIS-Verordnungen 2018 gelten für alle Branchen und verlangen von den Organisationen, angemessene und verhältnismäßige Maßnahmen zur Bewältigung der Risiken, die ihre Netzwerk- und Informationssysteme bedrohen, zu ergreifen.

Das Kiteworks réseau de contenu privé (PCN) bietet eine sichere Plattform für die Übertragung und Speicherung sensibler Inhalte und gewährleistet, dass Organisationen die Integrität und Vertraulichkeit ihrer Informationssysteme in Übereinstimmung mit den NIS-Verordnungen aufrechterhalten können.

Kiteworks konsolidiert Kommunikationskanäle von Drittanbietern, darunter Email, Partage sécurisé de fichiers, transfert sécurisé de fichiers (MFT), Web-Formulare und SFTP, und leitet diese durch eine appliance virtuelle durcie, die die Angriffsfläche dieser ansonsten anfälligen Anwendungen verkleinert. Kiteworks schützt die sensiblen Inhalte, die über diese Kanäle geteilt werden, mit einer Vielzahl von Sicherheitsfunktionen, einschließlich sicheren Bereitstellungsoptionen, granularen Zugriffskontrollen, Signatur chiffrement de bout en bout des e-mails, l’authentification multifactorielle, Einblick in alle Dateiaktivitäten und umfassende Auditprotokolle.

Mithilfe dieser und anderer Funktionen können Organisationen die Kontrolle über sensible Inhalte, die die Organisation betreten und verlassen, übernehmen, schützen und nachverfolgen, gemäß zahlreichen staatlichen, nationalen, regionalen und branchenspezifischen Datenschutzbestimmungen wie dem California Consumer Privacy Act (CCPA), der General Data Protection Regulation (RGPD), dem Health Insurance Portability and Accountability Act (HIPAA), dem European Union-U.S. Data Privacy Framework, dem Cyber Essentials Plus, der NIS 2 Richtlinie und vielen, vielen anderen.

Vereinbaren Sie eine individuelle Demo des Kiteworks réseau de contenu privé heute und erfahren Sie, wie es NIS-Daten schützt.

 

Zurück zum Risiko- & Compliance-Glossar

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

See Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN
Teilen
Twittern
Teilen
Get A Demo