AB'nin NIS2 direktifi, daha önce olduğundan çok daha fazla şirketin siber güvenlik standartlarına uymasını zorunlu kılıyor. Almanya'daki ulusal uygulama (NIS2-UmsuCG) yaklaşık 30.000 şirketi etkiliyor. Etkilenenler genellikle henüz başlamadı. İşte yol haritası.
Kimler etkilendi
NIS2, arasında ayrım yapar temel ve önemli kuruluşlar. Temel kuruluşlar, yüksek kritik öneme sahip sektörlerden (enerji, ulaşım, bankacılık, sağlık, dijital altyapı) büyük şirketlerdir. Önemli kuruluşlar ise bu ve diğer sektörlerden (posta, gıda, kimya, dijital sağlayıcılar) orta ölçekli şirketlerdir.
Eşik değerler:
- Orta ölçekli şirket: 50–249 çalışan veya Yıllık ciro 10–50 milyon €
- Büyük şirket: 250+ çalışan veya Yıllık ciro > 50 milyon €
Yükümlülüklerin genel görünümü
1. Risk yönetimi önlemleri (Madde 21)
- Bilgi sistemlerinin risk analizi ve güvenliği için kavram
- Siber güvenlik olaylarının yönetimi
- İş operasyonlarının sürdürülmesi (BCM)
- Tedarik zinciri güvenliği
- BT sistemlerinin edinimi, geliştirilmesi ve bakımı sırasında güvenlik
- Önlemlerin etkinliğini değerlendirme kavramları
- Şifreleme ve şifreleme kavramları
- Personel güvenliği (farkındalık, erişim kontrolü)
- Çok faktörlü kimlik doğrulama
2. Bildirim yükümlülükleri (Madde 23)
- Erken uyarı: Önemli bir siber güvenlik olayı hakkında bilgi sahibi olduktan sonra 24 saat içinde
- Rapor: Bilgi sahibi olduktan sonra 72 saat içinde — ilk değerlendirme ile
- Son rapor: Bildirimden itibaren en geç 1 ay içinde
3. İdari sorumluluk
Yönetim, siber güvenlik önlemlerini onaylamalıdır ve uygulamalarını denetlemelidir. Yöneticiler için eğitim yükümlülüğü. İhlal durumunda kişisel sorumluluk. Yaptırımlar
İhlal durumunda, 10 milyon €'ya kadar veya küresel yıllık gelirin %2'si kadar para cezası uygulanabilir (temel kuruluşlar için). Önemli kuruluşlar için 7 milyon € veya gelirin %1,4'ü. Ayrıca, yöneticiler için kişisel yaptırımlar.
6 Aylık Yol Haritası
1. Ay: Etki Değerlendirmesi
- Değerlendirme: Sektör + Boyut → temel/önemli/etkilenmeyen
- Etkilenme durumunda: BSI ile kayıt zorunluluğu
- Mevcut güvenlik önlemlerinin envanteri
2–3. Aylar: Açık Analizi & Konsept
- NIS2 gereksinimlerine karşı açık analizi
- Tehdit modelleme ile risk analizi
- Önceliklendirme ile önlemler yol haritası
- Yönetici atölyesi
4–5. Aylar: Temel önlemlerin uygulanması
- Tüm erişim noktaları için MFA uygulaması
- EDR/XDR uç nokta koruması
- Yedekleme stratejisi + felaket kurtarma tatbikatı
- Olay müdahale planını belgelendirme
- Tüm çalışanlar için farkındalık eğitimi
6. Ay: Dokümantasyon & Denetim
- ISMS dokümantasyonu
- Önlemlerin iç denetimi
- BSI denetimi için kanıt toplama
- Sürekli farkındalık mekanizmaları etkinleştirildi
TABAK'ta yaptığımız şey
Her NIS2'den etkilenen müşteri için bir tam NIS2 paketi: Etki değerlendirmesi, açık analizi, yol haritası, teknik önlemlerin uygulanması, ISMS dokümantasyonu. Teknik uygulama için veri merkezi ortağımız DAVINCIRechenzentrum ile koordine ediyoruz. Tipik proje süresi: 4–6 ay. Tipik maliyetler: 25.000–80.000 € boyuta bağlı olarak.
NIS2 uygulanabilirliğini kontrol edin.
Ücretsiz bir ilk danışmanlıkta NIS2 kapsamına girip girmediğinizi ve uygulamanın sizin durumunuzda ne kadar karmaşık olacağını netleştiriyoruz.
NIS2 kontrolü talep et →