Was ist das NIS2-Gütezeichen?

Immer mehr Organisationen sehen sich mit strengeren Anforderungen an die Informationssicherheit konfrontiert. Dies ist auf die NIS2-Richtlinie zurückzuführen: eine europäische Rechtsvorschrift, die nun auch in den Niederlanden in nationales Recht umgesetzt worden ist. Aber wie können Sie als Unternehmen nachweisen, dass Sie die Anforderungen erfüllen? Und woher wissen Sie, ob Ihre Zulieferer das auch tun? Das NIS2-Gütezeichen bietet hierfür eine Lösung. In diesem Artikel lesen Sie, was genau dieses Qualitätszeichen bedeutet, für wen es relevant ist und welche Rolle DigiTrust als unabhängige Zertifizierungsstelle dabei spielt. 

Was ist die NIS2-Leitlinie? 

Die NIS2-Richtlinie (Network and Information Security 2) ist eine europäische Richtlinie zur Stärkung der digitalen Resilienz in der EU. Organisationen, die unter diese Richtlinie fallen, müssen nachweislich Maßnahmen zur Informationssicherheit und zum Risikomanagement ergreifen. Denken Sie an branchenspezifische Unternehmen, z. B. in den Bereichen Gesundheitswesen, Energie, Verkehr, digitale Infrastruktur und Regierung. 

Die Richtlinie trat im Januar 2023 in Kraft und wird seit Oktober 2024 durch eine Änderung des Gesetzes über die Sicherheit von Netzwerken und Informationssystemen (Wbni) in niederländisches Recht umgesetzt. Die NIS2-Richtlinie bringt Verpflichtungen in den folgenden Bereichen mit sich: 

• Maßnahmen zum Risikomanagement; 

• Meldung des Vorfalls innerhalb von 24 Stunden; 

• Verantwortung in der Kette; 

• und verstärkte Überwachung. 

Wie funktioniert das NIS2-Gütezeichen in der Praxis? 

Das NIS2-Gütezeichen ist eine objektive Bewertung, die zeigt, dass eine Organisation nachweislich an der digitalen Widerstandsfähigkeit im Einklang mit den Zielen der NIS2-Richtlinie arbeitet. Es ist kein gesetzlich vorgeschriebenes Qualitätszeichen, wird aber zunehmend von Partnern in der Lieferkette, Kunden oder Aufsichtsbehörden verlangt, die sich über die Sicherheitsmaßnahmen ihrer Lieferanten vergewissern wollen. 

Mit dem Qualitätszeichen können Organisationen nachweisen, dass sie die Informationssicherheit ernst nehmen und geeignete Maßnahmen ergreifen. Dies gilt nicht nur für Organisationen, die direkt unter die NIS2 fallen, sondern auch für Parteien in ihrer Lieferkette. 

Was wird bewertet? 

Die Bewertung für das NIS2-Gütezeichen erfolgt auf der Grundlage bestehender Normen und Rahmenwerke wie ISO/IEC 27001, NEN 7510 oder ENSIA. Dabei liegt der Fokus auf Komponenten, die den Anforderungen aus der NIS2-Richtlinie entsprechen, wie z.B.: 

• Risikobewertung und -management; 

• Sicherheitspolitik und -bewusstsein; 

• Lieferantenmanagement; 

• Reaktion auf Vorfälle und Wiederherstellung; 

• kontinuierliche Verbesserung der Sicherheitsmaßnahmen. 

Das Qualitätszeichen wird nach einer unabhängigen Bewertung durch eine Zertifizierungsstelle vergeben. Die Bewertung ist auf die Art der Organisation, den Sektor, in dem sie tätig ist, und ihr Risikoprofil zugeschnitten. 

Was ist die Aufgabe von DigiTrust? 

DigiTrust ist eine unabhängige Zertifizierungsstelle, die Organisationen auf die Einhaltung von Standards und Qualitätskriterien prüft. Mit dem NIS2-Gütezeichen führt DigiTrust auch die Bewertung auf objektive, transparente und nachvollziehbare Weise durch. 

Wichtig zu wissen: DigiTrust berät nicht bei der Durchführung von Maßnahmen. Dies entspricht den internationalen Standards für Zertifizierungsstellen, wie z.B. ISO/IEC 17021. DigiTrust prüft lediglich, ob die Organisation die Bewertungskriterien erfüllt. Dies gewährleistet die Unabhängigkeit und Integrität des Zertifizierungsprozesses. 

Für wen ist das NIS2-Qualitätszeichen relevant? 

Das Qualitätszeichen ist in erster Linie für Organisationen relevant, die direkt unter die NIS2-Richtlinie fallen. Es ist auch für Lieferanten und Dienstleister relevant, die Teil der Kette dieser Organisationen sind. Zum Beispiel: 

• IT-Dienstleister; 

• Software-Entwickler; 

• Hosting- und Cloud-Anbieter; 

• Pflegeanbieter; 

• Lieferanten der Regierung. 

Das Qualitätszeichen bietet auch einen Mehrwert für Organisationen, die ihre Informationssicherheit gegenüber Kunden oder Partnern nachweisen wollen. 

Häufig gestellte Fragen zum NIS2-Gütezeichen 

Ist das NIS2-Qualitätszeichen obligatorisch?
Nein, das ist nicht gesetzlich vorgeschrieben. Sie kann jedoch von Kunden oder Partnern in der Lieferkette als Nachweis für die Einhaltung der NIS2-Ziele verlangt werden. 

Was ist der Unterschied zwischen NIS2 und ISO 27001?
NIS2 ist eine gesetzliche Richtlinie mit Cybersicherheitsanforderungen. ISO 27001 ist ein internationaler Standard für Informationssicherheits-Managementsysteme. Das NIS2-Gütezeichen kann ISO 27001 als Grundlage für die Bewertung verwenden. 

Wer darf das Gütezeichen vergeben?
Nur unabhängige Zertifizierungsstellen wie DigiTrust dürfen das NIS2-Gütezeichen nach einer objektiven Bewertung vergeben. 

Sollte meine Organisation NIS2-konform sein?
Das hängt von der Branche, der Größe und der Rolle Ihrer Organisation ab. Die aktualisierten Rechtsvorschriften enthalten Kriterien für "wesentliche" und "bedeutende" Einrichtungen. Wenden Sie sich für weitere Informationen an die Regierung oder Ihren Branchenverband. 

Schlussfolgerung 

Die NIS2-Richtlinie verlangt von Unternehmen, dass sie die Informationssicherheit und das Risikomanagement ernst nehmen. Das NIS2-Qualitätszeichen hilft, dies gegenüber Kunden, Kettenpartnern und Aufsichtsbehörden zu demonstrieren. DigiTrust prüft unabhängig, ohne Implementierungsberatung, und zwar nach international anerkannten Standards. 

Haben Sie Fragen zum Gütezeichen oder möchten Sie wissen, was die Zertifizierung beinhaltet? DigiTrust erklärt es Ihnen gerne klar und objektiv.