NIS2-Richtlinie - Qualitätszeichen

Die NIS2-Gesetzgebung beschreibt, dass wesentliche und wichtige Unternehmen, auch NIS2-Unternehmen genannt, für die Cybersicherheit ihrer Lieferkette verantwortlich sind. Das bedeutet, dass sie von ihren direkten Zulieferern, meist KMU, den Nachweis verlangen müssen, dass sie digital sicher arbeiten. NIS2-konforme Unternehmen weisen dies mit einem Zertifikat des NIS2-Gütezeichens nach.

DigiTrust können Sie und Ihre Lieferanten in Übereinstimmung mit dem NIS2-Qualitätszeichen Auditierung und Zertifizierung.

Welche Art von Organisation sind Sie?

Viele KMU-Organisationen erbringen Dienstleistungen für sogenannte NIS2-Unternehmen. Um festzustellen, ob Ihre Organisation selbst eine NIS2-Organisation ist oder nicht, hat die NCSC eine Poster gemacht und NIS2-Selbsteinschätzung online Prüfung. Organisationen, die als NIS2-Organisation eingestuft werden, müssen selbstverständlich die NIS2-Richtlinie einhalten und sind außerdem verpflichtet, sich bei der NCSC zu registrieren. <Link>

Hinweis: Jedes Land hat seine eigene Übersetzung der europäischen NIS2-Gesetzgebung erstellt. In den Niederlanden handelt es sich dabei um das Cyber Beveiligings Wet, abgekürzt CBW. Dieses Gesetz wird voraussichtlich im Juni/Juli 2025 veröffentlicht werden.

Im Rahmen der NIS2-Gesetzgebung wird zwischen wesentlichen und wichtigen Unternehmen unterschieden, die auch als NIS2-Unternehmen bezeichnet werden. Diese Unternehmen müssen die NIS2-Gesetzgebung selbst einhalten, aber auch ihre Lieferkette. Das NIS2-Gütezeichen hilft dabei.

NIS2-Leitlinie: verschiedene Ebenen

Innerhalb des NIS2-Qualitätszeichens gibt es 3 Stufen, die auf das Risiko der erbrachten Dienstleistung zugeschnitten sind.

1. NIS2-QM10 (Basis)
2. NIS2-QM20 (Erheblich)
3. NIS2-QM30 (Hoch)

Lieferanten - NIS2-Richtlinie

NIS2-Organisationen müssen von ihren Zulieferern, zumeist KMU-Organisationen, verlangen, dass sie die Einhaltung der NIS2-Vorschriften nachweisen können. Ein ISO27001-Zertifikat reicht für diesen Zweck nicht aus. Das NIS2-Qualitätszeichen-Zertifikat ist ein zusätzlicher Nachweis, mit dem sie die Einhaltung der NIS2-Richtlinie belegen können.

Gütezeichen 10 (QM10)

Wenn Ihre Organisation nicht registrierungspflichtig ist, Sie aber Dienstleistungen für eine NIS2-Organisation erbringen, muss auch Ihre Organisation die NIS2 erfüllen. Für die meisten KMU-Organisationen ist das Qualitätssiegel Stufe 10 (QM10) ausreichend, um zu zeigen, dass Sie die Grundlagen dafür geschaffen haben.

Gütezeichen 20 (QM20)

Wenn Ihre Organisation jedoch IKT- oder OT-Dienste anbietet, kann Ihr Kunde QM20 oder sogar QM30 verlangen. Dies hängt natürlich stark von dem Risiko ab, das der Kunde in Bezug auf die von Ihnen erbrachte Dienstleistung hat, und von den Auswirkungen auf das GIS.

• Verfügbarkeit (ist das System vorhanden oder nicht),
• Integrität (sind die Daten in den Systemen korrekt) und die
• Vertraulichkeit (ist es gut geregelt, wer was sehen darf und wer nicht)

Gütezeichen 30 (QM30)

Wenn Ihre Organisation direkt unter die NIS2 fällt und Sie daher registrierungspflichtig sind, dann gilt für Ihre Organisation mindestens das NIS2-Qualitätszeichen der Stufe 30. Ein zusätzliches, nicht akkreditiertes ISO27001/NEN7510/IEC 62443 Eine Zertifizierung wird dringend empfohlen.

Wie lange dauert ein Zertifizierungsaudit?

Es ist eine Tabelle verfügbar, aus der hervorgeht, wie viel Prüfungszeit pro Norm für jede Art von Organisation erforderlich ist. Je nach Kontext kann die Auditzeit innerhalb der Spanne niedriger oder höher sein.

Hinweis: Wenn Sie bereits über eine ISO27001/NEN7510-Zertifizierung verfügen, wird Ihnen eine Befreiung von bestimmten Anforderungen gewährt, die bereits in dieser Zertifizierung enthalten sind. Dadurch verringert sich die Anzahl der Auditstunden in der obigen Tabelle.

Wie beantragt man das NIS2-Qualitätszeichen?

Wenn Sie der Meinung sind, dass Sie die NIS2-Richtlinie des NIS2-Qualitätszeichens erfüllen, ist DigiTrust befugt, ein Audit in Ihren Räumlichkeiten durchzuführen. Bitte setzen Sie sich mit uns in Verbindung, um diese Zertifizierung zu veranlassen. Wird das Audit von DigiTrust positiv abgeschlossen, wird die Quality Innovation Foundation das Zertifikat für Sie erstellen und veröffentlichen. Es wird ein zentrales Register darüber geführt.

Das Zertifikat ist 3 Jahre lang gültig. Kontaktieren Sie uns für ein unverbindliches Angebot: sales@digitrust.nl