NIS2-Compliance fur Zahlungsinfrastruktur
NIS2 fordert strengere Cybersicherheits- und Lieferkettenkontrollen fur Zahlungsanbieter. PCI Proxy reduziert Ihre Angriffsflache, sichert Ihre Kartendaten-Lieferkette und unterstuetzt die geforderten Vorfallsmeldungen.
Was ist NIS2?
NIS2 (Richtlinie EU 2022/2555) ersetzte im Oktober 2024 die ursprungliche NIS-Richtlinie. Sie erweitert erheblich den Anwendungsbereich, einfuhrt strengere Sicherheitsanforderungen und verkurzt Vorfallsmeldungsfristen in der gesamten EU.
Risikomanagement
Einrichtungen mussen Richtlinien zu Risikoanalyse, Vorfallsbehandlung, Geschaftskontinuitat, Lieferkettensicherheit, Netzwerksicherheit, Kryptografie und Mehrfaktor-Authentifizierung umsetzen.
Vorfallsmeldung
Erhebliche Vorfalle mussen innerhalb von 24 Stunden (Fruhwarnung) und 72 Stunden (vollstandige Meldung) ans nationale CSIRT gemeldet werden. Ein Abschlussbericht folgt innerhalb eines Monats.
Lieferkettensicherheit
Einrichtungen mussen Cybersicherheitsrisiken in ihren Lieferketten und bei direkten Lieferanten bewerten und managen, einschliesslich der Sicherheitspraktiken von IKT-Drittanbietern.
NIS2-Anforderungen erfullt durch PCI Proxy
| NIS2-Anforderung | Wie PCI Proxy unterstuetzt |
|---|---|
| Risikoanalyse und Informationssystemsicherheit | ISO-27001-Rahmen, jahrliche Risikobewertungen |
| Vorfallsbehandlung | 24-Stunden-Benachrichtigungs-SLA, Incident-Response-Runbooks |
| Geschaftskontinuitat | Multi-Region-EU-Failover, getesteter BCP und DRP |
| Lieferkettensicherheit | Vollstandiges Unterauftragsverarbeiterregister, nur EU-Daten |
| Kryptografie und Verschlusselung | AES-256 im Ruhezustand, TLS 1.3 im Transit |
| Mehrfaktor-Authentifizierung | MFA fur alle Administratorzugriffe erzwungen |
NIS2-Compliance, beantwortet
01 Was ist NIS2 und wen betrifft sie?
NIS2 (Richtlinie EU 2022/2555) ist die aktualisierte EU-Cybersicherheitsrichtlinie, die im Oktober 2024 in Kraft trat. Sie erfasst wesentliche und wichtige Einrichtungen, darunter Finanzmarktinfrastrukturen, Zahlungsdienstleister und digitale Infrastrukturanbieter sowie deren Lieferketten.
02 Wie gilt NIS2 fur Zahlungsdienstleister?
Unter NIS2 fallende PSPs mussen Risikomanagmasnahmen zu Lieferkettensicherheit, Netzwerksicherheit, Zugangskontrolle, Kryptografie und Vorfallsbehandlung umsetzen. Erhebliche Vorfalle mussen innerhalb von 24 Stunden an das nationale CSIRT gemeldet werden.
03 Wie hilft PCI Proxy bei der NIS2-Lieferkettensicherheit?
NIS2 fordert ausdrucklich die Adressierung von Cybersicherheitsrisiken in Lieferketten einschliesslich Drittanbieter. Durch Zentralisierung von Kartendaten im PCI-DSS-Level-1-Vault von PCI Proxy reduzieren Sie die Anzahl der Parteien, die Rohdaten verarbeiten, und vereinfachen Ihre NIS2-Lieferketten-Sicherheitsbewertung.
04 Uberschneiden sich NIS2 und DORA fur Zahlungsanbieter?
Ja. Gemas dem lex-specialis-Prinzip hat DORA Vorrang vor NIS2 fur Finanzinstitute im DORA-Anwendungsbereich. Viele PSPs und Fintechs bedienen jedoch sowohl Finanz- als auch Nicht-Finanzunternehmen, sodass NIS2 eigenstandig relevant bleibt.
05 Welche Sanktionen drohen bei NIS2-Verstossen?
Fur wesentliche Einrichtungen konnen NIS2-Bussen bis zu 10 Millionen Euro oder 2% des globalen Jahresumsatzes betragen. Fur wichtige Einrichtungen gilt ein Maximum von 7 Millionen Euro oder 1,4% des Jahresumsatzes. Leitungsorgane konnen bei anhaltender Nichteinhaltung personlich haftbar gemacht werden.
NIS2-Risikoflache reduzieren, beginnend mit Kartendaten
Sprechen Sie mit unserem Team daruber, wie PCI Proxy Ihre NIS2-Lieferkettensicherheit und Vorfallsmeldepflichten vereinfacht.