Building On Prem Promo Right Mobile

Die neue europäische Richtlinie NIS-2 ist dieses Jahr in der IT-Welt in aller Munde. Wie vor einigen Jahren bereits bei der DSGVO, liegt der Schwerpunkt vor allem auf den Geldstrafen, die Unternehmen drohen, welche die Vorgaben nicht erfüllen. 

Die Richtlinie wird jedoch zudem Unternehmen sicherer machen und dabei das entsprechende Bewusstsein ebenso wie die Zusammenarbeit innerhalb der gesamten Europäischen Union stärken.

Die NIS-2-Richtlinie wird außerdem für viele Unternehmen (nicht nur für solche, die als „wesentlich“ oder „kritisch“ eingestuft werden) einen sehr guten Grund darstellen, die Risikobewertung, das Bewusstsein der eigenen Mitarbeiter und die allgemeine Sicherheit zu verbessern.

Sollten Sie Unterstützung dabei benötigen, das NIS-2-Projekt in Ihrem Unternehmen auf den Weg zu bringen, hilft Ihnen dieser Artikel die ersten Schritte zu planen. Natürlich können Sie jederzeit Kontakt zu uns aufnehmen, falls Sie einen Austausch mit einem IT-Security Experten wünschen.

Building On Prem Promo Right

In aller Kürze: Was ist die NIS-2 und worum geht es dabei?

Die Richtlinie zu Netz- und Informationssystemen (NIS-2) stellt einen bedeutenden Fortschritt für die europäische Cybersicherheit dar. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert deren Geltungsbereich.

Ihr Ziel ist es, die Cybersicherheit und die Widerstandsfähigkeit von Unternehmen, die als „kritisch“ oder „wichtig“ für die Europäische Union und deren Mitgliedstaaten definiert sind, deutlich zu verbessern.

Ganz allgemein beschäftigt sich die Richtlinie mit folgenden Aspekten:

Und ja: Fehlende Compliance kann Geldstrafen und sogar eine Aussetzung der Geschäftstätigkeit nach sich ziehen.

Die EU-Mitgliedstaaten haben bis zum 18. Oktober 2024 Zeit, die Richtlinie im nationalen Recht umzusetzen.
Viele weitere Einzelheiten finden Sie im Abschnitt „Fragen und Antworten“ auf dieser Seite.

 

Wo soll man anfangen, um Compliance mit NIS-2 sicherzustellen?

Die erforderlichen Aktivitäten, um die Vorgaben unter NIS-2 erfüllen zu können, müssen jedoch nicht notwendigerweise bei Null ansetzen. Die Daten in Bezug auf die DSGVO zu kategorisieren und identifizieren, ist bereits ein guter Einstieg. Auch, sich mit der Norm ISO 27001 für Cybersicherheit zu beschäftigen oder die CIS-Controls-Checkliste abzuarbeiten, wäre ein guter Ausgangspunkt.

Da es sich um eine Richtlinie der Europäischen Union handelt, ist es unabdingbar, mit einem vertrauenswürdigen, in Europa ansässigen Anbieter von Cybersicherheitslösungen zusammenzuarbeiten, der die spezifischen Anforderungen dieser Richtlinie kennt.

  • Risikobewertung
    Bei der Risikobewertung können wir Sie mit diversen Schnellprüfungen unterstützen, um redundante Benutzer, Rollen und Berechtigungen in Ihren Systemen zu identifizieren. Die Struktur Ihres Identitäts- und Zugriffsmanagements (IAM) „aufzuräumen“, ist unerlässlich für dauerhaft effiziente Prozesse in Zusammenhang mit Sicherheit und Risiken.  

  • IAM und Dokumentation
    Moderne und benutzerfreundliche Tools zur Verwaltung von Zugriffsrechten, der Anwendung des Least-Privilege-Prinzips und von Rollen sind zentraler Bestandteil jeder Sicherheitsstruktur. Dazu gehört auch, Aufzeichnungen über alle Ereignisse und Änderungen in Ihrem System zu führen, was die Prüfung möglicher Vorfälle und die entsprechende Berichterstattung vereinfacht.

  • Authentifizierung
    Sichere Authentifizierung ist unter NIS-2 ein wesentlicher Aspekt. Eine Vorgabe, die auf benutzerfreundliche Weise umgesetzt werden kann und sich an die spezifischen Anforderungen Ihres Unternehmens anpasst, wird die Multi-Faktor-Authentifizierung (MFA) sein. Auch die Anwendung von zertifikatsbasierter Authentifizierung wird in der NIS-2 erwähnt. Unerlässlich dafür ist ein solides Lebenszyklusmanagement aller Zertifikate mit Protokollierung sämtlicher Vorgänge. Wir können Sie bei der Einrichtung Ihrer eigenen PKI-Lösung vor Ort unterstützen oder den gesamten Prozess mit unserer PKI-as-a-Service-Lösung vereinfachen.

  • Verschlüsselter Datenaustausch
    Daten auch außerhalb Ihres Unternehmens zu schützen, ist ein kleiner, aber dennoch wichtiger Aspekt der NIS-2-Richtlinie. Es ist von entscheidender Bedeutung, verschlüsselte Dateiübertragungen mit Zugriffsprotokollen für eine einfache Überprüfung anzuwenden. Damit breite Akzeptanz innerhalb des Unternehmens gewährleistet ist, sollte die Dateifreigabe so einfach sein, dass jeder von ihr Gebrauch machen kann, sie nicht durch Dateigrößen eingeschränkt wird und vorzugsweise direkt in das E-Mail-Programm des Nutzers integriert ist.

Questions

NIS-2 im Detail — alles was Sie wissen müssen

Wofür steht „NIS-2“?

Die vollständige Bezeichnung dieser Richtlinie lautet „2. EU-Richtlinie zur Netzwerk- und Informationssicherheit“.
Wir empfehlen die Lektüre des Amtsblatts der Europäischen Union, um sich einen vollständigen Überblick über die neue Verordnung zu verschaffen.

Wann tritt die NIS-2 in Kraft?

Der 17. Oktober 2024 ist das Datum, das Sie im Blick behalten und auf das Sie hinarbeiten müssen. Zu diesem Zeitpunkt müssen die EU-Mitgliedstaaten ihre lokalen Rechtsvorschriften an die NIS-2-Richtlinie anpassen und veröffentlichen.

Bis zum 17. April 2025 muss jeder Mitgliedsstaat kritische und wichtige Einrichtungen in seinem Land identifiziert haben.

Welches sind die wichtigsten Unterschiede zwischen der NIS und der NIS-2?

Die NIS trat im Juli 2016 in Kraft und zielte darauf ab, die Cyber-Resilienz innerhalb der Europäischen Union zu verbessern. Die Regelungen entsprachen jedoch eher Empfehlungen als verbindlichen gesetzlichen Vorgaben.

Darin besteht – abgesehen von einem breiteren Anwendungsbereich, der mehr Branchen umfasst und höhere Anforderungen vorgibt – der wichtigste Unterschied zur NIS-2. Die Vorgaben der NIS-2-Richtlinie nicht zu erfüllen, kann für Unternehmen, die als „kritisch“ oder „wichtig“ eingestuft werden, zu hohen Geldstrafen oder sogar zum Ausschluss von der Geschäftstätigkeit führen.

Warum wurde die NIS-2-Richtlinie entwickelt?

Die ursprüngliche NIS-Richtlinie hatte zum Ziel, die Cybersicherheit innerhalb der gesamten Europäischen Union zu verbessern. Geopolitische Veränderungen und die Covid-19-Pandemie beschleunigten jedoch die Entwicklung von digitalen Arbeitsplätzen und Tele-Arbeit, sodass eine Aktualisierung der Richtlinie erforderlich wurde.

Die NIS-2-Richtlinie soll nun die Cybersicherheit in allen EU-Mitgliedsstaaten harmonisieren und auf ein höheres Niveau bringen. 
Um die gesamte Union anzugleichen, zielt die NIS-2-Richtlinie auch auf Wissensaustausch und die allgemeine Anwendung bewährter Verfahren ab, indem sie vorsieht, dass Vorfälle den Behörden vor Ort zu melden sind.

Für welche Organisationen und Unternehmen gilt NIS-2?

Die NIS-2-Richtlinie unterteilt die betroffenen Organisationen bzw. Unternehmen in zwei Kategorien:

Kritische Einrichtungen (KE): 

  • Energie
    Hierzu gehören die Bereiche Strom, Fernwärme und -kühlung, Öl, Gas und Wasserstoff.
  • Transport
    Dies umfasst Transporte auf dem Luftweg, der Schiene, auf Wasserwegen und Straßen.
  • Bankwesen
    Einschließlich Finanzmarktinfrastrukturen
  • Gesundheitswesen
    Dieser Bereich beinhaltet die Herstellung von pharmazeutischen Produkten und Impfstoffen.
  • Trinkwasser 
  • Abwasser
  • Digitale Infrastruktur
    Dazu gehören Internet Exchange Points, DNS-Diensteanbieter, TLD-Namensregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Content-Delivery-Netzwerke, Anbieter von Vertrauensdiensten, Anbieter öffentlicher elektronischer Kommunikationsnetze sowie öffentlich zugängliche elektronische Kommunikationsdienste.
  • ICT-Dienstleistungsmanagement
    Dieser Bereich beinhaltet Managed Services Provider und Managed Security Services Provider, öffentliche Verwaltung und Raumfahrt. 
     

Wichtige Einrichtungen (WE):

  • Post- und Kurierdienste 
  • Abfallwirtschaft 
  • Chemikalien 
  • Lebensmittel 
  • Unternehmen, die tätig sind in der Herstellung von medizinischen Geräten, Computern und Elektronik, Maschinen und Ausrüstungen, Kraftfahrzeugen, Anhängern und Sattelschleppern sowie sonstigen Transportmitteln
  • Digitale Anbieter wie Online-Marktplätze, Online-Suchmaschinen und Plattformen für soziale Netzwerke 
  • Forschungseinrichtungen 
Mein Unternehmen wird nicht als „kritisch“ oder „wichtig“ eingestuft. Sollte ich mich trotzdem mit der NIS-2 beschäftigen?

Ja, unbedingt! Und zwar aus zwei Gründen:

  • Laut der NIS-2 sind betroffene Unternehmen für die Sicherung ihrer Lieferkette und ihrer Lieferantenbeziehungen verantwortlich. Das bedeutet, dass viele Unternehmen, die mit betroffenen Organisationen Geschäfte tätigen, die Vorgaben der NIS-2-Richtlinie einhalten müssen oder Gefahr laufen, Verträge zu verlieren.
    Unternehmen außerhalb der Europäischen Union sind nicht direkt von NIS-2 betroffen. Sie könnten jedoch daran interessiert sein, die Vorschriften einzuhalten, um weiterhin mit europäischen Organisationen, die für ihre Lieferkette verantwortlich sind, geschäftlich interagieren zu können.

  • Zur Absicherung Ihres eigenen Geschäftsbetriebs. Achten Sie, um Ihr Unternehmen zu schützen, darauf, dass die Sicherheitsstandards Ihres Unternehmens mindestens den Vorgaben unter NIS-2 entsprechen.

Wie hoch sind die Geldstrafen bei Nichteinhaltung von NIS-2?

In der NIS-2-Richtlinie werden für Verstöße durch die oben genannten kritischen und wichtigen Einrichtungen Geldstrafen definiert.

  • Kritische Einrichtungen: Zehn Millionen Euro bzw. 2% des Jahresumsatzes
  • Wichtige Einrichtungen: Sieben Millionen Euro bzw. 1,4% des Jahresumsatzes

Außerdem sind weitere Sanktionen vorgesehen. Dazu gehören vorübergehende Verbote und Sperren von Führungskräften und auch die vorübergehende Aussetzung der Geschäftstätigkeit.

Abhängig vom jeweiligen Land, gelten Geldbußen möglicherweise nicht für den öffentlichen Sektor. Die anderen verwaltungsrechtlichen Sanktionen könnten jedoch auch dort Anwendung finden. 

Was ist die Meldung von Vorfällen gemäß NIS-2?

Vorfälle müssen an die lokalen Computer Security Incident Response Teams (CSIRT) gemeldet werden.
Laut der NIS-2 können Vorfälle in zwei Kategorien unterteilt werden.

  • Ereignisse, die eine schwerwiegende Betriebsstörung verursacht haben oder noch verursachen werden.

  • Ereignisse, die natürlichen oder juristischen Personen einen erheblichen materiellen oder immateriellen Schaden zufügen oder zufügen können.

Darüber hinaus können Einrichtungen nicht-signifikante Vorfälle, verhinderte Vorfälle oder Cyber-Bedrohungen im Allgemeinen freiwillig melden.

Was die Berichterstattung an sich betrifft, so sind innerhalb bestimmter Fristen drei Schritte durchzuführen.

  • Innerhalb von 24 Stunden
    Bedeutsame Vorfälle sollten gemeldet und eine Vorwarnung kommuniziert werden.
  • 72 Stunden
    Es sollte ein vollständiger Meldebericht erstellt werden, der die Bewertung, den Schweregrad, die Auswirkungen und den Indikator für die Gefährdung enthält.
  • Ein Monat
    Ein vollständiger Bericht über den Vorfall muss vorgelegt werden.
     
Was sind die Unterschiede zwischen NIS-2 und DORA?

Der Digital Operational Resilience Act (DORA), der 2023 in Kraft trat, und NIS-2 weisen viele Gemeinsamkeiten im Hinblick auf Cybersicherheit auf.

DORA richtet sich in erster Linie an Bank- und Finanzinstitute und zielt darauf ab, deren Sicherheit und Cyber-Resilienz zu stärken. 
Die Sicherheitsmaßnahmen ähneln jenen unter NIS-2, wobei NIS-2 eine größere Gruppe von Einrichtungen außerhalb des Finanzsektors abdeckt.
 

Was ist der Unterschied zwischen NIS-2 und ISO 27001?

NIS-2 und ISO 27001 dienen unterschiedlichen Zwecken, ergänzen sich aber gegenseitig. Wenn Ihre Organisation nach ISO 27001 zertifiziert ist oder darauf hinarbeitet, sollte ein Großteil der für die Konformität mit NIS-2 erforderlichen Aufgaben bereits erledigt sein.

Beide Rahmenwerke legen großen Wert auf Risikomanagement und -bewertung, sodass Sie eine der wesentlichen Anforderungen unter NIS-2 bereits erfüllen, wenn ISO 27001 entsprochen wird.

Steht NIS-2 in Zusammenhang mit der DSGVO?

Nicht direkt, aber sie bewegen sich in einem ähnlichen Bereich.

Die DSGVO ist, kurz gesagt, eine Verordnung, die von in der Europäischen Union tätigen Unternehmen fordert, dass sie die Kontrolle über ihre Daten ausüben und damit die Verantwortung dafür übernehmen, was warum und für wie lange gespeichert wird. Das Versäumnis, der Verordnung zu entsprechen, wird mit hohen Geldstrafen geahndet.

Bei NIS-2 handelt es sich kurz gesagt um eine Verordnung, die in der Europäischen Union ansässige Unternehmen dazu verpflichtet, eine solide Cybersicherheitsstrategie zu verfolgen und alle erheblichen Vorfälle den zuständigen Behörden zu melden.

Vieles von dem, was Unternehmen unternommen haben, um der DSGVO zu entsprechen, dürfte jedoch auch die Konformität mit NIS-2 erleichtern.