NIS2 kommt.

Gut vorbereitet auf NIS2.

KRITIS Unternehmen und Zulieferer müssen die Sicherheit erhöhen.

Im Oktober 2024 tritt die neue Richtline NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft. Betroffen sind vor allem Branchen, die als KRITIS eingestuft werden. Aber auch KRITIS-nahe Unternehmen müssen resilienter werden. Lesen Sie hier, welche Neuerungen die Verordnung mit sich bringt und wie Unternehmen sich darauf vorbereiten können. 

NIS2 ist eine Neufassung der Richtlinie zur Netz- und Informationssicherheit, die von der Europäischen Union entwickelt wurde. Diese Richtlinie zielt darauf ab, die Cybersicherheit innerhalb der EU zu stärken, indem sie höhere Anforderungen an die Sicherheitsmaßnahmen und Meldepflichten für Unternehmen und Organisationen in kritischen Sektoren stellt. Die ursprüngliche NIS-Richtlinie wurde 2016 eingeführt, und NIS2 ist eine Überarbeitung, die den veränderten Bedrohungen und technologischen Entwicklungen Rechnung trägt. NIS2 stuft mehr als doppelt so viele Sektoren als kritisch ein, einschließlich der Gesundheitsversorgung, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt. Außerdem wird der Bußgeldkatalog erheblich verschärft und Geschäftsleiter werden mehr in die Verantwortung genommen.

Unternehmen, die unter die NIS2-Richtlinie fallen, müssen hohe Anforderungen erfüllen, um die Cybersicherheit zu gewährleisten und die Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen. Hier sind die wesentlichen Anforderungen:

 

Stärkere Sicherheitsanforderungen: Die Richtlinie fordert noch strengere Sicherheitsmaßnahmen und Unternehmen müssen nachweisen, dass sie robuste Sicherheitsprozesse implementiert haben. Dazu gehört die Implementierung von Maßnahmen zur Sicherstellung der Netz- und Informationssicherheit, einschließlich Firewalls, Verschlüsselung, Intrusion-Detection-Systemen und regelmäßiger Sicherheitsupdates.

Risikomanagement: Unternehmen müssen ein umfassendes Risikomanagementsystem einführen, das Risiken für Netz- und Informationssysteme identifiziert, bewertet und mindert. Sicherheitsmaßnahmen müssen an die spezifischen Risiken und Bedrohungen angepasst werden, denen das Unternehmen ausgesetzt ist.

Verstärkte Zusammenarbeit: NIS2 fördert eine intensivere Zusammenarbeit mit anderen Unternehmen und nationalen Behörden und den Informationsaustausch zwischen den EU-Mitgliedstaaten, um gemeinsame Bedrohungen besser zu bewältigen und Best Practices zu teilen. Dazu zählt auch die Teilnahme an sektorspezifischen und sektorenübergreifenden Informationsaustauschplattformen.

Sanktionen und Durchsetzung: Die Richtlinie sieht härtere Sanktionen für die Nichteinhaltung vor, einschließlich hoher Geldstrafen. Zudem erhalten nationale Behörden mehr Befugnisse zur Durchsetzung der Regeln.

Meldepflichten: Unternehmen müssen Sicherheitsvorfälle innerhalb einer bestimmten Frist melden, um eine schnellere Reaktion auf Bedrohungen zu ermöglichen. Die Meldung muss detaillierte Informationen über den Vorfall, seine Auswirkungen und die ergriffenen Gegenmaßnahmen enthalten.

Kontinuitätsmanagement: Unternehmen müssen Pläne zur Aufrechterhaltung und Wiederherstellung der Dienste im Falle eines Sicherheitsvorfalls entwickeln und implementieren. Regelmäßige Tests und Übungen zur Sicherstellung der Wirksamkeit der Notfallpläne sollen langfristig für Beständigkeit sorgen.

Berichterstattung und Audits: Unternehmen müssen regelmäßige Berichte über ihre Sicherheitsmaßnahmen und -vorkehrungen erstellen und der zuständigen nationalen Behörde vorlegen. Ebenso gehört die Durchführung regelmäßiger interner und externer Audits zur Überprüfung der Einhaltung der Sicherheitsanforderungen zu den Forderungen.

Diese Anforderungen zielen darauf ab, die Cybersicherheit in kritischen Sektoren zu stärken und sicherzustellen, dass Unternehmen angemessen auf Cyberbedrohungen vorbereitet sind. Die Richtlinie schafft einen einheitlichen Rahmen für die Cybersicherheit in der EU und fördert eine engere Zusammenarbeit zwischen den Mitgliedstaaten. Die Implementierung dieser Maßnahmen erfordert eine ganzheitliche Strategie, die sowohl technische als auch organisatorische Aspekte der IT-Sicherheit abdeckt.

NIS2 for KRITIS

Business Continuity. Die drei Säulen, um bei Ausfall wichtiger Komponenten arbeitsfähig zu bleiben.

Resiliente Infrastruktur

Physikalische Sicherheit Ausfallsicheres Netzwerk-Design Back-up-Strategie

Resiliente Organisation

Schulung der Mitarbeiter Risikomanagement Notfallmanagement Wiederherstellungspläne

Cyber Security

Monitoring der IT-Landschaft Schwachstellen-Früherkennung Regelm. Schwachstellen-Analyse Response-Automatismen

Innerhalb dieser ganzheitlichen Strategie müssen Unternehmen sich vorbereiten. Diese Maßnahmen gehören dazu:

 

Netzwerkschutz: Durch einen engmaschigen Netzwerkschutz mithilfe einer Firewall und eines IDPS (Intrusion Detection und Prevention System) können Unternehmen wesentliche Anforderungen der NIS2-Richtlinie erfüllen, indem sie ihre Netzwerksicherheit signifikant erhöhen. Firewalls dienen als erste Verteidigungslinie, indem sie unerlaubte Zugriffe auf das Unternehmensnetzwerk blockieren und den Datenverkehr kontrollieren. Gleichzeitig ermöglichen IDPS eine kontinuierliche Überwachung des Netzwerkverkehrs auf verdächtige Aktivitäten und potenzielle Sicherheitsbedrohungen. Diese Systeme erkennen und verhindern Angriffe in Echtzeit, indem sie Anomalien identifizieren und entsprechende Gegenmaßnahmen ergreifen. Durch die Implementierung dieser Technologien können Unternehmen sicherstellen, dass sie nicht nur die Integrität und Vertraulichkeit ihrer Daten schützen, sondern auch die Fähigkeit zur schnellen Reaktion auf Sicherheitsvorfälle verbessern, was eine zentrale Anforderung der NIS2-Richtlinie darstellt. 

DDoS-Schutz: Durch den Einsatz von DDoS-Schutzmaßnahmen können Unternehmen ebenfalls wichtige Aspekte der NIS2-Richtlinie erfüllen, insbesondere im Hinblick auf die Sicherstellung der Verfügbarkeit und Widerstandsfähigkeit ihrer Netzwerke und Dienste. DDoS (Distributed Denial of Service)-Angriffe zielen darauf ab, Systeme durch eine Überflutung mit Anfragen zu überlasten und somit ihre Verfügbarkeit zu beeinträchtigen. Die Implementierung von DDoS-Schutzlösungen ermöglicht es Unternehmen, solche Angriffe frühzeitig zu erkennen und abzuwehren, bevor sie erheblichen Schaden anrichten können.

Diese Schutzmaßnahmen beinhalten die kontinuierliche Überwachung des Netzwerkverkehrs, das automatische Filtern und Blockieren schädlicher Anfragen sowie die Bereitstellung ausreichender Bandbreite und Redundanz, um selbst bei einem Angriff die Dienste aufrechtzuerhalten. Durch diese Maßnahmen wird die Widerstandsfähigkeit der IT-Infrastruktur gestärkt, was eine zentrale Anforderung der NIS2-Richtlinie ist. Zudem stellen diese Maßnahmen sicher, dass Unternehmen schnell auf Vorfälle reagieren und die Auswirkungen von Angriffen minimieren können, wodurch die Betriebsfähigkeit und der Schutz kritischer Infrastrukturen gewährleistet werden.

Datenschutz: Durch die Nutzung eines Rechenzentrums können Unternehmen auf eine hochsichere und widerstandsfähige IT-Infrastruktur zugreifen und so die Richtlinien von NIS2 erfüllen. Rechenzentren bieten umfassende physische und cybertechnische Sicherheitsmaßnahmen, darunter Zugangskontrollen, Videoüberwachung, redundante und unterbrechungsfreie Stromversorgung und moderne Firewalls. Diese Maßnahmen gewährleisten die Integrität und Verfügbarkeit der Daten und Dienste. Zusätzlich verfügen Rechenzentren über Redundanz- und Ausfallsicherheitsmechanismen, die eine kontinuierliche Betriebsbereitschaft sicherstellen. Viele Rechenzentren sind zudem nach internationalen Sicherheitsstandards wie ISO 27001 zertifiziert, was die Einhaltung strenger Sicherheitsprotokolle bestätigt. Eine Zertifizierungen nach TÜViT Trusted Site Infrastructure (TSI) 4.3 Level 3 (erweitert) wiederum garantiert ein Höchstmaß an Sicherheitsstandards und wird nur von wenigen Rechenzentren erreicht. Die Speicherung von Unternehmensdaten in einem Rechenzentrum deckt einen großen Teil umfassender Sicherheits- und Compliance-Maßnahmen an und unterstützt Unternehmen dabei, die hohen Anforderungen der NIS2-Richtlinie effizient zu erfüllen.

NIS2
NIS2 betrifft jeden.

Auch Post- und Kurrierdienste fallen jetzt unter die NIS2 Regularien.

NIS2 erweitert den Anwendungsbereich im Vergleich zur ursprünglichen NIS-Richtlinie und umfasst eine breitere Palette von Sektoren und Arten von Unternehmen, die als kritisch für die Gesellschaft und die Wirtschaft (KRITIS) angesehen werden. Auch Unternehmen, die unmittelbar mit KRITIS in Verbindung stehen, sind betroffen (Supply Chain Security), da sie immer öfter zur Zielscheibe von Cyberattacken werden.

Alle KRITIS Branchen im Überblick.

Wesentliche KRITIS-Sektoren

Energie | Gesundheit | Finanzmarktinfrastruktur | Trinkwasser | Öffentliche Verwaltung | Digitale Infrastruktur | Banken | Abwasser | Weltraum | Verwaltung IKT-Dienste | Transport

Wichtige KRITIS-nahe Branchen

Forschung | Abfall | Anbieter digitaler Dienste | Ernährung | Post | Gefährliche Chemikalien | Produktion wichtiger Güter

NIS2 ist auch für die Supply Chain Security relevant. Es gilt sicherzustellen, dass diese Sektoren in der Lage sind, ihre wesentlichen Dienste auch in Zeiten von Cyberbedrohungen und anderen Sicherheitsvorfällen aufrechtzuerhalten.

 

NIS2 betrifft nicht nur reine KRITIS Unternehmen, sondern legt einen stärkeren Fokus auf die Sicherheit der Lieferketten. KRITIS-verwandte Branchen müssen sicherstellen, dass auch ihre Lieferanten und Partner robusten Sicherheitsstandards folgen, um zu verhindern, dass Schwachstellen in der Lieferkette ausgenutzt werden.

Warum ist das wichtig? Cyberangriffe zielen immer öfter und in alarmierendem Ausmaß auf intermediäre Dienstleister, die für KRITIS relevant sind, ab. Dies sind zum Beispiel IT-Dienstleister für Ministerien und Behörden, Krankenhäuser oder Transportunternehmen. Aber auch Dienstleister großer Banken zählen regelmäßig zu den Opfern. 

Fazit

 

Zusammengefasst verbessert die NIS2-Richtlinie die Cybersicherheitslage in Europa durch umfassendere Regelungen, stärkere Zusammenarbeit und höhere Standards, was zu einer robusteren und widerstandsfähigeren digitalen Infrastruktur führt. NIS2 hilft Unternehmen dabei, ihre Cybersicherheitsmaßnahmen zu optimieren, das Risiko von Cyberangriffen zu reduzieren und eine stabile und sichere Geschäftsgrundlage zu schaffen. Bis zum 17. Oktober 2024 muss NIS2 in nationales Recht umgesetzt werden. Bis zu diesem Datum müssen die EU-Mitgliedstaaten die erforderlichen gesetzlichen und administrativen Maßnahmen ergreifen, um die Bestimmungen der Richtlinie in ihren jeweiligen Rechtsordnungen zu verankern und muss diese dann auch kontrollieren. 

Unternehmen sind verpflichtet, die entsprechenden nationalen Vorschriften einzuhalten, sobald diese in Kraft treten und sollten sich daher frühzeitig auf die Umsetzung vorbereiten.