Das Thema Cybersicherheit ist in den letzten Jahren immer wichtiger geworden, denn immer mehr alltägliche Prozesse werden digitalisiert. Genau aus diesem Grund ist es besonders wichtig, die Cyberinfrastruktur zu schützen – vor allem in KRITIS-Unternehmen. Denn werden beispielsweise Stromanbieter Opfer von Hackerangriffen, wären die Folgen fatal. Die neu eingeführte Network and Information Security Directive 2 (NIS-2-Richtlinie) soll dafür sorgen, dass Sicherheitsmaßnahmen ergriffen werden, die solche Cyberangriffe verhindern.
Die Cyber-Sicherheitslage wird immer angespannter. Phishing-Mails werden immer professioneller, Ransomware-Angriffe immer geübter und Hacker generell immer aggressiver. Und die Bedrohungen steigen höchstwahrscheinlich immer weiter an. Vor allem für KRITIS-Unternehmen stellt das ein großes Problem dar. Die Statistik zeigt: Nahezu jedes Unternehmen hat schon einmal einen Hackerangriff erlebt – 9 von 10 Unternehmen wurden Opfer eines Angriffs und trugen Schaden davon [1].
Gemeinsam gegen Cyberangriffe. Aus diesen Gründen ist es umso wichtiger, die Resilienz des Cybersicherheitsnetzwerks in der EU weiter zu stärken. Genau dieses Ziel verfolgt die NIS-2-Richtlinie. Besonders Unternehmen und Organisationen als Betreiber kritischer Infrastrukturen, also beispielsweise Krankenhäuser oder Netzwerkbetreiber, sind von dieser Maßnahme betroffen. Sie werden verpflichtet, angemessene Sicherheitsmaßnahmen einzuführen und Sicherheitszwischenfälle zu melden. Auch die EU-Mitgliedstaaten sollen vermehrt miteinander kooperieren. So wird eine schnellere Reaktion auf grenzüberschreitende Cyberangriffe ermöglicht. Doch was genau beinhaltet die NIS-2-Richtlinie?
Inhalt der NIS-2-Richtlinie. In erster Linie soll die NIS-2-Richtlinie für mehr Cybersicherheit in Unternehmen sorgen, aber auch das Sicherheitsbewusstsein stärken. Eine wesentliche Neuerung besteht darin, dass viel mehr Unternehmen von den Anforderungen betroffen sind; beispielsweise Post- und Kurierdienste, Lebensmittelproduzenten oder die Abfallwirtschaft, aber auch Digitaldienste sowie Online-Marktplätze. KRITIS-Betreiber sind nun gefordert und müssen spezifische Sicherheitsvorkehrungen umsetzen, die ihre Dienste vor Cyberangriffen schützen. Hierzu zählen präventive Maßnahmen sowie Notfallpläne für Sicherheitsvorfälle. Des Weiteren gibt es eine Meldepflicht für Sicherheitsvorfälle – hier müssen Unternehmen und Organisationen die Vorfälle innerhalb bestimmter Fristen den nationalen Behörden melden. Dadurch lassen sich rechtzeitig Gegenmaßnahmen ergreifen und andere potenziell betroffene Unternehmen warnen. Darüber hinaus müssen Unternehmen Sicherheitsbeauftragte benennen, die die Sicherheitsmaßnahmen überwachen und für deren Umsetzung verantwortlich sind.
Cybersicherheit im Fokus. Die neue NIS-2-Richtlinie ist ein wichtiger Schritt zur Stärkung der Cybersicherheit in Europa. Klare Vorgaben und die Zusammenarbeit der Mitgliedstaaten sorgen dafür, dass das Cybersicherheitsnetzwerk widerstandsfähiger gegen Cyberbedrohungen wird. Unternehmen und Organisationen sind nun gezwungen, ihre Sicherheitsmaßnahmen zu erweitern und in diese zu investieren. Für die Umsetzung dieses Vorhaben haben die Mitgliedstaaten Zeit bis zum Oktober 2024. Auch wenn dieses Datum für die Umsetzung der NIS-2-Konformität festgelegt wurde, ist es wichtig, die Maßnahmen jetzt schon zu verbessern und anzupassen. Denn die Bedrohungen verändern sich kontinuierlich und entwickeln sich technologisch immer weiter. Planen die Unternehmen ihre Strategie zur Erhöhung der Cybersicherheit gut und langfristig, schützt das nicht nur alle digitalen Assets, es gewährleistet auch einen reibungslosen Betrieb.
E-Mail-Sicherheit im Kontext der NIS-2-Konformität. E-Mail-Kommunikation spielt eine zentrale Rolle in modernen Unternehmen und Organisationen, bringt allerdings deswegen auch erhebliche Sicherheitsrisiken. Im Rahmen der NIS-2-Konformität ist es deswegen von entscheidender Bedeutung, angemessene Maßnahmen zur E-Mail-Sicherheit zu implementieren. Hier können Verschlüsselungstechnologien für vertrauliche Informationen eingesetzt, Filtern zur Erkennung von Phishing- und Malware-Angriffen implementiert sowie Mitarbeiter im Umgang mit verdächtigen E-Mails geschult werden. Wird die E-Mail-Infrastruktur regelmäßig überprüft und die Sicherheitsprotokolle aktualisiert, steigert das die Vertraulichkeit und Integrität der Kommunikation und minimiert potenzielle Schwachstellen. E-Mail-Sicherheit ist somit ein integraler Bestandteil der NIS-2-Konformität und trägt dazu bei, die widerstandsfähige Cyberinfrastruktur aufrechtzuerhalten, die die Richtlinie anstrebt.
Tipps zur Erreichung der NIS-2-Konfirmität
- Kritischer Dienste identifizieren: Schauen Sie sich in Ihrem Unternehmen um, welche Dienste und Infrastrukturen als »kritisch« eingestuft werden könnten. Prüfen Sie, ob sie unter den Anwendungsbereich der NIS-2-Richtlinie fallen.
- Entwicklung von Sicherheitsmaßnahmen: Auf Basis der Ergebnisse der Risikobewertung lassen sich entsprechende Sicherheitsmaßnahmen und Sicherheitsrichtlinien entwickeln, die kritische Dienste schützen können.
- Benennung von Sicherheitsbeauftragten: Sicherheitsbeauftragte oder ein Sicherheitsteam sollten ernannt werden. Deren Aufgabe besteht darin, die Sicherheitsmaßnahmen zu überwachen und umzusetzen.
- Sensibilisierung der Mitarbeiter: Mitarbeiter sind häufig Einfallstor Nummer 1 für Cyberangriffe. Sensibilisieren Sie Ihre Mitarbeiter für das Thema Cybersicherheit und Cyberangriffe. Das gelingt mit entsprechenden Schulungen, um sicherzustellen, dass sie die Bedeutung der Sicherheitsmaßnahmen verstehen.
- Implementierung von Sicherheitslösungen: Mit Sicherheitslösungen kann das Netzwerk vor Cyberangriffen geschützt werden. Diese Lösungen können Firewall-Konfigurationen oder Verschlüsselungen umfassen.
- Regelmäßige Sicherheitsüberprüfungen: Werden kontinuierlich Sicherheitsüberprüfungen durchgeführt, kann kontrolliert werden, ob die implementierten Maßnahmen weiterhin wirksam sind.
- Zertifizierung und Compliance-Prüfungen: Cybersicherheitsmaßnahmen lassen sich durch unabhängige Stellen zertifizieren. Auch regelmäßige Compliance-Prüfungen stellen sicher, dass alle Anforderungen der NIS-2-Richtlinie erfüllt werden.
Günter Esch,
Geschäftsführer der
SEPPmail – Deutschland GmbH
[1] Quelle: Bitkom Research 2021