Umsetzung der EU-Richtlinie zum Schutz vor Cyberbedrohungen.
Auf viele Unternehmen kommen in puncto Cybersicherheit ab 2024 neue Herausforderungen zu. Die sogenannte Network and Information Security Directive 2, kurz NIS2, ist eine EU-Richtlinie zur Stärkung der Cybersicherheit, die bis spätestens Oktober 2024 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt sein muss. Damit soll der Gesetzgeber Unternehmen zu spezifischen Maßnahmen verpflichten, um ein einheitliches Mindestmaß an Resilienz gegenüber Cyberbedrohungen zu gewährleisten. Wen dies betrifft, welche Anforderungen auf Unternehmen zukommen und wie sich Unternehmen schon heute auf die Gesetzesnovelle vorbereiten können, erläutert Christoph Harburg, IT-Security Consultant bei dem Braunschweiger IT-Systemhaus Netzlink Informationstechnik.
Wen betrifft NIS2 und ab wann müssen Unternehmen die Anforderungen umsetzen?
NIS2 ist relevant für alle Unternehmen, die als »Betreiber wesentlicher und wichtiger Dienste« eingestuft oder digitale Service-Provider sind. Aufgrund der steigenden Zahl und wachsenden Komplexität von Cyberbedrohungen hat die EU – zum Schutz von Unternehmen, Lieferketten und IT-Infrastrukturen – mit der NIS2-Richtlinie ein umfassendes Regelwerk mit Rahmenbedingungen mitsamt Umsetzungskontrollen, Pflichten und Sanktionen verabschiedet. Diese neue Fassung soll die bisherige Fassung der Richtlinie NIS1, die bislang nur für KRITIS-Unternehmen (Betreiber von kritischen Infrastrukturen mit wichtiger Bedeutung für das staatliche Gemeinwesen) galt, ergänzen und erweitern. Die Überführung in deutsches Recht ist für Oktober 2024 geplant.
Unmittelbar betroffen von der NIS2-Richtlinie sind Unternehmen mit mindestens 250 Mitarbeitenden oder mehr als 50 Mio. EUR Umsatz und mehr als 43 Mio. EUR Jahresbilanzsumme, die Sektoren mit hoher Kritikalität unterliegen. Dazu zählen insbesondere die Sektoren Energie, Gesundheitswesen, Verkehr, Banken und Finanzmarktinfrastrukturen, Trink- und Abwasser, digitale Infrastrukturen, Verwaltung von ITK-Diensten und Weltraum. Diese Unternehmen werden als »Wesentliche Einrichtungen« bezeichnet. Darüber hinaus greift NIS2 auch für mittlere Unternehmen mit 50-249 Mitarbeitenden oder mehr als 10 Mio. EUR Umsatz und Jahresbilanzsumme aus den genannten Sektoren mit hoher Kritikalität und zusätzlich sonstigen kritischen Sektoren wie: Anbieter digitaler Dienste, Chemie, Ernährung, Logistik, Abfallwirtschaft, produzierendes und verarbeitendes Gewerbe, Forschung und Öffentliche Verwaltung (entsprechender Größe). Diese Unternehmen werden als »Wichtige Einrichtungen« bezeichnet.
Welche Anforderungen die Richtlinie an betroffene Unternehmen stellt
Die NIS2-Richtlinie legt Anforderungen an die Sicherheit und den Schutz von netzwerkbasierten Diensten und Informationssystemen fest. Betroffene Unternehmen in Deutschland müssen sicherstellen, dass sie angemessene Sicherheitsmaßnahmen implementieren, um ihre Systeme vor Cyberangriffen zu schützen. Konkrete Anforderungen, die NIS2 an betroffene Unternehmen stellt, umfassen unter anderem die Implementierung von Sicherheitsmaßnahmen, den Aufbau geeigneter Sicherheitsvorkehrungen, das Einhalten von Meldepflichten bei Sicherheitsvorfällen und die Zusammenarbeit mit nationalen Behörden.
- Risikoanalyse und ISM:
So müssen die Unternehmen unter anderem Mindestvorgaben für ein Incident Management zur Vorbeugung, Erkennung und Behandlung von Sicherheitsvorfällen umsetzen und einhalten. »Wichtig in dem Zusammenhang sind aber auch zuverlässige Prüfroutinen für Gefahren der physischen IT-Sicherheit, zum Beispiel für den Schutz vor Diebstahl, Feuer oder Stromausfall. Dafür liefert die Richtlinie entsprechende Vorgaben, um eine zuverlässige Risikobewertung der eigenen IT-Infrastruktur vorzunehmen«, betont Christoph Harburg. »Ein Großteil der von NIS2 betroffenen Unternehmen muss aber auch auf Organisationsebene ein fortlaufendes Risikomanagement einführen, das sowohl ein Information Security Management (ISM) als auch ein Business Continuity Management (BCM) mit einem unternehmensspezifischen Notfallhandbuch, Backup-Management und Desaster Recovery umfasst.« - Verschlüsselung und Zugriffssicherheit:
Operative und technische Pflichten sehen ebenfalls geeignete Verfahren für den Einsatz von Kryptografie und Hash- sowie Verschlüsselungsstandards vor. Mit Multi-Faktor-Authentifizierung (MFA) sowie nachgewiesenen Maßnahmen zur Cyberhygiene, z. B. Passwortsicherheitsrichtlinien, soll der Schutz von IT-Systemen verbessert werden. - Auditierung:
Ab Oktober 2024 wird für viele Unternehmen ein Krisenmanagement speziell für IT-Sicherheit obligatorisch. Manche Sektoren werden zudem zur Auditierung und Testung für die Effektivitätsmessung von IT-Sicherheitsmaßnahmen verpflichtet sein. - Zugriffskontrollen:
Die IT-Sicherheit in der Systemakquisition, -entwicklung und -wartung wird in manchen Organisationen künftig ebenso bindend wie Zugriffskontrollen, Asset Management und Zero-Trust-Zugriffe. Sowohl On-Premises als auch Cloud-basierte Ressourcen erhalten eine strengere Zugriffskontrolle. - Sicherheitstrainings:
Die IT-Sicherheit liegt stärker denn je in der Verantwortung aller Mitarbeitenden, wofür bereichsübergreifende Security-Awareness-Trainings notwendig werden. - Resilienz:
Mit NIS2 muss IT-Sicherheit auch innerhalb von Lieferketten gewährleistet sein, was eine koordinierte Risikobewertung direkter Lieferketten bedeutet. Damit müssen betroffene Unternehmen ihre Lieferanten und Diensteanbieter zur Informationssicherheit verpflichten, da dies bei Überprüfungen und Audits mit abgefragt wird. - Nachweispflichten:
Der jüngste Entwurf des NIS2-Umsetzungsgesetzes entlastet die wichtigen Einrichtungen von ihren Nachweispflichten, für wesentliche Einrichtungen gelten Nachweispflichten an das BSI (Bundesamt für Sicherheit in der Informationstechnik). - Meldepflichten:
Mit der NIS2-Richtlinie kommen Meldepflichten bei erheblichen Sicherheitsvorfällen auf betroffene Unternehmen zu. Dafür müssen Meldungen an das BSI geleistet werden: innerhalb von 24 Stunden als Frühwarnung bzw. etwaige Verdachtsmeldung, innerhalb von 72 Stunden als Meldung mit einer ersten konkreten Bewertung der Lage sowie anschließend innerhalb eines Monats eine Bewertung durch einen Abschlussbericht inklusive einer Planung von Abhilfemaßnahmen.
Empfindliche Sanktionen bei Nichteinhaltung
Unternehmen, die die Maßnahmen nicht nachweisen können oder Meldefristen überschreiten, drohen Bußgelder in empfindlicher Höhe. Für wesentliche Einrichtungen werden Bußgelder bis 10 Millionen EUR bzw. 2 % des Jahresumsatzes fällig. Wichtigen Einrichtungen drohen Strafen bis 7 Millionen Euro bzw. 1,4 % des Jahresumsatzes. Zudem gibt es einen erweiterten Bußgeldrahmen für Verstöße. Die Geschäftsleitung hat die Pflicht, die Umsetzung der Maßnahmen zu billigen und zu überwachen. Bei Verstoß gegen diese Pflicht ist sie persönlich haftbar (Binnenhaftung, Stand 27.09.2023). Die Möglichkeit des Unternehmens, die Geschäftsführung von dieser Haftung zu entbinden, besteht ausdrücklich nicht. Insbesondere die wesentlichen Einrichtungen unterliegen erweiterten Aufsichts- und Durchsetzungsmaßnahmen der zuständigen Behörden. Dies geht mit zusätzlichen Pflichten zur Registrierung von Dienstleistern mit Cloudangeboten, Rechenzentrums-Dienstleistern und Telekommunikations-Dienstleistern einher.
Wie Unternehmen sich vorbereiten können
Die Umsetzung der neuen Cybersecurity-Anforderungen stellt Unternehmen vor große Herausforderungen. Die notwendigen Schritte erfordern nicht nur Aufklärung, ein umfassendes IT-Sicherheits-Know-how, Vorlaufzeit für genaue Analysen und die nötige Zeit, um die Maßnahmen zu planen, zu implementieren und Routinen zu entwickeln. Dafür bieten IT-Dienstleister wie Netzlink einen umfassenden NIS2-Workshop für Unternehmen an, um die ersten Schritte zur Einhaltung der Cybersicherheitsanforderungen einzuleiten:
- Schritt 1: Identifikation der einzuhaltenden Vorgaben
Der erste Schritt des Workshops für Unternehmen ist die Identifikation der bisher bekannten Anforderungen von NIS2 und des NIS2-Umsetzungsleitfadens (NIS2UmsuCG, NIS2 Umsetzungs- und Cyberhygienestärkungsgesetz) und die Übertragung dieser auf die individuelle Unternehmenssituation. IT-Dienstleister können dabei helfen, die spezifischen Vorgaben und Bestimmungen zu verstehen, die für Unternehmen relevant sind. - Schritt 2: Aufnahme der aktuellen IST-Situation
Um die individuellen Anforderungen zu verstehen, können die IT-Expertinnen und IT-Experten die aktuelle IST-Situation des Unternehmens in Bezug auf NIS2 genau unter die Lupe nehmen. Die bestehenden Sicherheitsvorkehrungen und -prozesse werden analysiert, um herauszufinden, wo Anpassungen und Verbesserungen notwendig sind. - Schritt 3: Erstellen einer GAP-Analyse
Die Erstellung einer GAP-Analyse ist von entscheidender Bedeutung zur Identifizierung der Lücken zwischen dem IST-Zustand der aktuellen Sicherheitsmaßnahmen eines Unternehmens und den erforderlichen Soll-Vorgaben. Auf Basis dieser Analyse kann eine klare Übersicht über die notwendigen Schritte erstellt werden. - Schritt 4: Empfehlung von geeigneten, priorisierten Maßnahmen
Basierend auf den Ergebnissen der GAP-Analyse ist eine individuell angepasste Maßnahmen-Empfehlungsliste zu erstellen. Die Priorisierung stellt sicher, dass die wichtigsten Schritte zuerst umgesetzt werden und die Sicherheit der digitalen Unternehmens-Infrastruktur schrittweise erhöht wird. - Schritt 5: Zusammenfassung und Abschlusspräsentation
Damit das jeweilige Unternehmen den Umsetzungsprozess von NIS2 gezielt planen und alle relevanten Aspekte berücksichtigen kann, sind die Ergebnisse der Analyse und die empfohlenen Maßnahmen klar und verständlichen in einer umfassenden Abschlusspräsentation vorzustellen.
»Um bei den NIS2-Sicherheitsanforderungen den Überblick zu behalten, ist ein schrittweises, strukturiertes Vorgehen der effizienteste Weg für Unternehmen. Der Kern ist dabei die Gegenüberstellung der IST-Situation eines Unternehmens in Sachen IT-Sicherheit mit der SOLL-Situation. Nur wenn klar ist, wo die Lücken sind und wo Verbesserungspotential besteht, können geeignete Maßnahmen ausgewählt und ergriffen werden«, so Christoph Harburg.
Alessa Wesener, Head of Corporate Communications and Marketing bei Netzlink Informationstechnik
63 Artikel zu „NIS2“
TRENDS 2024 | NEWS | TRENDS SECURITY | IT-SECURITY | WHITEPAPER
NIS2: Jedes dritte Unternehmen setzt die Richtlinie bereits um
Bei einem weiteren Drittel der Befragten ist die Umsetzung noch in Planung. 38 Prozent der deutschen Unternehmen haben noch nicht mit der Umsetzung der NIS2-Richtlinie begonnen. Dabei ist es höchste Zeit: Mit dem Gesetzentwurf (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) hat das Bundesministerium des Innern und für Heimat die Weichen gestellt. Bis zum 17. Oktober 2024 soll…
NEWS | IT-SECURITY | LÖSUNGEN | TIPPS
Welche Erkenntnisse sich aus der DSGVO für DORA und NIS2 einsetzen lassen
Was mit der DSGVO begann, setzt die EU mit NIS2 und DORA konsequent fort. Sie reglementiert die Datenindustrie und die digitalen Prozesse vieler Firmen, um Daten und Netze robuster zu machen gegen Angriffe. Gleichzeitig lassen sich aus der Einführung der DSGVO einige wichtige Schlüsse zum Umgang mit den neuen Regeln für Unternehmen ziehen. Welche das…
NEWS | IT-SECURITY | RECHENZENTRUM | STRATEGIEN
Countdown zur NIS2-Richtlinie: So können IT-Teams Blind Spots im eigenen Netzwerk fristgerecht eliminieren
NIS2 soll die Cyber- und Informationssicherheit EU-weit maßgeblich stärken. Zum Stichtag am 17. Oktober 2024 muss die Direktive in nationales Recht umgewandelt werden. Angesichts der sich zuspitzenden Cyber-Security-Lage ist das auch absolut notwendig, weiß Ali Moniri, Senior Sales Engineer bei Gigamon. Für Unternehmen bedeutet das: ranklotzen! Denn es bleibt nur noch wenig Zeit für die…
NEWS | IT-SECURITY | STRATEGIEN | TIPPS
Sich effektiv auf die NIS2-Richtlinie vorbereiten
Wie Prozessmonitoring Organisationen und Unternehmen unterstützt bei dynamischen Risikomanagement und zeitnahem Geschäftsprozess-Reporting. Um ein höheres Maß an Cybersicherheit für Netz- und Informationssysteme in Organisationen zu erreichen, erließ das Europäische Parlament im Juli 2016 die Richtlinie über Netz- und Informationssysteme (NIS). Sie schuf einen Rahmen für Cybersicherheitskapazitäten in allen Mitgliedstaaten und baute wichtige Sicherheitsvorkehrungen in…
NEWS | DIGITALISIERUNG | FAVORITEN DER REDAKTION | IT-SECURITY | STRATEGIEN | TIPPS
IT-Compliance: NIS2 – Vorbereitung ist alles!
Mit der Richtlinie über Netz- und Informationssicherheit (NIS2) tritt in diesem Jahr eine neue Richtlinie in Kraft, die sich erheblich auf Organisationen auswirkt. NIS2 legt detaillierte Cybersicherheitsvorschriften fest, deren Nichteinhaltung die EU mit hohen Geldstrafen sanktionieren wird. Im Herbst läuft die Vorbereitungsfrist ab — auf folgende Punkte müssen IT-Verantwortliche besonders achten. Gesetzliche Regularien sind…
NEWS | INFRASTRUKTUR | IT-SECURITY | STRATEGIEN | TIPPS
Die Auswirkungen der NIS2-Richtlinie auf die Container-Sicherheit verstehen
Die digitale Landschaft in Europa steht mit der Veröffentlichung der NIS2-Richtlinie vor einem bedeutenden Wandel. Die Umsetzung dieser digitalen Transformation ist eng mit der Entwicklung der Cyber Security verbunden. Regierungen auf der ganzen Welt ergreifen jetzt Maßnahmen, um kritische Infrastrukturen intensiver vor Cyberbedrohungen zu schützen. Diese Richtlinie, die darauf abzielt, die Sicherheit und Widerstandsfähigkeit im…
NEWS | IT-SECURITY | AUSGABE 11-12-2023 | SECURITY SPEZIAL 11-12-2023
Cybersecurity – NIS2 fordert mehr Sicherheit, Transparenz und Kontrolle
NEWS | FAVORITEN DER REDAKTION | IT-SECURITY | STRATEGIEN | TIPPS
NIS2 – Mehr Cybersicherheit für Europa
Die neue EU-Richtlinie »Netzwerk- und Informationssysteme 2« (NIS2) soll für mehr Cybersicherheit in Unternehmen, Behörden und Privathaushalten sorgen. Das Ziel ist es, insbesondere kritische Infrastrukturen in Zukunft besser vor Cyberattacken zu schützen. Mitgliedsstaaten müssen die Richtlinie bis Oktober 2024 in nationale Gesetze gießen. Dabei ist zu erwarten, dass in einigen Ländern die Richtlinien strenger umgesetzt…
NEWS | IT-SECURITY
NIS2-Richtlinie stärkt europäische Cybersicherheit – was das für Unternehmen bedeutet
Die überarbeitete NIS2-Richtlinie zur Netz- und Informationssicherheit weitet den Kreis der betroffenen Unternehmen deutlich aus und bezieht auch Zulieferer und Dienstleister für kritische Sektoren mit ein. Bei Nichteinhaltung sind nicht nur die Cybersicherheit des eigenen Unternehmens und die Reputation bei Partnern und Kunden in Gefahr – es drohen auch empfindliche Geldbußen. Die digitale Transformation…
NEWS | IT-SECURITY | RECHENZENTRUM | STRATEGIEN | TIPPS
Ransomware: Mehr Transparenz und Kontrolle schaffen
800 verschobene Operationen, geschlossene Rathäuser, ausgefallene Video-Dienste – all dies sind direkte Folgen der jüngsten Ransomware-Attacken aus den vergangenen 15 Tagen. Die Ransomware-Pandemie wütet ungebremst und die Politik diskutiert strengere Regeln. In UK wird diskutiert, ob Firmen gezwungen werden sollten, Attacken und Ransom-Zahlungen zu melden. Die EU hat mit NIS2 und DORA bereits strenge Meldepflichten…
AUSGABE 5-6-2024 | SECURITY SPEZIAL 5-6-2024 | NEWS | INFRASTRUKTUR | IT-SECURITY
Widerstandsfähigkeit durch umfassendes Management der Cyberrisiken – Wenn Cyberangriffe die Demokratie bedrohen
AUSGABE 5-6-2024 | SECURITY SPEZIAL 5-6-2024 | NEWS | INDUSTRIE 4.0 | IT-SECURITY
Produktionsumgebungen sicher aufstellen – Aus der Urzeit in die Gegenwart
NEWS | BUSINESS | BUSINESS PROCESS MANAGEMENT | GESCHÄFTSPROZESSE
Die Vorteile von Intelligent Agreement Management (IAM) für Unternehmen
In der heutigen schnelllebigen Geschäftswelt ist Effizienz der Schlüssel zum Erfolg. Unternehmen suchen ständig nach Wegen, um Prozesse zu optimieren und die Produktivität zu steigern. Hier kommt eine Plattform für Intelligent Agreement Management (IAM) ins Spiel, die es ermöglicht, Verträge und Genehmigungsprozesse digital und sicher abzuwickeln. Aber was genau sind die Vorteile für Unternehmen? …
TRENDS 2024 | NEWS | BUSINESS | TRENDS KOMMUNIKATION | EFFIZIENZ | NEW WORK
Die Arbeitswelt verändert sich – doch deutsche Teams treten auf der Stelle
56 Prozent der deutschen Büroangestellten haben zu viele verschiedene Zielvorgaben. 64 Prozent beklagen unnütze Meetings. Nicht einmal die Hälfte (49 Prozent) sieht sich als High Performer. In Zeiten von künstlicher Intelligenz (KI) und hybriden Arbeitsmodellen prägen neue Realitäten die Zusammenarbeit von Teams: Sie sind zunehmend über verschiedene Standorte und Zeitzonen verteilt und arbeiten oftmals…
TRENDS 2024 | NEWS | TRENDS INFRASTRUKTUR | DIGITALISIERUNG | KÜNSTLICHE INTELLIGENZ | NACHHALTIGKEIT | LOGISTIK
In KI und Nachhaltigkeit für sichere und konforme Lieferketten investieren
Globale Lieferketten mit ihren eng getakteten Netzwerken und weltweit verteilten Lieferanten- und Kundenstrukturen sind momentan so fragil wie nie. Personalmangel, unsichere Transportwege, Streiks, geschlossene Häfen oder Naturkatastrophen sind weitere Auslöser, die dafür sorgen, dass globale Lieferkettenstörungen mittlerweile fast schon zum Alltag gehören und es Unternehmen zunehmend schwer machen, präzise zu planen. Um ihre Umsatzziele auch…
NEWS | BUSINESS PROCESS MANAGEMENT | INFRASTRUKTUR | SERVICES
Effizientes IT-Event-Management: Frühzeitige Warnsignale erkennen und handeln
In modernen IT-Umgebungen generieren zahlreiche Quellen, von Infrastruktur-Monitoring-Software bis zu Netzwerkkomponenten, eine Fülle von Daten, die Veränderungen in der IT-Landschaft als Events abbilden. Dieser stetige Strom an Informationen kann nur durch ein automatisiertes Event-Management-System effektiv analysiert und gehandhabt werden. Ziel ist es, in diesem Datenstrom echte Warnsignale frühzeitig zu erkennen und durch proaktive Maßnahmen Probleme…
NEWS | INFRASTRUKTUR | RECHENZENTRUM | SERVICES
noris network nimmt Colocation-Betrieb für Stadt Nürnberg auf
Feierliche Eröffnung mit städtischem Referent Thorsten Brehm noris network, Betreiber von hochsicheren Rechenzentren mit Standorten in Nürnberg, München und Hof, hat den Rechenzentrumsbetrieb für die Stadt Nürnberg aufgenommen. Thorsten Brehm, Referent für Finanzen, Personal und IT, Albert Rösch, IT-Leiter der Stadt, und Joachim Astel, Vorstand von noris network, feierten die Eröffnung im Rechenzentrumsabschnitt Nürnberg…
TRENDS 2024 | NEWS | BUSINESS PROCESS MANAGEMENT | TRENDS KOMMUNIKATION | GESCHÄFTSPROZESSE | KOMMUNIKATION | WHITEPAPER
Regularien: Immer mehr Reporting-Aufwand
39 Prozent der Mittelständler berichten von starken Auswirkungen bei Lieferketten- und Klimaschutzgesetz. Im Branchenvergleich: IT- und Technologiebranche mit deutlich mehr Aufwand beim DSGVO- und Nachhaltigkeits-Reporting. Daten- und Klimaschutz sowie das Lieferkettengesetz haben im Vergleich zu den anderen Regularien die größten Auswirkungen auf den deutschen Mittelstand. Das zeigt die aktuelle Studie »Deutscher Mittelstand im Regulierungskorsett«…
NEWS | FAVORITEN DER REDAKTION | IT-SECURITY | STRATEGIEN
Security by Design, Zero Trust und Deep Observability: Dreifaltigkeit der IT-Sicherheit
Ali Moniri, Senior Sales Engineer bei Gigamon, weiß: Security by Design und Deep Observability müssen für optimale Netzwerksicherheit Hand in Hand gehen. Wer Softwareprodukte entwickelt, hat schon einmal von Security by Design als idealen Sicherheitsansatz gehört. Dabei handelt es sich um ein Design-Konzept, bei dem das Produkt über den gesamten Entwicklungsprozess hinweg – von…
NEWS | CLOUD COMPUTING | IT-SECURITY | SERVICES | TIPPS
Firmen sollten sich regelmäßig selbst angreifen, um ihre Cyberresilienz zu testen
Cybersicherheit: Selbstangriff ist die beste Verteidigung. Rainer M. Richter: »Heutige Angriffssysteme aus der Cloud sind für jeden Mittelständler erschwinglich.« Bei mehr als 70 aufgedeckten Softwareschwachstellen am Tag kommen die Firmen nicht mehr nach, ihre Systeme vor Cyberangriffen sicher zu machen. Die deutsche Wirtschaft setzt bei Cybersecurity zu einseitig auf bloße Verteidigungsmaßnahmen und vernachlässigt den…