Der vollständige Leitfaden zu NIS2 – Wie Sie davon betroffen sind und die Vorschriften einhalten können
Inhaltsverzeichnis
–Welche Auswirkungen hat NIS2 auf Unternehmen?
– Wie können Unternehmen bis 2024 NIS2-konform werden?
Was Ist NIS2?
NIS oder die Richtlinie zur Netzsicherheit wurde erstmals im Jahr 2016 eingeführt. Sie wurde entwickelt, um kritische Infrastrukturen vor allen Arten von Cyber-Bedrohungen in Europa zu schützen. NIS2 ist eine Weiterentwicklung der vorherigen Richtlinie. Sie erweitert den Anwendungsbereich, um einen allumfassenden Cybersicherheitsstandard zu schaffen.
Die Vergangenheit hat gezeigt, dass Cyber-Kriminelle häufig kritische Infrastrukturen und Organisationen ins Visier nehmen, da diese essentiell für das Funktionieren wichtiger Dienste für Regierungen und Unternehmen sind. Mit der neuen Richtlinie zielt die Europäische Union darauf ab, kritische Schwachstellen zu beseitigen. Dadurch soll ein hohes Maß an Sicherheit geschaffen werden, dass im besten Fall Cyberangriffe verhindert und im schlimmsten Fall den Wiederanlauf erleichtert und die Resilienz erhöht.
Die NIS2-Richtlinie verpflichtet Organisationen und kritische Infrastrukturen zur Einhaltung strengerer Sicherheits- und Meldepflichten. Im Vergleich zur vorherigen Richtlinie gilt NIS2 für ein breiteres Spektrum von Organisationen und Unternehmen
Sehen wir uns die 5 Säulen der NIS2 genauer an:
- Vorstellung der Cyber-Krisenmanagement-Struktur oder CyCLON
- Einführung strengerer Meldepflichten und deren Einbindung in den Rahmen der Sicherheitsstruktur
- Fokus auf neue Bereiche wie Lieferketten, Schwachstellenmanagement, Cyber-Hygiene, Core Internet und andere
- Vorstellung von Peer-Reviews zur Verbesserung der Zusammenarbeit und des Wissensaustauschs für alle Mitgliedsstaaten
- Einbezug von mehr Sektoren und Branchen in den Geltungsbereich des Cyberschutzes, um einen größeren Teil der Wirtschaft zu schützen
Warum ist NIS2 wichtig?
Durch NIS2 wird der Bereich der Cybersicherheit und die Vorbereitung auf Krisenmanagement erweitert. NIS2 wurde im Zuge der Pandemie-Jahre konzipiert, als die Cyber-Bedrohungen immer mehr um sich griffen. Aus Berichten geht hervor, dass sich in jüngster Zeit sowohl die Zahl als auch die Art der Cyber-Bedrohungen und -Angriffe verändert hat und nun ein breiteres Spektrum von Branchen und Einrichtungen betroffen ist. Auch die Schutzmaßnahmen sollen umfassender werden, um so viele kritische Stellen wie möglich zu schützen. Daher hat die neue Richtlinie ein umfassenderes Konzept zur Stärkung der Cybersicherheit und der Widerstandsfähigkeit der Anbieter wesentlicher Dienste in Europa entwickelt.
Stefanie Hach erklärt:
“Das Thema NIS2 liegt jetzt auf dem Tisch von CISOs und Vorstandsmitgliedern, da sie persönlich für eine ausreichende Umsetzung der Richtlinie in ihren Organisationen verantwortlich gemacht werden. Die Androhung von Strafen bei Nichteinhaltung der Verordnung stellt eine neue Ebene der Verantwortung dar“
Die Änderungen und neuen Aspekte, die von der NIS2 abgedeckt werden, legen den Schwerpunkt auf den Faktor des Vorbereitetseins. Die neue Richtlinie unterscheidet nicht zwischen Betreibern essentieller Dienste und Anbietern digitaler Dienste, sondern konzentriert sich auf alle wichtigen Einrichtungen auf der Grundlage ihrer Größe, ihres Impacts und ihres Sektors. Die folgenden Anforderungen zeigen, wie NIS2 dazu beitragen soll, kritische Infrastrukturen wesentlicher und wichtiger Dienste zu schützen und Cyber-Bedrohungen die Stirn zu bieten:
– Aufstellung und Pflege eines europäischen Registers für Schwachstellen: Das Schwachstellenregister wird neu aufgedeckte Cyber-Schwachstellen in ganz Europa erfassen und pflegen. Eine Studie über die koordinierte Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure – CVD) und Schwachstellendatenbanken wurde in Auftrag gegeben und 2021 abgeschlossen.
– CyCLONe oder „Cyber Crisis Liaison Organisation Network“: Hierbei handelt es sich um ein Kooperationsnetzwerk für europäische Mitgliedsstaaten, die für das Cyber-Krisenmanagement zuständig sind. Dieses Netzwerk wird zusammen mit einer Kooperationsgruppe die enge Zusammenarbeit für den Informationsaustausch und das Situationsbewusstsein erleichtern. Außerdem soll es die Brücke zwischen der technischen Ebene (EU CSIRT-Netzwerk) und dem politischen Netzwerk der EU bauen.
– Jährlicher Bericht über den Cybersicherheits-Status in der EU: Der jährliche Bericht soll den Mitgliedstaaten helfen, sich über ihre Cybersicherheitsleistung, verbesserungswürdige Bereiche und die Cyberbedrohungslage bewusst zu werden.
– Dokumentation aller Anbieter grenzüberschreitender digitaler Dienste: Aufstellung und Pflege eines Berichts über alle Einrichtungen, die grenzüberschreitende Dienste wie Cloud Computing, Rechenzentrumsdienste, DNS-Dienste, TLD-Namensregistrierungen, Domänennamenregistrierungen und mehr anbieten.
- Ermöglichung von Peer-Reviews für die Mitgliedsstaaten, um allen Mitgliedern dabei zu helfen, ihre Cyber-Strategien auf dem neuesten Stand zu halten.
–Einrichtung eines Computer Security Incident Response Teams (CSIRT) und einer zuständigen nationalen Behörde für Netz- und Informationssysteme (NIS) in Zusammenarbeit mit allen Mitgliedstaaten.
Welche Auswirkungen hat NIS2 auf Unternehmen?
In weniger als 600 Tagen wird NIS2 in nationales Recht umgesetzt. Nutzen Sie die Zeit, um Ihre Kenntnisse zu vertiefen und den Umsetzungsprozess bereits jetzt zu beginnen.
Wenn Sie zu den „Essential“ und „Important Entities“ zählen, müssen Sie die neuen Richtlinien zu Risikoanalyse und Informationssicherheit, Geschäftskontinuität, Sicherheit der Lieferketten, Umgang mit Zwischenfällen, Praktiken bei der Entwicklung von Informationssystemen einschließlich der Offenlegung von Schwachstellen, Kryptografie, Verschlüsselung und mehrstufigen Authentifizierung umsetzen. Darüber hinaus müssen Sie möglicherweise bestimmte IKT-Produkte, -Dienstleistungen und -Prozesse einhalten, die von dem Cybersecurity ACT unter ENISA genehmigt wurden. Stefanie Hach empfiehlt, sich bei der Einhaltung von NIS2 von Experten beraten zu lassen und Lösungen zu suchen:
| Essential Entities (EEs) | Important entities (IEs) |
|---|---|
| Große Betreiber aus elf Annex I (Essential) Sektoren. | Große Betreiber aus sieben Annex II (Important) Sektoren. |
| Großer Schwellenwert: mehr als 250 Beschäftigte mehr als 50 M€ Umsatz mehr als 43 M€ Bilanz | Mittlerer Schwellenwert: 50 bis 250 Beschäftigte Umsatz zwischen 10 and 50 M€ weniger als 43 M€ Bilanz |
| Energie (Elektrizität, Erdöl, Erdgas, Wasserstoff) | Gesundheit (Gesundheitsdienstleister, EU Labore, Medizinforschung, Pharmazeutik) | Transport (Luft-, Schienen-, Straßenverkehr, Schifffahrt) | Bankwesen | Finanzmärkte | Trinkwasser | Abwasser| Digitale Infrastruktur (provider of: Internet-Knoten (IXP), DNS (ohne Root), TLD Registries, Cloud Provider, Vertrauensdienste (TSP)) | ICT service management |Weltraum | Öffentliche Verwaltung | Post | Kurier | Abfall | Chemikalien | Lebensmittel | Industrie (Herstellung) | Digitale Dienste (Marktplätze, Suchmaschinen, Soziale Netzwerke) | Forschung |
| Die essential entities (EEs) werden proaktiv überwacht. | Important entities (IEs) werden einer reaktiven Aufsichtsregelung unterliegen. |
| Strafen bis zu einem Maximum von mind. 10 Mio. EUR oder 2% des weltweiten Umsatzes bei Verstößen gegen Artikel 21 oder 23 (Cyber Security Maßnahmen und Meldungen) | Strafen bis zu einem Maximum von mind. 7 Mio. EUR oder 1,4% des weltweiten Umsatzes bei Verstößen gegen Artikel 21 oder 23 |
| Im Falle der Nichteinhaltung sind die Sanktionen für essential entities deutlich höher. | Bei Nichteinhaltung der Vorschriften drohen important entities geringere Strafen als essential entities (EEs). |
“Wenn Sie kein Experte im Cybersicherheits-Bereich sind, wäre es die richtige Zeit, sich nach Partnern umzusehen, die bei der Umsetzung der Anforderungen helfen können. Wir sprechen hier nicht nur von Beratungspartnern und Rechtspartnern, sondern auch von Lösungspartnern”
Wie Sie vielleicht schon erahnen, geht es bei der NIS2 nicht nur um die Vorbereitungsphase, sondern auch um die Phase der Krisenreaktion. Dabei ist es von großer Bedeutung, dass Einrichtungen und Unternehmen den Meldepflichten für Vorfälle nachkommen, sobald sie von einer Bedrohung oder einem Angriff betroffen sind. Wenn Einrichtungen in der Lage sind, Vorfälle präziser und rechtzeitig zu melden, können sie mit größerer Wahrscheinlichkeit zum allgemeinen Lernprozess sowie Wachstum beitragen. – Bei der Meldung von Vorfällen muss die Möglichkeit gewährleistet sein, eine Frühwarnung innerhalb der ersten 24 Stunden nach Bekanntwerden eines Vorfalls herauszugeben. Der nächste Aspekt ist die Meldung des Vorfalls innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls. Die Meldung umfasst eine erste Bewertung des Schweregrades des Vorfalls, der Auswirkungen und der Indikatoren für eine Gefährdung. Weiterhin muss innerhalb eines Monats nach der Meldung des Vorfalls ein Abschlussbericht erstellt werden, in dem der Vorfall im Detail beschrieben und die Ursachen analysiert werden.
Wie können Unternehmen bis 2024 NIS2-konform werden?
Inspektionen vor Ort, Sicherheitsaudits, Scans, Zugang zu den von den Unternehmen/Einrichtungen ergriffenen Cybersicherheitsmaßnahmen und der Nachweis, dass die erforderlichen Cybersicherheitsmaßnahmen von den Unternehmen/Einrichtungen umgesetzt wurden, sind einige Beispiele, welche Unternehmen im Rahmen von NIS2 erwarten können
Stefanie stellt die sechs wichtigsten Schritte vor, die jedes Unternehmen bei der Umsetzung der NIS2 verfolgen sollte:
1. Beurteilen Sie, wie sich die NIS2 auf Sie auswirkt oder ob Sie davon betroffen sind
2. Finden Sie Partner, die Ihnen dabei helfen können, die Vorschriften einzuhalten
3. Führen Sie gemeinsam mit Experten eine Gap-Analyse durch
4. Schaffen Sie Bewusstsein auf Vorstandsebene und entwickeln Sie einen Plan zur Umsetzung der fehlenden Anforderungen
5. Stellen Konkrete Budgets und, wenn möglich, ein Team für das Projekt bereit
6. Setzen Sie fehlende Maßnahmen, Strategien und Routinen bereits jetzt um, um bis 2024 konform zu sein
Unternehmen sollten bereits jetzt nach Möglichkeiten suchen, diese Änderungen umzusetzen, damit sie bis zum 17. Oktober 2024 konform werden. Die NIS2 sieht auch hohe Strafen für die Nichteinhaltung von Richtlinien vor (Geldbußen in Höhe von 10 Millionen Euro oder 2 % des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist, für „essential entities“ und 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist, für „important entities“).
Beigetragen von F24 Experten
F24 ist Europas führender Software-as-a-Service (SaaS) Anbieter für Resilienz. Mehr als 5.500 Kunden weltweit vertrauen auf die digitalen Lösungen von F24, die Unternehmen und Organisationen in allen Bereichen der Resilienz unterstützen. Die Lösungen decken die Bereiche Business Messaging, Servicebenachrichtigungen, Massenalarmierung, Incident- und Krisenmanagement sowie Governance, Risiko und Compliance (GRC) ab.
F24 unterstützt Kunden aus nahezu allen Branchen, von Energie, Gesundheitswesen, Industrie, Finanzwesen, IT, Tourismus und Luftfahrt bis hin zu einer Vielzahl von öffentlichen Organisationen. Durch die langjährige Praxiserfahrung im internationalen Umfeld zählt F24 heute zu den Experten für die Stärkung der Resilienz mit Hilfe digitaler Lösungen.