Jetzt schon NIS2 umsetzen!
Author
Maren Keller, Mi, 17. Mai. 2023
 in Cybersecurity

Jetzt schon NIS2 umsetzen!

Was die NIS2-Richtlinie für Unternehmen bedeutet

Haben Sie schon von NIS2 gehört? Dabei handelt es sich um den Nachfolger von NIS, der europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit. Seine Umsetzung muss jetzt dringend angegangen werden.

Wer betroffen ist und welche Auswirkungen NIS2 hat, erfahren Sie bei uns.

Was ist NIS?

NIS bzw. die NIS-Richtlinie ist bereits im August 2016 in Kraft getreten. Sie stellt die Richtlinie für ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen in der europäischen Union dar. Damit das funktioniert, wurden bestimmte Maßnahmen definiert. Die Abkürzung NIS steht dabei für „Network and Information Security“.

Im Großen und Ganzen geht es bei NIS um einen europaweiten Rechtsrahmen für den Aufbau nationaler Kapazitäten für die Cybersicherheit und eine stärkere Zusammenarbeit der Mitgliedstaaten der EU. Außerdem wurden Mindestsicherheitsanforderungen und Meldepflichten für Kritische Infrastrukturen, sowie für bestimmte Anbieter digitaler Dienste wie Cloud-Services und Online-Marktplätze definiert. Ziel ist es, die Widerstandskraft kritischer Infrastrukturen gegen Hackerangriffe europaweit zu stärken.

Wichtig: Die NIS-Richtlinie darf nicht mit dem IT-Sicherheitsgesetz 2.0 verwechselt werden. Denn das regelt nur die Sicherheit der Kritischen Infrastrukturen innerhalb Deutschlands. Ziel hierbei ist der Schutz der Bevölkerung.

NIS 2: Laptop, vier Personen, bei der Arbeit im Büro. Bild: ©Syda Productions/stock.adobe.com

NIS2 fordert von Unternehmen mehr IT-Sicherheit. Bild: © Syda Productions/stock.adobe.com

Was besagt der Nachfolger NIS2?

Die Europäische Union hat die Richtline NIS2 als Nachfolger auf NIS eingeführt. Sie ist eine Reaktion auf die steigenden Bedrohungen durch Cyberkriminalität und trat am 16. Januar dieses Jahres in Kraft. 21 Monate haben die EU-Mitgliedstaaten nun Zeit, die Vorgaben in nationales Recht umzusetzen. Mitte Oktober 2024 wird also der Stichtag sein. In Deutschland könnte daraus sozusagen das IT-Sicherheitsgesetz 3.0 werden.

Die neue NIS-2-Richlinie wurde an bereits bestehende Bestimmungen angepasst, definiert betroffene Unternehmen neu und erweitert sie um Sektoren und Branchen. Die wichtigsten Unterschiede zur alten NIS-Richtlinie sind:

  • Künftig gibt es elf wesentliche („essential“) und sieben wichtige („important“) Sektoren.
  • Hohe Geldstrafen drohen Betrieben, die NIS2 nicht umsetzen. Die Rede ist von bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes.
  • Bestehende Anforderungen wurden konkretisiert, beispielsweise müssen Unternehmen künftig Penetrationstests regelmäßig durchführen und Systeme zur Meldung von Vorfällen regelmäßig überprüfen.

Weitere Neuerungen sind:

  • Betroffen sind mittlere und große Unternehmen ab 50 Mitarbeiter/10 Mio. Euro Umsatz ohne Anlagen-Schwellenwerte. Einige Betreiber (Teile der digitalen Infrastruktur und öffentliche Verwaltung) sollen unabhängig der Größe reguliert werden.
  • Die Anforderungen an Betreiber und Mitglied­staaten steigen, künftig muss die Cybersicherheit auch in Lieferketten betrachtet werden.
  • Die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern werden vertieft.

Die neuen Maßnahmen, die NIS2 mit sich bringt, sollen Unternehmen nicht nur verpflichten, einen aktiven Ansatz zur Verteidigung ihrer Netzwerke und Systeme zu verfolgen, sondern auch, eine solchen Ansatz konkret umzusetzen – um besser gegen Cyberangriffe gewappnet zu sein. Alle Vorgaben der NIS-2-Richtlinie finden Sie in der DIRECTIVE (EU) 2022/2555 des europäischen Parlaments.

IT-Sicherheit wird zur Pflicht

NIS2 legt also Mindestanforderungen an die IT-Sicherheit fest. Vorgeschrieben ist dann die Prävention sowie Erkennung und Abwehr von Cyberattacken. Neben moderner Backup-Konzepte und Desaster-Recovery werden auch Verfahren für den Einsatz von Multi-Faktor-Authentifizierung, Kryptografie und gegebenenfalls Verschlüsselung zur Pflicht. Oder kurz: Firmen müssen in vier Bereichen tätig werden!

  1. Minimierung der Angriffsfläche
  2. frühzeitige Erkennung von Angriffen
  3. schnelle Reaktion und
  4. eine vollständige Wiederherstellung

Für Firmen heißt es spätestens jetzt also, in die IT-Sicherheit zu investieren. Denn Cyberkriminelle sind einfallsreich und lassen sich immer neue Kniffe einfallen, um an ihr Ziel – sensible Daten und/oder Lösegeld – zu gelangen. So nutzen die Kriminellen beispielsweise KI-Technologien für das Ermitteln von Passwörtern. Sie spüren Schwachstellen in der IT mithilfe entsprechender Programme auf und missbrauchen Captchas, die eigentlich vor Hackern und Spam-Bots schützen sollen. Wichtig: Viele der in NIS2 genannten Vorgaben lassen sich mit einer Zero-Trust-Strategie in Kombination mit einem System für das Security Information and Event Management (SIEM) oder das Security Operations Center (SOC) bereits abdecken.

Für Unternehmen  bedeutet das: Sie müssen nicht nur in die Abwehr von Angriffen investieren, sondern mit geeigneten Backup-Routinen, im Idealfall mit einer ausgefeilten Backup-Strategie, auch in die Wiederherstellung der Daten. Der erste und günstigste Schritt in eine Umfassende IT-Sicherheit ist die Schulung von Mitarbeitern mit sogenannten Awareness-Schulungen.

NIS 2: Seminarraum mit Teilnehmern eines Vortrags. Laptop, Flipchart, Redner. Bild: ©master1305/stock.adobe.com

Die günstigste, aber wichtige Investition in die IT-Sicherheit ist die Sensibilisierung der Mitarbeiter. Bild: ©master1305/stock.adobe.com

Awareness-Schulungen: Baustein für NIS2

Mitarbeiter sind nach wie vor die größte Gefahr für sensible Firmendaten, denn sie sind viel zu häufig gutgläubig und leichtsinnig. Eine Bitkom-Studie zeigt deutlich, dass das sogenannte Social Engineering deutlich zugenommen hat. Dabei versuchen die Kriminellen vor allem durch betrügerische Telefonanrufe oder E-Mails an sensible Informationen zu gelangen. Wenn Kriminelle möglichst schnell ans Geld kommen wollen, ist der CEO-Betrug äußerst beliebt, der zum sogenannten Social Hacking gehört.

Schützen können Sie sich, indem Sie Ihre Mitarbeiter schulen. NIS2 schreibt solche Schulungen sogar vor. Zwar wird es keine 100 prozentige Sicherheit geben, aber Betriebe sollten alles unternehmen, um es den Kriminellen zu schwer wie möglich zu machen. Dazu gehört neben einer IT-Strategie ein umfassendes IT-Sicherheitskonzept.

Wenn Sie Fragen zur IT-Sicherheit im Allgemeinen oder im Detail haben, wenden Sie sich gern an Ihren PC-SPEZIALIST in Ihrer Nähe. Wir beraten Sie gern unverbindlich und betreuen Ihre IT mit dem IT-Basisschutz proaktiv, so dass Sie sich ganz auf Ihr Kerngeschäft konzentrieren können.

UPDATE: Umsetzung verzögert sich

Auch wenn Sie selbst mit der Umsetzung der NIS2-Richtlinie im Idealfall nicht warten, sondern bereits jetzt gewappnet sind, ist es dennoch nicht weiter dramatisch, wenn Sie die Maßnahmen der Richtlinie noch nicht umgesetzt haben. Denn: Das nationale Gesetz zur Umsetzung von NIS2 wird derzeit noch vom Bundesministerium des Innern und für Heimat erarbeitet. Und die Abstimmung über das Gesetzesvorhaben ist innerhalb der Bundesregierung noch nicht abgeschlossen.

Das heißt: Das Gesetz muss noch mehrere Lesungen und Runden in Bundesrat und Bundestag durchlaufen, ehe es endgültig in Kraft tritt. Nach aktuellen Informationen ist das Inkrafttreten für März 2025 geplant. Damit bleibt Unternehmen genügend Zeit zu analysieren, ob Sie betroffen sind und in diesem Falle einen Fahrplan zum Erfüllen der Anforderungen aufzustellen. Die Experten von PC-SPEZIALIST unterstützen Sie dabei gern.

_______________________________________________

Quellen: security-insider, is-its, openkritis, bsi-bund, gut-cert, Pexels/@markusspiske (Headerbild)

, , ,

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

0 Kommentare

    Das könnte Sie auch interessieren