Bereits seit 2016 haben die EU-Mitgliedsländer mit dem Network and Information Systems (NIS) wegweisende Cybersicherheitsmaßnahmen ins Leben gerufen, die Anfang 2023 durch die NIS2-Richtlinien erweitert wurden.
Die NIS2-Richtlinien, zielen darauf ab, den Schutz kritischer Organisationen vor Cyber-Risiken wie Supply-Chain-Schwachstellen, Ransomware-Angriffen und anderen digitalen Gefahren zu verstärken. Die neuen Bestimmungen beinhalten strengere Sicherheitsvorgaben, präzisere Meldepflichten, verbesserte Überwachungsmechanismen und durchsetzungsstärkere Regelungen.
Bis Oktober 2024 müssen alle 27 EU-Staaten diese Richtlinie in ihre jeweiligen nationalen Gesetzgebungen integrieren, um ein höheres Niveau der Cyber-Sicherheit zu gewährleisten.

Was ist bei den NIS2 (Netzwerk und Informationssysteme 2) neu?

Mit der NIS2 kommen einige wichtige Neuerungen, die über die bisherigen KRITIS (Kritische Infrastrukturen) hinaus gehen. Eine der bedeutendsten ist die persönliche Haftung von Geschäftsführern und Vorstandsmitgliedern. Zudem müssen Unternehmen Maßnahmen auf verschiedenen Ebenen ergreifen, darunter Risikoanalysen, Krisenmanagement, Sicherheit in der Lieferkette, Cyberhygiene und vieles mehr. Die Richtlinie fordert auch eine rasche Meldung von Cyber-Vorfällen an die zuständigen nationalen Behörden.

Wer ist von der NIS2 Richtline betroffen?

Unternehmen und Behörden mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von über 10 Millionen Euro sollten aufmerken. Die NIS2-Richtlinie erweitert den Kreis der betroffenen Organisationen über die bisherigen kritischen Infrastrukturen hinaus und bezieht nun 18 Sektoren, darunter Energie, Trinkwasser, Bankwesen oder Digitale Infrastrukturen mit ein.
NIS2 wer ist betroffen

Was sind die Ziele der NIS2-Richtlinien?

Das Hauptziel der NIS2-Richtlinie ist die Stärkung der Cyber-Resilienz innerhalb der EU (Europäischen Union). Das beinhaltet den Schutz des Binnenmarktes vor Cyberangriffen und Betriebsunterbrechungen – zwei der größten Bedrohungen für Unternehmen laut dem „Allianz Risk Barometer 2023“.

Checkliste zum Einhalten der NIS2

Unternehmen in der Europäischen Union sind verpflichtet, bestimmte Maßnahmen im Bereich der Cyber-Sicherheit zu ergreifen, um die Informationstechnologie und Netzwerke ihrer essenziellen Dienste zu sichern. Du willst wissen, was die NIS2 für dich bedeutet und wie du dich darauf vorbereiten kannst? Hier ist eine einfache Checkliste mit den wichtigsten Maßnahmen, die du beachten solltest:
  • Richtlinien für Risiken und Informationssicherheit: Erstelle klare Regeln, wie du mit deinen Daten und Systemen umgehst und wie du dich vor Cyberangriffen schützt.
  • Prävention, Detektion und Bewältigung von Cyber Incidents: Sorge dafür, dass du mögliche Bedrohungen frühzeitig erkennst und abwehrst und dass du einen Plan hast, wie du im Ernstfall reagierst.
  • Business Continuity Management (BCM) mit Backup Management, Disaster Recovery, Krisen Management: Stelle sicher, dass du deine wichtigen Daten regelmäßig sicherst und dass du im Falle eines Ausfalls schnell wieder einsatzbereit bist. Bereite dich auch auf mögliche Krisensituationen vor und trainiere dein Team dafür.
  • Sicherheit in der Lieferkette — bis zur sicheren Entwicklung bei Zulieferern: Achte darauf, dass deine Lieferanten und Partner ebenfalls hohe Sicherheitsstandards einhalten und dass du keine unsicheren Produkte oder Dienstleistungen verwendest oder anbietest.
  • Sicherheit in der Beschaffung von IT und Netzwerk-Systemen: Kaufe nur Hardware und Software, die geprüft und zertifiziert sind und die keine bekannten Schwachstellen aufweisen. Informiere dich über die Hersteller und deren Sicherheitspraktiken.
  • Vorgaben zur Messung von Cyber und Risiko Maßnahmen: Überprüfe regelmäßig, wie wirksam deine Sicherheitsmaßnahmen sind und ob du deine Ziele erreichst. Nutze dafür geeignete Indikatoren und Methoden.
  • Cyber Security Hygiene: Schule dich und dein Team in den Grundlagen der Cybersicherheit und halte dich an die gängigen Empfehlungen, wie z.B. starke Passwörter, Updates, Virenschutz etc.
  • Vorgaben für Kryptographie und wo möglich Verschlüsselung: Nutze moderne Verschlüsselungstechnologien, um deine Daten zu schützen, sowohl bei der Übertragung als auch bei der Speicherung. Verwende nur vertrauenswürdige Algorithmen und Schlüssel.
  • Human Resources Security: Sorge dafür, dass deine Mitarbeiterinnen und Mitarbeiter sensibilisiert sind für die Risiken im Cyberraum und dass sie sich entsprechend verhalten. Führe auch geeignete Kontrollen durch, z.B. bei der Einstellung oder beim Ausscheiden von Personal.
  • Zugangskontrolle: Regle, wer Zugriff auf deine Daten und Systeme hat und unter welchen Bedingungen. Verwende dafür geeignete Mechanismen, wie z.B. Rollen, Berechtigungen, Protokolle etc.
  • Asset Management: Führe ein Inventar deiner IT-Ressourcen (Hardware, Software, Daten etc.) und halte es aktuell. Kennzeichne deine Assets entsprechend ihrer Wichtigkeit und Schutzbedürftigkeit.
  • Einsatz von Multi Faktor Authentifizierung und SSO: Erhöhe die Sicherheit deiner Anmeldungen, indem du mehrere Faktoren (z.B. Passwort, PIN (Personal Identification Number), Token etc.) verlangst. Nutze auch Single Sign-On (SSO), um die Anzahl der Anmeldungen zu reduzieren.
  • Einsatz sicherer Sprach-, Video- und Text-Kommunikation: Verwende nur Kommunikationsmittel, die verschlüsselt sind und die deine Privatsphäre respektieren. Vermeide unsichere Kanäle, wie z.B. öffentliches WLAN oder unverschlüsselte E-Mails.
  • Einsatz gesicherter Notfall-Kommunikations-Systeme: Stelle sicher, dass du im Falle einer Störung oder eines Angriffs noch kommunizieren kannst. Nutze dafür alternative Systeme, die unabhängig von deinem normalen Netzwerk sind.
Betreiber sind angehalten, bei der Auswahl und Implementierung von Maßnahmen einen umfassenden Ansatz zur Berücksichtigung sämtlicher Gefahren (all hazards approach) zu verfolgen.

Welche Sanktionen drohen bei Nichteinhaltung der NIS2?

Bei Nichteinhaltung der NIS2-Anforderungen drohen ernsthafte Sanktionen. Geldbußen können bis zu 10 Millionen Euro oder 2% des weltweiten Umsatzes für wesentliche Einrichtungen und bis zu 7 Millionen Euro oder 1,4% des weltweiten Umsatzes für wichtige Einrichtungen betragen. Zusätzlich könnte Führungskräften die Ausübung von leitenden Funktionen untersagt werden.

Fazit

Die NIS2-Richtlinie ist ein wichtiger Schritt zur Stärkung der Cybersicherheit in der EU. Als Unternehmensleitung oder verantwortliche Führungskraft solltest du diese Entwicklungen genau im Blick behalten und entsprechende Maßnahmen ergreifen, um dein Unternehmen und dich selbst vor potenziellen Risiken und Sanktionen zu schützen.

Mach´s einfach digital