NIS2-Richtlinie: Maßnahmen zur Steigerung der Cybersicherheit

Nicht nur Unternehmen aus kritischen Sektoren sind fortschreitend abhängig von digitalen Technologien, dem Internet of Things (IoT), um ihr Kerngeschäft zu betreiben. Die Digitalisierung bietet enorme Chancen und Lösungen für viele Herausforderungen, setzt Unternehmen und der Wirtschaft jedoch vermehrt Cyberbedrohungen aus. Cyberattacken und -kriminalität nehmen an Zahl und Komplexität stetig zu. Diese Entwicklung wird sich in Zukunft weiter abzeichnen, denn immer mehr Unternehmen, Wirtschaftszeige und Geräte werden mit dem Internet der Dinge verbunden sein. Das Bundesamt für Sicherheit in der Informationstechnik bestätigt diese Prognose mit dem Bericht „Die Lage der IT-Sicherheit in Deutschland 2022“, indem die aktuelle IT-Sicherheitslage beschrieben und analysiert wird.

Die EU führt schrittweise politische und institutionelle Veränderungen durch, um ihre Fähigkeit zur Bewältigung künftiger Notfälle zu verbessern. NIS2 ist eine überarbeitete Version der bestehenden Richtlinie für Netz- und Informationssicherheit (NIS-Richtlinie), diese Richtlinie legt Kriterien zur Identifizierung von Betreibern kritischer Infrastrukturen und Anforderungen an die Informationssicherheit fest. Ziel dabei ist es die Widerstandsfähigkeit gegenüber künftigen Herausforderungen über ein sektor- und grenzübergreifendes Krisenmanagement zu optimieren. Am 27.12.2022 wurde die NIS 2-Richtlinie im EU-Amtsblatt veröffentlicht und trat zum 16.01.2023 in Kraft. Seit Mitte Januar haben die Mitgliedstaaten 21 Monate zur Umsetzung.  Erfahren Sie, welche die bedeutendsten Änderungen der NIS2 EU-Verordnung sind, welche Unternehmen in den Anwendungsbereich fallen, und wie Sie Ihr Unternehmen darauf einstellen.

Was sind die bedeutendsten Änderungen der NIS?

Die der NIS2 unterliegenden Unternehmen müssen, wie beim Vorläufer umfangreiche Anforderungen an die Informationssicherheit erfüllen. Dieses gelingt mit dem Betreiben eines ganzheitlichem Alarmierungssystem, die wichtigsten Anforderungen der NIS-Richtlinie sind also ebenfalls Teil der NIS2-Richtlinie. Folgend einige der Änderungen die mit NIS2 eingeführt werden:

• Scope-Erweiterung, weitere Sektoren fallen in den Anwendungsbereich von NIS2
• „size-cap rule“ bedeutet, dass alle mittleren und großen Unternehmen, die in den von der Richtlinie erfassten Sektoren tätig sind, in den Anwendungsbereich fallen.
• Sanktionen und Strafen auf bis zu max. 10 Millionen Euro oder 2% des Jahresumsatzes erheblich verschärft.
• Verantwortung der Unternehmen für die gesamte Informationssicherheits-Lieferkette.
• Schaffung eines europäischen Verbindungsnetz für Cyberkrisen zur Koordinierung von Cybersicherheitsvorfällen und dem Informationsaustausch zwischen den Mitgliedsstaaten und EU-Institutionen.

Welche Unternehmen fallen in den Anwendungsbereich der NIS2?

Unter der NIS-Richtlinie waren die Mitgliedstaaten selbst dafür verantwortlich zu bestimmen, welche Unternehmen die Kriterien erfüllen um sich als Betreiber wesentlicher Dienste zu qualifizieren. Unter NIS2 führt die „size-cap rule“ als allgemeine Regel zur Identifizierung regulierter Unternehmen. In der NIS 2-Richtlinie sind Sektoren („Essential“-Sektoren und „Important“-Sektoren) definiert, die sich mit den deutschen KRITIS-Sektoren und den Unternehmen im besonderen öffentlichen Interesse teilweise überschneiden aber auch über diese hinausgehen.

Im Folgenden sind die Sektoren aufgeführt, die von der NIS- und NIS 2-Richtlinie abgedeckt werden:

Scope von NIS
Energie, Gesundheit, Transport, Banken und Finanzmärkte, Wasser, Digital, Industrie, Digitale DIenste

Scope von NIS2

Wesentlich „Essential“:  Energie, Gesundheit, Transport, Banken und Finanzmärkte, Wasser und Abwasser, Digital, ICT-Dienstleistungsverwaltung, Raumfahrt, öffentliche Verwaltung

Wichtig „Important“: Post und Kurier, Abfallwirtschaft, Chemie, Ernährung, Industrie, Digitale Dienste, Forschung

Was bedeutet NIS2 für mein Unternehmen?

Allgemein formuliert stellt NIS2 die IT-Sicherheit und Ihren IT-Notfallplan in den Fokus. Sofern Ihr Unternehmen die allgemeinen Regeln und Kriterien zur Identifizierung betreffender Unternehmen erfüllt, gelten dabei die erweiterten NIS-Anforderungen an Ihre Informationssicherheit. Dazu gehören vor allem Regeln und Verfahren für den Umgang mit Sicherheitsvorfällen sowie zeitkritische Melde- und Berichtspflichten. Zur Erfüllung entsteht die Notwendigkeit ein effektives Incident- und Vorfallmanagement zu betreiben. Bevor man einen Vorfall innerhalb 24 Stunden an die Aufsichtsbehörde melden kann, müssen Vorfälle zuerst im Unternehmen schnell erkannt und intern gemeldet werden. Mit den strengeren Richtlinien wächst der Druck der betreffenden Unternehmen Schutzkonzepte zu entwickeln, Maßnahmen für die systematische Sicherung von Daten zu erarbeiten, Konzepte zur Zugriffskontrolle zu entwickeln, das Schwachstellen Management auszubauen sowie Mitarbeiter dahingehend zu schulen.

Wie kann MultiBel bei der Erfüllung der NIS2 unterstützen?

IT-Sicherheit und -Kontinuität sind essenziell für den Unternehmenserfolg. Ausfälle kritischer Infrastrukturen sind verheerend für Umsatz und Image. Die Frage im IT-Notfallmanagement ist nicht mehr, ob ein Vorfall auftritt, sondern wann. MultiBel optimiert Ihre Ablaüfe und senkt die Reaktionszeiten während eines IT-Notfalls drastisch von durchschnittlich 60 Minuten auf unter 2 Minuten. Ein durchdachtes IT-Alarmierungssystem nimmt somit Einfluss auf die sogenannte Mean Time To Repair (MTTR) und hilft dabei fatale Kettenreaktionen im Geschäftsbetrieb zu vermeiden und somit den Richtlinien der NIS2 nachzukommen.