NIS 2

NIS 2: Welche Unternehmen bis 2025 handeln müssen

Mit der Weiterentwicklung der NIS-Richtlinie kommen ab 2025 strengere und weitreichendere Sicherheitsanforderungen auf eine Vielzahl an Unternehmen wichtiger Sektoren zu. Wir erklären, welche Handlungsmaßnahmen zeitnah getroffen werden müssen, um den Anforderungen von NIS 2 gerecht zu werden.

Was ist die NIS Richtlinie und wer ist von NIS 2 betroffen?

Ab Oktober 2024 müssen alle Europäischen Staaten die Directive (EU) 2022/255, die neueste NIS Richtlinie der EU zur Cybersicherheit, in die lokalen Gesetze übernehmen. Dies findet gemeinsam mit dem Inkrafttreten der Verordnungen ab 2025 statt. In einigen Ländern, darunter auch Deutschland, wird bereits das Frühjahr 2025 angestrebt. 

„Network and Information Systems Security Act”, kurz NIS, legt den gemeinsamen Sicherheitsrahmen für Netz- und Informationssysteme innerhalb der EU fest. Die Sicherheitsanforderungen der neuen NIS-Richtlinie sind im Vergleich zu NIS1 in ihrem Geltungsbereich um weitere Branchen und die anzusiedelnden Teilgebiete erweitert worden.

Details zur exakten Klassifizierung und den spezifischen Sicherheitsanforderungen werden in nationalen Rechtsverordnungen präzisiert. NIS 2 wird in Deutschland durch die Umsetzung in das IT-Sicherheitsgesetz 2.0 und das BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) abgedeckt. Das BSI bietet eine NIS-2-Betroffenheitsprüfung für Unternehmen an.

Welche Implementierungsmaßnahmen sind für NIS 2 zu treffen?

Betroffene Unternehmen sind zur Erfüllung der NIS2-Anforderungen unter persönlicher Haftung verpflichtet. Die Vorgaben richten sich zum einen an die Cybersecurity Risikomanagement Maßnahmen, sowohl digital als auch physisch. Zudem wird eine Auditierungspflicht für KRITIS-Betreiber und besonders wichtige Einrichtungen in Kraft treten. 

Die Berichtsvorschriften und Meldefrist zu Sicherheitsvorfällen werden ebenfalls strenger reguliert sein, nicht nur an das BSI, sondern auch bezüglich der Supply Chain und der entsprechenden Informierung der Kunden. Folgende organisationale und technische Maßnahmen stehen im Fokus der strengeren Anforderungen:

Künftigen Herausforderungen mit Best Practices begegnen

Um sich als betroffenes Unternehmen auf die bevorstehenden Vorgaben vorzubereiten, legt eine Asset und Gap Analyse den ersten Grundstein. Dazu können die Cyber Risk Management sowie die Incident Management und Business Continuity Prozesse festgelegt und der Kontakt zu Computer Security Incident Response Teams eingerichtet werden.

1. Echtzeit-Monitoring:
SIEM-Systeme ermöglichen es Unternehmen, ihre Netzwerke in Echtzeit zu überwachen, um von einer sofortigen Gefahren- und Angriffserkennung zu profitieren.
2. Protokollmanagement:
SIEM-Systeme sammeln und speichern Protokolle von verschiedenen Quellen, was zur Erkennung von Mustern und Trends bei Sicherheitsgefahren und Angriffen beiträgt.
3. Incident Response:
Bei einem Angriff können SIEM-Systeme dazu beitragen, den Vorfall schnell zu erkennen, zu analysieren und entsprechende Maßnahmen einzuleiten.
4. Einhaltung von Vorschriften:
Ein SIEM-System unterstützt u.a. KRITIS Unternehmen dabei, den Nachweis zu erbringen, dass die gesetzlichen Sicherheitsvorschriften eingehalten werden.
5. Gefahren- und Angriffserkennung:
Durch die Analyse von Protokollen und anderen Daten kann ein SIEM-System dazu beitragen, bekannte und unbekannte Bedrohungen zu erkennen und darauf zu reagieren.
6. Automatisierung:
SIEM-Systeme können viele Sicherheitsprozesse automatisieren, was Zeit und Ressourcen spart und die Effizienz erhöht.

Erfahre alles über die Angriffserkennung mit SIEM: 5 Anwendungsfälle für SIEM-Systeme

Diesen Beitrag teilen