NIS2

Neue Sicherheitsanforderungen: Richtlinie NIS2 – das sollten Unternehmen wissen

Ab dem Frühjahr 2025 wird die Einhaltung der NIS2 Richtlinie für viele betroffene Unternehmen in Deutschland voraussichtlich verpflichtend sein. Die Verordnung stärkt die Sicherheitsmaßnahmen für kritische Infrastrukturen und IT-Dienstleister. Ob Energie, Verkehr, Gesundheitswesen oder sogar das produzierende Gewerbe – das Gesetz wird Auswirkungen auf eine Vielzahl von Unternehmen haben.

Beginnend im Oktober 2024 müssen die Länder die NIS2, die neueste EU-Richtlinie zur Cybersicherheit, in nationale Gesetze übernehmen. Wir zeigen auf, wie sich NIS2 auf Unternehmen auswirken wird und wie die Vorschriften sicher eingehalten werden. 

Keine Lust zu lesen? Du kannst dir auch unser englischsprachiges Webinar anschauen. 

Was verbirgt sich hinter der Richtlinie NIS2?

Die Abkürzung NIS steht für „Network and Information Systems Security Act”. Netz- und Informationssicherheit umfasst unter anderem den Schutz von Computernetzwerken, Informationssystemen und Daten vor unbefugtem Zugriff, Missbrauch, Offenlegung, Zerstörung oder Ausfall. Das allgemeine Ziel der Netz- und Informationssicherheit ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Systemen sicherzustellen. Dafür werden verschiedene Technologien, Prozesse und Methoden eingesetzt.

„NIS2“ bezieht sich auf die zweite Stufe der EU-Richtlinie für NIS. Die erste NIS-Richtlinie legt bereits einen gemeinsamen Sicherheitsrahmen für Netz- und Informationssysteme innerhalb der EU fest. Sie verpflichtet die Mitgliedstaaten zur Einrichtung nationaler Strategien und Regelungen für Cybersicherheit und verlangt, dass Betreiber wesentlicher Dienste und digitale Dienstleistungsanbieter angemessene Sicherheitsmaßnahmen ergreifen und Vorfälle melden.

NIS2 baut auf NIS1 auf und erweitert dabei den Anwendungsbereich der Richtlinie sowie die gestellten Anforderungen an die Sicherheit von Netzwerk- und Informationssystemen. Die Erweiterung dient dazu, die Anforderungen an Cybersicherheit innerhalb der EU weiter zu harmonisieren. Außerdem soll die Widerstandsfähigkeit kritischer Infrastrukturen gegen Cyberangriffe weiter gestärkt werden.

Für welche Unternehmen gilt die EU-Richtlinie NIS2?

Die verschärften Sicherheitsanforderungen an Netzwerk- und Informationssysteme in der NIS2-Richtlinie richten sich an Anbieter oder Betreiber von Diensten mit allgemeiner wirtschaftlicher Bedeutung. NIS2 betrifft somit Unternehmen, die als Betreiber von kritischer Infrastruktur oder Produzent oder Dienstleister von wichtiger wirtschaftlicher Bedeutung eingestuft sind. Dazu gehören beispielsweise klassische kritische Infrastrukturbetreiber wie Energieversorger, Verkehrsbetriebe, Gesundheitsdienstleister, digitale Dienstleister oder Online-Marktplätze und jetzt neu auch beispielsweise produzierendes Gewerbe in bestimmten Bereichen oder Post und Kurierdienste.

Zusätzlich müssen auch die direkten Lieferanten von IT-Produkten und -Services mit verschärften Anforderungen rechnen: NIS2 legt großen Wert auf das Risikomanagement der Lieferketten, so dass mit erhöhten Anforderungen im Bereich der Cybersecurity an die Lieferanten zu rechnen ist. Die genaue Definition und Klassifizierung der betroffenen Unternehmen wird bei der Umsetzung in die deutsche Gesetzgebung noch im Rahmen von Rechtsverordnungen festgelegt.

Welche Anforderungen bringt NIS2 mit sich?

NIS2 führt strengere Sicherheitsanforderungen für betroffene Unternehmen ein. Dazu gehören unter anderem:

Vorbereitung auf NIS2

Um die Anforderungen der NIS2-Richtliche zu erfüllen, kann man schon jetzt beginnen, sich vorzubereiten:

1. Unternehmen sollten sich über die NIS2-Richtlinie und ihre Anforderungen informieren, um herauszufinden, ob das eigene Unternehmen als kritische Infrastruktur, Betreiber oder Anbieter mit wirtschaftlicher Bedeutung eingestuft wird.

2. Eine gründliche Bestands- und Lückenanalyse ist der erste Schritt, um die Sicherheitslage eines Unternehmens zu bewerten. Dabei sollte eine verantwortliche Person benannt werden, welche die Aufgabe hat, kritische Vermögenswerte zu identifizieren und mögliche Sicherheitslücken zu erkennen. Durch eine umfassende Lückenanalyse kann der Reifegrad der IT-Sicherheitsmaßnahmen bewertet und Optimierungspotenziale aufgedeckt werden.

3. Zusätzlich spielt das Cyber-Risikomanagement eine zentrale Rolle bei der Einhaltung der NIS2-Richtlinie. Es ist wichtig, bestehende Richtlinien zu überprüfen oder gegebenenfalls neue einzuführen, um Risiken angemessen zu bewerten und zu behandeln. Dabei sollten auch Risiken in der Lieferkette berücksichtigt werden, um Schwachstellen zu minimieren.

4. Die Einrichtung eines Security Information and Event Management (SIEM) Systems oder einer Angriffserkennung kann entscheidend sein, um potenzielle Sicherheitsvorfälle frühzeitig zu erkennen. Zudem sollten Vorfallsmanagementprozesse etabliert werden, um eine effektive Reaktion auf Vorfälle sicherzustellen. Die Kontaktaufnahme mit Computer Security Incident Response Teams (CSIRTs) kann dabei helfen, eine koordinierte und professionelle Reaktion auf Sicherheitsvorfälle zu gewährleisten.

5. Um den Geschäftsbetrieb jederzeit aufrechtzuerhalten, ist die Einrichtung von Prozessen zur Geschäftskontinuität von großer Bedeutung. Diese Prozesse sollten sicherstellen, dass kritische Funktionen und Services auch in Krisensituationen weiterhin verfügbar sind. Zudem ist es auch hier ratsam, den Kontakt zu CSIRTs aufzunehmen, um im Ernstfall auf ihre Unterstützung zurückgreifen zu können.

Konsequenzen der Nichteinhaltung der NIS2 Anforderungen

Die Nichteinhaltung der NIS2-Anforderungen kann erhebliche Konsequenzen für Unternehmen haben. Dies können Geldstrafen und Bußgelder sein in vergleichbarer Höhe zu den Strafen bei Datenschutzverstößen. Das Management wird durch NIS2 persönlich haftbar für die Einhaltung der Anforderungen gemacht. Darüber hinaus kann die Nichtbeachtung der Anforderungen zu Cybersicherheitsvorfällen führen, die finanzielle Verluste, Datenlecks und Beeinträchtigungen der Geschäftskontinuität zur Folge haben können.

Es ist daher von entscheidender Bedeutung, die Anforderungen von NIS2 ernst zu nehmen und angemessene Maßnahmen zu ergreifen, um die Sicherheit der eigenen Netzwerk- und Informationssysteme zu gewährleisten. Als vertrauenswürdiger Partner entwickelt die COCUS AG maßgeschneiderte Lösungen, um die Anforderungen von NIS2 zu erfüllen und die Sicherheit von Netzwerk- und Informationssystemen zu garantieren.

Diesen Beitrag teilen