Mit der zunehmenden Dringlichkeit des Themas Cybersicherheit auf der politischen Agenda der EU und ihren Mitgliedsstaaten einschließlich Deutschland und der offensichtlichen Verwundbarkeit der Infrastrukturen durch Hackerangriffe hat die EU eine Reihe von rechtlichen Maßnahmen aktualisiert.
Darunter fallen auch die NIS2 Anforderungen, die zur Sicherstellung eines hohen gemeinsamen Niveaus der Cybersicherheit innerhalb der Union mit der NIS2 Richtlinie eingeführt wurden. Diese Bemühungen um ein einheitliches Sicherheitsniveau für Netz- und Informationssysteme sind nicht neu, sondern spiegeln ein langjähriges Bestreben der EU wider.
Die neue Cybersecurity-Richtlinie erfordert von Unternehmen eine proaktive Herangehensweise an die Netzwerk- und Informationssicherheit sowie die Einhaltung einer Reihe von Pflichten und Vorschriften, um die digitale Infrastruktur vor Risiken und Bedrohungen zu schützen. Wir bieten einen Überblick über die NIS2 Anforderungen.
NIS2 Anforderungen: Was „besonders wichtige“ und „wichtige“ Einrichtungen einhalten müssen
Die NIS2 Anforderungen verlangen eine intensive Beschäftigung mit den Aspekten der Cybersicherheit und eine umfassende Anpassung der internen Prozesse und Systeme. Im Rahmen der NIS2 Anforderungen müssen Unternehmen verschiedene Pflichten erfüllen:
Selbsteinordnung
Sie müssen sich selbst definieren als „besonders wichtige Einrichtung“ (beziehungsweise KRITIS) oder „wichtige Einrichtung“.
Registrierung
Nach der Selbsteinordnung müssen sie sich innerhalb von drei Monaten beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.
Meldung von Sicherheitsvorfällen
Bei einem Sicherheitsvorfall muss eine Meldung an die zuständige Behörde im eigenen Mitgliedsstaat erfolgen.
Teilnahme am Informationsaustausch
Unternehmen, die als „besonders wichtige“ Einrichtungen eingestuft sind, müssen aktiv am Informationsaustausch über die zentrale Austauschplattform des BSI (BISP) teilnehmen. Dies gewährleistet eine effektive Kommunikation bei Sicherheitsvorfällen.
Einhaltung der Sicherheitsanforderungen
Unternehmen müssen sich intensiv mit den neuen strengen Sicherheitsanforderungen im Rahmen der NIS2 Anforderungen auseinandersetzen. Dies beinhaltet die Implementierung von Sicherheitsmaßnahmen und -verfahren, um die Netzwerk- und Informationssysteme vor Bedrohungen zu schützen.
Registrierung in anderen Mitgliedsstaaten
Wenn ein Unternehmen in mehreren Mitgliedsstaaten der EU tätig ist, muss es sich in jedem Mitgliedsstaat bei der zuständigen Behörde registrieren und die jeweiligen Vorschriften einhalten.
Vor diesen Aufgaben stehen Unternehmen im Rahmen der NIS2 Anforderungen
Die NIS2 Anforderungen zielen darauf ab, diejenigen Organisationen, die von der Richtlinie erfasst werden, widerstandsfähiger zu machen und somit den Schutz der europäischen Gesellschaft in ihrem täglichen Leben zu gewährleisten. Dafür stehen sie vor den Aufgaben, die wir im Folgenden vorstellen.
Risikomanagement als Grundpfeiler der NIS2 Anforderungen
Ein zentraler Aspekt der neuen Richtlinie ist ein NIS2-konformes Risikomanagement für die Informationssicherheit.
Unternehmen, die als wesentliche (besonders wichtige) oder wichtige Einrichtungen eingestuft werden, sind verpflichtet, angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder zu minimieren.
Die NIS2-Richtlinie fordert somit technische und organisatorische Maßnahmen (TOM) gemäß dem sogenannten „Stand der Technik“. Dies kann durch die Implementierung des Informationssicherheitsmanagementstandards ISO/IEC 27001 erzielt werden.
Die ISO/IEC 27001 ist ein international anerkannter Standard für Informationssicherheitsmanagementsysteme, der Unternehmen bei der Identifizierung, Bewertung und Behandlung von Risiken unterstützt.
Durch ein strukturiertes Risikomanagement können Unternehmen potenzielle Bedrohungen und Schwachstellen in ihren Netz- und Informationssystemen frühzeitig erkennen. Dies umfasst sowohl interne als auch externe Bedrohungen, wie etwa Cyberangriffe, Datenschutzverletzungen, Systemausfälle oder menschliches Versagen.
Indem Unternehmen ihre Risiken systematisch analysieren und bewerten, können sie gezielte Maßnahmen ergreifen, um potenziellen Schwachstellen zu begegnen. Dies bedeutet, dass sie besser auf mögliche Angriffe vorbereitet sind und schneller auf Sicherheitsvorfälle reagieren können. Finanzielle Schäden und Reputationsverluste können somit vermieden werden.
Der dahinterstehende Grundgedanke: Würden alle Unternehmen diese Praxis umsetzen, entstünde ein kohärentes Sicherheitsniveau, das die europäische Infrastruktur besser schützen und stärken kann.
Informationssicherheitsstandards in Lieferketten sicherstellen
Die Sicherheit in der Lieferkette ist ein Schwerpunkt der NIS2 Anforderungen. Unternehmen müssen sicherstellen, dass ihre Geschäftspartner und Dienstleister angemessene Sicherheitsvorkehrungen für ihre Informationssicherheit treffen. Daher werden Sicherheitsanforderungen häufig Vertragsbedingung und -bestandteil sein.
Es ist abzusehen, dass Informationssicherheitszertifizierungen bei der Auftragsvergabe eine herausragende Rolle als Beleg für den Fokus auf Informationssicherheit spielen werden: Sie beweisen, dass ein Unternehmen seine Stakeholder bestmöglich vor Risiken in der Informationssicherheit schützt.
Ein gutes Beispiel ist die Automobilbranche: Das TISAX®-Label ist bereits seit einigen Jahren ein ausschlaggebender Faktor bei der Auswahl von Zulieferern von Automobilherstellern. Mit diesem Standard soll unter anderem verhindert werden, dass böswillige Akteure über die Informationssysteme von Zulieferern durch sogenannte „Supply-Chain-Angriffe“ Zugriff auf Informationen wie Prototypen, Kundendaten und andere kritische Informationen erhalten.
Angriffe auf die Informationssicherheit in Lieferketten können weitreichende Schäden für beauftragende Unternehmen und Zulieferer nach sich ziehen. Daher vertrauen viele Unternehmen schon bei der Auftragsvergabe auf Zertifizierungen. Mit einem standardisierten ISMS kann eine solche Zertifizierung erlangt werden.
Sicherheitsvorfälle melden und angemessen behandeln
Unternehmen, die als Betreiber Kritischer Infrastruktur in den Anwendungsbereich der NIS2 Anforderungen fallen, müssen ihre nationale Cybersecurity-Behörde unverzüglich über signifikante Störungen, Vorfälle und Bedrohungen ihrer kritischen Dienstleistungen unterrichten.
Im Rahmen der Umsetzung der NIS2 Anforderungen muss das Unternehmen ein effektives Sicherheitsprogramm mit klaren Richtlinien und Verfahren für den Umgang mit Sicherheitsvorfällen implementieren. Damit sollen weitreichende Bedrohungen frühzeitig erkannt und begrenzt werden.
Das Incident Management (Sicherheitsvorfall-Management) ist ein fester Bestandteil von Informationssicherheits-Managementsystemen (ISMS) nach dem ISO/IEC 27001-Standard.
Die ISO-27001-Richtlinien beinhalten qualifizierte Vorgaben zur schnellen Identifizierung und Behebung von Sicherheitsvorfällen, zur Aufrechterhaltung des Betriebs während des Vorfalls und zur Wiederherstellung der Systeme nach einem Notfall.
Die NIS2 Anforderungen verlangen klare Kommunikationswege, Eskalationsverfahren und Notfallpläne, damit die Organisationen angemessen auf Sicherheitsvorfälle reagieren können.
Policies
Die Unternehmen müssen Richtlinien (Policies) für Risiken und Informationssicherheit entwickeln und umsetzen.
Diese Richtlinien definieren Vorgaben für den Umgang mit Cyber-Sicherheitsrisiken und stellen sicher, dass geeignete Schutzmaßnahmen ergriffen werden. Mit SECJURs Digital Compliance Office generieren Sie diese Richtlinien automatisiert und können so erheblich Zeit einsparen.
Aufrechterhaltung des Geschäftsbetriebs
Betreiber müssen Maßnahmen für das Business Continuity Management (BCM) umsetzen, um sicherzustellen, dass ihre kritischen Dienstleistungen auch im Falle eines Cyber-Sicherheitsvorfalls aufrechterhalten werden können.
Dies beinhaltet die Errichtung eines geeigneten Back-up-Managements, das Krisenmanagement und die Wiederherstellung nach einem Notfall.
Einkauf
Als Unternehmen müssen Sie Sicherheitsaspekte bei der Beschaffung von IT- und Netzwerk-Systemen berücksichtigen. Dies beinhaltet die Sicherstellung von Sicherheitsanforderungen betreffend die Produkte und Dienstleistungen, die sie erwerben. Damit sollen Unternehmen sicherstellen, dass sie den erforderlichen Sicherheitsanforderungen entsprechen.
Effektivität und Wirksamkeit
Unternehmen müssen Maßnahmen zur Messung und Bewertung der Effektivität ihrer Cybersecurity- und Risikomanagement-Maßnahmen implementieren. Dies wird durch die NIS2 Anforderungen verlangt und ermöglicht, die Wirksamkeit ihrer Sicherheitsmaßnahmen zu bewerten und bei Bedarf Anpassungen vorzunehmen.
Kommunikation
Verschlüsselte Sprach-, Video- und Textkommunikation ist ein wichtiges Implementierungs-To-Do, um die Vertraulichkeit und Integrität von Kommunikationsinhalten zu gewährleisten. Schließlich möchte kein Unternehmen, dass vertrauliche Geschäftsinterna nach außen dringen.
Personalwesen
Es müssen im Rahmen der NIS2 Anforderungen zudem geeignete Maßnahmen zur Sicherheit des Personals ergriffen werden. Dazu gehören zum Beispiel Zugangskontrollen, die fachgerechte Verwaltung von Anlagen und die Sicherstellung, dass nur berechtigtes Personal Zugriff auf sensible Systeme und Daten hat.
Kryptografie
Unternehmen müssen Vorgaben für den Einsatz von Kryptografie (Verschlüsselung von Informationen) festlegen und sie dort, wo möglich, implementieren. Kryptografie dient dazu, Daten zu schützen und die Vertraulichkeit und Integrität von Informationen sicherzustellen.
„Cybersecurity-Hygiene“ vermitteln
Die NIS2 Anforderungen schreiben vor, dass Unternehmen ihre Mitarbeiter in der „Çybersecurity-Hygiene“ schulen. Was verbirgt sich hinter dem Begriff?
Ähnlich wie bei der persönlichen Hygiene, bei der regelmäßiges Duschen und Händewaschen zur Vorbeugung von gefährlichen Krankheiten beitragen, umfasst die Cybersecurity-Hygiene Maßnahmen, die dazu beitragen sollen, Cyber-Bedrohungen zu minimieren und das Risiko von Sicherheitsvorfällen zu verringern. Typische Beispiele dafür sind zum Beispiel der korrekte Umgang mit Passwörtern oder das Erkennen von Phishingmails. Ganz allgemein werden meist Best Practices im Umgang mit sensiblen Daten und der sicheren Nutzung von IT-Systemen gelehrt.
Authentifizierung
Ein wichtiger Grundsatz in der Informationssicherheit ist die Vertraulichkeit. Selbstverständlich sollten nur diejenigen Personen Zugriff auf Personalakten oder Forschungsdaten haben, die dazu berechtigt sind. Unternehmen sollten daher, wo es möglich ist, Multi-Faktor-Authentifizierung und Single Sign-On (SSO) einsetzen, um die Sicherheit der Zugangsmechanismen zu erhöhen und unbefugten Zugriff zu verhindern.
Notfall-Kommunikation
Unternehmen sollen gesicherte Notfall-Kommunikationssysteme implementieren, um die Kommunikation und Koordination im Falle eines Sicherheitsvorfalls oder einer Krise sicherzustellen.
NIS2 Anforderungen: Cybersicherheit durch Zusammenarbeit der EU-Staaten
Ein zentrales Element der NIS2 Anforderungen ist die Notwendigkeit einer intensiven Zusammenarbeit und Kontrolle der Cybersicherheit zwischen den Mitgliedstaaten. Dieser umfassende Ansatz berücksichtigt die grenzüberschreitende Natur von Cyberbedrohungen und verlangt eine koordinierte Antwort auf diese Risiken.
Unternehmen und Organisationen müssen daher ihre Zusammenarbeit intensivieren, um ihre Systeme zu schützen und potenzielle Angriffe abzuwehren.
Die Bedeutung der NIS2 Anforderungen kann nicht unterschätzt werden. Angesichts der zunehmenden Bedrohungen im Cyberraum ist es unerlässlich, dass Unternehmen und Organisationen die erforderlichen Schritte unternehmen, um ihre Netzwerke und Informationen zu sichern.
Die Einhaltung der NIS2 Anforderungen wird zur obersten Priorität für Unternehmen in ganz Europa, da sie sicherstellen müssen, dass ihre Sicherheitsmaßnahmen den strengen Standards gerecht werden.
.svg)
.svg)
.svg)
.svg){kind=small}