Information Security Expert
July 7, 2023
7 min
.svg)
Die EU-Richtlinie NIS 2 ist eine überarbeitete Version der NIS-1-Richtlinie, die strengere Cybersicherheitsstandards für Unternehmen mit mindestens 50 Mitarbeitenden und 10 Millionen Euro Umsatz in bestimmten Sektoren vorschreibt.
Die NIS 2 wurde als Reaktion auf die erhöhte Bedrohung von kritischen Infrastrukturen durch digitale Angriffe eingeführt, um solche potenziell katastrophalen Angriffe zu verhindern.
In Deutschland sind schätzungsweise zwischen 29.000 bis 40.000 Unternehmen von der NIS 2 betroffen und müssen ein Informationssicherheitsmanagementsystem (ISMS) implementieren, um die gesetzlichen Anforderungen zu erfüllen.
Mit der Einführung der NIS 2 sind Unternehmen verpflichtet, sich selbst einzustufen, sich bei der zuständigen Behörde zu registrieren, Sicherheitsvorfälle zu melden und eine Reihe von Sicherheitsmaßnahmen zu ergreifen, einschließlich Risikomanagement, Sicherheit in der Lieferkette und angemessene Reaktion auf Sicherheitsvorfälle.
Die NIS2-Richtlinie ist eine bedeutende EU-Regulierung im Bereich der Cybersicherheit, die derzeit viel Aufmerksamkeit erhält. In Deutschland wird diese Richtlinie durch das NIS2-Umsetzungsgesetz umgesetzt, für das ein aktueller Entwurf vorliegt. Dies hat direkte Auswirkungen auf Unternehmen, da sie bald aktiv werden müssen, um den neuen Anforderungen der Richtlinie gerecht zu werden.
Es besteht also Handlungsbedarf. Doch was bedeutet die Richtlinie konkret für diejenigen Unternehmen, die von ihr betroffen sind? SECJUR-Experten klären auf.
• was die neue EU-Richtlinie NIS2 ist
• wie sie sich von früheren Richtlinien unterscheidet
• welche Unternehmen von NIS2 betroffen sind
• was Sie als betroffenes Unternehmen nun unternehmen müssen
NIS2 ist eine überarbeitete Version der aktuellen Richtlinie für Netz- und Informationssicherheit (NIS1-Richtlinie). Die Richtlinie legt unter anderem Kriterien fest, um Betreiber kritischer Infrastrukturen zu identifizieren und legt Mindeststandards für deren Informationssicherheit fest.
Die NIS2 besagt, dass betroffene Unternehmen in bestimmten Sektoren ab 50 Mitarbeitern und 10 Mio. EUR Umsatz bestimmte Informationssicherheitsstandards einhalten müssen.
Die Einführung der Network and Information Security 2 (NIS2) durch die EU hat ihren Grund: Kritische Infrastruktur ist verwundbar.
Besonders seit dem Beginn des Ukrainekriegs 2022 haben mögliche digitale Angriffe auf wichtige Einrichtungen wie Dammanlagen, Stromversorger und Atomkraftwerke die Aufmerksamkeit von Politik und Öffentlichkeit auf sich gezogen. Angesichts der fortschrittlichen Ausstattung und der Macht staatlicher Akteure besteht auch in der EU das Risiko solcher Angriffe.
Mit der NIS2 und der Umsetzung der darin geforderten Standards möchte die EU also verhindern, dass Angriffe auf Kritische Infrastruktur und damit verbundenem potenziell katastrophale Folgen eine Realität werden können.
Bereits im Jahr 2016 führte die EU die erste Cybersecurity-Richtlinie ein, die derzeit gültige NIS-Richtlinie, auch bekannt als NIS1. Diese Richtlinie wurde als Reaktion auf die zunehmende Bedrohungslage im Cyberspace und die steigenden Anforderungen an die IT-Sicherheit in Europa entwickelt.
Die NIS1-Richtlinie hat nun Platz gemacht für eine strengere und umfassendere Version: die NIS2. Ab dem Jahr 2024 werden Unternehmen und Organisationen mit noch strikteren Auflagen in Bezug auf Informationssicherheit konfrontiert sein. Die NIS2 zielt darauf ab, diejenigen Organisationen, die von der Richtlinie erfasst werden, widerstandsfähiger zu machen und somit den Schutz der europäischen Gesellschaft in ihrem täglichen Leben zu gewährleisten.
Die NIS2 wurde am 14. Dezember 2022 in einer aktualisierten Version verabschiedet und muss von EU-Mitgliedsstaaten, so auch Deutschland, bis Ende 2024 in nationales Recht umgesetzt werden.
In Deutschland sind Schätzungen zufolge zwischen 29.000 bis 40.000 Unternehmen von der NIS2 betroffen.
In der aktualisierten Fassung unterliegen deutlich mehr Unternehmen der NIS2 als der NIS1, da die Schwellenwerte aktualisiert wurden (Unternehmen in 18 Sektoren ab 50 MitarbeiterInnen und 10 Mio. Euro Umsatz). Nun könnten etwa auch Insurance Tech Start-ups, Onlinemarktplätze und Lebensmittelversorger betroffen sein, wenn sie die Schwellenwerte überschreiten. Das macht schlagartig eine ganze Reihe an Unternehmen verantwortlich, die sich vorher nur rudimentär mit ihrer Informationssicherheit auseinandergesetzt hat.
Die logische Konsequenz wird sein, dass diese Unternehmen ein Informationssicherheitsmanagementsystem (ISMS) implementieren müssen, welches die gesetzlichen Anforderungen erfüllt. Zudem werden die Sanktionen und Strafen erheblich verschärft und können bis zu max. 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes betragen.
Die Einführung der Network and Information Security 2 (NIS2)-Richtlinie bringt für Unternehmen eine Vielzahl neuer Pflichten und Anforderungen mit sich.
Zunächst muss ein Unternehmen sich selbst in die unterschiedlichen Stufen einordnen (KRITIS bzw. „besonders wichtige Einrichtung“ oder „wichtige“ Einrichtung) und sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von drei Monaten nach Identifikation registrieren. „Besonders wichtige“ Einrichtungen müssen am Informationsaustausch über die zentrale Austauschplattform des BSI (BISP) teilnehmen.
Neben der Registrierung bei der zuständigen Behörde im eigenen Mitgliedsstaat und der Meldung von Sicherheitsvorfällen müssen sich Unternehmen insbesondere mit den neuen strengen Sicherheitsanforderungen im Rahmen von NIS2 auseinandersetzen.
Ein zentraler Aspekt ist ein NIS2-konformes Risikomanagement für die Informationssicherheit.
Unternehmen, die als wesentliche oder wichtige Einrichtungen eingestuft werden, sind verpflichtet, angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder zu minimieren. Die NIS2-Richtlinie fordert somit auch technische und organisatorische Maßnahmen (TOM) gemäß dem sogenannten „Stand der Technik“.
Durch ein strukturiertes Risikomanagement können Unternehmen potenzielle Bedrohungen und Schwachstellen in ihren Netz- und Informationssystemen frühzeitig erkennen. Dies umfasst sowohl interne als auch externe Bedrohungen, wie etwa Cyberangriffe, Datenschutzverletzungen, Systemausfälle oder menschliches Versagen.
Ein einheitliches Risikomanagement führt insgesamt zu einer erhöhten Widerstandsfähigkeit gegenüber Bedrohungen und Angriffen.
Indem Unternehmen ihre Risiken systematisch analysieren und bewerten, können sie gezielte Maßnahmen ergreifen, um potenzielle Schwachstellen abzuschwächen. Dies bedeutet, dass sie besser auf mögliche Angriffe vorbereitet sind und schneller auf Sicherheitsvorfälle reagieren können. Das Ergebnis ist eine geringere Anfälligkeit für Cyberangriffe und eine bessere Fähigkeit, diese abzuwehren.
Würden alle Unternehmen diese Praxis umsetzen, entstünde ein kohärentes Sicherheitsniveau, das die europäische Infrastruktur schützen und effektiv stärken kann.
Die Sicherheit in der Lieferkette ist ein wichtiger Aspekt der NIS2-Anforderungen. Unternehmen müssen sicherstellen, dass ihre Geschäftspartner und Dienstleister angemessene Sicherheitsvorkehrungen für ihre Informationssicherheit treffen. Dies kann zum Beispiel den Abschluss vertraglicher Vereinbarungen umfassen, in denen Sicherheitsanforderungen festgelegt werden, insbesondere spielen auch Zertifizierungen eine wichtige Rolle, um die Erfüllung von Standards nachzuweisen.
So ist das TISAX®-Label bereits seit einigen Jahren ein wesentliches Erfordernis für Zulieferer in der Automobilbranche. Mit diesem Standard soll unter anderem verhindert werden, dass böswillige Akteure durch sogenannte „Supply-Chain-Angriffe“ Zugriff auf Informationen wie Prototypen, Kundendaten und weiteres von großen Automobilherstellern abgreifen können, indem sie die Informationssysteme von Zulieferern angreifen.
Diese Angriffe können weitreichende Schäden nach sich ziehen. Mit einem standardisierten ISMS kann Angriffen Vorschub geleistet werden.
Unternehmen, die als Betreiber Kritischer Infrastruktur in den Anwendungsbereich der NIS2 fallen, müssen ihre nationale Cybersecurity-Behörde unverzüglich über signifikante Störungen, Vorfälle und Bedrohungen ihrer kritischen Dienstleistungen unterrichten. Im Rahmen der Umsetzung der NIS2 muss das Unternehmen auch ein effektives Sicherheitsprogramm mit klaren Richtlinien und Verfahren für den Umgang mit Sicherheitsvorfällen implementieren.
Klassischerweise enthalten Informationssicherheits-Managementsysteme (ISMS) nach dem ISO 27001-Standard Richtlinien zu diesem Bereich. Mit der ISMS-Software von SECJUR bauen Sie ein ISMS auf, das direkt auf dem ISO-Standard aufbaut und Ihnen klare Handlungsempfehlungen für die Umsetzung der Richtlinien für Sicherheitsvorfälle gibt.
Die ISO-27001-Richtlinien beinhalten die schnelle Identifizierung und Behebung von Sicherheitsvorfällen, die Aufrechterhaltung des Betriebs während des Vorfalls und die Wiederherstellung der Systeme nach einem Notfall.
Unternehmen müssen klare Kommunikationswege, Eskalationsverfahren und Notfallpläne etablieren, um angemessen auf Sicherheitsvorfälle reagieren zu können. Zudem sind sie verpflichtet, dort, wo es möglich ist, die Empfänger ihrer Dienstleistungen, also ihre Kunden, über den Vorfall zu informieren.
Gemäß der EU NIS2-Richtlinie müssen Unternehmen weitere zahlreiche Pflichten erfüllen. Die Geschäftsführung dieser Betreiber Kritischer Infrastruktur ist verpflichtet, die Einhaltung dieser Anforderungen gemäß nationaler Gesetzgebung zu überwachen. Hierbei sollten Unternehmen sich darüber im Klaren sein, dass ihre Geschäftsführung im schlimmsten Falle für Verstöße haftbar gemacht werden kann.
Die Unternehmen müssen Richtlinien für Risiken und Informationssicherheit entwickeln und umsetzen.
Diese Richtlinien dienen als Leitfaden für den Umgang mit Cyber-Sicherheitsrisiken und stellen sicher, dass geeignete Schutzmaßnahmen ergriffen werden. Mit SECJURs Digital Compliance Office generieren Sie diese Richtlinien automatisiert und können so erheblich Zeit einsparen.
Betreiber müssen Maßnahmen für das Business Continuity Management (BCM) umsetzen, um sicherzustellen, dass ihre kritischen Dienstleistungen auch im Falle eines Cyber-Sicherheitsvorfalls aufrechterhalten werden können. Dies beinhaltet das Back-up-Management, das Krisenmanagement und die Wiederherstellung nach einem Notfall.
Dieser Punkt fällt im weiteren Sinne auch unter die Lieferkette: Als Unternehmen müssen Sie Sicherheitsaspekte bei der Beschaffung von IT- und Netzwerk-Systemen berücksichtigen. Dies beinhaltet die Überprüfung der Sicherheitsmerkmale und -standards der Produkte und Dienstleistungen, die Sie erwerben, um sicherzustellen, dass sie den erforderlichen Sicherheitsanforderungen entsprechen.
Unternehmen müssen Maßnahmen zur Messung der Effektivität ihrer Cyber-Security- und Risikomanagement-Maßnahmen implementieren. Dies ermöglicht ihnen, die Wirksamkeit ihrer Sicherheitsmaßnahmen zu bewerten und bei Bedarf Anpassungen vorzunehmen.
Die NIS2 schreibt auch vor, dass Unternehmen ihre Mitarbeiter in der sogenannten "Cybersecurity Hygiene" schulen.
Ähnlich wie bei der persönlichen Hygiene, bei der regelmäßiges Duschen und Händewaschen zur Vorbeugung von Krankheiten beitragen, umfasst die Cybersecurity Hygiene Maßnahmen, die dazu beitragen sollen, Cyber-Bedrohungen zu minimieren und das Risiko von Sicherheitsvorfällen zu verringern. Typische Beispiele dafür sind zum Beispiel das korrekte Passwortmanagement oder das Erkennen von Phishing-Mails. Ganz allgemein werden meist Best Practices im Umgang mit sensiblen Daten und der sicheren Nutzung von IT-Systemen gelehrt.
Unternehmen müssen Vorgaben für den Einsatz von Kryptografie (Verschlüsselung von Informationen) festlegen und sie dort, wo möglich, implementieren. Kryptografie dient dazu, Daten zu schützen und die Vertraulichkeit und Integrität von Informationen sicherzustellen.
Es müssen Maßnahmen zur Sicherheit des Personals ergriffen werden. Dazu gehören zum Beispiel Zugangskontrollen, die fachgerechte Verwaltung von Anlagen und die Sicherstellung, dass nur berechtigtes Personal Zugriff auf sensible Systeme und Daten hat.
Ein wichtiger Grundsatz in der Informationssicherheit ist die Vertraulichkeit. Selbstverständlich sollten nur diejenigen Personen Zugriff auf etwa Personalakten oder Forschungsdaten haben, die dazu berechtigt sind. Unternehmen sollten daher, wo es möglich ist, Multi-Faktor-Authentifizierung und Single Sign-On (SSO) einsetzen, um die Sicherheit der Zugangsmechanismen zu erhöhen und unbefugten Zugriff zu verhindern.
Verschlüsselte Sprach-, Video- und Textkommunikation ist ein wichtiges Implementierungs-To-Do, um die Vertraulichkeit und Integrität von Kommunikationsinhalten zu gewährleisten. Schließlich möchte kein Unternehmen, dass vertrauliche Geschäftsinterna nach außen dringen.
Unternehmen sollten auch gesicherte Notfall-Kommunikationssysteme implementieren, um die Kommunikation und Koordination im Falle eines Sicherheitsvorfalls oder einer Krise sicherzustellen.
Ein Schlüsselelement der NIS2 ist die Forderung nach einer engen Zusammenarbeit und Überwachung der Cybersicherheit zwischen den Mitgliedstaaten.
Dieser ganzheitliche Ansatz erkennt die grenzüberschreitende Natur von Cyberbedrohungen an und fordert eine koordinierte Reaktion auf diese Gefahren. Unternehmen und Organisationen werden daher verstärkt zusammenarbeiten müssen, um ihre Systeme abzusichern und mögliche Angriffe abzuwehren.
Die Bedeutung der NIS2 kann nicht unterschätzt werden. Mit den steigenden Bedrohungen im Cyberraum ist es unerlässlich, dass Unternehmen und Organisationen die erforderlichen Maßnahmen ergreifen, um ihre Netzwerke und Informationen zu schützen. Die Einhaltung der NIS2-Richtlinie wird zu einer Priorität für Unternehmen in ganz Europa, da sie sicherstellen müssen, dass ihre Sicherheitsvorkehrungen den strengen Anforderungen entsprechen.
Tobias ist ISO/IEC 27001 Officer & Auditor und ein erfahrener Experte für Informationssicherheit. Als solcher steht er in Kontakt mit Kunden unterschiedlichster Bedarfe: Von Startup bis Konzern, von Automobil- bis Versicherungsbranche. Er hat zahlreiche erfolgreiche Audits begleitet und weiß, worauf es beim Aufbau eines robusten ISMS ankommt.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Everything you need to know about the product and billing.
In den vergangenen zwei Jahren waren Verstöße gegen Datenschutzbestimmungen für nur 6 % der Befragten überhaupt relevant. Dies wird sich in den kommenden Jahren erheblich ändern. So sehen es zumindest die fast 200 befragten Entscheider aus Unternehmen ab 250 Mitarbeitern, die an der Studie „Crisis Management“ der Kanzlei Noerr teilnahmen.
Viele Webseiten verfügen über eine Datenschutzerklärung. Aber benötigt wirkliche jede Internetseite eine Datenschutzerklärung? Muss auch die Homepage einer Privatperson eine Datenschutzerklärung haben? Die SECJUR-Datenschutzexperten klären auf.
Der Onlineauftritt eines Unternehmens stellt mittlerweile einen essenziellen Bestandteil effektiven Marketings dar. Um sein Unternehmen vorzustellen, ist es mittlerweile gängige Praxis, Mitarbeiterfotos auf der Homepage und in sozialen Netzwerken zu veröffentlichen. Doch welche Folgen kann es haben, wenn Arbeitgeber bei der Veröffentlichung von Mitarbeiterfotos die Datenschutzgrundverordnung (DSGVO) nicht beachten?
.svg)
.svg)
.svg){kind=small}