NIS-2: Neue Cybersicherheitsrichtlinie stellt Unternehmen vor große Herausforderungen : Wie Unternehmen ihre IT-Sicherheitsstrategien anpassen können
Mit der Einführung der NIS-2-Richtlinie verstärkt die Europäische Union ihre Maßnahmen gegen Cyberbedrohungen und erhöht den Druck auf Unternehmen und kritische Infrastrukturen. Die neue Richtlinie fordert höhere Sicherheitsstandards, erweitert den Kreis der betroffenen Sektoren und setzt strengere Strafen für die Nichteinhaltung fest. Dieser Artikel beleuchtet die wichtigsten Neuerungen der NIS-2, welche Unternehmen betroffen sind und welche Maßnahmen jetzt notwendig sind.
Advertorial
Von Jasmin Löffler, BAYOOSOFT
Mit der Erneuerung der NIS-Richtlinie von 2016 reagiert die Europäische Union auf die stetig wachsende Anzahl an Cyberbedrohungen. NIS steht für Network and Information Security und ist am 16. Januar 2023 in der zweiten Version in Kraft getreten. NIS-2 legt strengere Anforderungen an Unternehmen und Einrichtungen kritischer Infrastrukturen fest.
Die wichtigsten Neuerungen der NIS-2-Richtlinie
Die Harmonisierung des Sicherheitsniveaus in den EU-Mitgliedstaaten sorgt für eine Angleichung der Standards, um die Cyberresilienz Europas insgesamt zu stärken. Der Anwendungsbereich wurde erweitert, sodass nun mehr Organisationen aus verschiedenen Sektoren betroffen sind. Die Einteilung in wesentliche und wichtige Sektoren stellt sicher, dass betroffene Unternehmen und Organisationen gezielter adressiert werden.
Ein bedeutender Aspekt der neuen Richtlinie ist die Anpassung der Strafen bei Nichteinhaltung. Diese wurden signifikant angehoben und entsprechen nun dem Niveau der EU-DSGVO. Schließlich haben die EU-Mitgliedstaaten bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht zu überführen und die neuen Vorgaben rechtzeitig umzusetzen.
Welche Unternehmen sind betroffen?
Die Vorgehensweise, Unternehmen und Organisationen darüber zu informieren, ob sie unter die NIS-2-Richtlinie fallen, variiert von Land zu Land. In Österreich erhalten Unternehmen diese Information direkt vom Ministerium per Brief. In Deutschland hingegen sind die Unternehmen selbst dafür verantwortlich, sich zu informieren und die Anforderungen zu erfüllen.
Im Vergleich zur vorherigen Richtlinie hat sich der Kreis der betroffenen Unternehmen bei NIS-2 erweitert. Insgesamt wurden 18 Sektoren neu definiert, die die Bestimmungen verpflichtend einhalten müssen. Diese Sektoren sind in wesentliche (essential) und wichtige (important) unterteilt.
Zu den wesentlichen Sektoren in Deutschland zählen unter anderem Energie, Verkehr, Bankwesen, IKT-Dienste, Trinkwasser, Finanzen, digitale Infrastruktur, Gesundheitswesen und öffentliche Verwaltung. Die wichtigen Sektoren umfassen unter anderem digitale Dienste, Forschung, Industrie, Lebensmittel, Chemikalien sowie Post- und Kurierdienste.
Neben der Sektoreneinteilung spielt auch die Größe des Unternehmens eine Rolle. Unter die NIS-2-Richtlinie fallen alle mittleren und großen Unternehmen in den genannten Sektoren. Konkret betroffen sind Unternehmen mit mehr als 50 Beschäftigten oder mit einem Umsatz von über 10 Millionen Euro. Große Unternehmen mit mehr als 250 Beschäftigten und mit einem Umsatz von über 50 Millionen Euro können sowohl unter die wesentlichen als auch unter die wichtigen Sektoren fallen.
Sanktionen und Kontrolle
Die NIS-2-Richtlinie hat weitreichende Konsequenzen für Unternehmen, die Sicherheitsstandards vernachlässigen. Wesentliche Sektoren wie Energie und Gesundheitswesen riskieren Geldbußen von bis zu 10 Millionen Euro oder zwei Prozent ihres Umsatzes. Staatliche Stellen wie das BSI überwachen diese Unternehmen proaktiv. In wichtigen Sektoren wie digitalen Diensten drohen Strafen von bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes, wobei die Überwachung reaktiv nach Sicherheitsvorfällen erfolgt. Diese Maßnahmen sollen die Cybersicherheit stärken und Unternehmen zur Einhaltung der Richtlinien anhalten.
Welche Maßnahmen sind zu ergreifen?
Die NIS-2-Richtlinie zielt darauf ab, die Cybersicherheit europäischer Unternehmen durch strengere Vorschriften im Risikomanagement zu verbessern, basierend auf dem „All-Hazard-Ansatz“. Unternehmen sind verpflichtet, ein angemessenes Sicherheitsniveau zu etablieren und nachzuweisen, dass sie präventive Maßnahmen zur Verhinderung, Erkennung, Überwachung, Analyse und Behandlung von Sicherheitsvorfällen implementieren können. Dies stellt eine Herausforderung dar, da Unternehmen nachweisen müssen, dass sie proaktiv Sicherheitsvorfälle verhindern, erkennen und effektiv darauf reagieren können. Wichtige Maßnahmen umfassen dabei Risikomanagementsysteme, Identitäts- und Zugriffsmanagement, Kryptographie, Business Continuity, Asset Management und Incident Management.
Effektive Minimierung von IT-Sicherheitsrisiken durch Softwareeinsatz
Bei der Umsetzung von Risikomanagementsystemen und Asset Management sowie der Steigerung der Informationssicherheit unterstützt BAYOOSOFT Unternehmen mit praxiserprobten Werkzeugen und Prozessen. BAYOOSOFT Themis ermöglicht eine systematische Identifizierung, Bewertung und Verwaltung von IT-Sicherheitsrisiken nach etablierten Normen und ISO-Standards. Das Tool leitet Nutzende durch die Phasen der Risikoidentifikation, Risikobewertung, Implementierung von Sicherheitskontrollen, Berichterstattung und Dokumentation. Es orientiert sich dabei an den bewährten Sicherheitsstandards des BSI-Grundschutzkatalogs. Mit BAYOOSOFT Themis können Unternehmen eine umfassende Soll-Ist-Analyse durchführen, Sicherheitsmaßnahmen planen und umsetzen sowie deren Wirksamkeit kontinuierlich überwachen. Der ganzheitliche Ansatz unterstützt dabei, Risiken zu identifizieren, zu steuern und bei Bedarf proaktiv zu aktualisieren, ohne die Zusammenarbeit im Team zu behindern oder die Nachverfolgbarkeit der Prozesse zu beeinträchtigen.
Um die Anforderungen der NIS-2-Richtlinie zu erfüllen, ist es für Unternehmen entscheidend, klare Rechte und Rollen für den Zugriff auf ihre Infrastruktur festzulegen. Der BAYOOSOFT Access Manager bietet eine automatisierte Lösung für das Berechtigungsmanagement von Fileservern, SharePoint, Active Directory und Drittsystemen. Er standardisiert Routineaufgaben der Benutzer- und Berechtigungsverwaltung und unterstützt bei der Bereitstellung von IT-Diensten. Diese Automatisierung hilft, operative Aufwände nachhaltig zu reduzieren, während gleichzeitig die Informationssicherheit durch kontinuierliches Monitoring, Auditierung und transparentes Reporting für die Datenverantwortlichen in den Fachabteilungen erhöht wird.
Um die Netzwerkkommunikation zu sichern und unbefugten Datenzugriff zu verhindern, müssen Unternehmen Kryptografie Strategien entwickeln und geeignete Verschlüsselungstechniken einsetzen. BAYOOSOFT gpg4o ist ein E-Mail Verschlüsselungssystem, das E-Mails in einen für Unbefugte unverständlichen Code umwandelt, den nur autorisierte Empfänger entschlüsseln können. Es umfasst die Erzeugung eines Schlüsselpaars, die Verschlüsselung und Entschlüsselung der Nachrichten, den Schutz des privaten Schlüssels und die Authentifizierung der Kommunikationspartner. Durch das PGP-Verschlüsselungsprotokoll gewährleistet gpg4o sichere Kommunikation, besonders beim Austausch vertraulicher E-Mails.
Stärkere Cybersicherheit für langfristige Resilienz
Die NIS-2-Richtlinie markiert einen bedeutenden Schritt für Unternehmen, um ihre Cybersicherheit zu stärken und das Vertrauen in digitale Infrastrukturen zu festigen. Die Einhaltung dieser Richtlinie erfordert nicht nur die Anpassung an strengere Sicherheitsstandards, sondern bietet auch die Gelegenheit, robuste Verteidigungssysteme gegen Cyberbedrohungen zu implementieren. Durch die Nutzung spezialisierter Softwareanwendungen können Unternehmen die Komplexität der Anforderungen bewältigen und ihre Netzwerke sowie Informationssysteme effektiv schützen. Dies ist entscheidend, um nicht nur gesetzliche Bestimmungen zu erfüllen, sondern auch langfristig die Widerstandsfähigkeit gegen digitale Risiken zu gewährleisten.