Kennen Sie die NIS2-Richtlinie? Falls nicht, aufgepasst: Die EU will mit der überarbeiteten Richtlinie zur Sicherheit von Netz- und Informationssystemen (kurz NIS2) die Cybersicherheit verbessern. Es ist wichtig, dass Unternehmen Maßnahmen ergreifen.
Wir erklären, worum es bei NIS2 geht und was sich daraus für Unternehmen ergibt.
Cyberkriminalität bleibt auf Rekordniveau
Es klingt fast wie eine alte Leier, wenn das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) mit seinem Jahresbericht zur Lage der IT-Sicherheit in Deutschland erneut vor einem Rekordniveau an Cyberkriminalität warnt — wie es auch beim BSI-Lagebericht 2022 erneut der Fall war.
Aber es ist einfach so: Die Akteure auf der Bühne der Cyberkriminalität übertreffen sich jedes Jahr selbst und entwickeln täglich neue Methoden, mit denen sie Institutionen und Unternehmen angreifen können, um an wertvolle Daten und möglicherweise auch lukrative Lösegelder zu gelangen.
Für potenzielle Opfer bedeutet dies, dass sie jederzeit auf der Hut vor Angriffsversuchen sein sollten. In der Realität ist dies jedoch oft nicht der Fall. In vielen Institutionen und Unternehmen ist die IT-Infrastruktur immer noch nicht ausreichend geschützt, der IT-Sicherheit wird nicht die Bedeutung beigemessen, die sie haben sollte. Und genau das soll die NIS2-Richtlinie ändern.
Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie (auch: NIS-2-Richtlinie) beschreibt ein EU-Regelwerk, das auf die Cybersicherheit von Institutionen und Unternehmen abzielt. Während die Abkürzung NIS für „Netzwerk- und Informationssicherheit“ steht, verrät die Zahl „2“, dass es sich um eine zweite Version der ursprünglich 2016 veröffentlichten NIS-Richtlinie handelt.
Ziel der neuen NIS2-Richtlinie ist es, Mindeststandards für Cybersicherheit festzulegen und so die Widerstandsfähigkeit einzelner Institutionen und Unternehmen — und damit auch der gesamten EU — zu verbessern. Es ist wichtig, Unterschiede zwischen Ländern und Sektoren zu minimieren und einen einheitlichen Maßnahmenkatalog gegen Cyberbedrohungen umzusetzen.
Der Grund für die überarbeitete Fassung der Richtlinie über die Sicherheit von Netz- und Informationssystemen steht zur Debatte. In schlechten Zungen wird zwar behauptet, der mäßige Erfolg des ersten Regelwerks sei der Grund, aber es gibt auch wohlwollende Stimmen, die behaupten, dass die sieben Jahre alte Richtlinie den neuen Cybersicherheitsherausforderungen, die inzwischen eingeführt wurden, nicht mehr gerecht wird.
Wer ist von der NIS2-Richtlinie betroffen?
Betreiber sogenannter kritischer Infrastrukturen (kurz KRITIS) werden in erster Linie zur Rechenschaft gezogen. Warum? Denn diese sind extrem wichtig für das Gemeinwohl, hängen stark von der Informations- und Kommunikationstechnologie ab und erscheinen daher als Ziel von Cyberangriffen besonders interessant. Denn wenn eine Einrichtung der Kategorie CRITIS durch einen Angriff lahmgelegt wird, sind die Auswirkungen massiv.
Die Angriffe können entweder politisch motiviert sein und sollen beispielsweise der Gemeinschaft eines bestimmten Landes schaden, es ist jedoch genauso möglich, dass hinter einem Angriff nur ein finanzielles Interesse steckt, sprich: Die Angreifer hoffen auf (insbesondere) hohe Lösegelder. Fakt ist, dass Betreiber kritischer Infrastrukturen eine Zunahme von Cyberangriffen verzeichnen, wie unter anderem der Digitalverband Bitkom berichtet.
Neue Richtlinie mit zusätzlichen Sektoren
Wichtig zu wissen: Die NIS2-Richtlinie erweitert den Kreis derer, die als KRITIS gelten, nun erheblich, da neue elementare Sektoren hinzukommen. Die Differenzierung ist wie folgt:
- „Essential Entities“ (deutsch: essenzielle Einrichtungen) mit folgenden Sektoren:
- Energie (mit Strom, Fernwärme, Rohöl, Erdgas, Wasserstoff)
- Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
- Bankwesen
- Finanzmärkte
- Gesundheit
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- IKT-Servicemanagement
- öffentliche Verwaltung
- Weltraum
- „Wichtige Dienste“ (deutsch: wichtige Institutionen) mit folgenden Sektoren:
- Post und Kurier
- Abfallwirtschaft
- Chemikalien
- Lebensmittel
- Industrie
- digitale Dienste
- Bildung und Forschung
Kleine Unternehmen sind von der Richtlinie kaum betroffen — es sei denn, sie sind der einzige Anbieter einer Dienstleistung in einem Land und leisten einen entscheidenden Beitrag zur Aufrechterhaltung wesentlicher Aktivitäten der Gesellschaft oder ihrer Wirtschaft. Ansonsten gilt die Richtlinie für Unternehmen und Organisationen der oben genannten Branchen mit mindestens 50 Mitarbeitern und einem Jahresumsatz von 10 Millionen Euro.
Was sagt die NIS2-Richtlinie?
Die NIS2-Richtlinie soll Institutionen und Unternehmen dazu zwingen, sozusagen ihr Bestes zu geben, um eine umfassende Cybersicherheit umzusetzen. Zu diesem Zweck wurde ein umfassender Anforderungskatalog definiert, der entsprechend umgesetzt werden muss. Bei den vorgeschriebenen Maßnahmen geht es im Wesentlichen darum, die Angriffsfläche zu minimieren, Angriffe frühzeitig zu erkennen, im Notfall schnell zu reagieren und Systeme vollständig wiederherstellen zu können. In der NIS2-Richtlinie werden 14 Punkte genannt, die von den betroffenen Unternehmen und Branchen erfüllt werden müssen:
- Richtlinien (Richtlinien für Risiken und Informationssicherheit)
- Incident Management (Prävention, Erkennung und Management von Cybervorfällen)
- Geschäftskontinuität (Business Continuity Management mit Backup-Management, Disaster Recovery, Krisenmanagement)
- Lieferkette (Sicherheit in der Lieferkette)
- Einkauf (Sicherheit bei der Beschaffung von IT- und Netzwerksystemen)
- Effektivität (Richtlinien zur Messung von Cyber- und Risikomaßnahmen)
- Schulung (Cybersicherheitshygiene)
- Kryptographie (Anforderungen an Kryptographie und Verschlüsselung)
- Personal (Personalsicherheit)
- Zugangskontrolle
- Vermögensverwaltung (ISMS)
- Authentifizierung (Verwendung von [Multi-Faktor-Authentifizierung] [MFA] und Single Sign-On [SSO])
- Kommunikation (Verwendung sicherer Sprach-, Video- und Textkommunikation)
- Notfallkommunikation (Einsatz von gesicherten Notfallkommunikationssystemen)
Das umfangreiche Regelwerk befasst sich detaillierter mit all diesen Punkten. Für detailliertere Informationen empfehlen wir daher, einen Blick auf die NIS2-Richtlinie selbst zu werfen, also die RICHTLINIE (EU) 2022/2555 des Europäischen Parlaments.
Wann gilt die NIS2-Richtlinie?
Grob gesagt hätten die betroffenen Institutionen und Unternehmen die NIS2-Richtlinie bis spätestens Herbst 2024 umsetzen müssen. Wer es genauer wissen möchte: Die NIS2-Richtlinie wurde am 27. Dezember 2022 im Amtsblatt L333 der Europäischen Union veröffentlicht und trat am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft, d. h. am 16. Januar 2023, die Mitgliedstaaten haben ab diesem Datum 21 Monate Zeit, um die Richtlinie in nationales Recht umzusetzen — die Frist wäre also der 16. Oktober 2024.
Und wenn die Richtlinie dann geltendes Recht ist, sollten Institute und Unternehmen zur angegebenen Frist auch die im Gesetz festgelegten Mindestanforderungen erfüllen, um sie nicht — gewissermaßen, vorsätzlich — zu verletzen.
Kurzum: Der Countdown läuft. Es ist besser, eher früher als später Maßnahmen zu ergreifen und die eigene IT-Sicherheit entsprechend kritisch zu hinterfragen und gegebenenfalls zu aktualisieren. Schließlich sollte es in Ihrem besten Interesse sein, ein Höchstmaß an Schutz zu bieten.
IT-Experten helfen bei der IT-Sicherheit
Viele der in der NIS2-Richtlinie festgelegten Anforderungen können bereits durch eine Zero-Trust-Strategie in Kombination mit einem Sicherheitsinformations- und Eventmanagement- (SIEM) – oder Security Operations Center (SOC) -System abgedeckt werden.
Möchten Sie mehr darüber erfahren, worum es hier geht? Oder möchten Sie ein solches System in Ihrem Unternehmen einrichten lassen?
Die Experten in unserem Netzwerk kennen sich mit den notwendigen Schutzmaßnahmen vor Cyberbedrohungen aus und wissen auch, was mit komplizierten Vorschriften wie der NIS2-Richtlinie anzufangen ist. Nehmen Sie einfach Kontakt auf und lassen Sie sich zunächst völlig unverbindlich von uns beraten — wir freuen uns auf Ihre Nachricht!
Weitere Links:
BSI, Security Insider, ESET, Security Insider, Security Insider, Security Insider
Lesen Sie den Originalartikel auf IT-SERVICE.network