Worum geht es bei NIS2?
Warum braucht es eine solche Richtlinie?
Welche Rolle spielt der „Stand der Technik“?
Wen betrifft NIS2?
| Wesentliche Bereiche | Wichtige Bereiche |
|---|---|
| Energie | Post- und Kurierdienste |
| Verkehr und Transport | Abfallwirtschaft |
| Bankwesen | Produktion, Herstellung und Handel mit chemischen Stoffen |
| Finanzmärkte | Produktion, Verarbeitung und Handel von Lebensmitteln |
| Gesundheitswesen | Verarbeitendes Gewerbe, Herstellung von Waren |
| Trinkwasser | Anbieter digitaler Dienste |
| Abwasser | Forschungseinrichtungen |
| Digitale Infrastruktur | |
| Banken und Finanzmärkte | |
| Öffentliche Verwaltung | |
| Weltraum |
Übersicht der betroffenen Sektoren nach NIS2.
Was beinhaltet das kommende NIS2-Gesetz?
Die Mitgliedstaaten müssen die Richtlinie bis zum 17. Oktober 2024 umsetzen. Danach muss die EU-Kommission die Anwendung der Richtlinie regelmäßig überprüfen und dem Parlament und dem Rat erstmals bis zum 17. Oktober 2027 sowie danach alle 36 Monate Bericht erstatten.
Für betroffene Organisationen in den Mitgliedsstaaten legt die NIS2-Richtlinie verschiedene Verpflichtungen fest:
Organisationen müssen erhebliche Cyberincidents innerhalb von 72 Stunden an die nationalen Behörden melden. Dies ermöglicht es den Behörden, schnell auf Bedrohungen zu reagieren und die Auswirkungen zu minimieren.
2. Sicherheitsmaßnahmen
Die Geschäftsführung ist dazu angehalten, die Umsetzung der Maßnahmen zu überwachen. Dabei haftet sie für Verstöße. Die Teilnahme an entsprechenden Schulungen ist verpflichtend und muss auch den Mitarbeitenden angeboten werden.
| Maßnahme | Erläuterung |
|---|---|
| Risikoanalyse | Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme |
| Incident Management | Bewältigung von Sicherheitsvorfällen |
| Business Continuity, Incident Handling, Disaster Recovery | Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement |
| Sicherheit der Lieferkette | Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern |
| Netz- und Informationssysteme | Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen |
| Auditierung | Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit |
| Cyberhygiene & Awareness | Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit |
| Verschlüsselung | Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung |
| Personal & Zugriffskontrolle | Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen |
| Authentifizierung & sichere Kommunikationswege | Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung |
Risikomanagementmaßnahmen nach Kapitel IV, Artikel 21 der EU-NIS2-Richtlinie
3. Risikomanagementmaßnahmen im Bereich der Cybersicherheit
Unternehmen und öffentliche Verwaltungen müssen geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Cybersecurity umsetzen. Dies umfasst die Sicherung von Netzwerken und Systemen sowie die Implementierung von Sicherheitsrichtlinien.
Sanktionen bei Verstößen
Tipp: B3S als Orientierung zu NIS2-Anforderungen
Soweit verfügbar, können Unternehmen sich an den B3S (Branchenspezifische Sicherheitsstandards) orientieren, um sich auf die kommenden NIS2-Anforderungen vorzubereiten. Laut BSI können KRITIS-Betreiber oder deren Verbände in diesen konkretisieren, wie die Anforderungen an den „Stand der Technik“ erfüllt werden können. Die B3S können dem BSI zur Feststellung der Eignung vorgelegt werden und sind anschließend über die BSI-Website abrufbar.
Eine gesetzliche Verpflichtung zur Erstellung eines B3S besteht zwar nicht, es eröffnet den Branchen allerdings die Möglichkeit, auf Basis der eigenen Expertise selbst Spezifikationen zum Stand der Technik zu formulieren. Darüber hinaus besteht für Betreiber, die sich nach einem solchen anerkannten B3S auditieren lassen, Rechtssicherheit hinsichtlich des Standes der Technik, der bei einem Audit gefordert und überprüft wird.
NIS2-Anforderungen: Was empfehlen wir bei plusserver?
Klären Sie zunächst, ob Ihre Organisation voraussichtlich von NIS2 betroffen sein wird. Unabhängig davon sollten Sie Richtlinien wie NIS2 als Chance begreifen, um Ihre Cybersicherheit anhand der Anforderungen zu überprüfen und die Resilienz Ihrer Organisation zu stärken. Dies empfiehlt sich auch dann, wenn Ihr Unternehmen nicht durch NIS2 reguliert sein wird.
- Risikomanagement: Führen Sie regelmäßige Risikobewertungen durch, um die spezifischen Bedrohungen und Schwachstellen Ihres Unternehmens zu identifizieren. Dazu gehört das Erstellen einer Asset-Liste, eine Analyse Ihrer Assets auf mögliche Schwachstellen sowie die Einschätzung, wie hoch die Gefährdung pro Asset ist. Auf Basis dieser Risikoanalyse lassen sich geeignete Schutzmaßnahmen ableiten.
- Sicherheitsmaßnahmen: Implementieren Sie angemessene Sicherheitsmaßnahmen, einschließlich Zugriffskontrollen, Verschlüsselung und Monitoring. Dazu gehört auch, bereits in die Beschaffung oder Entwicklung von IT-Komponenten entsprechende Sicherheitsaspekte zu integrieren. Eine sorgfältige Cyberhygiene (regelmäßige Updates und Patches) sollte ohnehin gelebte Praxis im Unternehmen sein, von Backups ganz zu schweigen.
- Incident-Response-Plan: Erstellen Sie einen gut durchdachten Vorfallreaktionsplan, um sicherzustellen, dass Sie auf Cybervorfälle schnell und effektiv reagieren können. Dieser Plan sollte die Erkennung, Untersuchung und Reaktion auf Incidents umfassen. Er geht Hand in Hand mit einer wirkungsvollen Business-Continuity-Strategie sowie einem Recovery-Konzept, um auch im Fall der Fälle schnell wieder handlungsfähig zu werden (Disaster Recovery).
- Schulung und Sensibilisierung: Mitarbeitende sind nach wie vor eines der größten Einfallstore für Cyberkriminelle. Die Methoden des Social Engineerings werden immer ausgefeilter und Phishing-Mails sind kaum noch von echten zu unterscheiden. Schulen Sie daher Ihre Mitarbeitenden und stärken Sie die Awareness für Sicherheitsrisiken. Vermitteln Sie Best Practices, um menschliche Fehler zu minimieren.
- Supply-Chain-Management: Ebenso relevant wie Ihre eigenen Sicherheitsmaßnahmen sind die Maßnahmen Ihrer Zulieferer. Achten Sie besonders auf Zertifizierungen wie ISO 27001 sowie bei Cloud-Anbietern auf ein BSI-C5-Testat.
- Bewertung der Wirksamkeit: Um eine nachhaltige NIS2-Compliance zu erzielen, müssen die ergriffenen Maßnahmen regelmäßig im Rahmen von Audits und Bewertungen überprüft werden. In diesen Kontext gehört auch eine beständige Anpassung des Risikomanagements und die Ermittlung neuer möglicher Schwachstellen. Hier bieten sich beispielsweise Penetrationstests oder umfassende simulierte Angriffe an.
plusserver-Lösungen, die bei der Umsetzung von NIS2 unterstützen
| Security-Beratung/Consulting | Security-Lösungen | Zertifizierte Infrastruktur |
|---|---|---|
| Pentests und Audits | SOC as a Service | Standorte in DE |
| Awareness-Trainings | EDR as a Service | ISO 27001 |
| (jeweils durch Partner) | Security Scanner | BSI C5 (Typ-II) |
| Workload Protection | ||
| Next Gen Firewall | ||
| DDoS-Schutz | ||
| Backup/Disaster Recovery | ||
| NIS2-Assessment |
Mit einem umfassenden Security-Portfolio, deutschen Cloud-Lösungen und einem breiten Partner-Ökosystem kann plusserver bei der Einhaltung gesetzlicher Vorgaben wie NIS2, aber auch SiG 2.0, unterstützen.
Ihre NIS2-Checkliste
