Die Europäische Union hat in den letzten Jahren verstärkte Maßnahmen zur Verbesserung der Cybersecurity in Europa ergriffen. Die Network and Information Security Directive 2 (NIS2) ist ein bedeutender Schritt in diese Richtung. Diese Richtlinie verlangt von Organisationen, dass sie ihre Sicherheitsmaßnahmen verstärken, um die digitale Infrastruktur in der EU vor Cyberbedrohungen zu schützen. Die Umsetzung in nationales Recht hat dabei bis zum 17. Oktober 2024 zu erfolgen. Erfahren Sie im Folgenden, worum es in dieser Richtlinie geht, wer betroffen ist, welche Vorgaben sie enthält und welche Empfehlungen wir für die Umsetzung geben.
Worum geht es bei NIS2?
NIS2 ist eine Erweiterung der ursprünglichen NIS-Richtlinie, die darauf abzielt, die Widerstandsfähigkeit und Sicherheit der digitalen Infrastruktur in der EU zu stärken. NIS2 soll sicherstellen, dass Unternehmen und Organisationen in kritischen Sektoren angemessene Sicherheitsmaßnahmen umsetzen, um Cyberangriffe zu verhindern und effektiv darauf zu reagieren. Sie soll zudem eine verstärkte Zusammenarbeit zwischen den EU-Mitgliedstaaten schaffen, um die europäische Cybersicherheit zu fördern.
Warum braucht es eine solche Richtlinie?
Die Kehrseite der fortschreitenden Digitalisierung ist die steigende Bedrohung durch Cyberkriminalität. Die vom Digitalverband Bitkom ermittelten Schäden durch Cyberkriminalität in Deutschland belaufen sich laut Wirtschaftsschutzbericht 2022 auf 203 Milliarden Euro. Doch nicht nur die Wirtschaft, sondern kritische Infrastrukturen (KRITIS) oder öffentliche Einrichtungen sind – auch aufgrund der politischen Lage – heute einem erheblichen Risiko durch Cyberkriminalität ausgesetzt. Der Ausfall kritischer Einrichtungen und Dienste kann schwerwiegende Folgen für das Funktionieren unserer Gesellschaft, der Wirtschaft und der öffentlichen Sicherheit haben.
Welche Rolle spielt der „Stand der Technik“?
Der Stand der Technik im Bereich der Cybersicherheit ist dynamisch und entwickelt sich aufgrund neuer Bedrohungen, technologischer Entwicklungen und bewährter Verfahren ständig weiter. Daher erfordert dessen Einhaltung, dass Unternehmen ihre Sicherheitsmaßnahmen regelmäßig überprüfen, aktualisieren und anpassen, um den aktuellen Herausforderungen und Standards gerecht zu werden.
Die Anforderung, dem Stand der Technik zu entsprechen, ist ein wesentlicher Aspekt der NIS2-Richtlinie. Damit wird sichergestellt, dass Organisationen wirksam auf aktuelle und zukünftige Bedrohungen reagieren und die Integrität ihrer digitalen Infrastruktur gewährleisten können.
Wen betrifft NIS2?
Die NIS2-Richtlinie betrifft verschiedene Akteure in der EU, insbesondere Organisationen in kritischen Sektoren. Dazu gehören Unternehmen in den Bereichen Energie, Versorger, Verkehr, Banken und Finanzen, Gesundheit sowie digitale Dienstleistungen.
| Wesentliche Bereiche | Wichtige Bereiche |
|---|---|
| Energie | Post- und Kurierdienste |
| Verkehr und Transport | Abfallwirtschaft |
| Bankwesen | Produktion, Herstellung und Handel mit chemischen Stoffen |
| Finanzmärkte | Produktion, Verarbeitung und Handel von Lebensmitteln |
| Gesundheitswesen | Verarbeitendes Gewerbe, Herstellung von Waren |
| Trinkwasser | Anbieter digitaler Dienste |
| Abwasser | Forschungseinrichtungen |
| Digitale Infrastruktur | |
| Banken und Finanzmärkte | |
| Öffentliche Verwaltung | |
| Weltraum |
Übersicht der betroffenen Sektoren nach NIS2.
Was sind die Vorgaben der NIS2-Richtlinie?
Die Mitgliedstaaten müssen die Richtlinie bis zum 17. Oktober 2024 umsetzen. Danach muss die Kommission die Anwendung der Richtlinie regelmäßig überprüfen und dem Parlament und dem Rat erstmals bis zum 17. Oktober 2027 Bericht erstatten.
Für betroffene Organisationen legt die NIS2-Richtlinie verschiedene Verpflichtungen fest:
1. Meldepflicht für Zwischenfälle
Organisationen müssen erhebliche Cyberincidents innerhalb von 72 Stunden an die nationalen Behörden melden. Dies ermöglicht es den Behörden, schnell auf Bedrohungen zu reagieren und die Auswirkungen zu minimieren.
2. Sicherheitsmaßnahmen
Unternehmen und öffentliche Verwaltungen müssen geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Cybersecurity umsetzen. Dies umfasst die Sicherung von Netzwerken und Systemen sowie die Implementierung von Sicherheitsrichtlinien.
| Maßnahme | Erläuterung |
|---|---|
| Policies | Richtlinien für Risiken und Informationssicherheit |
| Incident Management | Prävention, Detektion und Bewältigung von Cyberincidents |
| Business Continuity | BCM mit Backup Management, Disaster Recovery, Krisenmanagement |
| Supply Chain | Sicherheit in der Lieferkette |
| Einkauf | Beschaffung von IT- und Netzwerksystemen |
| Effektivität | Vorgaben zur Messung von Cyber- und Risikomaßnahmen |
| Training | Cybersecurity-Hygiene |
| Kryptographie | Vorgaben für Kryptographie und wo möglich Verschlüsselung |
| Personal | HR-Security |
| Zugangskontrolle | Zugriffskontrolle |
| Asset Management | Information Security Management System (ISMS) |
| Authentifizierung | Einsatz von Multi-Faktor und SSO |
| Kommunikation | Sichere Kommunikationstools |
| Notfallkommunikation | Einsatz gesicherter Systeme (Sprach, Video und Text) |
Sicherheitsmaßnahmen nach NIS2
3. Verantwortung der Geschäftsführung
Die Geschäftsführung ist dazu angehalten, die Umsetzung der Maßnahmen zu überwachen. Dabei haftet sie für Verstöße. Die Teilnahme an entsprechenden Schulungen ist verpflichtend und diese müssen auch den Mitarbeitenden angeboten werden.
Sanktionen bei Verstößen
Bei Verstößen gegen die NIS2-Richtlinie (Risikomanagementmaßnahmen, Art. 21 und Meldepflicht, Art. 23) können Geldstrafen und andere Sanktionen verhängt werden. Die Pflichten der „Essential Entities“ und „Important Entities“ (s. Übersicht oben) sind grundsätzlich gleich, jedoch unterscheiden sie sich in der Intensität der Überwachung und der Höhe der Bußgelder bei Nichteinhaltung. Es drohen je nach Entity Höchstbeträge von mindestens zehn bzw. sieben Millionen Euro bzw. zwei Prozent oder 1,4 Prozent des weltweiten Umsatzes im Vorjahr.
B3S als Orientierung
Soweit verfügbar, können Unternehmen sich an den B3S (Branchenspezifische Sicherheitsstandards) orientieren. Laut BSI können KRITIS-Betreiber oder deren Verbände in diesen konkretisieren, wie die Anforderungen an den „Stand der Technik“ erfüllt werden können. Die B3S können dem BSI zur Feststellung der Eignung vorgelegt werden und sind anschließend über die BSI-Website abrufbar.
Eine gesetzliche Verpflichtung zur Erstellung eines B3S besteht zwar nicht, es eröffnet den Branchen allerdings die Möglichkeit, auf Basis der eigenen Expertise selbst Spezifikationen zum Stand der Technik zu formulieren. Darüber hinaus besteht für Betreiber, die sich nach einem solchen anerkannten B3S auditieren lassen, Rechtssicherheit hinsichtlich des Standes der Technik, der bei einem Audit gefordert und überprüft wird.
Was empfehlen wir bei plusserver?
Klären Sie zunächst, ob Ihre Organisation von NIS2 betroffen ist. Dazu können Sie die Übersicht der Entities (s. oben) nutzen und zusätzlich die folgenden Fragen beantworten:
- Erbringt Ihre Organisation Dienstleistungen in der EU oder übt ihre Tätigkeiten in der EU aus?
Haben Sie mindestens 50 Mitarbeitende oder mindestens 10 Millionen Euro Umsatz und mindestens 10 Millionen Euro Bilanz (hier gelten einige Sonderfälle im Hinblick auf die Kritikalität der erbrachten Dienste)?
Sie sind betroffen? Die Umsetzung der NIS2-Richtlinie erfordert eine sorgfältige Planung und Ressourcenallokation. Die folgende Checkliste kann Sie bei dieser Aufgabe unterstützen:
- Risikobewertung: Führen Sie regelmäßige Risikobewertungen durch, um die spezifischen Bedrohungen und Schwachstellen Ihres Unternehmens zu identifizieren.
- Sicherheitsmaßnahmen: Implementieren Sie angemessene Sicherheitsmaßnahmen, einschließlich Zugriffskontrollen, Verschlüsselung und Monitoring.
- Incident-Response-Plan: Erstellen Sie einen gut durchdachten Zwischenfallreaktionsplan, um sicherzustellen, dass Sie auf Incidents effektiv reagieren können.
- Schulung und Sensibilisierung: Schulen Sie Ihre Mitarbeitenden und stärken Sie die Awareness für Sicherheitsrisiken. Vermitteln Sie Best Practices, um menschliche Fehler zu minimieren.
- Compliance-Management: Halten Sie sich über die aktuellen Entwicklungen in der Gesetzgebung bezüglich Cybersicherheit auf dem Laufenden und stellen Sie sicher, dass Ihre Organisation stets konform ist.
- Supply-Chain-Management: Ebenso relevant wie Ihre eigenen Sicherheitsmaßnahmen sind die Maßnahmen Ihrer Zulieferer. Achten Sie besonders auf Zertifizierungen wie ISO 27001 sowie bei Cloud-Anbietern auf ein BSI-C5-Testat.
- Externe Hilfe: Es ist ratsam, sich auch an externe Berater und Lösungsanbieter zu wenden, um sicherzustellen, dass Sie alle Anforderungen der NIS2-Richtlinie erfüllen.
plusserver-Lösungen, die bei der Umsetzung von NIS2 unterstützen
| Security-Beratung/Consulting | Security-Lösungen | Zertifizierte Infrastruktur |
|---|---|---|
| Pentests und Audits | SOC as a Service | Standorte in DE |
| Awareness-Trainings | EDR as a Service | ISO 27001 |
| (jeweils durch Partner) | Security Scanner | BSI C5 (Typ-II) |
| Workload Protection | ||
| Next Gen Firewall | ||
| DDoS-Schutz | ||
| Backup/Disaster Recovery |
Mit einem umfassenden Security-Portfolio, deutschen Cloud-Lösungen und einem breiten Partner-Ökosystem kann plusserver bei der Einhaltung gesetzlicher Vorgaben wie NIS2, aber auch SiG 2.0, unterstützen.
Ihr Kompass durch den NIS2-Dschungel
Stehen Sie mit Ihrer NIS2-Strategie noch am Anfang? Unser Whitepaper beantwortet Ihre Fragen zur NIS2-Compliance: Sind Sie betroffen, welche Maßnahmen erfordert NIS2 und mit welchen Lösungen erfüllen Sie die Anforderungen? Nutzen Sie jetzt unsere Checkliste und stellen Sie Ihre Organisation resilient und zukunftsfähig auf.
Über den Autor
Daniel Graßer verantwortet seit Juni 2022 als Senior Director of Security Services das Security Portfolio & Services sowie die dazugehörige Strategie bei plusserver. Das Leistungsportfolio umfasst neben hochstandardisierten Cloud-Produkten u. a. Themen wie Security as a Service, Anti-Ransomware-Strategien bis hin zum Betrieb von SOC-Leistungen.
Weiterführende Inhalte
Blog
EDR Security: Schützen Sie Ihr Business mit Managed Services
Managed EDR Security erleichtert Bedrohungserkennung und Datenschutz mit Endpoint Detection & Response.
Blog
Security Operations Center (SOC): Der Königsweg der IT-Security?
Ein Security Operations Center (SOC) gehört zu den zentralen Bausteinen eines durchdachten IT-Security-Prozesses.
Download
Merkblatt zu NIS2
Erfahren Sie die wichtigsten Fakten zur Security-Richtlinie auf einen Blick.
Download
NIS2-Assessment
Ready für NIS2? Unsere Security-Consultants finden es heraus und erstellen einen individuellen Fahrplan für Ihre nächsten Schritte.
Event
Cloud TechCenter Days
Die Cloud TechCenter Days sind ein Booster für Ihr Cloud-Projekt und Kundenvorhaben. Das PLUS: spannende Use Case und eine Datacenter Tour.
