Was NIS2 für Unternehmen in Europa bedeutet

Was NIS2 für Unternehmen in Europa bedeutet

Beitrag teilen

NIS2 wurde beschlossen und EU-Staaten müssen die Richtlinie bis Oktober 2024 in nationales Recht überführen – und Unternehmen sich natürlich vorbereiten. NIS2 ist der europäische Rahmen für Betreiber Kritischer Infrastrukturen und legt Cyber Security Mindeststandards in der EU fest.

Die Europäische Union (EU) hat die NIS2-Richtlinie verabschiedet, die Teil der EU-Strategie zur Gestaltung der digitalen Zukunft Europas im Bereich der IT-Sicherheit ist und eine direkte Erweiterung der NIS-Richtlinie von 2016 darstellt, die das erste IT-Sicherheitsgesetz auf EU-Ebene war.

Anzeige

Hintergrund für NIS2

Hintergrund der neuen Richtlinie ist eine dynamische Bedrohungslandschaft, die sich zunehmend auf die Netzwerke von Unternehmen auswirkt, sowie die Erkenntnis, dass die erste NIS-Richtlinie in den einzelnen EU-Mitgliedstaaten unterschiedlich umgesetzt wurde. Daher will die EU einen einheitlicheren Ansatz für den Schutz von Sektoren und Lieferketten schaffen, die Kritische Infrastruktur (KRITIS) betreffen, da ein großer Cyber-Angriff enorme Auswirkungen auf die Wirtschaft jedes einzelnen Mitgliedstaats, aber auch auf den Rest der Union haben könnte. Wenn beispielsweise das nationale Energieversorgungsunternehmen eines Landes für kurze oder längere Zeit ausfällt, werden die Strompreise steigen und da Strom an einer europäischen Börse gehandelt wird, werden die Preise in ganz Europa steigen.

Was auf die Mitgliedstaaten zukommt

Im Gegensatz zur DSGVO-Richtlinie, die personenbezogene Daten der Bürger schützt, zielt die NIS2-Richtlinie auf den Schutz von Wirtschaftsdaten ab. Im Rahmen der neuen Gesetzgebung müssen die Mitgliedstaaten unter anderem eine nationale IT-Sicherheitsstrategie und ein nationales Gesetz entwerfen. Dieses soll Anforderungen an das Risikomanagement und die Berichterstattung der Unternehmen, die unter die NIS2-Richtlinie fallen, stellen. Außerdem soll auf nationaler Ebene eine Kontaktstelle dafür eingerichtet werden.

Betroffene Institutionen

Zusätzlich zu den Sektoren, die schon in der NIS-Richtlinie enthalten waren, erstreckt sich die neue NIS2 unter anderem auf die Lebensmittelbranche, Fracht- und Schifffahrtsunternehmen, Telekommunikations- und Datenanbieter, Social-Media-Plattformen und Anbieter von Rechenzentren, sowie Unternehmen, die in der Abfall- und Abwasserwirtschaft tätig sind, außerdem Produktionsunternehmen, die für die Wirtschaft des Landes wichtig sind.

Die unter die Richtlinie fallenden Unternehmen werden in zwei Kategorien unterteilt: essenzielle Unternehmen (z. B. Telekommunikationsunternehmen, Versorgungsunternehmen und Banken) und wichtige Unternehmen (z. B. Lebensmittelunternehmen und Frachtunternehmen). Unternehmen mit weniger als 250 Beschäftigten oder einem Jahresumsatz von weniger als 50 Millionen Euro sind jedoch von der Richtlinie ausgenommen. Aufgrund des Konzepts der Verantwortung für die Lieferkette ist jedoch davon auszugehen, dass auch kleinere Unternehmen, die Zulieferer für die von der Richtlinie erfassten Sektoren sind, NIS2 einhalten müssen. Darüber hinaus erstreckt sich die Richtlinie auch auf öffentliche Verwaltungen, doch ist derzeit noch unklar, ob dies beispielsweise für Kommunen gilt.

Was auf die Unternehmen zukommt

NIS2 stellt neue Anforderungen an die betroffenen Unternehmen und Organisationen. Dazu gehören das Fachwissen und die Verantwortung der Führungskräfte, ein wirksames Risikomanagement, einschließlich Risikoanalyse und Reaktion auf Vorfälle, sowie die Meldung und Behandlung von Cyber-Vorfällen. Das Management ist somit für die Einhaltung der NIS2-Richtlinie durch die Firma verantwortlich und kann bei Verfehlung zur Rechenschaft gezogen werden. Das Unternehmen oder die Organisation selbst muss verschiedene Anforderungen an die IT-Sicherheit erfüllen, einschließlich der Umsetzung von Sicherheitsmaßnahmen und internationalen Standards, wie ISO27001 oder dem NIST-Framework.

Unternehmen, welche die NIS2-Richtlinie nicht einhalten, können mit Geldstrafen von bis zu zehn Millionen Euro oder zwei Prozent des gesamten weltweiten Jahresumsatzes belegt werden. Es ist wichtig, darauf hinzuweisen, dass es, wie bei der DSGVO-Richtlinie, kein NIS2-Etikett oder eine Liste geben wird, an die sich die Unternehmen halten müssen. Es liegt an der Organisation selbst, Maßnahmen zu ergreifen, um die Einhaltung der Datensicherungsbestimmungen zu gewährleisten. Anbieter von Sicherheitslösungen können somit zwar helfen, aber es ist Sache des Unternehmens, die notwendige Berichterstattung einzurichten.

Frist für die Umsetzung

Ende Dezember 2022 wurde die NIS2-Richtlinie verabschiedet und in der EU offiziell gemacht. Danach haben die Mitgliedsstaaten 21 Monate Zeit, die Richtlinie in nationales Recht zu wandeln. Das heißt aber nicht, dass Unternehmen bis dahin mit der Umsetzung der neuen Maßnahmen warten können. Denn bereits 18 Monate nach der Verabschiedung müssen die von der Richtlinie betroffenen Organisationen in der Lage sein, diese einzuhalten. Das mag zwar lang erscheinen, aber wir wissen aus Erfahrung, dass es für viele Unternehmen sehr lange dauern kann, neue Maßnahmen, Verfahren usw. einzuführen. Deshalb ist es wichtig, dass alle betroffenen Einrichtungen und Firmen sofort beginnen.

Ratschläge zum Einstieg

Wie bereits erwähnt, enthält die NIS2-Richtlinie keine Checkliste oder Mindestanforderungen an die Schutztechnologie. Sie beschreibt, wie ein angemessenes Schutz-Niveau aussieht, das auf verschiedene Weise interpretiert werden kann. Man darf jedoch davon ausgehen, dass Unternehmen zumindest Firewall- und Intrusion-Prevention-Technologien in ihrem Netzwerk benötigen, sowie Endpunktsicherheit und die Implementierung von Multi-Faktor-Authentifizierung, Datenverschlüsselung und Zugangsbeschränkung.

Es ist jedoch wichtig zu erwähnen, dass nicht alles mit Technologie gelöst werden kann. Verfahren und Technologie sind gleichermaßen wichtig. Das bedeutet, dass sich Unternehmen einen Überblick verschaffen und einen Plan aufstellen sollten, anstatt nur nach einer schnellen Lösung zu suchen. In diesem Sinne gibt es einige erste Schritte, die man gehen kann. Zunächst ist es wichtig, zu prüfen, ob das eigene Unternehmen unter die neue Richtlinie fällt. Wenn das der Fall ist, sind folgende Aspekte zu beachten:

  • Vergewissern Sie sich, dass die IT-Sicherheit für die Unternehmensleitung Priorität hat und sich die Führungskräfte ihrer Verantwortung bewusst sind. Beginnen Sie mit der Analyse der Bedürfnisse Ihres Unternehmens und erstellen Sie einen Fahrplan mit klaren Zielen und Zeitvorgaben zur Umsetzung.
  • Identifizieren und priorisieren Sie Ihre Vermögenswerte, einschließlich Informationen, Prozessen und Systemen.
  • Konzipieren Sie einen Rahmen, auf dem Sie Ihre Sicherheit aufbauen können. Dies könnte ISO2001 oder NIST sein. Wichtig ist auch, dass Sie ein Risikomanagement für Ihre Vermögenswerte und Abläufe einführen.
  • Automatisieren Sie so viele Prozesse und Routinen wie möglich. So sollte beispielsweise die IT-Sicherheit in Zukunft immer Teil neuer Systeme und Cloud-Einführungen sein.
  • Konsolidieren Sie Ihre Sicherheitsfunktionen und -lösungen. Das macht den Betrieb einfacher und sicherer und senkt unter anderem die Personalkosten.
  • Führen Sie einen Meldeprozess ein, der den NIS2-Anforderungen entspricht und stellen Sie sicher, dass er genutzt werden kann, um Angriffe und Bedrohungen zu entschärfen.

Viele Organisationen haben bereits einige Maßnahmen umgesetzt, da sie die ursprünglichen NIS-Anforderungen erfüllen mussten. Andere Organisationen müssen sich jedoch auf eine völlig neue Realität einstellen. Das kann eine große und entmutigende Aufgabe sein, für manche gar überwältigend erscheinen. Aus diesem Grund tut jeder gut daran, sich früh mit den Anforderungen und möglichen Maßnahmen zu befassen, sowie Experten zu Rate zu ziehen.

Mehr bei CheckPoint.com

 


Über Check Point

Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.


 

Passende Artikel zum Thema

Phishing: Neue Kampagne nutzt Google Apps Script aus

Google Apps Script ist ein Werkzeug, um Aufgaben in Google-Anwendungen zu automatisieren. Check Point Forscher haben jetzt eine neue Phishing-Kampagne ➡ Weiterlesen

Global Threat Report 2024: Deswegen haben Angreifer Erfolg

Relativ leicht können Angreifer grundlegende Sicherheitseinstellungen leicht ausnutzen, das zeigt der Global Threat Report 2024 von Elastic. Standardisierte offensive Sicherheitstools und unzureichend ➡ Weiterlesen

APT41 hat mit DodgeBox und Moonwalk aufgerüstet

Analysten des Zscaler ThreatLabs haben die neuesten Entwicklungen der chinesischen Gruppierung APT41/Earth Baku unter die Lupe genommen. Dabei haben sie ➡ Weiterlesen

Malware attackierte iranische Regierungsnetzwerke

Sicherheitsforscher haben eine ausgefeilte Cyberattacke aufgedeckt. Die Malware richtet sich gegen irakische Regierungsnetzwerke, die mit staatlich unterstützten Akteuren aus dem ➡ Weiterlesen

Report: Fertigungsbranche im Visier von Cyberkriminellen

Laut Threat Intelligence Report haben im ersten Halbjahr 2024 insbesondere Cyberattacken auf die Fertigungsbranche und den Industriesektor zugenommen. Der Report ➡ Weiterlesen

Ransomware-Studie: Vier-Jahres-Hoch im Gesundheitswesen

In seinem Report „The State of Ransomware in Healthcare 2024“ veröffentlicht Sophos seine aktuellen Ergebnisse über die steigenden Angriffe auf ➡ Weiterlesen

Ransomware-Angriffe: Der lange Leidensweg

Ransomware-Angriffe haben verheerende Folgen für Unternehmen. Sie dauern nur kurze Zeit, aber die Wiederherstellung kann sich über Monate hinziehen. Das ➡ Weiterlesen

Fertigung: Opfer von Credential-Harvesting-Angriffen

Cyberkriminelle haben es auf die Microsoft-Anmeldedaten von US-amerikanischen und kanadischen Fertigungsunternehmen abgesehen. Ein Anbieter von Cybersicherheitslösungen hat die Angriffe aufgedeckt ➡ Weiterlesen