Article NIS2 Richtlinie | Insight
NIS2-Richtlinie: Welche Konsequenzen hat sie für Ihr Unternehmen?
By Insight UK / 9 Oct 2023 / Topics: Disaster Recovery (DR)
By Insight UK / 9 Oct 2023 / Topics: Disaster Recovery (DR)
Nächstes Jahr, am 18. Oktober 2024, tritt in Europa eine neue Richtlinie für Netz- und Informationssicherheit (NIS) in Kraft, NIS2. Aufgrund der Zunahme von Cyber-Bedrohungen und der massiven gesellschaftlichen Abhängigkeit von der IT hat sich gezeigt, dass die aktuellen Richtlinien nicht mehr ausreichen und strengere Anforderungen seitens der EU notwendig sind. NIS2 knüpft daher an die seit 2018 bestehende NIS-Richtlinie an und auf einen weit größeren Teil der Wirtschaft ausgeweitet. Ja, höchstwahrscheinlich ist auch Ihr Unternehmen betroffen.
NIS ist eine europäische Cybersicherheits-Richtlinie mit dem Ziel, die Resilienz und die Reaktion auf Sicherheitsvorfälle in der EU zu verbessern. Die NIS-Richtlinie konzentriert sich auf wichtige Sektoren wie Wasser, Energie und Telekommunikation. Wenn Unternehmen in diesen Sektoren von Cyberangriffen betroffen sind, hat dies oft störende Auswirkungen auf die Wirtschaft und die Gesellschaft. Die erste NIS-Richtlinie sollte sicherstellen, dass Unternehmen in diesen Sektoren geeignete Maßnahmen ergreifen, um die Sicherheit und Kontinuität ihrer Netz- und Informationssysteme zu gewährleisten. So bestand beispielsweise die Verpflichtung, Datenlecks an die Aufsichtsbehörden zu melden, und es wurden Geldstrafen verhängt, wenn sich herausstellte, dass die Richtlinien nicht eingehalten wurden.
Nun ist es so, dass jedes EU-Land selbst über die Umsetzung und Einhaltung dieser Vorschriften entscheiden muss. Die NIS2-Richtlinie wurde daher Ende letzten Jahres veröffentlicht und gibt den Mitgliedstaaten bis zum 17. Oktober 2024 Zeit, die Änderungen umzusetzen und Gesetze und Vorschriften anzupassen. Sie stellt sicher, dass:
1. Die EU-Länder erhalten strengere Anforderungen insbesondere im Bereich der Cybersicherheit und der Sicherheit der Lieferkette und die Durchsetzung durch die Aufsichtsbehörden wird viel konsequenter.
2. Die Liste der erfassten Sektoren wird erweitert und es wird zwischen wesentlichen und wichtigen Unternehmen unterschieden:
• Wesentliche Unternehmen sind Unternehmen mit +250 Beschäftigten oder einem Nettoumsatz von mehr als 50 Mio. Euro und einer Bilanzsumme von +43 Mio. Euro. Diese Unternehmen werden von den Aufsichtsbehörden proaktiv überwacht.
• Wichtige Unternehmen beschäftigen mehr als 50 Mitarbeiter und haben einen Jahresumsatz von mehr als 50 Mio. Euro. Diese Unternehmen können in regelmäßigen Abständen mit einer Prüfung rechnen.
• Ausnahmen: Kleinere Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz von weniger als 50 Mio. Euro müssen als Anbieter von Vertrauensdiensten (digitale Dienste, die die Vertraulichkeit, Integrität und Authentizität elektronischer Transaktionen, Mitteilungen und Dokumente gewährleisten) ebenfalls die NIS2 einhalten.
Wenn Ihr Unternehmen in den Anwendungsbereich der NIS2-Richtlinie fällt, hat das Konsequenzen:
1. Compliance: Sie MÜSSEN die Risikomanagementmaßnahmen einhalten und Berichtspflichten beachten. Denken Sie daran, die richtigen Sicherheitsmaßnahmen zu ergreifen und schwerwiegende Vorfälle den zuständigen Behörden zu melden.
2. Erhöhte Haftung: Unternehmen, die die NIS2-Richtlinie nicht einhalten und infolgedessen sensible Daten verlieren, können für die Folgen haftbar gemacht werden. Dazu gehören finanzielle Verluste, Rufschädigung und rechtliche Haftung.
3. Kosten: Höchstwahrscheinlich werden Ihnen zusätzliche Kosten entstehen, um die Richtlinie einzuhalten. Denken Sie an die Anpassung bestehender Systeme und Verfahren, aber auch an die Schulung neuer Mitarbeiter, die Einführung neuer Instrumente und die Überwachung potenzieller Bedrohungen.
Die Meldung dieser potenziellen Bedrohungen ist eine drastische Maßnahme. Während die erste NIS-Richtlinie die Meldung von Vorfällen innerhalb von 24 Stunden vorschrieb, verlangt die neue NIS2 die Meldung bereits bei potenziellen Bedrohungen. Dies bedeutet, dass Ihre IT-Abteilung proaktiv mit der Überwachung und Meldung arbeiten muss.
Es ist noch nicht ganz klar, wie Sie Bericht erstatten müssen, und die Frist im 4. Quartal 2024 scheint noch in weiter Ferne zu liegen, aber aus Erfahrung wissen wir, dass eine aktive Überwachung unglaublich zeitaufwändig ist, ganz zu schweigen von der Einrichtung der optimalen Sicherheitssysteme. Letzteres haben Sie vielleicht schon im Griff, aber warten Sie nicht bis Ende nächsten Jahres, um Ihre Sicherheitsvorkehrungen und -verfahren einzurichten, und beginnen Sie damit, die folgenden Aspekte zu überprüfen:
1. Risikoanalyse: Prüfen Sie, welche Systeme und Dienste Ihrer Organisation am wichtigsten sind
und daher das größte Risiko im Falle eines Hacks darstellen.
2. Business Continuity: Verfügen Sie über gute Backup-Pläne, einschließlich Disaster Recovery und Krisenmanagement?
3. Sicherheit der Lieferkette: Welchen potenziellen Risiken ist Ihre Organisation durch externe Lieferanten und Dienstleister ausgesetzt?
4. Sicherheit der Netz- und Informationssysteme: Wie sind sie eingerichtet und wie wird mit Schwachstellen umgegangen?
5. Bewältigung von Sicherheitsvorfällen: Wie werden Vorfälle derzeit behandelt und möglicherweise registriert?
6. Effektivität: Wie sieht es mit Strategien und Verfahren zur Überprüfung der Wirksamkeit der Cybersicherheit aus?
7. Menschliche Faktoren: Wie gut sind die IT- und Sicherheitsrichtlinien innerhalb des Unternehmens bekannt und werden sie befolgt?
8. Kryptografie und Verschlüsselung: Wie sieht es mit den Richtlinien und Verfahren für den Einsatz von Kryptographie
und Verschlüsselung aus?
9. Physische Sicherheit: Vom Personal über die Zugangskontrollpolitik bis hin zur Vermögensverwaltung.
10. Multi-Faktor-Authentifizierung: Wenden Sie sie auf alle Konten an, die aus dem Internet erreichbar sind, über Verwaltungsrechte verfügen und auf Konten kritischer Systeme.
Wie Sie sehen, gibt es viel zu tun, um eine solide Sicherheit einzurichten und einzuhalten. Es geht nicht nur um die Technologie, sondern auch um die Prozesse im Unternehmen und die Menschen, die dort arbeiten. Die obige To-Do-Liste wird Ihnen dabei helfen, festzustellen, welche Maßnahmen Sie noch umsetzen oder verbessern müssen, um so weit wie möglich NIS2-konform zu sein.
Wenn Sie mehr über dieses Thema erfahren möchten oder wissen wollen, wie Insight Sie bei der Vorbereitung auf NIS2 unterstützen kann, zögern Sie nicht und kontaktieren Sie uns noch heute.
