Erfahren Sie, wie Sie die europäischen Sicherheitsanforderungen erfüllen können.
Die Frist für den Übergang von NIS zu NIS2 rückt immer näher. Die Gesetzgebung auf der Grundlage dieser europäischen Richtlinie für die Sicherheit von Netzwerk- und Informationssystemen muss bis zum 17. Oktober 2024 in nationales Recht umgesetzt sein.
Dies wird sich wahrscheinlich auch auf Ihr Unternehmen auswirken, da in Österreich schätzungsweise 4.000 Unternehmen betroffen sein werden.
Rob O’Connor, Security-Experte der Insight, erörtert die bevorstehenden Auswirkungen der NIS2-Richtlinie auf Unternehmen und gibt Tipps, wie Sie Ihr Unternehmen schützen können..
Aufgrund der Zunahme von Cyber-Bedrohungen und der massiven gesellschaftlichen Abhängigkeit von der IT hat sich gezeigt, dass die aktuellen Richtlinien nicht mehr ausreichen und strengere Anforderungen seitens der EU notwendig sind. NIS2 knüpft daher an die seit 2018 bestehende NIS-Richtlinie an und wird auf einen weit größeren Teil der Wirtschaft ausgeweitet.
Die NIS2-Richtlinie ist eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, die am 16. Januar 2023 in Kraft getreten ist.
NIS2 führt strengere Regeln ein als die ursprüngliche NIS-Richtlinie, da diese für die heutigen digitalen Herausforderungen nicht mehr ausreichend ist. Sie umfasst Maßnahmen zur Beherrschung von Cybersicherheitsrisiken und Meldepflichten für Vorfälle.
Die NIS2 gilt für die folgenden Branchen:
Besonders wichtige Branchen: Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten, Behörden und Raumfahrt.
Wichtige Branchen: Post- und Kurierdienste, Abfallwirtschaft, Herstellung, Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion, -verarbeitung und -vertrieb, verarbeitendes Gewerbe, digitale Anbieter und Forschung.
Unternehmen, die unter die NIS2-Richtlinie fallen, gelten als
Ausnahme: Kleinere Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz von weniger als 10 Mio. Euro, müssen als Anbieter von Vertrauensdiensten (z.B. digitale Dienste, die die Vertraulichkeit, Integrität und Authentizität von elektronischen Transaktionen, Kommunikation und Dokumenten gewährleisten), ebenfalls NIS2-konform sein.
Der Vorstand spielt eine wichtige Rolle bei der Gewährleistung der Einhaltung der Anforderungen an das Risikomanagement. Der Vorstand muss Maßnahmen zum Cybersecurity-Risikomanagement genehmigen und deren Umsetzung überwachen. Der Vorstand kann persönlich haftbar gemacht werden, wenn er gegen seine Verpflichtung zur Einhaltung der Vorschriften verstößt.
Artikel 21 der NIS2-Richtlinie enthält eine Liste von Cybersicherheits-Risikomanagementmaßnahmen, die essenzielle und bedeutende Einrichtungen ergreifen müssen, um ihr Netz und ihre Informationssysteme zu schützen. Zu diesen Maßnahmen gehören die Behandlung von Zwischenfällen, Geschäftskontinuität und Krisenmanagement, grundlegende Praktiken der Cyber-Hygiene sowie Strategien und Verfahren für die Verwendung von Verschlüsselung.
Wenn Ihre Organisation unter die NIS2-Richtlinie fällt, sollten Sie sich speziell mit der Sicherheit der Lieferkette befassen. Dazu gehört die Ermittlung von Schwachstellen bei Zulieferern und Dienstleistern sowie die Bewertung der Qualität ihrer Produkte und Cybersicherheitspraktiken.
Essenzielle und bedeutende Einrichtungen müssen das staatliche Computer Security Information Response Team (CSIRT) oder die zuständige Behörde innerhalb von 24 Stunden nach einem bedeutenden Vorfall frühzeitig warnen und den Vorfall innerhalb von 72 Stunden melden. Unternehmen müssen auch ihre Kunden über Vorfälle informieren. Bedeutende Vorfälle werden in der Richtlinie als Vorfälle definiert, die zu einer schwerwiegenden Unterbrechung des Betriebs von Diensten oder zu finanziellen Verlusten für die Organisation führen sowie anderen Personen oder Einrichtungen erheblichen materiellen oder immateriellen Schaden zufügen können.
Wenn Ihre Organisation der NIS2-Richtlinie unterliegt, ist es wichtig, frühzeitig mit den Vorbereitungen zu beginnen.
Die Umsetzung der genannten Themen nimmt viel Zeit in Anspruch!
Insight kann Ihr Führungsteam aktiv bei der Vorbereitung unterstützen, indem es das Bewusstsein für die erweiterten Sicherheitsanforderungen und deren Bedeutung schärft. NIS2 verfolgt einen proaktiveren Ansatz bei der Einhaltung der Vorschriften und legt den Schwerpunkt auf das Risikomanagement und die Meldung von Vorfällen.
Insight kann Ihnen dabei helfen, sich auf die neue NIS2- Verordnung vorzubereiten und darauf vorbereitet zu sein, diese einzuhalten, indem Ihr aktueller Stand bewertet und alle Lücken und Optimierungen identifiziert werden, die angegangen werden müssen, um Compliance zu erreichen.
Das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit, das NIS2UmsuCG1, wird ab 2024 in Kraft treten. Es überführt die EU-weiten Mindeststandards für Cybersecurity der EU-Direktive NIS2 in deutsche Regulierung. Die NIS2-Umsetzung wird mindestens 30.000 Unternehmen in Deutschland und ca. 3.000-4.000 in Österreich betreffen.
Das Gesetz liegt als Referentenentwurf vor und muss bis Oktober 2024 die Gesetzgebung auf Bundesebene durchlaufen. Das NIS2UmsuCG ist ein Änderungsgesetz, das bestehende Gesetze ändert – primär die KRITIS-Teile des BSI-Gesetzes. Neben NIS2 wird das KRITIS-Dachgesetz kritische Betreiber regulieren. Die österreichische Regierung hat Anfang April ds Cybersicherheitsgesetzt zur europäischen NIS2-Verordnung in Begutachtung geschickt2. Ab dem 18. Oktober 2024 müssen die NIS2-Vorgaben in Österreich und Deutschland angewendet werden.
Hier erfahren Sie mehr über Cybersecurity-Lösungen von Insight.
1 Quelle: Das NIS2-Umsetzungsgesetz NIS2UmsuCG – OpenKRITIS | Die neue NIS-2-Richtlinie - Anlaufstelle NISG
2 Quelle:Bundesministerium des Inneren | Parlament Österreich
“Um die NIS2.0-Richtlinien zu erfüllen, ist es wichtig zu definieren, welche Systeme und Dienste Ihrer Organisation als kritische Infrastrukturen gelten und welche Risiken bestehen. Auf dieser Grundlage können Sie bestimmen, welche Maßnahmen Sie umsetzen und wie Sie diese in Ihre Organisation integrieren müssen.”
Dirk de Goede
Spezialist für Sicherheitslösungen bei Insight