NIS2: Neue EU-Leitlinie für Cybersicherheit – was Unternehmen jetzt wissen müssen

Mehr als 200 Milliarden Euro beträgt der Schaden, den deutsche Unternehmen jedes Jahr durch Cyberangriffe erleiden. Die Zahl der Attacken nimmt zu. Die EU reagiert mit verschärften Vorschriften: Die NIS2 Direktive legt ab 2024 den Mindeststandard für Cyber-Security innerhalb der Europäischen Union fest. Was Unternehmen jetzt wissen müssen, erfahren Sie in diesem Beitrag.

Wie schütze ich meine Organisation gegen Angriffe aus dem Netz?

Diese Frage beantwortet seit 2016 die EU-weite Rechtsvorschrift über die Netz- und Informationssicherheit (NIS1).

Angesichts der neuen Bedrohungslage hat Brüssel mit verschärften Anforderungen nachgebessert: NIS2 wird NIS1 vollständig ersetzen.

Nach langen Verhandlungen ist die neue Direktive am 16. Januar 2023 in Kraft getreten.

Die EU-Mitgliedsstaaten müssen sie bis zum 17. Oktober 2024 in nationales Recht umsetzen.

NIS2 – Das ist neu

Mit NIS2 verschärft die EU sämtliche Sicherheitsanforderungen für kritische Infrastruktur und wichtige Schlüsselsektoren. Das Ziel: Unternehmen und Organisationen optimal gegen die wachsende Gefahr durch Cyberangriffe rüsten.

Die Vorgaben werden mit dem Schritt auf NIS2 auf neue Sektoren ausgeweitet. Als Konsequenz sieht sich eine Vielzahl an Unternehmen erstmalig mit der Direktive konfrontiert. Für die Betroffenen gelten ab Oktober 2024 strengere Meldepflichten, strengere Aufsichtsmaßnahmen und strengere Durchsetzungsvorschriften.

Wer ist von NIS2 betroffen?

Betroffen von NIS2 sind große und mittlere Unternehmen und Organisationen gemäß 2003/361/EC in insgesamt 18 verschiedenen Sektoren. Organisationen innerhalb dieser Sektoren werden als sogenannte Essential Entities oder Important Entities klassifiziert.

Große Organisationen gemäß 2003/361/EC:

• Mehr als 250 Beschäftigte
• Mehr als 50 Mio. EUR Umsatz
• Mehr als 43 Mio. EUR Bilanz

Mittlere Organisationen gemäß 2003/361/EC:

• 50-250 Beschäftigte
• 10-50 Mio. EUR Umsatz
• Weniger als 43 Mio. EUR Bilanz

Essential Entities sind große Organisationen in den 11 essenziellen Sektoren:

• Energie
• Transport
• Bankwesen
• Finanzmärkte
• Gesundheit
• Trinkwasser
• Abwasser
• Digitale Infrastruktur
• IT Service Management
• Öffentliche Verwaltung
• Weltraum

Important Entities sind alle mittelgroßen Organisationen in essenziellen Sektoren und große Organisationen in den 7 wichtigen Sektoren:

• Post und Kurier
• Abfall
• Chemikalien
• Lebensmittel
• Industrie (Herstellung)
• Digitale Dienste
• Forschung

Von NIS2 nicht betroffen sind ÖPNV, Medizingroßhandel und Unternehmen mit weniger als 49 Beschäftigten und weniger als 10. Mio EUR Umsatz.

Wichtig: NIS2 gilt nicht nur für Organisationen mit Sitz innerhalb der EU. Auch Organisationen mit Sitz außerhalb der EU müssen die NIS2 Direktive einhalten, wenn sie in einem EU-Land operativ tätig sind.

NIS2: Diese Cyber Security Maßnahmen müssen betroffene Unternehmen und Organisationen umsetzen

Mit NIS2 werden wichtige Sektoren noch strenger reguliert. Um die Cyber-Resilienz des gesamten EU-Raums zu stärken, müssen die betroffenen Unternehmen und Organisationen die folgenden Anforderungen erfüllen:

• Sicherheitsrichtlinien etablieren und umsetzen
• Sicherheitsvorfälle verhindern, erfassen und bewältigen
• Backup-Management einführen
• Sicherheit der Lieferkette gewährleisten
• Sicherheit bei der Beschaffung von IT und Netzwerk-Systemen gewährleisten
• Performance-Messungen von Cyber und Risiko Maßnahmen
• Cyber Security Training
• Daten verschlüsseln
• Personalinformationen schützen
• Zugangskontrolle einführen
• Asset Management einführen
• Multi-Factor-Authentisierung und SSO nutzen
• Sicherer Sprach-, Video- und Text-Kommunikation nutzen
• Sichere Notfall-Kommunikations-Systeme bereitstellen

Betroffene Organisationen sind verpflichtet, die zuständige nationale Behörde umgehend über Sicherheitsvorfälle zu informieren. In Deutschland werden Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet.

NIS2 verlangt nach mehr Kooperation und nationalen Notfallteams

Die NIS2 Leitlinie fordert für kritische Sektoren erstmalig sogenannte Computer Security Incident Response Teams (CSIRT). Diese Notfallteams müssen an sicheren Standorten untergebracht werden und jederzeit erreichbar sein. Ein CSIRT überwacht und analysiert die nationale Bedrohungslage rund um die Uhr, gibt wenn nötig Warnmeldungen aus und greift im Ernstfall selbst ein.

Weiterhin sollen Kooperationsgruppen die strategische Zusammenarbeit aller EU-Mitgliedsstaaten fördern. Im Vordergrund steht dabei der Technologie- und Informationsaustausch zwischen den Ländern. Die Kooperationsgruppen erarbeiten einheitliche Vorgehensweisen für Behörden innerhalb der EU-Mitgliedsstaaten und übernehmen beratende Tätigkeiten.

Mit der NIS2 Direktive wird das European Cyber Crisis Liaison Organisation Network (EU-CyCLONe) offiziell aktiviert. Das EU-CyCLONe Netzwerk soll im Krisenfall bei der koordinierten Bekämpfung von besonders schwerwiegenden und großflächigen Cyber-Sicherheitsvorfällen unterstützen.

ENISA führt Register mit allen von NIS2 betroffenen Organisationen

Im Rahmen der NIS2 Leitlinie fällt der European Union Agency for Cybersecurity (ENISA) eine Schlüsselrolle zu. Die ENISA wird die Mitgliedsstaaten und Kooperationsgruppen bei der Umsetzung der neuen NIS2 Direktive unterstützen und ein Register über alle von NIS2 betroffenen Unternehmen und Organisationen führen.

Insgesamt umfassen die neuen Aufgaben der ENISA:

• Entwicklung und Pflege eines europäischen Registers für Sicherheitsrisiken
• Sekretariat des Europäischen Verbindungsnetzes für Cyberkrisen (CyCLONe)
• Veröffentlichung eines jährlichen Berichts über den Stand der Cybersicherheit in der EU
• Unterstützung der Organisation von Peer-Reviews zwischen den Mitgliedsstaaten
• Einrichtung und Pflege eines Registers für Einrichtungen, die grenzüberschreitende Dienste anbieten, z. B. Anbieter von DNS-Diensten, TLD-Namensregistrierungsstellen, Einrichtungen, die Domänennamenregistrierungsdienste anbieten, Anbieter von Cloud-Computing-Diensten und Anbieter von Rechenzentrumsdiensten.

Die ENISA unterstützt die Mitgliedstaaten und Kooperationsgruppe bei der Erfüllung ihrer Aufgaben durch:

• Identifizierung bewährter Praktiken in den Mitgliedstaaten bei der Umsetzung der NIS-Richtlinie;
• Unterstützung des EU-weiten Meldeverfahrens für Cybersicherheitsvorfälle durch die Entwicklung von Schwellenwerten, Vorlagen und Instrumenten;
• Einigung auf gemeinsame Ansätze und Verfahren;
• Unterstützung der Mitgliedstaaten bei der Lösung gemeinsamer Cybersicherheitsfragen.

Mit diesen Sanktionen müssen Unternehmen bei Verstößen gegen die NIS2 Anforderungen rechnen

Verstöße gegen die NIS2 Anforderungen werden mit Geldbußen sanktioniert. Die Höhe der Geldbuße hängt davon ab, in welchem Sektor das Unternehmen oder die Organisation tätig ist.

Essenzielle Sektoren: Strafe bis 10 Mio. EUR oder 2% des weltweiten Umsatzes

Wichtige Sektoren: Strafe bis 7 Mio. EUR oder 1,4% des weltweiten Umsatzes

So bereiten sich Unternehmen und Organisationen auf NIS2 vor

Idealerweise beginnen Unternehmen und Organisationen umgehend mit der Überprüfung ihrer Sicherheits-Infrastruktur und bereiten die nötigen Veränderungen vor. Neben der Risikoanalyse und der Aufdeckung und Schließung von Sicherheitslücken ist es besonders wichtig, die Abläufe im Ernstfall klar zu definieren. Hier sieht die Leitlinie einen zweistufigen Ansatz vor. Bereits innerhalb von 24 Stunden nach Bekanntwerden eines Vorfalls muss ein erster Bericht an die zuständigen Behörden übermittelt werden. Spätestens vier Wochen danach ist ein Abschlussbericht vorzulegen.

Damit sofort aktive Gegenwehr möglich wird, empfiehlt sich die Implementierung eines leistungsfähigen Cyber-Security-Managementsystems. Dies beinhaltet beispielsweise ein Zugangsmanagement und ein Ransomware-sicheres Backup.

Führungskräfte müssen rechtzeitig dafür sorgen, dass alle Sicherheitsmaßnahmen eingehalten und regelmäßig überprüft werden.

Blicken Sie der NIS2 Deadline entspannt entgegen

Sie haben offene Fragen oder benötigen Unterstützung bei der Umsetzung der NIS2-Direktive?

Die MightyCare Security Experten helfen Ihnen gerne.

Sichern Sie sich jetzt Ihre kostenlose Beratung. Mit MightyCare sind Sie umfassend vorbereitet und blicken der anrückenden NIS2 Deadline gelassen entgegen.

Schreiben Sie uns einfach per E-Mail oder rufen Sie uns an:

E-Mail: info@mightycare.de

Telefon: +49 69 – 850 9603-0