Zum Inhalt springen
Zurück zum Blog Compliance

NIS2-konforme Cybersecurity-Lösungen

SecTepe Redaktion
|
|
8 Min. Lesezeit

Die NIS2-Richtlinie (Network and Information Security Directive 2) markiert einen Paradigmenwechsel in der europäischen Cybersicherheitsregulierung. Sie erweitert den Geltungsbereich der ursprünglichen NIS-Richtlinie erheblich und betrifft nun weitaus mehr Unternehmen als zuvor. In Deutschland wird die Umsetzung durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) geregelt, das schätzungsweise 30.000 Unternehmen direkt betrifft. In diesem Artikel erklären wir die wesentlichen Anforderungen und zeigen, wie Unternehmen sich effektiv vorbereiten können.

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie wurde im Januar 2023 auf EU-Ebene verabschiedet und muss von den Mitgliedstaaten in nationales Recht umgesetzt werden. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und reagiert auf die gestiegene Bedrohungslage und die zunehmende Vernetzung kritischer Infrastrukturen. Die Richtlinie verfolgt das Ziel, ein einheitlich hohes Cybersicherheitsniveau in der gesamten EU zu etablieren.

Wen betrifft NIS2?

NIS2 unterscheidet zwischen „wesentlichen Einrichtungen" (Essential Entities) und „wichtigen Einrichtungen" (Important Entities) und erfasst insgesamt 18 Sektoren:

  • Wesentliche Sektoren: Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Service-Management, öffentliche Verwaltung und Raumfahrt.
  • Wichtige Sektoren: Post- und Kurierdienste, Abfallwirtschaft, Herstellung, Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion, Verarbeitendes Gewerbe, digitale Anbieter und Forschungseinrichtungen.

Grundsätzlich sind Unternehmen ab 50 Mitarbeitern oder einem Jahresumsatz von mehr als 10 Millionen Euro betroffen, wenn sie in einem der genannten Sektoren tätig sind. Bestimmte Einrichtungen – wie DNS-Dienste, TLD-Registrare und Anbieter öffentlicher elektronischer Kommunikationsnetze – fallen unabhängig von ihrer Größe unter die Richtlinie.

Zentrale Anforderungen der NIS2

Risikomanagement-Maßnahmen

NIS2 fordert einen umfassenden, risikobasierten Ansatz für die Cybersicherheit. Unternehmen müssen technische, operative und organisatorische Maßnahmen implementieren, die dem Stand der Technik entsprechen und proportional zum Risiko sind. Zu den geforderten Mindestmaßnahmen gehören:

  • Risikoanalyse und Sicherheitskonzepte für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen (Incident Handling)
  • Business Continuity Management und Krisenmanagement
  • Sicherheit der Lieferkette
  • Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
  • Strategien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen
  • Grundlegende Cyberhygiene und Cybersecurity-Schulungen
  • Kryptographie und Verschlüsselung
  • Personalsicherheit, Zugangssteuerung und Asset Management
  • Multi-Faktor-Authentifizierung und sichere Kommunikation

Meldepflichten

NIS2 verschärft die Meldepflichten bei Sicherheitsvorfällen erheblich. Betroffene Einrichtungen müssen erhebliche Sicherheitsvorfälle in einem dreistufigen Verfahren melden: eine Frühwarnung innerhalb von 24 Stunden, eine detaillierte Meldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Die Meldung erfolgt an die zuständige nationale Behörde – in Deutschland voraussichtlich das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Verantwortlichkeit der Geschäftsführung

Ein Kernaspekt von NIS2 ist die persönliche Verantwortlichkeit der Geschäftsführung. Leitungsorgane müssen Cybersicherheitsmaßnahmen genehmigen und deren Umsetzung überwachen. Sie sind verpflichtet, an Cybersecurity-Schulungen teilzunehmen, und können bei Pflichtverletzungen persönlich haftbar gemacht werden. Dies unterstreicht, dass Cybersicherheit keine rein technische Angelegenheit ist, sondern eine Aufgabe der Unternehmensführung.

Praktische Schritte zur NIS2-Konformität

  1. Betroffenheitsanalyse: Prüfen Sie zunächst, ob Ihr Unternehmen in den Geltungsbereich der NIS2 fällt und ob es als wesentliche oder wichtige Einrichtung einzustufen ist.
  2. Gap-Analyse: Bewerten Sie Ihren aktuellen Cybersicherheitsreifegrad und identifizieren Sie Lücken zu den NIS2-Anforderungen.
  3. Risikobewertung: Führen Sie eine umfassende Risikobewertung durch, die alle relevanten Informationssysteme und Geschäftsprozesse abdeckt.
  4. Maßnahmenplan: Entwickeln Sie einen priorisierten Maßnahmenplan zur Schließung der identifizierten Lücken.
  5. Implementierung: Setzen Sie die Maßnahmen um – von der Implementierung technischer Controls über die Erstellung von Richtlinien bis zur Etablierung von Meldeprozessen.
  6. Schulung: Schulen Sie Geschäftsführung und Mitarbeiter zu den neuen Anforderungen und ihrer Rolle in der Cybersicherheit.
  7. Kontinuierliche Verbesserung: Etablieren Sie Prozesse für die regelmäßige Überprüfung und Verbesserung Ihrer Cybersicherheitsmaßnahmen.

Fazit

Die NIS2-Richtlinie ist eine Chance, die Cybersicherheit Ihres Unternehmens auf ein neues Niveau zu heben. Wer frühzeitig mit der Vorbereitung beginnt, vermeidet den Zeitdruck kurz vor dem Stichtag und kann die Anforderungen als Katalysator für eine nachhaltige Verbesserung seiner Sicherheitslage nutzen. SecTepe unterstützt Unternehmen umfassend bei der Vorbereitung auf NIS2 – von der initialen Betroffenheitsanalyse über die Gap-Analyse bis zur Implementierung aller erforderlichen Maßnahmen.

Verwandte Artikel

Compliance

ISO 27001: Der Leitfaden zur Informationssicherheit

 Compliance

Vorteile externer Informationssicherheitsbeauftragter
Alle Artikel ansehen