NIS‑2 für mehr Cyber-Resilienz

NIS‑2 „Network and Information Security“ Richtlinie

Mit der NIS-2-Richtlinie gelten ab Oktober 2024 für viele Unternehmen und Organisationen in 18 kritischen Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten. Darunter finden sich auch viele KMU, die bisher nicht betroffen waren. Diese NIS2 ersetzt die NIS Directive aus dem Jahr 2016 mit dem Ziel, ein besseres gemeinsames Cybersicherheitsniveau in der EU zu erreichen. 

Im Vergleich zur vorigen NIS Directive erweitert NIS‑2 stark den Kreis der betroffenen Unternehmen, die Pflichten und die behördliche Aufsicht. Bei Verstößen gegen die NIS2 Directive drohen hohe sogar Geldstrafen.

Wer ist betroffen? 

Öffentliche und private Einrichtungen in 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme. Alle diese Einrichtungen üben ihre Tätigkeiten in der EU aus. Außerdem fallen noch folgende Einrichtungen, unabhängig von ihrer Größe, unter die NIS2 Directive:

• Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten
• Vertrauensdiensteanbieter
• TLD-Namensregistrierungen und DNS-Dienstanbieter (außer Betreiber von Root-Namenservern)
• Alleinige Anbieter, die essenziell für Gesellschaft und Wirtschaft sind
• Einrichtungen, deren Ausfall einen großen Effekt auf öffentliche Ordnung, Sicherheit oder Gesundheit hätte
• Einrichtungen, deren Ausfall zu einem Systemrisiko mit grenzübergreifenden Folgen führen könnte
• Einrichtungen, die wegen spezieller nationaler oder regionaler Wichtigkeit kritisch sind
• Vom EU-Mitgliedstaat definierte Einrichtung der öffentlichen Verwaltung der Zentralregierung oder kritische Einrichtung der öffentlichen Verwaltung auf regionaler Ebene
• Kritische Infrastrukturen gemäß Richtlinie (EU) ²⁰²²⁄₂₅₅₇
• Einrichtungen, die Domänennamenregistrierungsdienste erbringen

Zusätzlich gilt die neue Richtlinie indirekt auch für Dienstleister und Lieferanten von betroffenen Einrichtungen.

Cybersecurity-Maßnahmen ein MUSS

Folgende Cybersecurity-Maßnahmen müssen von den Unternehmen ausgeführt werden:

• Policies: Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
• Vorfallsbewältigung: Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle
• Business Continuity: Backup-Management und Wiederherstellung, Krisenmanagement
• Supply Chain: Sicherheit in der Lieferkette
• Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme, einschließlich Management und Offenlegung von Schwachstellen
• Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
• Cyberhygiene, Schulung: Cyberhygiene (z.B. Updates) und Schulungen in Cyber Security
• Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
• Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management
• Authentifizierung: Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
• Kommunikation: Sichere Sprach‑, Video- und Text-Kommunikation, ggf. auch im Notfall

KRITIS

NIS‑2 ist eine Weiterentwicklung bestehender Sicherheitsmaßnahmen, die durch ISO-Normen-Gesetze wie die KRITIS-Verordnung oder das Sicherheitsgesetz 2.0 bereits in vielen Unternehmen verankert sind. Mit der Einführung von NIS2 wird nun eine europaweite Harmonisierung dieser Standards erreicht, die auf den bereits getätigten Anstrengungen und Investitionen der Unternehmen aufbaut.

Auch wenn Sie als KMU nicht betroffen sein sollten, ist Cybersecurity ein Thema, das bei der Geschäftsführung prioritär behandelt werden sollte: Denn als Geschäftsführer stehen Sie in der Haftung und als kleines und mittleres Unternehmen genauso vor der kniffligen Aufgabe, das richtige Maß an Investitionen in entsprechende Infrastrukturen zu tätigen.

Wie steht es um die Cybersicherheit in Ihrem Unternehmen?

Aktuelle Beiträge

• Über 80% kritische Sicherheitslücken17. September 2024
  Alarmierende Ergebnisse unserer IHK-Kooperation zur IT-Sicherheit bei Unternehmen! Welche kritischen Sicherheitslücken wurden bei unseren Pentests gefunden?
• Aktion “Find & Fix” zum Kennenlernen12. September 2024
  Schützen Sie Ihr Unternehmen und finden Sie heraus, welche Sicherheitslücken oder Schwachstellen in Ihrer IT vorhanden sind.
• Neues Feature der DEFENDERBOX9. September 2024
  Nach jedem Pentest (Penetrationstesting) mit der DEFENDERBOX erhalten unsere Kunden eine Email, die den Status des Ergebnisses weitergibt.
• DEFENDERBOX NIS‑2 konform9. September 2024
  Unsere DEFENDERBOX ist NIS‑2 konform, d.h. die DEFENDERBOX Reports dokumentieren exakt alle Pentests, die als NIS‑2 Bescheinigung für die NIS‑2 Audits gelten.
• Im Visier von Cyberkriminellen5. September 2024
  Werden Kanzleien Opfer erpresserischer Cyberangriffe, ist der Schaden besonders hoch. Deshalb wird oft Lösegeld bezahlt. Schutz bieten Investitionen in Cybersicherheit und Versicherungen.

Wollen Sie wissen, wie sicher Ihr Unternehmen ist? Probieren Sie es aus! Klicken Sie hier für eine Testinstallation der DEFENDERBOX.
Das Kennenlernangebot gilt bis
30. September 2024.