NIS-2-Implementierung: Wer betroffen ist und wie man sich vorbereiten kann
„Als Reaktion auf die durch die Digitalisierung und Zunahme von Cyberattacken wachsenden Bedrohungen hat die Kommission den Vorschlag unterbreitet, die NIS-Richtlinie zu ersetzen und somit die Sicherheitsanforderungen zu stärken, die Sicherheit von Lieferketten zu adressieren, Berichtspflichten zu optimieren und strengere Aufsichtsmaßnahmen und Durchsetzungsvorschriften, einschließlich vereinheitlichter EU-weiter Sanktionen, einzuführen“, verkündete das Europäische Parlament im vergangenen Februar.
Das Ergebnis war die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit, offiziell als Richtlinie (EU) 2022/2555 oder kurz NIS 2 bekannt. Das Ziel? Die Stärkung EU-weiter Cybersicherheit und Resilienz. Das neue Gesetz, das den Umfang der Cybersicherheitsvorschriften auf neue Branchen und juristische Personen ausweitet, muss von den Mitgliedsstaaten bis zum 17. Oktober 2024 umgesetzt werden. Aber wer ist von der NIS 2 betroffen und in welchem Maße? Und was sollten betroffene Personen und Organisationen tun, um sicherzustellen, dass sie alle NIS-2-Complianceanforderungen erfüllen?
In unserem nächsten Webinar wird sich alles um die verschiedenen Aspekte von NIS 2 drehen und darum, welche Maßnahmen Unternehmen ergreifen sollten, um für die Compliance gerüstet zu sein. Registrieren Sie sich unten, um sich Ihren Platz zu sichern.
Was ist NIS 2? Wichtige Ziele und Erwägungen
Als Weiterentwicklung ihres Vorgängers, der Richtlinie zur Sicherheit von Netz- und Informationssystemen oder kurz NIS, stellt die NIS-2-Richtlinie der EU einen bedeutungsvollen Schritt nach vorn in Sachen Stärkung der EU-weiten Cybersicherheit dar. Sie zielt darauf ab, die aufkeimenden Herausforderungen und zunehmende Raffinesse von Cyberbedrohungen anzugehen, die Auswirkungen auf wesentliche und digitale Services haben.
NIS 2 weitet den Geltungsbereich im Vergleich zu ihrem Vorgänger aus, einschließlich eines breiteren Spektrums von Branchen, die für das gesellschaftliche und wirtschaftliche Wohlbefinden als wesentlich angesehen werden, wie Energie, Transport, das Bankwesen und die digitale Infrastruktur. NIS-2-Compliance gewährleistet, dass sowohl öffentliche als auch private Instanzen in diesen Branchen robuste Cybersicherheitsmaßnahmen anwenden, Berichterstattungen befürworten und ihre allgemeine Resilienz gegen Cyberbedrohungen stärken.
Insbesondere unterstreicht NIS 2 die Wichtigkeit grenzüberschreitender Zusammenarbeit im Hinblick auf Cybersicherheit und erkennt an, dass Cyberbedrohungen keinen Halt vor Landesgrenzen machen. Indem sie ein allgemeingültiges Niveau der Cybersicherheitsmaßnahmen für Mitgliedsstaaten festlegt, ermöglicht die Richtlinie eine koordinierte und effektivere Reaktion auf Cybervorfälle und trägt so zur kollektiven Sicherheit der digitalen EU-Landschaft bei.
Die Zeitleiste der NIS-2-Implementierung: Was ist bis wann zu tun?
EU-Mitgliedsstaaten haben Zeit bis zum 17. Oktober 2024, um NIS 2 in ihre nationale Gesetzgebung aufzunehmen. Bis zum 17. April 2025 müssen sie wesentliche und wichtige Einrichtungen im Sinne der neuen Richtlinie identifizieren, denen sie ermöglichen können, sich selbst zu registrieren. Dementsprechend müssen Organisationen entscheiden, ob ihre Dienstleistungen in den Anwendungsbereich von NIS 2 fallen, die Mitgliedsstaaten identifizieren, in denen sie in dieses Rahmenwerk fallende Services anbieten, und sich vor Ablauf der Frist in den jeweiligen Staaten registrieren, erklärt EY
Gilt die NIS-2-Richtlinie der EU für mein Unternehmen?
Die NIS-2-Richtlinie zielt insbesondere auf Betreiber notwendiger Services (engl. Operators of Essential Services, OES) und digitale Serviceprovider (DSPs) ab und beinhaltet Branchen, die nicht von der ursprünglichen Richtlinie abgedeckt wurden. Die neue Gesetzgebung unterteilt diese in zwei Kategorien: wesentliche und wichtige Einrichtungen. So wird der Anwendungsbereich der Richtlinie auf zusätzliche Sektoren wie Post- und Kurierdienste, Abwasserversorgung, öffentliche Verwaltung und Raumfahrt ausgeweitet.
Laut dem EU-Briefing vom Februar 2023 umfassen wesentliche Einrichtungen im Sinne der NIS-2-Richtlinie Unternehmen der folgenden Sektoren und Teilsektoren:
- Energie (Elektrizität, Fernwärme und -kühlung, Öl und Gas)
- Transport (Luft-, Schienen-, Schiffs- und Straßenverkehr)
- Bankwesen
- Infrastrukturen im Finanzwesen
- Gesundheitswesen
- Herstellung pharmazeutischer Produkte, einschließlich Impfstoffe
- Trinkwasser
- Abwasser
- digitale Infrastruktur (Internet-Knoten, DNS-Anbieter, TLD-Namensregister, Serviceprovider für Cloud Computing, Serviceprovider von Datencentern, Content Delivery Networks, Vertrauensdiensteanbieter sowie Netzwerke für die öffentliche elektronische Kommunikation und elektronische Kommunikationsdienste)
- öffentliche Verwaltung
- Raumfahrt
Unternehmen, die in den folgenden Sektoren und Teilsektoren tätig sind, gehören der Kategorie der wichtigen Einrichtungen an:
- Post- und Kurierdienste
- Abfallentsorgung
- Chemikalien
- Lebensmittel
- Herstellung medizinischer Geräte, Computer und Elektronik, Maschinenausstattung, Kraftfahrzeuge
- digitale Anbieter (Online-Marktplätze, Online-Suchmaschinen und soziale Netzwerke)
Außerdem ist zu beachten, dass der Geltungsbereich von NIS 2 mittlere und große Unternehmen in den betroffenen Branchen umfasst und so gewährleistet, dass der Großteil der EU-weiten kritischen Infrastruktur vor Cyberbedrohungen geschützt ist. Darüber hinaus führt die Richtline strengere Aufsichtsmaßnahmen für nationale Behörden und Anforderungen an die Durchsetzung ein und verhängt saftigere Bußgelder im Falle der Nichteinhaltung.
Was umfasst die NIS-2-Richtlinie? Eine Zusammenfassung der NIS-2-Anforderungen in 8 Punkten
1. Implementierung von Kryptografie- und Verschlüsselungstechniken zum Schutz Ihrer Daten
Verschlüsselung verwandelt Daten in ein für unbefugte Personen nicht lesbares Format – eine gängige Methode für digitale Plattformen, um Nutzerinformationen zu schützen. Jedoch können die von Unternehmen angewendeten Verschlüsselungsstandards erheblich variieren. Um Compliance mit NIS 2 zu gewährleisten, müssen Unternehmen sicherstellen, dass ihre Workplace-Verschlüsselungsmethoden eine robuste Verteidigung gegen Cyberbedrohungen und Datenschutzverletzungen bieten.
2. Gewährleistung guter Datenschutzpraktiken über die gesamte Lieferkette hinweg
Selbst wenn Sie die fortschrittlichsten Cybersicherheitstools und -protokolle innerhalb Ihrer vier Wände anwenden, können Schwachstellen auftreten, wenn Sie Daten mit Lieferanten und Vertragspartnern teilen. Verantwortungsbewusste Unternehmen erwägen die Cybersicherheit bei der Wahl ihrer Partner und prüfen, ob die Tools für die Zusammenarbeit mit externen Einrichtungen, wie Datentauschplattformen oder E-Mail-Systeme, digitale Assets auf effektive Weise schützen.
3. Vorbereitung Ihres Unternehmens auf Cybersicherheitsevents – ob Datenschutzverletzung oder Datenpanne
Kein Unternehmen möchte sich mit einer Datenschutzverletzung konfrontiert sehen. Deshalb kommt es auf die Vorbereitung an. Erarbeiten Sie umfassende Spielregeln für die Handhabung solcher Vorfälle – ob unabsichtlicher oder böswilliger Natur – und wechseln Sie zu einer hochsicheren Cloudlösung. Dies gewährleistet, dass nur wesentliche Mitarbeiter, relevante Behörden und Krisenteams für Cybersicherheitsvorfälle Zugriff auf sensible Informationen haben, wenn es zu einer Datenschutzverletzung kommt.
4. Gewährleistung, dass Ihre Arbeit selbst im schlimmsten Fall fortgeführt werden kann
Die Gefährdung der Geschäftskontinuität kann für jegliche Art von Unternehmen verheerend sein, aber für diejenigen, die kritische Ressourcen wie Wasser- und Gesundheitsversorgung verwalten, kann dies katastrophale Konsequenzen für das Gemeinwesen mit sich bringen. Um die Notfallwiederherstellung und das Back-up-Management zu verbessern, sollten Sie die Einführung von cloudbasierten Speicherlösungen erwägen, in denen Back-up-Dateien rund um die Uhr von quasi überall aus zugänglich sind.
5. Bereitschaft von Unternehmen, Informationen bezüglich Schwachstellen zu teilen
Das Herzstück von NIS 2 ist der Austausch von Informationen. Zwar ist es unerlässlich, dass Unternehmen zusammenarbeiten, um Cyberrisiken einzudämmen, aber der Austausch von Informationen zu Systemschwachstellen ist nichts, was ohne das höchstmögliche Sicherheitsniveau erfolgen sollte. Die Verschlüsselung von Daten vor deren Übertragung – ein Feature, mit dem viele sicherheitsorientierte Zusammenarbeitslösungen ausgestattet sind – kann hierfür ein sehr effektives Tool sein.
6. Priorisierung von Cyberhygiene und Durchsetzung von Praktiken zu deren strenger Aufrechterhaltung
Cybersicherheit ist eine Gemeinschaftsaufgabe. Es ist unverzichtbar, dass alle Mitarbeiter eines Unternehmens in den Grundlagen des Erkennens und Verhinderns von Cyberbedrohungen geschult und diese Kenntnisse regelmäßig aufgefrischt werden. Ebenso wichtig ist, dass Ihre Cybersicherheitssoftware und -systeme benutzerfreundlich sind. Je komplizierter ein Tool oder eine Plattform ist, desto wahrscheinlicher werden Ihre Mitarbeiter versuchen, Behelfs- und Umgehungslösungen zu finden – und zu einer unsicheren Alternative wechseln.
7. Implementierung robuster Richtlinien für Zugriffskontrolle und Asset-Management
Die Integration von Zugriffskontrollen ins Asset-Management ist für die betriebliche Sicherheit unerlässlich. Ein Unternehmen, das sich ein starkes Asset-Management auf die Fahne geschrieben hat, wird über seine Hardware- und Software-Tools genau Inventar führen. Eine effektive Zugriffskontrolle gewährleistet, dass das Unternehmen zudem exakt weiß, wer auf diese Assets zugreifen kann, und so sensible Daten, Dateien oder Geräte vor unbefugten Zugriffen schützt.
8. Entwicklung einer umfassenden Strategie zur IT-Sicherheitserhaltung
Cyberbedrohungen entwickeln sich stets weiter. Glücklicherweise gilt dies auch für Cybersicherheit. Jedoch können Unternehmen nur dann wirklich von diesen Verbesserungen profitieren, wenn sie ihre IT-Infrastruktur angemessen warten. Bevor Sie sich also für eine neue Software oder digitale Plattform für die Nutzung in Ihren alltäglichen Arbeitsabläufen entscheiden, sollten Sie sicherstellen, dass für diese weiterhin regelmäßige Updates in Form neuer Patches und Veröffentlichungen ausgeführt werden.
Wie knüpft NIS 2 an die EU-Richtlinie über die Resilienz kritischer Einrichtungen an?
Sowohl NIS 2 als auch die EU-Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience Directive, kurz CER) spielen eine tragende Rolle in der Strategie der Europäischen Union, die allgemeine Sicherheit und Resilienz ihrer kritischen Infrastrukturen zu stärken. Während NIS 2 die Maßnahmen erweitert, die für die Gewährleistung von Cybersicherheit für wesentliche Dienstleistungsanbieter und digitale Serviceprovider erforderlich sind, dehnt CER diesen Geltungsbereich aus, indem die Richtlinie nicht nur Cybersicherheit, sondern auch physische Sicherheit und Resilienz gegen eine Vielzahl von Bedrohungen miteinbezieht.
NIS 2 gibt die Ausgangsbasis für Cybersicherheit vor, indem sie Einrichtungen in kritischen Branchen die Übernahme strenger Sicherheitspraktiken und die Meldung wichtiger Cybervorfälle vorschreibt. Die CER-Richtlinie baut auf diesem Fundament auf, indem sie „kritische Einrichtungen“ identifiziert, die aufgrund ihrer Bedeutsamkeit für die Gesellschaft nicht nur ihre Cyberangriffsfläche, sondern auch ihr physisches Firmengelände vor Beeinträchtigungen wie Naturkatastrophen, Terrorismus und anderen Angriffsformen absichern müssen. Dies sorgt für eine ganzheitliche Sicherheitslage, da anerkannt wird, dass Verletzungen der physischen Sicherheit ebenso verheerende Folgen für die Dienstleistungskontinuität haben können wie Cyberattacken.
Sowohl CER als auch NIS 2 schreiben Risikobewertungen vor und verfechten somit eine gründliche Evaluierung von Schwachstellen, die durch digitale oder physische Mittel ausgenutzt werden könnten. Unter die Richtlinien fallende Einrichtungen müssen Resilienzpläne entwickeln, verfeinern und regelmäßig aktualisieren, um eine fortwährende Wachsamkeit gegen auftretende Bedrohungen zu gewährleisten. Die von CER vorgeschriebene periodische Risikobewertung deckt sich mit der Aufforderung von NIS 2, kontinuierliche Verbesserung in Cybersicherheitspraktiken anzustreben. So sollen Einrichtungen zur Agilität und Reaktionsfreudigkeit in der sich stets weiterentwickelnden Sicherheitslandschaft ermutigt werden, um eine umgehende Genesung von unerwünschten Zwischenfällen zu ermöglichen.
Wie sieht das Wechselspiel zwischen NIS 2 und der Verordnung über die digitale operationale Resilienz aus?
Die Integration der NIS-2-Richtlinie mit dem breiteren regulatorischen Rahmenwerk der Verordnung über die digitale operationale Resilienz (Digital Operational Resilience Act, DORA) im Finanzsektor stellt den umfassenden Ansatz der EU unter Beweis, zu gewährleisten, dass ihre Finanzsysteme digitalen und operationalen Attacken standhalten und sich von ihnen wieder erholen können.
Die DORA-Verordnung deckt Einrichtungen des Finanzsektors wie Banken, Versicherungsunternehmen und Investmentfirmen ab und unterstreicht die Notwendigkeit dafür, dass diese Unternehmen ihre Fähigkeit verbessern, betriebliche Beeinträchtigungen vorauszusehen, ihnen standzuhalten, auf sie zu reagieren und sich von ihnen zu erholen.
Der Schwerpunkt von NIS 2 auf Cybersicherheit und Resilienz für die Sektoren der kritischen Infrastruktur ergänzt die Ziele der DORA-Verordnung, indem das Resilienz-Framework auf ein breiteres Spektrum wesentlicher Services ausgeweitet wird.
Sowohl DORA als auch NIS 2 fordern zu rigorosen Risikomanagementprozessen auf, einschließlich der Ausführung regelmäßiger Risikobewertungen, des Testens von Vorfallreaktionsplänen sowie der Investition in kontinuierliche technologische und prozedurale Verbesserungen, um vor sich stets weiterentwickelnden Bedrohungen zu schützen.
Die Synergie zwischen NIS 2 und der DORA-Verordnung schafft zudem ein robustes Netzwerk für den Informationsaustausch zwischen kritischen Branchen und fördert so eine Kultur der Transparenz und Kooperation im Hinblick auf die Gefahrenerkennung. Dieses Netzwerk ist unverzichtbar, um Cyberbedrohungen, die systemische Auswirkungen haben würden, zu identifizieren, verhindern und auf sie zu reagieren.
So kann Tresorit Ihnen bei der Gewährleistung von NIS-2-Compliance – und produktiver Zusammenarbeit in der Cloud – helfen
Als Ende-zu-Ende-verschlüsselte Dokumentenproduktivitäts- und Digital-Trust-Plattform mit Zero-Knowledge-Schutz ermöglicht Tresorit Ihnen Folgendes:
Schutz von Nutzern und Assets in der Cloud dank E2E-Verschlüsselung
Alle Dateien und relevante Metadaten auf den Geräten unserer Nutzer werden mit zufällig generierten Verschlüsselungscodes verschlüsselt. Der Zugriff auf Dateien ist nur mit dem einzigartigen Entschlüsselungscode eines Nutzers möglich, der niemandem sonst – nicht einmal Tresorit – bekannt ist. Das bedeutet, dass selbst im Falle einer Kompromittierung unserer Server niemand dazu in der Lage wäre, ihre Inhalte zu lesen.
Gewährleistung von sicherem und eingeschränktem Zugriff
Kontrollieren und entscheiden Sie, welche Geräte auf welche Dateien zugreifen und von wo aus Nutzer sich in ihrem Firmenkonto anmelden können, um geschäftskritische Informationen zu schützen. Verwalten Sie Dateien und Ordner auf differenzierter Ebene, um sicherzustellen, dass nur diejenigen Personen auf sie Zugriff haben, die ihn benötigen, und begrenzen Sie Downloads oder sperren Sie den Zugriff jederzeit.
Wahrung der Kontrolle darüber, was mit Ihren Daten geschieht
Implementieren Sie Datenschutzmaßnahmen, einschließlich der Kontrolle darüber, wer Zugriff auf welche Daten hat, der Protokollierung von Dateiaktivitäten und der Festlegung interner Sicherheitsrichtlinien für die Datenverwaltung. Es können keine Dateiinhalte ohne Ihr Wissen modifiziert werden, dank kryptografischer Authentifizierung, die auf alle Daten in Form von HMAC oder AEAD angewendet wird.
Festlegung und Geltendmachung von unternehmensweiten Sicherheitsrichtlinien – alles an einem Ort
Stellen Sie sicher, dass alle in Ihrem Team am selben Strang ziehen, was die Verwendung wichtiger Datensicherheitstools und -prozesse angeht. Wenden Sie Richtlinienprofile an, einschließlich 2-Stufen-Verifizierung, IP-Filter und Zeitüberschreitungs- und Datentauschrichtlinien. Legen Sie für jedes Profil verschiedene Richtlinien fest und bearbeiten Sie diese zu jeder Zeit über eine einheitliche Benutzeroberfläche.
Automatische Verschlüsselung von Anhängen in Gmail und Outlook
Befähigen Sie Ihre Teams dazu, effizient zu arbeiten und verschlüsselte E-Mails zu senden, indem Sie Tresorit mit Google Workspace oder Azure Active Directory und Office 365 integrieren. Die Add-ons bieten Nutzern eine schnelle und einfache Möglichkeit, unter Verwendung ihrer bestehenden E-Mail-Adresse riskante E-Mail-Anhänge mit verschlüsselten Links zum Teilen und passwortgeschützten Dateien zu ersetzen.
Würden Sie gern mehr über NIS 2 erfahren? In unserem bevorstehenden Webinar (auf Englisch) werden Koen Verbeke, CTO bei Cranium, und Turul Balogh, unser Gruppeninformationssicherheits- und -datenschutzbeauftragter, in die wichtigsten Elemente von NIS 2 eintauchen und die weitreichenden Auswirkungen der Richtlinie auf Unternehmen untersuchen. Sie werden einen umfassenden Überblick über die Richtlinie bieten und die Maßnahmen hervorheben, die Unternehmen ergreifen müssen, um Compliance zu erzielen.
Sie werden Folgendes erfahren:
- Die Hauptziele und wichtigsten Anforderungen von NIS 2 sowie welche Branchen und Unternehmenstypen von ihnen betroffen sind
- Zu unternehmende Schritte, um die Cybersicherheitslage Ihres Unternehmens zu beurteilen und zu verbessern, gemeinsam mit Best Practices für die Implementierung von NIS-2-Compliance-Maßnahmen
- Wie Sie sich auf Audits und Berichtspflichten gemäß NIS 2 vorbereiten und welche Rolle Ihr Management und Personal bei der Aufrechterhaltung von Compliance spielen
Dieses kostenlose Webinar (auf Englisch) steht allen Interessenten offen und wird am 12. September 2024 um 15 Uhr MEZ stattfinden. Es wird auch eine spezielle F&A-Runde geben, in der Sie Ihre möglichen Anliegen, Fragen oder Bedenken äußern können. Registrieren Sie sich hier: