Im Jahr 2016 hat die Europäische Union mit der Richtlinie zur Netz- und Informationssicherheit (NIS-1-Richtinie) Vorschriften zur Cybersicherheit eingeführt. In diesem Jahr wurden diese Regelungen durch die neue NIS2 Richtlinie aktualisiert. Was sich für die Cyber Security Standards ändert und alles Wissenswerte zur NIS-2 erfährst du in unserem Blogbeitrag.
Was ist NIS 2?
Was ist NIS 2?
Anfang des Jahres ist in der EU die neue Richtlinie für ein gemeinsames Cybersicherheitsniveau in den Mitgliedsstaaten der Union in Kraft getreten. Ihr Ziel ist die Stärkung der Cyberresilienz kritischer Infrastrukturen in der EU. Cyberresilienz bezeichnet die Fähigkeit von Unternehmen, Cybervorfällen vorzubeugen und ihnen standzuhalten.
Mit der NIS-2 will die EU Unternehmen dazu verpflichten, ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen zu erhöhen. Zu den Verpflichtungen in der NIS 2 Richtlinie zählen Maßnahmen zur Erhöhung des Schutzes vor Cyberangriffen, die Einhaltung von Sicherheitsstandards und die Verpflichtung, Systeme stets auf dem neuesten Stand zu halten.
Bild: Guillaume Périgois über Unsplash
Welche Unternehmen fallen unter NIS2?
Alle Unternehmen, die als Betreiber kritischer Infrastrukturen gelten, fallen unter diese Richtlinie. Zur kritischen Infrastruktur zählen Einrichtungen, Anlagen und Systeme, deren Funktionsfähigkeit wichtig für die Gesellschaft, die Sicherheit des Landes und der Wirtschaft ist. Ein Ausfall dieser Infrastruktur würde zu erheblichen Störungen und Risiken führen. Daher geraten Betreiber kritischer Infrastrukturen zunehmend ins Visier von Cyberkriminellen und werden Opfer von digitalen Erpressungsversuchen, Angriffen mit Schadsoftware oder Spionage.
Seit ihrem Inkrafttreten ist die NIS-2-Richtlinie EU Recht, die Mitgliedstaaten müssen jedoch die NIS-2 Directive noch bis spätestens Oktober 2024 in nationales Recht überführen. Die Umsetzung der NIS-2-Richtlinie und die Festlegung, welche Unternehmen als Betreiber von kritischer Infrastruktur eingestuft werden, ist jedem Mitgliedstaat selbst überlassen. In Deutschland legt das Bundesamt für Katastrophenschutz fest, welche Sektoren und Einrichtungen als kritische Infrastruktur gelten.
Das Bundesamt für Katastrophenschutz stuft Unternehmen als kritische Infrastruktur ein, wenn sie in der Energie- und Wasserversorgung tätig sind, Telekommunikations- und Informationstechnik bereitstellen, Teil der Nahrungsmittelversorgung sind, dem Transport- oder Logistiksektor angehören, Einrichtungen des Finanzwesens sind oder aus dem Gesundheitswesen stammen.
Bild: Timon Studler über Unsplash
Für wen gilt die NIS-Richtlinie?
Alle Unternehmen, die unter die Bestimmungen des Bundesamts für Katastrophenschutz und damit unter die NIS-2 fallen, müssen die Anforderungen hinsichtlich Informationssicherheit, Risikomanagement und Cybersicherheitsniveau erfüllen. Um diese zu gewährleisten, müssen Unternehmen regelmäßig Penetrationstests durchführen (Tests, die herausfinden, wie leicht Angreifer in ein System eindringen können), Systeme zur Meldung von Cybervorfällen einrichten und eine Risikobewertung durchführen, die aufzeigt, wo im Unternehmen potenzielle Gefahren für die IT-Sicherheit bestehen.
Um diesen Anforderungen gerecht zu werden, enthält die NIS-2-Richtlinie die Regelungen, dass Unternehmen ein Risikomanagement einrichten. Diese neuen Bestandteile sind eine Reaktion auf die vorherige Richtlinie, die für viele Unternehmen schwer zu verstehen war und unklar ließ, was tatsächlich gefordert war und welche Verpflichtungen im Bereich der Cybersicherheit und Informationssicherheit zu erfüllen waren.
Weitere Bestimmungen in der NIS-2-RL betreffen die Sicherheit von Lieferketten (bzw. die Verpflichtung, Lieferketten stärker zu schützen) sowie Meldepflichten, die Unternehmen in die Verantwortung nehmen, auftretende Bedrohungen unverzüglich anzuzeigen.
Bild: charlesdeluvio über Unsplash
Diese Meldepflichten übernehmen häufig Datenschutzbeauftragte. Falls du mehr über den betrieblichen Datenschutz herausfinden willst, dann schau doch mal bei unserem IHK-Zertifikatskurs Betrieblicher Datenschutzbeauftragter (IHK) vorbei.
Wie Unternehmen ein Cybermanagement aufbauen können, das solche Aufgaben übernimmt, erläutert die Norm ISO IEC 27032, während die Norm für Cybersecurity ISO 21434 Hinweise gibt, wie Unternehmen Fahrzeuge vor Cyberangriffen schützen können, um den Punkt Sicherheit von Lieferketten in der EU NIS-2-Richtlinie zu erfüllen.
Wie können sich Unternehmen auf die Auswirkungen der NIS-2 EU Richtlinie vorbereiten?
Um sicherzustellen, dass die Cyber Security Standards von Unternehmen dem NIS-2 Status entsprechen, sollten sie zügig mit den Vorbereitungen beginnen, bis das NIS-2 Directive Proposal als nationales Recht in Kraft tritt.
Zunächst sollte das Augenmerk auf der Einrichtung eines Risikomanagements liegen, das in der Lage ist, Schwachstellen und mögliche Bedrohungen zu identifizieren. Anschließend benötigen Unternehmen ein Vorfallmanagement, das bei einem Vorfall Gegenmaßnahmen einleitet und alle Meldepflichten korrekt erfüllt.
Darüber hinaus müssen Unternehmen gemäß der NIS-2 technische und organisatorische Maßnahmen ergreifen, um die Sicherheit ihrer Anlagen, Netzwerke, Systeme und Lieferketten zu erhöhen. Zudem benötigen sie Pläne für Backups und die Business Continuity, um selbst im Krisenfall den Betrieb aufrechterhalten zu können. Unterstützung bei diesen Maßnahmen erhalten Unternehmen, durch die Zusammenarbeit mit einem internen oder externen Cybersecurity Advisor. Welches Fachwissen ein Cyber Security Advisor (IHK) mitbringen muss, erfährst du in unserem IHK Zertifikatslehrgang.
Bild: Andrew Neel über Unsplash
FAQs – NIS-2-Richtlinie
Was ist die NIS-2-Richtlinie?
Die NIS2 EU ist eine Richtlinie der Europäischen Union mit dem Ziel, das Cybersicherheitsniveau in den Mitgliedstaaten zu erhöhen. Gemäß der NIS-2 Deutschland legt hierzulande das Bundesamt für Katastrophenschutz fest, welche Unternehmen von der NIS-2 betroffen sind.
Was bedeutet NIS auf Deutsch?
NIS ist die Abkürzung der englischen Wörter „Network and Information Security“, auf Deutsch also: „Netzwerk und Informationssicherheit“. Die NIS-2 Directive ist die Nachfolgerin der NIS-1 Richtlinie der EU aus dem August 2016. Die NIS-2 ist bereits auf europäischer Ebene als NIS-2 Proposal in Kraft getreten, muss aber noch in das nationale Recht der Mitgliedstaaten überführt werden.
Was ist EUR Lex?
EUR Lex ist eine digitale Plattform, auf der die Bürgerinnen und Bürger kostenfreien Zugriff auf alle Rechtsvorschriften der EU haben. Die Inhalte sind in allen Sprachen der Mitgliedstaaten verfügbar. Hier findest du auch die NIS-2 unter dem Eintrag NIS-2 EUR Lex als NIS-2 PDF Datei zum Download.
Mach dein Unternehmen fit für die NIS-2-Richtlinie! Lerne in den Zertifikatskursen zu IT- und Sicherheitsthemen, wie z.B. Cyber Security Advisor (IHK), Betrieblicher Datenschutzbeauftragter (IHK), Informationssicherheitsbeauftragter (IHK), IT-Administrator (IHK) etc., die Grundlagen, wie sich Unternehmen vor den Gefahren aus dem Cyberraum schützen können.