NIS2 - Network and Information Security

NIS2 – die Zukunft der Cybersicherheit in der EU: Was Unternehmen jetzt wissen müssen

 
Die Cybersicherheit steht im Mittelpunkt globaler Bemühungen digitale Infrastrukturen vor ständig wachsenden Bedrohungen zu schützen. Dass dies immer wichtiger wird, geht nicht zuletzt aus dem Bericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hervor, welches in seinem aktuellen Bericht zur „Lage der IT-Sicherheit in Deutschland“ eine Viertelmillion neuer Schadprogramm-Varianten durchschnittlich an jedem Tag ausweist.
 
 
IT Security Report

Die Europäische Union hat in diesem Zusammenhang ihre Bemühungen verstärkt und die Richtlinie über Netz- und Informationssicherheit (NIS2) verabschiedet. In diesem Blogbeitrag werden wir einen genaueren Blick auf NIS2 werfen, seine Regelungen erläutern, diskutieren, wen es betrifft, den Zeitpunkt seines Inkrafttretens und die Auswirkungen auf Unternehmen beleuchten.

Was ist NIS2?

Bereits 2016 wurden von der EU-Cybersicherheitsvorschriften eingeführt, NIS2 (Network and Information Security) ist nun die aktualisierte Version der Richtlinie über Netz- und Informationssicherheit der Europäischen Union. Die Richtlinie zielt darauf ab, ein höheres Maß an Cybersicherheit in den Mitgliedstaaten sicherzustellen und gleichzeitig die Zusammenarbeit zwischen den EU-Ländern in Bezug auf Cybersicherheitsvorfälle zu stärken. NIS2 aktualisiert den bestehenden rechtlichen Rahmen, um im Einklang mit der wachsenden Digitalisierung und einer sich verändernden Bedrohungslandschaft für Cybersicherheit zu bleiben, baut dabei auf dem Erfolg der ersten Richtlinie auf und reflektiert die zunehmende Bedrohungslage im digitalen Raum.

Welche Regelungen enthält NIS2 und wen betrifft es?

Die NIS2-Richtlinie, offiziell als Richtlinie (EU) 2022/2555 bekannt, legt rechtliche Maßnahmen fest, um das Gesamtniveau der Cybersicherheit in der Europäischen Union zu erhöhen. Sie stellt sicher, dass die Mitgliedstaaten angemessen vorbereitet sind, indem sie beispielsweise die Einrichtung eines Computer Security Incident Response Teams (CSIRT) und einer zuständigen nationalen Behörde für Netzwerk- und Informationssysteme (NIS) fordert. Des Weiteren fördert sie die Zusammenarbeit zwischen den Mitgliedstaaten durch die Einsetzung einer Kooperationsgruppe, die die strategische Zusammenarbeit und den Informationsaustausch unterstützt.

Die NIS2-Richtlinie zielt darauf ab, eine Sicherheitskultur in allen entscheidenden Sektoren zu etablieren, die stark von Informations- und Kommunikationstechnologien (IKT) abhängig sind und möchte vor allem sicherstellen, dass sich kritische und wichtige Unternehmen vor allem in Schlüsselsektoren besser gegen Cyberangriffe absichern. Hierzu zählen Bereiche wie Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastrukturen, Gesundheitsversorgung und digitale Infrastruktur. Unternehmen, die bestimmte Kriterien erfüllen und von den Mitgliedstaaten als Betreiber wesentlicher Dienste eingestuft werden, müssen entsprechende Sicherheitsmaßnahmen ergreifen und implementieren. Außerdem müssen sie die nationalen Behörden über schwerwiegende Sicherheitsvorfälle informieren. Ebenso sind wichtige Anbieter digitaler Dienste, darunter Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze, dazu verpflichtet, die Sicherheits- und Benachrichtigungsanforderungen der Richtlinie zu erfüllen.

Wann tritt NIS2 in Kraft?

Im Januar 2023 ist die EU-weite NIS2-Richtlinie in Kraft getreten und hat die im Jahr 2016 eingeführten Cybersicherheitsvorschriften durch eine strengere Version ersetzt.

Unternehmen, die von NIS2 betroffen sind, müssen ab Herbst 2024 strenge Sicherheitsmaßnahmen umsetzen. Dazu zählen eine verstärkte Abwehr von Cyberangriffen, die Einhaltung spezifischer Security-Standards und die Gewährleistung, dass ihre Systeme ständig auf dem neuesten Stand der Technik sind. Des Weiteren sind Meldepflichten vorgesehen, falls es zu Sicherheitsvorfällen kommt.

Welche Auswirkungen hat NIS2 auf Unternehmen?

Ziel der Richtlinie ist die Stärkung der Cyberresilienz von kritischen und wichtigen Unternehmen. Die Vorgaben erstrecken sich nun im Vergleich zu davor auf eine wesentlich größere Anzahl von Unternehmen, auch indirekt, wenn sie nur Teil einer Lieferkette sind.

Die Richtlinie hat erhebliche Auswirkungen auf diese Unternehmen, insbesondere auf diejenigen in Schlüsselsektoren. Die Notwendigkeit, robuste Sicherheitsmaßnahmen zu implementieren, kann zu zusätzlichen Kosten führen, aber gleichzeitig bietet sie einen klaren Rahmen für den Schutz vor Cyberbedrohungen. Unternehmen sollten ihre aktuellen Sicherheitspraktiken überprüfen, um sicherzustellen, dass sie den neuen Standards entsprechen, und gegebenenfalls Anpassungen vornehmen. Verstöße gegen die NIS2-Bestimmungen können hohe Strafen nach sich ziehen.

Welche Konsequenzen muss ihr Unternehmen ziehen? 

Insgesamt stellt NIS2 einen bedeutenden Schritt der EU im Bereich der Cybersicherheit dar. Die Verordnung wird zweifellos dazu beitragen, die Widerstandsfähigkeit digitaler Infrastrukturen zu stärken und die Zusammenarbeit zwischen den Mitgliedstaaten zu fördern. Unternehmen, die von NIS2 betroffen sind, sollten proaktiv handeln und in der Übergangsfrist bis Herbst 2024 sicherstellen, dass sie der Richtlinie gerecht werden, ihre Systeme den Anforderungen anpassen und ihre digitalen Assets angemessen gegen Cyberangriffe schützen, um potenzielle Sanktionen zu vermeiden. Hierbei kann Ihnen ein Customer Identity & Access Management wie cidaas hilfreich sein.