Die Europäische Union hat in den letzten Jahren verstärkte Maßnahmen zur Verbesserung der Cybersecurity in Europa ergriffen. Die Network and Information Security Directive 2 (NIS2) ist ein bedeutender nächster Schritt in diese Richtung. Diese Richtlinie verlangt von Organisationen, dass sie ihre Sicherheitsmaßnahmen verstärken, um die digitale Infrastruktur in der EU vor Cyberbedrohungen zu schützen.
Die Umsetzung in nationales Recht sollte dabei bis zum 17. Oktober 2024 erfolgen. Das Inkrafttreten der NIS2 in Deutschland hat sich jedoch verzögert und ist nun für März 2025 vorgesehen.
Wir haben für Sie die Richtlinie durchgearbeitet und eine Zusammenfassung der wichtigsten NIS2-Anforderungen erstellt.
Wen betrifft NIS2?
Die NIS2-Richtlinie betrifft verschiedene Akteure in der EU, insbesondere – aber nicht ausschließlich – Organisationen in kritischen Sektoren. Dazu gehören Unternehmen in den Bereichen Energie, Versorger, Verkehr, Banken und Finanzen, Gesundheit sowie digitale Dienstleistungen.
Voraussichtlich werden rund 30.000 Unternehmen und Organisationen in Deutschland betroffen sein. Jedoch hängt die tatsächliche Zahl davon ab, was im deutschen NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) stehen wird, das die EU-Richtlinie in deutsches Recht überführt.
| Wesentliche Bereiche | Wichtige Bereiche |
|---|---|
| Energie | Post- und Kurierdienste |
| Verkehr und Transport | Abfallwirtschaft |
| Bankwesen | Produktion, Herstellung und Handel mit chemischen Stoffen |
| Finanzmärkte | Produktion, Verarbeitung und Handel von Lebensmitteln |
| Gesundheitswesen | Verarbeitendes Gewerbe, Herstellung von Waren |
| Trinkwasser | Anbieter digitaler Dienste |
| Abwasser | Forschungseinrichtungen |
| Digitale Infrastruktur | |
| Banken und Finanzmärkte | |
| Öffentliche Verwaltung | |
| Weltraum |
Übersicht der betroffenen Sektoren nach NIS2.
Die NIS2-Richtlinie im Unternehmen umsetzen:
Was Verantwortliche jetzt wissen müssen
Was beinhaltet das kommende NIS2-Gesetz?
Die Mitgliedstaaten sollten die Richtlinie bis zum 17. Oktober 2024 umsetzen. Danach muss die EU-Kommission die Anwendung der Richtlinie regelmäßig überprüfen und dem Parlament und dem Rat erstmals bis zum 17. Oktober 2027 sowie danach alle 36 Monate Bericht erstatten.
Für betroffene Organisationen in den Mitgliedsstaaten legt die NIS2-Richtlinie verschiedene Verpflichtungen fest:
Organisationen müssen erhebliche Cyberincidents innerhalb von 72 Stunden an die nationalen Behörden melden. Dies ermöglicht es den Behörden, schnell auf Bedrohungen zu reagieren und die Auswirkungen zu minimieren.
Die Geschäftsführung ist dazu angehalten, die Umsetzung der Maßnahmen zu überwachen. Dabei haftet sie für Verstöße. Die Teilnahme an entsprechenden Schulungen ist verpflichtend und muss auch den Mitarbeitenden angeboten werden.
3. Risikomanagementmaßnahmen im Bereich der Cybersicherheit
Unternehmen und öffentliche Verwaltungen müssen geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Cybersecurity umsetzen. Dies umfasst die Sicherung von Netzwerken und Systemen sowie die Implementierung von Sicherheitsrichtlinien.
| Maßnahme | Erläuterung |
|---|---|
| Risikoanalyse | Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme |
| Incident Management | Bewältigung von Sicherheitsvorfällen |
| Business Continuity, Incident Handling, Disaster Recovery | Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement |
| Sicherheit der Lieferkette | Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern |
| Netz- und Informationssysteme | Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen |
| Auditierung | Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit |
| Cyberhygiene & Awareness | Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit |
| Verschlüsselung | Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung |
| Personal & Zugriffskontrolle | Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen |
| Authentifizierung & sichere Kommunikationswege | Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung |
Risikomanagementmaßnahmen nach Kapitel IV, Artikel 21 der EU-NIS2-Richtlinie
Sanktionen bei Verstößen
NIS2-Anforderungen: Was empfehlen wir bei plusserver?
Klären Sie zunächst, ob Ihre Organisation voraussichtlich von NIS2 betroffen sein wird. Unabhängig davon sollten Sie Richtlinien wie NIS2 als Chance begreifen, um Ihre Cybersicherheit anhand der Anforderungen zu überprüfen und die Resilienz Ihrer Organisation zu stärken. Dies empfiehlt sich auch dann, wenn Ihr Unternehmen nicht durch NIS2 reguliert sein wird.
- Risikomanagement: Führen Sie regelmäßige Risikobewertungen durch, um die spezifischen Bedrohungen und Schwachstellen Ihres Unternehmens zu identifizieren. Dazu gehört das Erstellen einer Asset-Liste, eine Analyse Ihrer Assets auf mögliche Schwachstellen sowie die Einschätzung, wie hoch die Gefährdung pro Asset ist. Auf Basis dieser Risikoanalyse lassen sich geeignete Schutzmaßnahmen ableiten.
- Sicherheitsmaßnahmen: Implementieren Sie angemessene Sicherheitsmaßnahmen, einschließlich Zugriffskontrollen, Verschlüsselung und Monitoring. Dazu gehört auch, bereits in die Beschaffung oder Entwicklung von IT-Komponenten entsprechende Sicherheitsaspekte zu integrieren. Eine sorgfältige Cyberhygiene (regelmäßige Updates und Patches) sollte ohnehin gelebte Praxis im Unternehmen sein, von Backups ganz zu schweigen.
- Incident-Response-Plan: Erstellen Sie einen gut durchdachten Vorfallreaktionsplan, um sicherzustellen, dass Sie auf Cybervorfälle schnell und effektiv reagieren können. Dieser Plan sollte die Erkennung, Untersuchung und Reaktion auf Incidents umfassen. Er geht Hand in Hand mit einer wirkungsvollen Business-Continuity-Strategie sowie einem Recovery-Konzept, um auch im Fall der Fälle schnell wieder handlungsfähig zu werden (Disaster Recovery).
- Schulung und Sensibilisierung: Mitarbeitende sind nach wie vor eines der größten Einfallstore für Cyberkriminelle. Die Methoden des Social Engineerings werden immer ausgefeilter und Phishing-Mails sind kaum noch von echten zu unterscheiden. Schulen Sie daher Ihre Mitarbeitenden und stärken Sie die Awareness für Sicherheitsrisiken. Vermitteln Sie Best Practices, um menschliche Fehler zu minimieren.
- Supply-Chain-Management: Ebenso relevant wie Ihre eigenen Sicherheitsmaßnahmen sind die Maßnahmen Ihrer Zulieferer. Achten Sie besonders auf Zertifizierungen wie ISO 27001 sowie bei Cloud-Anbietern auf ein BSI-C5-Testat.
- Bewertung der Wirksamkeit: Um eine nachhaltige NIS2-Compliance zu erzielen, müssen die ergriffenen Maßnahmen regelmäßig im Rahmen von Audits und Bewertungen überprüft werden. In diesen Kontext gehört auch eine beständige Anpassung des Risikomanagements und die Ermittlung neuer möglicher Schwachstellen. Hier bieten sich beispielsweise Penetrationstests oder umfassende simulierte Angriffe an.
Welche Rolle spielt der „Stand der Technik“?
Tipp: B3S als Orientierung zu NIS2-Anforderungen
Soweit verfügbar, können Unternehmen sich an den B3S (Branchenspezifische Sicherheitsstandards) orientieren, um sich auf die kommenden NIS2-Anforderungen vorzubereiten. Laut BSI können KRITIS-Betreiber oder deren Verbände in diesen konkretisieren, wie die Anforderungen an den „Stand der Technik“ erfüllt werden können. Die B3S können dem BSI zur Feststellung der Eignung vorgelegt werden und sind anschließend über die BSI-Website abrufbar.
Eine gesetzliche Verpflichtung zur Erstellung eines B3S besteht zwar nicht, es eröffnet den Branchen allerdings die Möglichkeit, auf Basis der eigenen Expertise selbst Spezifikationen zum Stand der Technik zu formulieren. Darüber hinaus besteht für Betreiber, die sich nach einem solchen anerkannten B3S auditieren lassen, Rechtssicherheit hinsichtlich des Standes der Technik, der bei einem Audit gefordert und überprüft wird.
plusserver-Lösungen, die bei der Umsetzung von NIS2 unterstützen
| Security-Beratung/Consulting | Security-Lösungen | Zertifizierte Infrastruktur |
|---|---|---|
| Pentests und Audits | SOC as a Service | Standorte in DE |
| Awareness-Trainings | EDR as a Service | ISO 27001 |
| NIS2-Assessment | Security Scanner | BSI C5 (Typ-II) |
| Workload Protection | ||
| Next Gen Firewall | ||
| DDoS-Schutz | ||
| Backup/Disaster Recovery | ||
Mit einem umfassenden Security-Portfolio, deutschen Cloud-Lösungen und einem breiten Partner-Ökosystem kann plusserver bei der Einhaltung gesetzlicher Vorgaben wie NIS2, aber auch SiG 2.0, unterstützen.
Ihre NIS2-Checkliste
Über den Autor
Erfahren Sie mehr
Blog
EDR Security: Schützen Sie Ihr Business mit Managed Services
Blog
Security Operations Center (SOC): Der Königsweg der IT-Security?
Download
Merkblatt zu NIS2
Event
Cloud TechCenter Days
Haben Sie noch Fragen?
Senden Sie mir einfach eine Nachricht mit Ihrem Anliegen und ich melde mich schnellstmöglich zurück.
