Die neue NIS-2-Richtlinie tritt im Oktober 2024 in Kraft und ist ein wichtiger Meilenstein in der Cybersicherheit. Sie ist deutlich strenger als die Vorgängerrichtlinie und erhöht die Anforderungen an Unternehmen und Organisationen, um kritische Infrastrukturen und digitale Dienste vor Angriffen zu schützen.
Ziel der Richtlinie ist es, die Cybersicherheit in der Europäischen Union zu stärken und die Zusammenarbeit zwischen den Mitgliedsstaaten beim Schutz kritischer Infrastrukturen zu verbessern.
Die NIS-2-Richtlinie steht für „Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen (NIS) in der Europäischen Union“. Die neue Direktive trat am 16. Januar 2023 in Kraft. Im März 2024 soll das NIS-Umsetzungsgesetz in Deutschland verkündet werden und im Oktober 2024 in Kraft treten.
Unternehmen und Organisationen, die von der NIS-2-Richtlinie betroffen sind, sollten sich frühzeitig mit den neuen Anforderungen auseinandersetzen und Maßnahmen zur Umsetzung ergreifen. Welche das sind, beleuchtet der Blogbeitrag im Folgenden:
Kernpunkte der NIS-2-Richtlinie
- Die NIS-2-Richtlinie legt den Mindeststandard für Cybersecurity für Mitglieder der Europäischen Union fest.
- Sie bildet die Basis für ein umfassendes Risikomanagement bei Unternehmen.
- Sie hat zum Ziel, die sicherheitskritischen Netz- und Informationssysteme vor Cyberangriffen zu schützen. Im Vordergrund stehen hierbei eine Festlegung von Mindestanforderungen für die Sicherheit von Netz- und Informationssystemen sowie die Erhöhung der Melde- und Informationsaustauschpflichten bei Sicherheitsvorfällen.
- Die NIS2-Richtlinie setzt klare Anforderungen und verpflichtet Unternehmen, angemessene Maßnahmen zum Schutz ihrer IT-Infrastrukturen zu ergreifen. Sie soll zugleich ein verbessertes Sicherheitsbewusstsein im Unternehmen erzeugen.
Für wen gilt die Richtlinie?
Die NIS-2-Richtlinie gilt für Betreiber kritischer Dienste (z.B. Energie- und Wasserversorgung, Verkehr, Gesundheitswesen) und bestimmte Anbieter digitaler Dienste (z.B. Cloud-Computing, Online-Marktplätze) in der EU.
Insgesamt regelt die Direktive 18 Sektoren. Da Ausfälle der Infrastrukturen in diesen Bereichen zu erheblichen Störungen und Risiken führen, müssen die Sektoren bestimmte Sicherheitsmaßnahmen umsetzen, um ihre IT-Infrastrukturen zu schützen.
Die Umsetzung von risikobasierten Sicherheitsmaßnahmen, der Schutz vor Cyberangriffen und die Gewährleistung der Geschäftskontinuität sind Anforderungen aus der NIS-2-Richtlinie. Bei Sicherheitsvorfällen müssen diese den gesetzlichen Anforderungen entsprechend gemeldet werden.
Anforderungen an Betreiber kritischer Dienste
Durch die noch strengere Regulierung müssen die betroffenen Unternehmen und Organisationen unter anderem folgende Anforderungen erfüllen:
- Sicherheitsrichtlinien etablieren und umsetzen
- Sicherheitsvorfälle verhindern, erfassen und bewältigen
- Backup-Management einführen
- Sicherheit der Lieferkette gewährleisten
- Sicherheit bei der Beschaffung von IT- und Netzwerk-Systemen gewährleisten
- Performance-Messungen von Cyber- und Risikomaßnahmen
- Cybersecurity-Training
- Daten verschlüsseln
- Personalinformationen schützen
- Zugangskontrollen einführen
- Asset Management einführen
- Multi-Faktor-Authentifizierung und Single Sign-on (SSO) nutzen
- Sichere Sprach-, Video- und Text-Kommunikation nutzen
- Sichere Notfall-Kommunikations-Systeme bereitstellen
Bei der Fülle an Anforderungen gilt es, sich zeitnah mit dem Thema auseinanderzusetzen und die notwendigen Maßnahmen einzuleiten.
GISA als IT-Komplettdienstleister bietet zur Umsetzung der NIS-2-Richtlinie für Ihr Unternehmen mit dem „Full Managed IT-Security Service“ die komplette Bandbreite zur Konformität. Dabei übernehmen wir alle Business IT-Security- und Cyber-Security-Leistungen in Ihrem Unternehmen oder in Ihrer Institution, um die Erfüllung der gesetzlichen Anforderungen zu gewährleisten. Sprechen Sie uns an!