Mit der NIS-2 zu mehr Cybersicherheit
Anlässlich des Cybersecurity Month widmen wir uns einem der aktuell wichtigsten Themen in der IT-Sicherheit: der NIS-2 Richtlinie. Diese europäische Verordnung, die die erste NIS-Richtlinie ersetzt, bringt weitreichende Änderungen und Anforderungen für Unternehmen mit sich.
Ziel der NIS-2 ist es, die Widerstandsfähigkeit kritischer Infrastrukturen gegen Cyberangriffe zu erhöhen und den Schutz sensibler Daten in ganz Europa zu verbessern. In diesem Beitrag geben wir einen Überblick über die wichtigsten Neuerungen der NIS-2 und erklären, was Unternehmen jetzt tun sollten, um die Vorgaben zu erfüllen.
Hauptziele der NIS-2-Richtlinie
Verbesserung der Cybersicherheitsstandards
Die NIS-2 setzt neue, strengere Sicherheitsanforderungen für Unternehmen und Organisationen fest, insbesondere für jene, die in kritischen Infrastrukturen tätig sind. Sie verlangt die Einführung umfassender Risikomanagementmaßnahmen, um Cyberangriffe zu verhindern, abzuwehren und darauf zu reagieren.
Erweiterung des Anwendungsbereichs
Im Gegensatz zur ersten NIS-Richtlinie umfasst die NIS-2 eine breitere Palette von Unternehmen und Sektoren, darunter Energie, Transport, Gesundheitswesen, Finanzdienstleistungen sowie digitale Dienste wie Cloud-Anbieter und Rechenzentren.
Stärkung der Zusammenarbeit zwischen den EU-Staaten
Die Richtlinie fördert eine engere Zusammenarbeit zwischen den EU-Mitgliedstaaten, um Cyberbedrohungen auf europäischer Ebene koordinierter zu begegnen und Informationen über Bedrohungen und Angriffe auszutauschen.
Verbesserung des Krisenmanagements
Ein zentrales Anliegen ist es, den Umgang mit Cybervorfällen effizienter zu gestalten. Unternehmen müssen Sicherheitsvorfälle innerhalb von 24 Stunden an die zuständigen Behörden melden und klare Abläufe für deren Bewältigung implementieren.
Strengere Aufsicht und Sanktionen
Es gibt härtere Sanktionen für Unternehmen, die die Anforderungen nicht erfüllen. Ziel ist es, die Einhaltung der Cybersicherheitsvorschriften zu gewährleisten und die Verantwortlichkeit zu erhöhen.
Aktueller Stand der NIS-2-Richtlinie
Die NIS-2-Richtlinie ist seit 2023 auf EU-Ebene in Kraft, stellt jedoch nicht direkt geltendes Recht dar.
Jedes EU-Land muss die Vorgaben in nationales Recht umsetzen, und der Fristtermin ist der 17. Oktober 2024.
In Deutschland liegt bereits der Regierungsentwurf für das NIS2UmsuCG (NIS-2-Umsetzungsgesetz) vor. Dieser Entwurf enthält Vorschriften, die die Anforderungen der NIS-2-Richtlinie in nationales Recht überführen sollen.
Laut Experten wird das NIS2UmsuCG möglicherweise nicht fristgerecht zum 17. Oktober 2024 in Kraft treten.
Anforderungen für Unternehmen
- Risikomanagement: Unternehmen müssen ein umfassendes, systematisches Risikomanagement einführen, um potenzielle Cyberrisiken frühzeitig zu erkennen, zu bewerten und zu minimieren. Dies schließt die Entwicklung und fortlaufende Anpassung von Sicherheitsstrategien sowie bewährten Schutzmaßnahmen ein.
- Sicherheitsmaßnahmen: Die Implementierung technischer und organisatorischer Schutzvorkehrungen ist essenziell, um die Vertraulichkeit, Integrität und Verfügbarkeit von IT-Systemen zu gewährleisten.
- Meldung von Vorfällen: Alle sicherheitsrelevanten Vorfälle müssen dokumentiert und bei Bedarf den zuständigen Behörden zur Verfügung gestellt werden. Schwerwiegende Sicherheitsvorfälle sind innerhalb von 24 Stunden den Behörden zu melden.
- Mitarbeiterschulungen: Unternehmen sind verpflichtet, ihre Mitarbeiter regelmäßig zu schulen und für die Risiken von Cyberangriffen sowie die Bedeutung von Sicherheitsvorkehrungen zu sensibilisieren, um ein hohes Maß an Sicherheitsbewusstsein zu schaffen.
