Im Juli 2015 wurde die NIS-Richtlinie verabschiedet und anschließend am 9. Mai 2018 in der Europäischen Union umgesetzt. Die Richtlinie legt Cybersicherheitsmandate für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste fest, mit dem Ziel, ein einheitliches, hohes Cybersicherheitsniveau in allen Mitgliedstaaten der EU zu fördern. [...]
Zu den wichtigsten Sektoren, die als kritisch eingestuft wurden, gehören Transport, Energie, Gesundheitswesen, Wasser und Banken. Neben der Durchsetzung strenger Cybersicherheitsmaßnahmen wurden diese Einrichtungen auch verpflichtet, den nationalen Behörden alle nennenswerten Vorfälle zu melden.
Neue Richtlinie angekündigt – NIS 2
Um dem rasanten digitalen Wandel, der durch die COVID-Pandemie ausgelöst wurde, Rechnung zu tragen, wurde im Dezember 2022 eine Aktualisierung der NIS-Richtlinie veröffentlicht. Die NIS-2-Richtlinie schreibt vor, dass alle EU-Mitgliedstaaten bis zum 17. Oktober 2024 lokale oder nationale Rechtsvorschriften erlassen, die spätestens am 18. Oktober 2024 in Kraft treten müssen.
Eine wesentliche Änderung, die die NIS 2 mit sich bringt, ist die beträchtliche Ausweitung der Liste kritischer Unternehmen, da nun über 160.000 Organisationen in Europa unter diese Kategorie fallen. Außerdem wurde der Lebensmittelsektor in die KRITIS-Liste aufgenommen, und es wurde eine zweite Kategorie kritischer Dienstleistungen hinzugefügt.
Die NIS 2 ist ein Beispiel dafür, dass sich das regulatorische Umfeld weltweit ständig weiterentwickelt. Bei Nichteinhaltung drohen Strafen von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Umsatzes, weshalb es für alle Unternehmenseigentümer und -leiter von entscheidender Bedeutung ist, sich mit der neuesten Richtlinie vertraut zu machen.
Trotz der Tatsache, dass viele digitale Technologien unter die sich ändernden Compliance-Vorschriften fallen, gibt es immer noch viel Verwirrung und Missverständnisse in Bezug auf die Verantwortung für die Cybersicherheit. Ein Umstand, den sich Bedrohungsakteure zunutze machen.
Wer unterliegt der NIS 2?
Man sollte nicht pauschal davon ausgehen, dass der eigene Betrieb vom Geltungsbereich der NIS 2 ausgenommen ist – selbst, wenn er nicht unter die ursprüngliche NIS-Richtlinie fällt.
- Der Geltungsbereich der NIS 2 erstreckt sich auf eine breite Palette von Anbietern digitaler Dienste, wie beispielsweise Anbieter von DNS, Cloud Computing, Rechenzentren, Content Delivery, Managed IT, Managed Security und Trust Services sowie TLD-Namensregistrierungsstellen, Online-Suchmaschinen und Social-Networking-Plattformen.
- Im Gegensatz zur ursprünglichen NIS-Richtlinie gibt es für Anbieter digitaler Dienste keine Ausnahmeregelungen für kleine Organisationen auf der Grundlage der Mitarbeiterzahl oder der Finanzlage.
- Organisationen mit 250 oder mehr Mitarbeitern und einem Umsatz von 50 Millionen Euro oder einer Bilanzsumme von 43 Millionen Euro unterliegen der NIS 2, wenn sie als “kritisch” eingestuft werden. Dazu zaählen Sektoren wie Energie, öffentliche Verwaltung, Abwasserwirtschaft und Banken.
- Darüber hinaus gilt die NIS 2 für alle als “wichtig” eingestuften Unternehmen mit mehr als 50 Beschäftigten und einem Jahresumsatz oder einer Bilanzsumme von 10 Mio. EUR, einschließlich Unternehmen des verarbeitenden Gewerbes, der Forschung und der Postdienste.
Es sei darauf hingewiesen, dass die einzelnen EU-Mitgliedstaaten befugt sind, die Liste der Organisation, die der NIS 2 unterliegen, zu ändern. Die Mitgliedstaaten haben bis April 2025 Zeit, ihre eigene Liste der kritischen und wichtigen Einrichtungen fertigzustellen.
Neue Schwerpunktbereiche für NIS 2
Da sich die Bedrohungslage hinsichtlich der Cybersicherheit ständig weiterentwickelt, müssen die Regulierungsbehörden mit dem Tempo der Technologie Schritt halten und ihre Anforderungen entsprechend anpassen. Die NIS 2 zielt darauf ab, die Sicherheit und Widerstandsfähigkeit kritischer Infrastrukturen und Dienste zu verbessern, indem sie strengere Maßnahmen für das Risikomanagement im Bereich der Cybersicherheit und Meldepflichten durchsetzt.
Die aktualisierte Richtlinie fordert Organisationen auf, einen proaktiven Ansatz für das Risikomanagement zu wählen. Im Folgenden sind einige der neuen Anforderungen aufgeführt, die in der NIS 2 eingeführt wurden:
- Unternehmen müssen eine Risikobewertung durchführen, um Lücken zu ermitteln und ihre aktuelle Cybersicherheitslage zu verbessern, um die Vorschriften einzuhalten.
- Unternehmen müssen Sicherheitsrisiken in ihren Lieferketten und Lieferantenbeziehungen angehen.
- Kritische Organisationen können jederzeit Audits und Inspektionen unterzogen werden, während wichtige Organisationen nur untersucht werden können, wenn ein Vorfall eintritt.
- Unternehmen müssen regelmäßig Schulungen und Sensibilisierungsmaßnahmen zur Cybersicherheit durchführen, um ihre Mitarbeiter mit den notwendigen Kenntnissen und Fähigkeiten auszustatten, damit sie Vorfälle im Bereich der Cybersicherheit verhindern und darauf reagieren können.
Die NIS 2 schreibt einen strengen Zeitplan für Reaktionspläne auf Vorfälle vor. Einrichtungen, die von wesentlicher Bedeutung sind, müssen ihr nationales Computer Security Incident Response Team und eine zuständige Behörde innerhalb von 24 Stunden über jeden Vorfall informieren, der erhebliche Auswirkungen auf ihre Dienste hat.
Innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls muss eine Meldung über den Vorfall zusammen mit einer ersten Bewertung abgegeben werden. Innerhalb eines Monats nach der Meldung des Vorfalls muss ein Abschlussbericht vorgelegt werden, in dem die Ursache des Vorfalls sowie alle Maßnahmen zur Eindämmung und Bewältigung des Angriffs aufgeführt sind.
Während die Durchsetzung der NIS 2 auf nationaler Ebene der EU-Mitgliedstaaten erfolgt, müssen sich die Behörden an der Reaktion auf Vorfälle auf EU-Ebene beteiligen, um den Mangel an orchestriertem Krisenmanagement in der Vergangenheit zu beheben.
Die Mitgliedstaaten werden außerdem aufgefordert, mehr Daten zwischen den Behörden auszutauschen, um das Bewusstsein zu schärfen und ein gemeinsames Verständnis der wichtigsten Bedrohungen und Herausforderungen in allen Mitgliedstaaten zu fördern.
Was können Unternehmen tun?
Obwohl NIS 2 nicht nur auf große Unternehmen und Nationalstaaten abzielt, können auch viele kleine und mittlere Unternehmen (KMU) unter die entsprechenden Kategorien fallen. Aufgrund ihrer begrenzten Ressourcen, Kenntnisse und Expertise im Bereich der Cybersicherheit kann die Auslagerung an ein Security Operations Center (SOC) eine vorteilhafte Option für diese Unternehmen sein.
Ein SOC ist auf die Bearbeitung von Vorfällen spezialisiert und kann KMUs dabei helfen, die strengen Anforderungen der NIS 2 für die Bearbeitung von Vorfällen zu erfüllen, einschließlich strategischer Überwachung, frühzeitiger Erkennung von Bedrohungen, Verwaltung und Beseitigung von Cyber-Bedrohungen sowie forensischer Untersuchungen.
Umgang mit NIS-2 Vorfällen
Ausgewählte SOC-Betreiber bieten innovative Technologien wie KI und ML, um die Sicherheitsbemühungen von Unternehmen jeder Größe zu verstärken. Die eingesetzten Erkennungsalgorithmen überwachen Ereignisse in allen Geschäftsumgebungen und analysieren und interpretieren diese strategisch.
Zusätzlich zur Technologie bieten manche Sicherheitsspezialisten eigens entwickelte Verfahren und Prozesse an, die Unternehmen bei der Einhaltung von Vorschriften unterstützen. Darunter zählen zum Beispiel die Identifikation von Sicherheits- und Compliance-Aktivitäten, die nicht den gesetzlichen Anforderungen entsprechen, um diese anschließend auf Gesetzeskonformität zu trimmen.
Be the first to comment