EU-NIS2: Was kommt auf Unternehmen zu?
Cloud Trends & Innovationen

EU-NIS2 und Cybersicherheit: Was sollten Unternehmen wissen?

| | Corporate Information Security Officer (Co-CISO), SEEBURGER
Die EU-NIS2-Richtlinie soll die Cyber Security kritischer Infrastrukturen stärken

Cybersicherheit – diese zu gewährleisten, stellt Unternehmen vor eine schier unlösbare Aufgabe. Dabei ist der Schutz von Systemen und Daten mit dem Aufkommen neuer Technologien und Cyberbedrohungen für sie von existenzieller Bedeutung. Die EU-NIS2-Richtlinie hat zum Ziel, das Cybersicherheitsniveau von Netzen und Informationssystemen in der Europäischen Union zu erhöhen. Erfahren Sie in diesem Beitrag, was sich hinter NIS2 verbirgt und welche Anforderungen sich daraus nicht nur für Betreiber wesentlicher Dienste (Operators of Essential Services, OES) und Anbieter digitaler Dienste (Digital Service Providers, DSP), sondern auch für das Risikomanagement ergeben.

Was ist NIS2?

Die NIS2 (Netz- und Informationssysteme)-Richtlinie steht für Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union. Sie wurde entwickelt, um die Cybersicherheit in der EU zu stärken und den Schutz kritischer Infrastrukturen sowie digitaler Dienstleister zu gewährleisten. NIS2 ergänzt die bereits bestehende NIS-Richtlinie und enthält neue Bestimmungen, um den aktuellen Bedrohungen und Herausforderungen in der digitalen Welt gerecht zu werden.

NIS2 ist eine Richtlinie und wirkt deshalb nicht direkt als verbindliches Recht in den EU-Mitgliedsstaaten. Dies unterscheidet sie von einer Regulation wie z. B. der EU-GDPR, die direkt wirkt.

NIS2 muss bis Oktober 2024 in nationales Recht überführt werden, in Deutschland ist mit einer Novellierung des IT-Sicherheitsgesetzes 2.0 und der KRITIS-Verordnung zu rechnen.

Ziele von NIS2

  • Verbesserung des Schutzes kritischer Infrastrukturen: NIS2 zielt darauf ab, den Schutz von Sektoren wie Energie, Verkehr, Gesundheit und Finanzen zu verstärken. Unternehmen in diesen Bereichen müssen angemessene Sicherheitsmaßnahmen implementieren, um Cyberbedrohungen vorzubeugen und effektiv darauf zu reagieren.
  • Förderung der Zusammenarbeit: NIS2 soll die Zusammenarbeit zwischen den EU-Mitgliedstaaten fördern, um Informationen über Cyberbedrohungen und bewährte Praktiken auszutauschen.
  • Erhöhung der Transparenz: NIS2 verlangt von Unternehmen, die als digitale Dienstleister agieren, dass sie Sicherheitsvorkehrungen implementieren und Störungen ihrer Dienste an die jeweilige Aufsichtsbehörde im EU-Mitgliedsstaat melden. In Deutschland ist dies das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Auswirkungen auf Unternehmen

Die NIS2-Richtlinie zur Stärkung der Cybersicherheit in der EU hat erhebliche Auswirkungen auf betroffene Unternehmen. Die folgenden Punkte sind wichtig:

  • Erhöhte Anforderungen an die Sicherheitsmaßnahmen:
    Unternehmen sind verpflichtet, angemessene technische und organisatorische Maßnahmen zum Schutz ihrer Netz- und Informationssysteme zu ergreifen. Hierzu zählen die Implementierung von Firewalls, Intrusion Detection Systems sowie regelmäßige Sicherheitsaudits. Diese Maßnahmen sind am jeweiligen Stand der Technik auszurichten und in regelmäßigen Intervallen zu aktualisieren.
  • Notwendigkeit einer kontinuierlichen Überwachung:
    Im Zuge der Anforderungen an die Sicherheitsmaßnahmen werden Unternehmen aufgefordert, ihre Netz- und Informationssysteme kontinuierlich zu überwachen, um potenzielle Bedrohungen frühzeitig zu erkennen und darauf angemessen zu reagieren. Dies erfordert den Einsatz von fortschrittlichen Überwachungstools und geschultem Personal.
  • Verpflichtende Meldepflicht bei Sicherheitsvorfällen:
    Im Falle von Sicherheitsvorfällen, die Dienste der Unternehmen beeinträchtigen, gilt eine Verpflichtung, diese sehr schnell an das BSI zu melden. Auf diese Weise soll die Transparenz erhöht und Behörden dabei unterstützt werden, angemessene Maßnahmen zur Bekämpfung von Cyberbedrohungen zu ergreifen. In der Konsequenz sind etablierte Meldeprozesse in Richtung BSI empfehlenswert.

Es entsteht eine direkte Compliance-Verpflichtung für Cyber-Risikobewertungen und -Management. Daraus ergibt sich die Notwendigkeit, die Lieferantenstruktur entsprechend zu durchleuchten und zu bewerten. Der Aufwand durch Verwendung individueller Fragebögen erscheint weder für Kunden noch deren Lieferanten skalierbar. Empfehlenswert ist es für die Prüfung, sich auf die verbreiteten Zertifizierungen und Attestierungen rund um IT-Sicherheit zu konzentrieren und diese bei den Lieferanten abzufragen.

Die ISO/IEC 27001 für Informationssicherheitsmanagementsysteme (ISMS) ist da als Basis sehr hilfreich.

Zertifizierungen zu NIS2 und ISO 27001

Bei vielen betroffenen Unternehmen mit einer ISO 27001 Zertifizierung steht im gleichen Zeitraum auch das Upgrade auf die ISO 27001:2022 an. Danach ergeben sich vermutlich Synergien der umstrukturierten und teilweise neuen ISO 27001:2022 Kontrollen mit der EU-NIS bzw. dem noch zu novellierendem deutschen IT-Sicherheitsgesetz und der KRITIS-Verordnung.

Die Erfahrung mit dem EU-GDPR-Artikel 42 ff. zu Zertifizierungen im Datenschutzbereich seit 2018 zeigt, dass EU-weite Zertifizierungen und Attestierungen zum Datenschutz bisher keine weite Verbreitung gefunden haben.

Bei den NIS2-Artikeln 46 ff. „Europäischer Zertifizierungsrahmen für die Cybersicherheit“ bleibt entsprechend abzuwarten, wie sich ein solcher Zertifizierungsrahmen in der Praxis in den EU-Mitgliedsstaaten auswirkt.

Fazit

Die Bedeutung von Cybersicherheit für Unternehmen kann nicht unterschätzt werden, insbesondere angesichts der aktuellen Cyberbedrohungen. NIS2 stellt eine wichtige Entwicklung in der EU dar, um die Cybersicherheit zu stärken und Unternehmen dazu zu verpflichten, angemessene Sicherheitsmaßnahmen zu implementieren.

Unternehmen sollten die Anforderungen von NIS2 genau prüfen, ob sie durch das Gesetz im betreffenden EU-Mitgliedstaat betroffen sind, und sicherstellen, dass sie alle notwendigen Maßnahmen ergreifen, um ihre Systeme und Daten vor Cyberangriffen zu schützen.

Webcast-On-Demand

Schützen Sie sich mit einer Cloudlösung vor Cyberangriffen. Wie das geht, erfahren Sie in unserem Webcast-on-Demand.

Jetzt ansehen

Haben Sie Fragen oder Anmerkungen?

Wir freuen uns hier über Ihre Nachricht.

Teilen Sie diesen Beitrag, wählen Sie Ihre Plattform!

Twitter
Frank Stegmueller

Ein Beitrag von:

Frank Stegmüller ist einer der beiden Corporate Information Security Officers bei SEEBURGER und ist seit 2008 im Unternehmen. Er verfügt über 25 Jahre Erfahrung im Service, Support und in der Informationssicherheit rund um Enterprise Application Integration, EDI, B2B, MFT, API, ITSM und digitale Transformation - sowohl auf eigenbetriebenen Systemen als auch aus der Cloud. Er arbeitet an ISO/IEC 27001, ISAE 3402 (SOC 1) Typ 2 und TISAX Zertifizierungen für SEEBURGER Cloud Services und kennt die Feinheiten des richtlinienkonformen Rechenzentrumsbetriebes in internationalen Umfeldern.

Ähnliche Beiträge

SEEBURGER Cloud Services ab 2024 mit Zwei-Faktor-Authentifizierung

Sicherheit verstärken: Zwei-Faktor-Authentifizierung (2FA) als Schlüssel zum erhöhten Schutz für Ihr Business

TLS-Verschlüsselung erhöht die Datensicherheit

Verschlüsselung optimieren: In 3 Schritten zu erhöhter Datensicherheit

Daten sind die Grundlage für Green Logistics

Green Logistics: Wie Digitalisierung Nachhaltigkeit in der Logistik vorantreibt

Extended Reality (XR) in der Arbeitswelt der Fertigungsindustrie

Extended Reality (XR) in der Arbeitswelt: Eine neue Dimension der Produktivität und Zusammenarbeit vor dem Durchbruch?!

Single Sign-On (SSO) und Security Assertion Markup Language (SAML) zur Erhöhung der Passwortsicherheit

Passwortsicherheit: Von der Vielfalt zu SAML-SSO Evolution

Was ist Edge-Computing, und warum ist Edge-Computing für die Verarbeitung von Echtzeitdaten wichtig?

Was ist Edge-Computing und warum ist es wichtig?