Skip to content
secIT Sicherheitsmesse IT Hannover Punkte
05.20245 min Lesezeit

Was Sie über die NIS-2-Richtlinie wissen müssen

Neue Technologien und die Digitalisierung ermöglichen es kleinen und mittelständischen Unternehmen vernetzter und globaler zu arbeiten. Da viele betriebsinterne Prozesse digital stattfinden, entstehen neue Risiken für Cyberangriffe. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet beständig, dass nicht nur große Konzerne, sondern auch kleine und mittelständische Unternehmen (KMUs) vermehrt Angriffen ausgesetzt sind. Auch kleinere staatliche Organisationen wie Kommunen geraten immer öfter ins Visier von Cyberkriminellen. 

Mit dem Aufstieg von Cybercrime-as-a-Service (CaaS) und der Möglichkeit, im Darkweb Dienstleister für Cyberangriffe zu buchen, wird die Notwendigkeit einer geschützten IT-Infrastruktur in deutschen Unternehmen immer deutlicher. 

Um diesen wachsenden Sicherheitsherausforderungen entgegenzutreten, hat die Europäische Union die NIS-2-Richtlinie verabschiedet, eine wesentliche Überarbeitung der ersten Richtlinie zur Netz- und Informationssystemsicherheit (NIS). Diese definiert Maßnahmen zur Sicherung von Netz- und Informationsstrukturen von Betreibern kritischer Infrastrukturen und Anbietern bestimmter digitaler Dienste in der EU. Die NIS-2 erweitert den bereits bestehenden Geltungsbereich der Mindestanforderungen für Cybersicherheit nun auf mehr Sektoren und Unternehmen:

Kritische Einrichtungen laut NIS-Richtlinie

  • Großunternehmen...
    • mit mehr als 250 Mitarbeitenden oder mehr als 50 Millionen Euro Jahresumsatz
    • mit Tätigkeiten in kritischen Sektoren
  • Alle Betreiber kritischer Infrastrukturen

 

Wichtige Einrichtungen laut NIS-Richtlinie

  • Großunternehmen...
    • mit Aktivitäten in einem Sektor, der als kritisch eingestuft wird
  • KMUs...
    • mit mehr als 50 Mitarbeitenden oder mehr als 10 Millionen Euro Jahresumsatz
    • mit Tätigkeiten in kritischen oder besonders kritischen Sektoren

Was sind laut NIS-2 kritische Sektoren?

  • Energie

  • Transport

  • Bankwesen

  • Finanzmarktinfrastrukturen

  • Gesundheit

  • Trinkwasser

  • Abwasser

  • Digitale Infrastruktur

  • IT/ICT-Dienste im B2B-Bereich

  • Öffentliche Verwaltung

  • Weltraum

Was sind laut NIS-2 wichtige Sektoren?
  • Post- und Kurierdienste

  • Abfallwirtschaft

  • Chemikalien

  • Lebensmittel

  • Industrie (z. B. Maschinenbau)

  • Digitale Dienste

  • Forschung

Klein- und Kleinstunternehmen sind von der NIS-2 vorerst ausgenommen, es sei denn, sie gehören zu den Sektoren „Digitale Infrastruktur“, „Öffentliche Verwaltung“ oder sind „weitere Spezialfälle“.

NIS-2 (2)

 

Maßnahmen zum Risikomanagement 

Um schnell und erfolgreich auf Sicherheitsrisiken reagieren zu können, müssen Sicherheitssysteme zum Schutz der im Unternehmen vorhandenen Daten eingerichtet werden. 

Berichtspflicht bei Sicherheitsvorfällen

In Deutschland müssen Sicherheitsvorfälle, wie Hackerangriffe, dem BSI innerhalb von 24 Stunden gemeldet werden. Eine detaillierte Aufarbeitung des Vorfalls muss in den nächsten Tagen folgen. 

Maßnahmen zur Vorfallvorbeugung und -bewältigung

Betreiber müssen Strategien implementieren, um Sicherheitsvorfälle vorzubeugen und darauf zu reagieren. Dies schließt die Etablierung von Notfallplänen und die regelmäßige Überprüfung der Sicherheitsrichtlinien und -prozessen ein.

Sicherheit der Lieferketten

Die Sicherheit innerhalb der gesamten Lieferkette von Unternehmen muss gewährleistet sein. Auch indirekte Anbieter und Zulieferer müssen die gegebenen Sicherheitsstandards erfüllen. 

Regelmäßige Sicherheitstests

Um die Wirksamkeit der implementierten Sicherheitsstandards zu überprüfen, müssen regelmäßige Tests, wie zum Beispiel Schwachstellenscans, durchgeführt werden. 

Business Continuity Management (BCM)

Organisationen müssen Geschäftskontinuitäts-Maßnahmen ergreifen, um sicherzustellen, dass ihre betriebsnotwendigen Funktionen auch im Falle eines IT-Sicherheitsvorfalls weiterlaufen können. Dies beinhaltet Pläne für das Notfall- und Krisenmanagement. 

Schulungen für Mitarbeitende

Betreiber müssen sicherstellen, dass ihr Personal in Sicherheits- und Datenschutzpraktiken geschult wird. Dies ist entscheidend, um zu garantieren, dass Mitarbeitende in der Lage sind, Sicherheitsrisiken zu erkennen und richtig darauf zu reagieren. 

 

Auch wenn (noch) keine gesetzlichen Vorgaben existieren, bieten verschiedene Normen und Standards einen Ansatz zur Orientierung für die Implementierung der IT-Sicherheit in Unternehmen.

 

DIN ISO 27001

Die internationale Norm ISO/IEC 27001 legt fest welche Anforderungen ein Unternehmen erfüllen muss um ein Informationssicherheitsmanagementsystem (ISMS) zu betreiben und kontinuierlich zu verbessern. Sie umfasst außerdem Richtlinien für die Risikoanalyse und den Umgang mit Sicherheitsrisiken im Bereich der IT. Ein effektives ISMS basiert auf den fundamentalen Prinzipien der Informationssicherheit: Verfügbarkeit, Vertraulichkeit und Integrität. Für Betreiber kritischer Infrastrukturen (KRITIS) bietet ein nach ISO 27001 zertifiziertes ISMS eine solide Grundlage für das IT-Management. 

BSI IT-Grundschutz

Herausgegeben im Jahr 1994 durch das BSI, umfasst diese Vorgehensweise die IT-Grundschutz-Standards (200-1 bis 200-4) sowie das IT-Grundschutz-Kompendium. Das Kompendium ist in zehn Ebenen gegliedert, die jeweils mehrere Bausteine enthalten. Jedes Modul definiert spezielle Anforderungen und gibt Empfehlungen zur Absicherung von IT-Systemen und -Prozessen. Innerhalb der Bestandteile lassen sich verschiedene Sicherheitsstufen differenzieren: 

  • Basis-Absicherung (deckt alle wesentlichen Muss-Anforderungen ab)
  • Kern-Absicherung (umfasst alle Muss-Anforderungen und zusätzliche Schutzmaßnahmen für besonders kritische Geschäftsprozesse)
  • Standard-Absicherung (berücksichtigt alle Muss- und Soll-Anforderungen)

 

Wettbewerbsvorteile durch NIS-2  

Das Einhalten des NIS-2 bringt einige Vorteile mit sich, mit denen man nicht nur die interne Sicherheit, sondern auch die eigene Position am Markt stärken kann: 

Verstärkte Cybersicherheit:

Durch die Anwendung der unter NIS-2 vorgeschriebenen Sicherheitsmaßnahmen können Unternehmen ihre Cybersicherheitsinfrastruktur stärken. Dadurch sinkt das Risiko von Datenverlusten, Sicherheitsverletzungen und anderen cyberbezogenen Vorfällen. 

Verbesserte Reputation:

Unternehmen, die nachweislich strenge Sicherheitsstandards einhalten, können das Vertrauen ihrer Kunden und Partner stärken. Da Sicherheit ein zunehmend entscheidendes Kriterium für die Auswahl von Dienstleistern darstellt, kann so die Marktstellung verbessert werden.

Geringere Ausfallzeiten bei Angriffen:

Ein gut umgesetztes Sicherheitsmanagement nach NIS-2 kann dazu beitragen, die Kontinuität innerhalb eines Betriebs zu sichern, indem es die Wahrscheinlichkeit und das Ausmaß von Betriebsunterbrechungen durch Cyberangriffe reduziert.

Verbessertes Risikomanagement:

Die Richtlinie fördert ein besseres Verständnis und Management von Sicherheitsrisiken durch regelmäßige Anpassungen der Sicherheitsstrategien an äußere Entwicklungen. Dies hilft Organisationen, proaktiv auf Bedrohungen zu reagieren und ihre Sicherheitspraktiken kontinuierlich zu verbessern.

Internationale Anerkennung: 

Die NIS-2-Richtlinie ist in der gesamten EU gültig. Unternehmen, die diese Standards erfüllen, können leichter in anderen EU-Mitgliedstaaten agieren und von einer Gleichstellung der Sicherheitsvorschriften profitieren. 

NIS2-Teil-2

Die NIS-2-Richtlinie bietet kleinen und mittelständischen Unternehmen (KMUs) in Deutschland eine entscheidende Grundlage, um sich gegen wachsende Cyber-Sicherheitsbedrohungen zu wappnen. Durch erweiterte Anforderungen unterstützt die Richtlinie nicht nur die Sicherheitsinfrastruktur von Unternehmen, sondern bietet auch Wettbewerbsvorteile durch gestärktes Kundenvertrauen und minimierte Betriebsunterbrechungen. 

Zudem unterstützt NIS-2 ein verbessertes Risikomanagement, das verpflichtet, Sicherheitsstrategien regelmäßig zu aktualisieren und sich an neue Bedrohungen anzupassen. Die Einhaltung der EU-weiten Standards ermöglicht es Unternehmen, ihre Geschäfte über nationale Grenzen hinaus zu erweitern und von einem einheitlichen Sicherheitsrahmen zu profitieren. 

Besonders für kleine und mittelständische Unternehmen ist es also notwendig, in die eigene Cybersicherheit zu investieren und sie mehr als Teil einer Wachstumsstrategie zu betrachten und weniger als eine gesetzliche Verpflichtung.

 

Wie können wir Ihnen helfen, die NIS-2-Richtlinie in Ihrem Unternehmen umzusetzen?
Kontaktieren Sie uns gern unverbindlich für ein Erstgespräch.

avatar

Christian Blaue

Leitung Account Management
Mit dem Fokus auf vertrauensvoller IT-Beratung setzt mein Team Ihre Anforderungen und Wünsche in die Tat um.

KOMMENTARE