NIS-2-Anforderungen: Konkrete Bedeutung der verschärften EU-Richtlinie

NIS-2 baut auf Grundlage der Vorgängerrichtlinie von 2016 auf und ist eine Reaktion u.a. auf zunehmende Angriffe auf Lieferketten

[datensicherheit.de, 14.05.2024] „In einer Zeit, in der Cyber-Bedrohungen größer und raffinierter denn je sind, hat die Europäische Union (EU) mit der Einführung der Richtlinie zur Netz- und Informationssicherheit (NIS-2) einen wichtigen Schritt zur Stärkung ihrer digitalen Verteidigung getan“, so Andy Fourie, „VP of Sales EMEA“ bei BlueVoyant, in seiner aktuellen Stellungnahme. Die NIS-2-Richtlinie baue auf der Grundlage der Vorgängerrichtlinie aus dem Jahr 2016 auf und sei eine Reaktion auf die zunehmenden Angriffe auf Lieferketten und den Bedarf an robusteren Meldeverfahren in ganz Europa. Diese Richtlinie betreffe mehr als 160.000 in der EU tätige Unternehmen – „insbesondere diejenigen, die in 15 Schlüsselsektoren als ,wesentliche’ und ,wichtige’ Unternehmen eingestuft sind“.

Foto: BlueVoyant

Andy Fourie zu NIS-2-Konsequenzen: Unternehmen müssen diese Veränderungen mit Sorgfalt und Weitsicht angehen!

NIS-2 schreibt KRITIS-Unternehmen umfassende Überarbeitung ihrer Cyber-Sicherheitspraktiken vor

NIS-2 schreibe solchen Unternehmen eine umfassende Überarbeitung ihrer Cyber-Sicherheitspraktiken vor und zwinge sie, ihre Schutzmaßnahmen in der Lieferkette und ihre Meldepflichten neu zu bewerten und zu verbessern. „Da die Frist für die Einhaltung der Vorschriften im Oktober 2024 abläuft, beginnt für die Unternehmen ein Wettlauf mit der Zeit, um die strengen Anforderungen von NIS-2 zu erfüllen.“

Fourie empfiehlt einen genaueren Blick auf die neuen Anforderungen: „NIS-2 führt vier Hauptbereiche ein, die jeweils spezifische Mandate umfassen, die darauf abzielen, die Cyber-Sicherheitsstandards in allen Bereichen zu erhöhen:“

1. Risikomanagement
Die Unternehmen müssten einen vielschichtigen Ansatz zur Minimierung von Cyber-Risiken umsetzen. Dazu gehörten die Einführung fortschrittlicher Protokolle für das Management von Vorfällen, die Stärkung der Sicherheit der Lieferkette, die Verbesserung der Sicherheit von Netzwerken, die Verbesserung der Zugangskontrolle und der Einsatz von Verschlüsselungstechnologien.

2. Verantwortlichkeit der Unternehmen
Die Richtlinie unterstreiche die Notwendigkeit der Überwachung und Schulung von Maßnahmen zur Cyber-Sicherheit durch die Unternehmensleitung. Sie führe Sanktionen, auch finanzieller Art, für Verstöße ein, „die auf fahrlässiges Verhalten von Führungskräften zurückzuführen sind“.

3. Berichtspflichten
Organisationen müssten Verfahren für die unverzügliche Meldung von derartigen Cyber-Vorfällen einrichten, welche die Bereitstellung von Diensten oder Datenempfängern erheblich beeinträchtigen, und dabei die festgelegten Meldefristen einhalten.

4. Geschäftskontinuität
Die Unternehmen müssten solide Pläne entwickeln, um die Betriebskontinuität nach größeren Cyber-Vorfällen zu gewährleisten. Dazu gehörten Strategien zur Systemwiederherstellung, Notfallverfahren und die Bildung von Krisenreaktionsteams.

10 NIS-2-Mindestanforderungen

NIS-2 definiere neben den allgemeinen Verpflichtungen zehn grundlegende Anforderungen, die das Fundament der Cyber-Sicherheit in der EU bilden sollen:

1. Risikobewertungen und Formulierung von Sicherheitsrichtlinien für Informationssysteme
2. Evaluierung der Wirksamkeit von Sicherheitsmaßnahmen durch festgelegte Richtlinien und Verfahren
3. Anwendung von Kryptographie und Verschlüsselung
4. Effiziente Bewältigung von Sicherheitsvorfällen
5. Sichere Systembeschaffung, -entwicklung und sicherer Systembetrieb, einschließlich Protokollen zur Meldung von Sicherheitslücken
6. Durchführung von Schulungen zur Cyber-Sicherheit und Einhaltung grundlegender Praktiken der Cyber-Hygiene
7. Sicherheitsverfahren für Mitarbeiter, die auf sensible Daten zugreifen
8. Notfallpläne zur Aufrechterhaltung des Geschäftsbetriebs während und nach Cyber-Vorfällen
9. Multi-Faktor-Authentifizierung (MFA) und Verschlüsselung für Sprach-, Video- und Textkommunikation
10. Stärkung der Sicherheit in der Lieferkette – Anpassung der Sicherheitsmaßnahmen an die Schwachstellen der einzelnen direkten Zulieferer

Die Nichteinhaltung dieser umfassenden Anforderungen könnte erhebliche Geldbußen nach sich ziehen, die sich für „wesentliche Unternehmen“ auf 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes und für „wichtige Unternehmen“ auf sieben Millionen Euro oder 1,4 Prozent beliefen.

NIS-2-Vorbereitung als strategischer Imperativ

Für in der EU tätige Unternehmen bedeute die Vorbereitung auf NIS-2 eine Reihe strategischer Schritte, darunter die Feststellung der Anwendbarkeit, die Bewertung bestehender Sicherheitsmaßnahmen, die Überarbeitung der Sicherheitsrichtlinien und die Einbeziehung neuer Sicherheits- und Meldemaßnahmen in ihr Lieferkettenmanagement.

Glücklicherweise könnten aktuelle Cyber-Sicherheitsrahmenwerke, wie das „NIST Cyber Security Framework“ (CSF) oder ISO27001 eine solide Grundlage bilden, welche den Übergang für Unternehmen erleichtern könnten. Da die Frist im Oktober 2024 immer näher rücke, sei die Botschaft klar: „Die Zeit zum Handeln ist jetzt gekommen!“ Die NIS-2-Richtlinie der EU lege nicht nur die Messlatte für die Cyber-Sicherheit höher, sondern unterstreiche auch die Bedeutung eines einheitlichen und proaktiven Ansatzes zum Schutz der Digitalen Landschaft vor neuen Bedrohungen. „Unternehmen müssen diese Veränderungen mit Sorgfalt und Weitsicht angehen“, legt Fourie abschließend nahe.

Weitere Informationen zum Thema:

Europäische Kommission
Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie)

OpenKRITIS
NIS2 in EU Countries

NIS2 DIRECTIVE
NIS2 Requirements / Understand and prepare for the upcoming NIS2 requirements

OpenKRITIS
Sanktionen in NIS2 (ab 2024) / Situation ab 2024

datensicherheit.de, 11.05.2024
NIS-2 sollte als Chance für starke Cyber-Sicherheit angenommen werden / Strenge Cyber-Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen als Herausforderung und Booster

datensicherheit.de, 02.05.2024
NIS-2: Verpasste Chance oder Wegweiser für mehr IT-Sicherheit / Ari Albertini sieht Umsetzung der NIS-2-Richtlinie als notwendige, aber derzeit noch nicht hinreichende Maßnahme an

datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS2-Richtlinie