NIS2: Neue EU-Vorschriften zur Stärkung der Cyber-Sicherheit und Widerstandsfähigkeit

Basis für Risikomanagement und Meldepflichten für die Cyber-Sicherheit in vielen Bereichen

[datensicherheit.de, 08.12.2022] Andy Norton, „European Cyber Risk Officer“ bei Armis, geht in seiner aktuellen Stellungnahme auf die neuen EU-weiten Vorschriften zur Stärkung der Cyber-Sicherheit und Widerstandsfähigkeit ein: Die überarbeitete „Richtlinie zur Sicherheit von Netz- und Informationssystemen“ (NIS2) dient demnach als Basis für Risikomanagement und Meldepflichten für die Cyber-Sicherheit in vielen Bereichen, wie etwa digitale Infrastruktur, Verkehr, Energie und Gesundheit.

Foto: Armis

Andy Norton: Gemeinsame Mindestanforderungen und Maßnahmen zur Stärkung der Cyber-Sicherheit sind notwendig

Sicherheitskritische Netz- und Informationssysteme besser vor Cyber-Angriffen schützen

Mitte November 2022 wurde laut Norton durch das Europäische Parlament ein Abkommen beschlossen, welches die sicherheitskritischen Netz- und Informationssysteme besser vor Cyber-Angriffen schützen soll.

„Die neue Richtlinie soll dabei helfen, den rechtlichen Rahmen in allen EU-Staaten zu nivellieren. Dafür sind gemeinsame Mindestanforderungen und Maßnahmen zur Stärkung der Cyber-Sicherheit notwendig.“

Die neuen Rechtsvorschriften stellten nicht einfach nur weitere Punkte auf einer Liste mit Compliance-Regeln dar, die man abhaken könnt. Norton erläutert: „So sehen bereits die bestehenden NIS-Vorschriften vor, dass angemessene und verhältnismäßige Kontrollen unter Verwendung modernster Technologien durchgeführt werden müssen.“

Eine Mindestanforderung: Durchführung einer angemessenen Cyber-Risikoanalyse

Mit NIS2, der jüngsten Überarbeitung der bestehenden Gesetzgebung, werde ein höheres Straf- und Bußgeldniveau eingeführt. „Bisher basierten die Bußgelder auf Verstößen gegen die Cyber-Sicherheit, doch im Entwurf des NIS2-Gesetzes wird in Artikel 18 ein Mindestmaß an konformen Funktionen vorgeschrieben, die eine wesentliche oder wichtige Einrichtung einführen muss“, berichtet Norton. Bei Nichteinführung dieser Mindestanforderungen drohten der Organisation nun empfindliche Bußgelder in Höhe von bis zu zehn Millionen Euro oder zwei Prozent der weltweiten Einnahmen gemäß Artikel 31.

Die erste der Mindestanforderungen sei die Durchführung einer angemessenen Risikoanalyse. Norton kommentiert: „Dies allein bedeutet für die meisten sicherheitsrelevanten Unternehmen und Einrichtungen ein großes Problem.“ Denn die Risikoanalyse basiere auf dem Verständnis der kritischen „Assets“ (Geräte im Unternehmen), wobei für die meisten Organisationen ein aktuelles und genaues Verzeichnis dieser Anlagen entweder nicht vorhanden, veraltet oder bestenfalls unvollständig sei.

Abschließend betont Norton: „Von großer Bedeutung ist hierbei, dass Organisationen die Stabilität ihrer IT-Sicherheitsarchitektur nachweisen können.“ Dafür benötigten sie eine adäquate und umfassende Risikoanalyse – entsprechend den NIS2-Vorschriften.