Die neue, strenge Cybersecurity-Richtlinie NIS-2 – und was zu tun ist.
NIS-2 ist eine überarbeitete Version der aktuellen Richtlinie für Netz- und Informationssicherheit (NIS-1-Richtlinie). Sie legt den Rahmen fest, um Betreiber kritischer Infrastrukturen zu identifizieren und fordert Mindeststandards für deren Informationssicherheit. Sie gibt zudem vor, dass betroffene Unternehmen in der Europäischen Union in bestimmten Sektoren ab 50 Mitarbeitenden und € 10 Mio. Umsatz bestimmte Standards in der Informationssicherheit einhalten müssen.
Zähle ich mit meinem Unternehmen dazu?
Die Firmen, für die die NIS-2-Richtlinien gelten, werden laut EU in 2 Kategorien eingeteilt: „wesentlich“ und „wichtig“. Erstere wurden zum Teil schon in der ersten NIS-Fassung erwähnt, in der neuen Version umfasst diese Kategorie aber mehr Klassen. Zur Gruppe der wesentlichen Organisationen gehören vor allem Unternehmen mit wichtiger Bedeutung für das staatliche Gemeinwesen.
Insgesamt werden in der NIS-2-Richtlinie hierzu 11 Kategorien aufgelistet, sie lauten:
- Energie
- Verkehr
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- digitale Infrastruktur
- Verwaltung von Informations- und Kommunikationsdiensten
- öffentliche Verwaltung
- Weltraum
Zu den wichtigen Organisationen werden 7 Branchen gezählt:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/Herstellung von Waren
- Anbieter digitaler Dienste
- Forschung
Was muss ich tun, wenn mein Unternehmen darunterfällt?
Nach der NIS-2-Richtlinie müssen Sie in Ihrem Unternehmen verschiedene Cybersecurity-Maßnahmen umsetzen, um die Risiken für die Sicherheit Ihrer Systeme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder gering zu halten. Zu diesen zählen:
- Policies: Konzepte für die Risikoanalyse
- Vorfallsbewältigung: Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle
- Business Continuity: Backup-Management und Wiederherstellung, Krisenmanagement
- Supply Chain: Sicherheit in der Lieferkette
- Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme
- Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
- Schulung: Cyberhygiene (z. B. Updates) und Schulungen in Cybersecurity
- Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
- Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management
- Authentifizierung: Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
- Kommunikation: sichere Sprach-, Video- und Text-Kommunikation, ggf. auch im Notfall
Im deutschen Gesetzesentwurf zur NIS-2-Richtlinie ist zudem enthalten, dass nur zertifizierte Informations- und Kommunikationstechnologie-Produkte und -Dienste genutzt werden dürfen.
Bis wann muss ich tätig werden?
Die NIS-2 wurde am 14. Dezember 2022 in einer aktualisierten Version verabschiedet und muss von den EU-Mitgliedsstaaten bis 17. Oktober 2024 in nationales Recht umgesetzt werden.
Fazit.
Sie sehen, das Thema NIS-2 ist sehr komplex und es drängt die Zeit. Sie sind sich nicht sicher, ob Sie in eine der genannten Kategorien fallen? Sie wissen nicht, ob Sie als Zulieferer vielleicht auch betroffen sein könnten?
Wir beraten Sie gern.
Keine Sorge, wir sind rund um die Cybersecurity Ihre Expert*innen an Ihrer Seite. Wir klären gern mit Ihnen, ob und inwiefern Sie mit Ihrem Unternehmen betroffen sind und welche Sicherheitsmaßnahmen in Ihrem Betrieb erforderlich sind. Kommen Sie einfach auf uns zu, wir helfen Ihnen rund um die NIS-2-Richtlinie und die in Ihrem Fall erforderliche IT-Sicherheit gern weiter.
Kommen Sie rund um Ihre Cybersecurity auf uns zu.
Sprechen Sie uns an, wir freuen uns auf Ihre Anfrage!
Kontakt