Die Sicherheit im Bereich der Informationstechnologie ist ein ständiger Kampf gegen Cyberkriminalität und Hackerangriffe. Mit der zunehmenden Digitalisierung und Vernetzung von Unternehmen steigt auch die Anzahl der potenziellen Angriffsziele. Um dieser Entwicklung entgegenzutreten, hat die EU eine überarbeitete Richtlinie zur Sicherheit von Netz- und Informationssystemen (kurz: NIS2) verabschiedet, um die Resilienz kritischer Infrastrukturen und digitaler Dienste in der EU zu verbessern und Unternehmen dazu zu drängen, einen Mindeststandard an Sicherheit zu erfüllen.
Die neuen Anforderungen sollen vor allem die Regeln in den 27 EU-Ländern vereinheitlichen und die Zusammenarbeit zwischen den Ländern erleichtern. Bis zum Herbst 2024 müssen die EU Mitgliedsstaaten NIS2 in nationales Recht umsetzen, was insbesondere für Unternehmen zahlreiche neue Herausforderungen mit sich bringen wird.
Welche Unternehmen sind betroffen?
NIS2 unterscheidet zwischen zwei Kategorien, welche elf betroffene wesentliche (essential) und sieben wichtige (important) Sektoren beinhalten. Außerdem sind Unternehmen und Organisationen in wesentlichen und wichtigen Sektoren mit mindestens 50 Mitarbeitenden und einem Jahresumsatz größer als zehn Millionen Euro betroffen. Zu Unternehmen aus dem wesentlichen Sektor gehören unter anderem das Bank- und Gesundheitswesen, Trink- und Abwasser sowie die Finanzmärkte und digitale Infrastruktur. Unter die wichtigen Sektoren fallen unter anderem der Lebensmittelbereich, Post- und Kurierdienste sowie Industrie und Forschung. (vgl. Artikel 2 Abs. 1 NIS2-Richtlinie der EU)
Die Richtlinie wird voraussichtlich rund 100.000 neue Betriebe und Organisationen in Europa betreffen und Unternehmen müssen frühzeitig handeln, um den neuen Regularien zu entsprechen.
Welche Maßnahmen sind als Mindestanforderungen definiert?
Die Richtlinie (Artikel 21 NIS-2-Richtlinie) beinhaltet Mindestanforderungen an das Schutzniveau und Mechanismen zur Zusammenarbeit zwischen den Ländern. Unternehmen müssen künftig mindestens folgende Cybersecurity-Maßnahmen umsetzen, um IT-Infrastruktur und Netzwerke ihrer kritischen Dienstleistungen zu schützen.
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulung im Bereich der Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
Es bleibt abzuwarten, wie sich die Umsetzung von NIS2 auf die betroffenen Unternehmen auswirken wird. Sicher ist jedoch, dass Unternehmen in Europa sich auf strengere Vorgaben, schärfere Strafen und höhere Anforderungen an ihre Cybersecurity-Infrastruktur einstellen müssen.
Insgesamt zeigt die NIS2-Richtlinie das wachsende Bewusstsein der EU für die Bedeutung von Cybersicherheit und die Notwendigkeit eines koordinierten Ansatzes, um die europäischen Informationssystem-Infrastrukturen vor Angriffen zu schützen. Angesichts der zunehmenden Cyberbedrohungen ist es jedoch von entscheidender Bedeutung, dass Unternehmen proaktiv handeln und sich rechtzeitig auf die bevorstehenden Änderungen vorbereiten. Eine angemessene Cybersecurity-Strategie kann dazu beitragen, das Risiko von Cyberangriffen zu minimieren und den Schutz von Daten und Systemen zu gewährleisten.
Gerne stehen wir Ihnen bei dieser Herausforderung beratend zur Seite.
Quellen:
European Commission (2023). Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive). https://digital-strategy.ec.europa.eu/en/policies/nis2-directive (13.03.2023)
Europäische Union (2022). Richtlinie (EU) 2022/2555 des europäischen Parlaments und Rates. https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L2555&from=EN#d1e40-80-1 (13.03.2023)
Bildnachweis: ©Alexander Grey/unsplash.com