Mit der neuen NIS2 Richtlinie soll die Cybersicherheit in Europa gestärkt werden. Sie tritt voraussichtlich im Jahr 2024 in Kraft und wird die bestehende NIS Richtlinie ablösen. Viele betroffene Unternehmen in Deutschland und anderen europäischen Ländern sind nun zum Handeln gezwungen, um die Anforderungen fristgerecht zu erfüllen. In diesem Artikel erklären wir Dir, wer von der Richtlinie betroffen ist, welche Anforderungen umgesetzt werden müssen und wie Identity und Access Management dabei unterstützt.
Worum geht’s bei NIS2?
Mit der NIS2 Richtlinie hat die Europäische Union einen neuen Ansatz zur Steigerung der Cybersicherheit veröffentlicht. In Anbetracht der steigenden Bedrohungen durch Cyberangriffe hat diese Richtlinie höchste Dringlichkeit. Die neue Richtlinie wurde Anfang 2023 bekannt gegeben und soll für einen EU-weiten Mindeststandard der Cybersicherheit sorgen. Im Jahr 2016 wurde bereits die NIS als Cybersicherheitsvorschrift eingeführt. Diese galt unter Kritikern allerdings als vage formuliert und wurde oftmals nicht konsequent und einheitlich umgesetzt. Das soll sich mit NIS2 aber deutlich ändern.
Die Richtline modernisiert den bestehenden Rechtsrahmen und konkretisiert die zu befolgenden Maßnahmen. Dabei geht es beispielsweise um das Risikomanagement, die Vorfallsmeldung oder Governance. Außerdem wurden die betroffenen Unternehmen um neue Sektoren und Einrichtungen erweitert. Geschützt werden sollen vor allem Betreiber kritischer Infrastrukturen (KRITIS). Zudem gibt es die Unterteilung in wichtige und besonders wichtige Unternehmen, die je nach Unternehmensgröße und Umsatz unterteilt sind. Als zusätzliche Maßnahme und als klares Signal zur Unterstreichung der Dringlichkeit, wird die Geschäftsführung als persönlich haftbar benannt. Viele Unternehmen wurden sicherlich von den konkreten Maßnahmen überrumpelt, die zeitnah umgesetzt werden müssen. Deshalb ist jetzt höchste Zeit zu Handeln, um den hohen Sanktionen zu entgehen und die Cybersicherheit in den Unternehmen zu erhöhen.
Wer ist betroffen?
Um mit der neuen NIS2 Richtlinie umfassend die Cybersicherheit in der EU zu gewährleisten, sind die betroffenen Unternehmen und Einrichtungen konkret benannt. Für einen ganzheitlichen Schutz beziehen sie sich nicht nur auf kleine Bereiche, sondern auf große Teile der Wirtschaft. Für folgende Branchen gilt nun die neue NIS2 Richtlinie: Betreiber kritischer Infrastrukturen (KRITIS), Bundeseinrichtungen sowie wichtige und besonders wichtige Einrichtungen. Des Weiteren gelten die Maßnahmen für Unternehmen verschiedener Sektoren wie beispielsweise Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten, Öffentliche Verwaltung oder Weltraum.
Im Bereich der wichtigen und besonders wichtigen Unternehmen wird zwischen Großunternehmen und mittleren Unternehmen unterschieden, die sich folgendermaßen definieren lassen:
- Mittlere Unternehmen: 50 bis 249 Unternehmen mit Umsatz weniger 50 Mio. Euro oder Bilanz weniger 43 Mio. Euro oder weniger als 50 Mitarbeiter und Umsatz 10-50 Mio. Euro und Bilanz 10-43 Mio. Euro
- Großunternehmen: min 250 Mitarbeiter oder ab 50 Mio. Euro Umsatz und Bilanz ab 43 Mio. Euro
Was ist zu tun?
Diese Anforderungen gilt es umzusetzen
Betreiber kritischer Infrastrukturen und andere betroffene Einrichtungen in Deutschland und anderen Ländern der Europäischen Union sind verpflichtet, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ermitteln und umzusetzen, um die Anforderungen zu erfüllen. Nur so kann gewährleistet werden, dass Betreiber kritischer Infrastrukturen und betroffene Einrichtungen angemessen gegen mögliche Cyberangriffe geschützt sind.
Risikomanagementmaßnahmen im Bereich der Cybersicherheit:
- Konzepte zur Sicherheit von Informationssystemen
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs, Backup-Management, Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
- Konzepte zur Bewertung von Risikomanagementmaßnahmen
- Verfahren im Bereich der Cyberhygiene und Schulung im Bereich der Cybersicherheit
- Konzepte für den Einsatz von Kryptografie und evtl. Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
- Verwendung von MFA oder kontinuierliche Authentifizierung, gesicherte Kommunikation
Schutz der Lieferketten
Da Lieferketten immer komplexer und globaler werden, gelten sie als ein Fokus-Thema der NIS2 Richtlinie, denn die enge Vernetzung mit Lieferanten und externen Dienstleistungen birgt Sicherheitsrisiken, die es zu vermeiden gilt. Schließlich nützt es nichts, nur die Einzelunternehmen gegen Cyberbedrohungen zu stärken, wenn gleichzeitig Lieferketten nicht abgesichert sind. Böswillige Akteure können durch die Kompromittierung eines Zulieferers Zugriff auf Netzwerke der Unternehmen erhalten. Deshalb sind Betreiber kritischer Infrastrukturen und andere betroffene Einrichtungen angehalten, die Cybersicherheit ihrer Lieferketten zu überprüfen und dafür zu sorgen, dass ihre Zulieferer und Dienstleister ebenfalls ein hinreichendes Risikomanagement in Bezug auf Cyberangriffe darlegen.
[Unternehmen sollen] die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Dienstanbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Dienstanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse, berücksichtigen.
Auszug aus der NIS2 Richtlinie