NIS-2 – Die neue EU-Richtlinie
für mehr Cybersicherheit

Was beinhaltet und wen betrifft es?

Beratungstermin? Rufen Sie uns an.

Wie alles Begann – die NIS-Richtlinie

Seit 2016 wurde mit der Einführung der EU-weiten Richtlinie zur Netzwerk- und Informationssicherheit (NIS) ein bedeutender Meilenstein in der Cybersicherheit gesetzt. Diese Richtlinie hat Unternehmen und Organisationen dazu verpflichtet, angemessene Maßnahmen zur Gewährleistung der Cybersicherheit zu ergreifen und schwerwiegende Vorfälle zu melden.
Nun hat die Europäische Union mit NIS2 ihre Anstrengungen in Bezug auf IT-Sicherheit verstärkt und die Reichweite der bisherigen Verordnung erweitert. Diese Erweiterung betrifft eine breitere Palette von Unternehmen und Organisationen als je zuvor.

Was bedeutet das für Sie als Unternehmen? Welche Anpassungen sind notwendig?
Wir bieten Ihnen einen Überblick und unterstützen Sie bei der Umsetzung der neuen Anforderungen.
Ziel der ersten NIS-Richtlinie war es, die Cybersicherheit europäischer Unternehmen zu stärken. Insbesondere Betreiber grundlegender Dienste (OES) und Anbieter digitaler Dienste (DSP) wurden in den Fokus gerückt. Als Ihr zuverlässiger IT-Dienstleister verstehen wir die Bedeutung dieser Richtlinie für Ihr Unternehmen und stehen Ihnen bei der Implementierung der erforderlichen Maßnahmen zur Seite.

Der CyberRisko-Check kann auch als Basis dienen. (Bei bis zu 50 Beschäftigten)
Verlieren Sie keine Zeit und machen Sie CyberRisko-Check!

CyberRisko-Check

Erweiterung der Richtlinie mit NIS-2

Nun, mit NIS2, wird der Anwendungsbereich erheblich erweitert, um eine größere Anzahl von Bereichen und Organisationen einzubeziehen. Die neue Richtlinie zielt darauf ab, die Cybersicherheit in der gesamten Europäischen Union zu verbessern und eine bessere Zusammenarbeit zwischen den Mitgliedstaaten zu fördern.

NIS2 legt verstärktes Augenmerk auf die Sicherheit der Lieferkette von IKT-Diensten und zielt darauf ab, die Resilienz gegen digitale Angriffe zu verbessern. Diese Richtlinie bringt eine Reihe neuer Anforderungen mit sich, denen Unternehmen gerecht werden müssen.
Für Unternehmen, die die Anforderungen von NIS2 nicht erfüllen, können verschiedene Durchsetzungsmaßnahmen ergriffen werden.
Als Ihr IT-Partner unterstützen wir Sie dabei, Compliance-Verstöße zu vermeiden und die Sicherheit Ihrer Systeme zu gewährleisten.

Die EU-Richtlinie ist bereits in Kraft getreten, und die Mitgliedsstaaten haben bis zum 17. Oktober 2024 Zeit, sie in nationales Recht umzusetzen.
Das deutsche Gesetz dazu fehlt allerdings noch.

Welche Sektoren betreffen die Richtlinien?

Die Kategorisierung der Unternehmen gemäß den NIS2-Richtlinien durch die EU in "wesentliche" und "wichtige" Bereiche spiegelt die unterschiedlichen Ebenen der Bedeutung wider, die sie für die Netzwerk- und Informationssicherheit haben. Diese Unterscheidung wurde in der ersten Version der NIS-Richtlinie bereits angedeutet, jedoch wurde sie in der überarbeiteten Version erweitert und verfeinert. Dieser Ansatz berücksichtigt die Vielfalt der Organisationen und ihre potenziellen Auswirkungen auf die Gesellschaft.

Die Kategorie der "wesentlichen" Organisationen („essential“) umfasst vor allem Unternehmen, die als Kritische Infrastrukturen (KRITIS) gelten, da ihr Ausfall erhebliche Auswirkungen auf das öffentliche Leben hätte. NIS2 identifiziert hier elf Schlüsselbereiche.

Die 11 "wesentlichen" Organisationen („essential“) 

  • Energie
  • Transport
  • Bankwesen
  • Finanzmärkte
  • Gesundheit
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • ICT Service Management im B2B
  • Öffentliche Verwaltung
  • Weltraum

Die "wichtigen" Organisationen („important“) umfassen 7 Branchen 

  • Post und Kurier
  • Abfall
  • Chemikalien
  • Lebensmittel
  • Industrie (einschließlich Maschinenbau, Fahrzeugbau, Datenverarbeitungsgeräte)
  • Digitale Dienste (wie Suchmaschinen, Online-Marktplätze, Cloud-Services, soziale Netzwerke)
  • Forschung

Es gibt ähnliche Vorgaben für alle Organisationen, unabhängig von ihrer Gruppierung. Die EU unterscheidet jedoch bei möglichen Strafen und Sanktionen.

Doch Vorsicht! Auch kleine Unternehmen unter 50 Mitarbeitenden können betroffen sein.

Es ist wichtig zu beachten, dass auch kleine Unternehmen, obwohl sie normalerweise nicht unter NIS2 fallen, dennoch betroffen sein können. Darüber hinaus müssen bestimmte Dienstleister wie Anbieter von DNS-Diensten, TLD-Namensregistern sowie öffentlicher elektronischer Kommunikationsnetze oder -dienste sich ebenfalls an die NIS2-Vorgaben halten.

Ebenfalls können Unternehmen (egal welcher Größe) in den Fokus geraten, wenn sie als Dienstleister oder Lieferanten für die direkt betroffenen Organisationen tätig sind. In solchen Fällen könnten sie möglicherweise zusätzliche Sicherheitsvorkehrungen implementieren, um die gesamte Lieferkette zu schützen. Ein Automobilhersteller könnte seine Zulieferer bitten, bestimmte Cybersecurity-Technologien oder -Methoden einzuführen, um sicherzustellen, dass die EU-Vorgaben eingehalten werden.

Welche Anforderungen stellt NIS-2?

Die Richtlinie besteht aus vierzehn Punkten, die von den betroffenen Unternehmen und Sektoren erfüllt werden müssen:

  • Policies: Richtlinien für Risiken und Informationssicherheit
  • Incident Management: Prävention, Detektion und Bewältigung von Cyber Incidents
  • Business Continuity: BCM mit Backup Management, DR, Krisen Management
  • Supply Chain: Sicherheit in der Lieferkette - bis zur sicheren Entwicklung bei Zulieferern
  • Einkauf: Sicherheit in der Beschaffung von IT und Netzwerk-Systemen
  • Effektivität: Vorgaben zur Messung von Cyber und Risiko Maßnahmen
  • Training: und Cyber Security Hygiene
  • Kryptographie: Vorgaben für Kryptographie und wo möglich Verschlüsselung
  • Personal: Human Resources Security
  • Zugangskontrolle
  • Asset Management (ISMS)
  • Authentication: Einsatz von Multi-Faktor-Authentifizierung (MFA) und Single-Sign-On (SSO)
  • Kommunikation: Einsatz sicherer Sprach-, Video- und Text-Kommunikation
  • Notfall-Kommunikation: Einsatz gesicherter Notfall-Kommunikations-Systeme
  • Hinzu kommt beispielsweise die Einbeziehung aller Leitungsorgane mit Überwachungs- und Weiterbildungsverpflichtung und die persönliche Haftung bei Nicht-Compliance.

Fragen zur 
NIS-2-Richtlinie?

Rufen  Sie uns an!

Kontakt

vertrieb(at)schopf.de
Tel. +49 (0) 931 79651 0

 

 

 

Adresse:


SCHOPF Computersysteme
John-Skilton-Straße 10
97074 Würzburg

Impressum  |  Datenschutz

© SCHOPF Computersysteme 2024