top of page

Anrufen

Rückruf

Öffnungszeiten

Montag-Freitag

08:30 - 17:30

Samstag- Sonntag

Notdienst

Rückrufzeiten

Montag-Freitag

09:00 - 16:00

Mainz

Tel: +49 6131 48110 70

Fax: +49 6131 48110 71

Mail: mail@viico.de

Berlin

Tel: +49 30 2192980 0

Fax: +49 30 2192980 1

Mail: mail@viico.de

Anrufen

Rückruf

Die Supportzeiten erstrecken sich von Montag bis Freitag, zwischen 08:30 Uhr und 16:00 Uhr. Außerhalb dieser regulären Arbeitszeiten gelten die Preise, wie sie in unserer Preisliste festgelegt sind. Dies bezieht sich sowohl auf Einsätze außerhalb der üblichen Arbeitszeiten als auch auf Express- und taggleiche Einsätze, die innerhalb von 7 Stunden behoben werden. Bitte beachten Sie, dass die Preise und Supportzeiten je nach Ihrem individuellen Support- oder Wartungsvertrag variieren können. Die detaillierten Preisinformationen finden Sie in unserer Preisliste, die Sie hier einsehen können: Preisliste

Leistungen

AutorenbildJana Catherine Czwalina

Erhöhte Sicherheitsanforderungen: Was Unternehmen über die NIS2-Richtlinie wissen müssen

Die Richtlinie zur Netz- und Informationssicherheit 2 ist eine Überarbeitung der NIS-Richtlinie von 2016. Ziel ist es, das EU-weite IT-Sicherheitsniveau zu erhöhen. Die Frist für die Umsetzung der NIS2 für alle EU-Mitgliedsstaaten endet am 17. Oktober 2024. 

Geschäftsmann mit Handy
Informieren Sie sich über die neuen Richtlinien und Gesetze.

 

Was unterscheidet Neufassung von der Erstfassung? 

 

Die Meldepflichten für Sicherheitsvorfälle werden verschärft, es gibt strengere Aufsichtsmaßnahmen und Durchsetzungsvorschriften, unter anderem durch Androhung höherer Sanktionen. Durch die neue Richtlinie sind zudem mehr Unternehmen betroffen als durch die NIS-Direktive von 2016.

 

Wer ist davon betroffen? Organisationen ab einer Größe von 50 Mitarbeitern und ab einem Jahresumsatz von 10 Millionen Euro, die als „wesentlich“ und „wichtig“ eingestuft sind. Einige Einrichtungen sollen unabhängig von ihrer Größe reguliert werden, dazu gehören die Bereiche der digitalen Infrastruktur und der öffentlichen Verwaltung. Es wird zusätzlich eine weitere Unterscheidung zwischen „wichtigen“ und „besonders wichtigen Einrichtungen“ gemacht. Wichtige Einrichtungen werden mit geringen Geldstrafen belegt als besonders wichtige Einrichtungen. Gegen wichtige Einrichtungen kann ein Bußgeld von sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes verhängt werden, gegen besonders wichtige Einrichtungen belaufen sich die Zahlen auf zehn Millionen oder zwei Prozent des Jahresumsatzes. 

Laut einem Entwurf vom Bundesinnenministerium sollen Leitungsorgane mit ihrem Privatvermögen haften. Die entsprechende Obergrenze beträgt zwei Prozent des Jahresumsatzes des Unternehmens.

 

Zu den „wesentlichen“ und „wichtigen“ bzw. „besonders wichtigen“ Organisationen gehören jene aus folgenden Bereichen:

  • Abfallwirtschaft

  • Banken- und Finanzwesen

  • Bildungswesen

  • Digitale Anbieter (Marktplätze, Suchmaschinen, soziale Netzwerke)

  • Digitale Infrastruktur

  • Energie

  • Forschungsinstitute

  • Herstellung, Produktion und Vertrieb von Chemikalien

  • Industrie & Herstellung (Medizinprodukte, Elektronik, Maschinenbau, Fahrzeugbau)

  • ITK-Dienstleistungsmanagement

  • Lebensmittelproduktion, -verarbeitung und -vertrieb

  • Öffentliche Verwaltung

  • Post- und Kurierdienste

  • Transport

  • Wasserversorgung

  • Weltraum

 

Ausgenommen von NIS2 sind Unternehmen, welche im Bereich Verteidigung, nationale Sicherheit oder Strafverfolgung tätig sind. Auch Justiz, Parlamente und Zentralbanken sind nicht betroffen. 


 

Was heißt das im Detail für Unternehmen?

Einrichtungen müssen sich eigenständig in eine der Kategorien einordnen. Innerhalb von drei Monaten muss eine Registrierung beim Bundesamt für Sicherheit in der Informationstechnik erfolgen. Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden.

 

Neue Anforderungen für von NIS2 betroffene Einrichtungen:

 

Risikomanagement

 Es müssen geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergriffen werden. Ein ganzheitlicher Ansatz soll Risiken für die Sicherheit von Netz- und Informationssystemen abwenden.

 

Sicherheitsbewertung

Unternehmen sollten eine Analyse der Sicherheitsmaßnahmen und Schwachstellen vornehmen.

 

Angriffspunkte vermeiden

Ein Schwerpunkt der NIS2 ist der proaktive Schutz vor Ransomware. Hierbei können Lösungen für die Endpunktsicherheit helfen. Mitarbeiterschulungen helfen zusätzlich dabei, ein Bewusstsein für die Risiken zu schaffen und Cyberangriffe abzuwehren. Eine weitere Problematik sind Attacken auf Lieferketten. Unternehmen sollen daher sicherstellen, dass deren Produkte oder Dienstleistungen den aktuellen Sicherheitsanforderungen entsprechen. 

 

Zugriffsmanagement

Unternehmen, die unter die NIS2-Regelung fallen, sind angehalten, den Zugriff auf Konten auf die minimal mögliche Anzahl an Nutzern zu beschränken. Diejenigen Personen, die Zugriffsrechte haben, müssen ihre Passwörter regelmäßig ändern. Eine Nichteinhaltung dieser Maßnahmen können gravierende Sicherheitslücken zur Folge haben.

 

Business Continuity

Damit kritische Systeme aufrechterhalten werden können, müssen Maßnahmen für das sog. Business Continuity Management ergriffen werden. Dazu gehören beispielsweise Backup-Management, Disaster Recovery, Krisenmanagement und Notfallpläne.

 

Zero Trust Strategie

Perimeterbasierte Sicherheitslösungen werden durch Zero-Trust-

Konzepte abgelöst. Die Grundlage dieses Konzepts beinhaltet, dass alle Benutzer, Geräte und Anwendungen als nicht vertrauenswürdig eingestuft werden, bis sie verifiziert sind. Die Verifizierung findet kontinuierlich statt. Es wird außerdem der am geringsten mögliche Zugriff gewährt, der möglich ist. 


Mann mit Tablet.
Stärken Sie Ihre Netzwerksicherheit nach den NIS2-Richtlinien.

Unser Fazit

Zusammenfassend kann man sagen, dass die NIS2-Richtlinie eine Reaktion auf die aktuelle IT-Sicherheitslage in Europa darstellt. Die Intensität und Häufigkeit der Angriffe steigen. Auch die Methoden der Angreifer variieren stark. In Deutschland wird mit Hochdruck an der Umsetzung dieser EU-Richtlinie in nationalem Recht gearbeitet. Bis wann die Richtlinie umgesetzt werden kann und wann Unternehmen für Verstöße sanktioniert werden, ist derzeit noch nicht klar. Für Unternehmen ist es trotzdem wichtig, jetzt schon zu agieren. Eine Erhöhung des IT-Sicherheitsstandards im Unternehmen kann viel Zeit in Anspruch nehmen. Auch ohne die neue Richtlinie sollten sich Unternehmen der aktuellen Sicherheitslage bewusst sein und Maßnahmen ergreifen. Unternehmen, welche nicht von der Richtlinie betroffen sind, können die Richtlinie als Leitfaden für IT-Sicherheit nehmen und Teile der Richtlinie umsetzen.


132 Ansichten0 Kommentare

Aktuelle Beiträge

Alle ansehen

Comments


bottom of page