Die Richtlinie zur Netz- und Informationssicherheit 2 ist eine Überarbeitung der NIS-Richtlinie von 2016. Ziel ist es, das EU-weite IT-Sicherheitsniveau zu erhöhen. Die Frist für die Umsetzung der NIS2 für alle EU-Mitgliedsstaaten endet am 17. Oktober 2024.
Was unterscheidet Neufassung von der Erstfassung?
Die Meldepflichten für Sicherheitsvorfälle werden verschärft, es gibt strengere Aufsichtsmaßnahmen und Durchsetzungsvorschriften, unter anderem durch Androhung höherer Sanktionen. Durch die neue Richtlinie sind zudem mehr Unternehmen betroffen als durch die NIS-Direktive von 2016.
Wer ist davon betroffen? Organisationen ab einer Größe von 50 Mitarbeitern und ab einem Jahresumsatz von 10 Millionen Euro, die als „wesentlich“ und „wichtig“ eingestuft sind. Einige Einrichtungen sollen unabhängig von ihrer Größe reguliert werden, dazu gehören die Bereiche der digitalen Infrastruktur und der öffentlichen Verwaltung. Es wird zusätzlich eine weitere Unterscheidung zwischen „wichtigen“ und „besonders wichtigen Einrichtungen“ gemacht. Wichtige Einrichtungen werden mit geringen Geldstrafen belegt als besonders wichtige Einrichtungen. Gegen wichtige Einrichtungen kann ein Bußgeld von sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes verhängt werden, gegen besonders wichtige Einrichtungen belaufen sich die Zahlen auf zehn Millionen oder zwei Prozent des Jahresumsatzes.
Laut einem Entwurf vom Bundesinnenministerium sollen Leitungsorgane mit ihrem Privatvermögen haften. Die entsprechende Obergrenze beträgt zwei Prozent des Jahresumsatzes des Unternehmens.
Zu den „wesentlichen“ und „wichtigen“ bzw. „besonders wichtigen“ Organisationen gehören jene aus folgenden Bereichen:
Abfallwirtschaft
Banken- und Finanzwesen
Bildungswesen
Digitale Anbieter (Marktplätze, Suchmaschinen, soziale Netzwerke)
Digitale Infrastruktur
Energie
Forschungsinstitute
Herstellung, Produktion und Vertrieb von Chemikalien
Industrie & Herstellung (Medizinprodukte, Elektronik, Maschinenbau, Fahrzeugbau)
ITK-Dienstleistungsmanagement
Lebensmittelproduktion, -verarbeitung und -vertrieb
Öffentliche Verwaltung
Post- und Kurierdienste
Transport
Wasserversorgung
Weltraum
Ausgenommen von NIS2 sind Unternehmen, welche im Bereich Verteidigung, nationale Sicherheit oder Strafverfolgung tätig sind. Auch Justiz, Parlamente und Zentralbanken sind nicht betroffen.
Was heißt das im Detail für Unternehmen?
Einrichtungen müssen sich eigenständig in eine der Kategorien einordnen. Innerhalb von drei Monaten muss eine Registrierung beim Bundesamt für Sicherheit in der Informationstechnik erfolgen. Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden.
Neue Anforderungen für von NIS2 betroffene Einrichtungen:
Risikomanagement
Es müssen geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergriffen werden. Ein ganzheitlicher Ansatz soll Risiken für die Sicherheit von Netz- und Informationssystemen abwenden.
Sicherheitsbewertung
Unternehmen sollten eine Analyse der Sicherheitsmaßnahmen und Schwachstellen vornehmen.
Angriffspunkte vermeiden
Ein Schwerpunkt der NIS2 ist der proaktive Schutz vor Ransomware. Hierbei können Lösungen für die Endpunktsicherheit helfen. Mitarbeiterschulungen helfen zusätzlich dabei, ein Bewusstsein für die Risiken zu schaffen und Cyberangriffe abzuwehren. Eine weitere Problematik sind Attacken auf Lieferketten. Unternehmen sollen daher sicherstellen, dass deren Produkte oder Dienstleistungen den aktuellen Sicherheitsanforderungen entsprechen.
Zugriffsmanagement
Unternehmen, die unter die NIS2-Regelung fallen, sind angehalten, den Zugriff auf Konten auf die minimal mögliche Anzahl an Nutzern zu beschränken. Diejenigen Personen, die Zugriffsrechte haben, müssen ihre Passwörter regelmäßig ändern. Eine Nichteinhaltung dieser Maßnahmen können gravierende Sicherheitslücken zur Folge haben.
Business Continuity
Damit kritische Systeme aufrechterhalten werden können, müssen Maßnahmen für das sog. Business Continuity Management ergriffen werden. Dazu gehören beispielsweise Backup-Management, Disaster Recovery, Krisenmanagement und Notfallpläne.
Zero Trust Strategie
Perimeterbasierte Sicherheitslösungen werden durch Zero-Trust-
Konzepte abgelöst. Die Grundlage dieses Konzepts beinhaltet, dass alle Benutzer, Geräte und Anwendungen als nicht vertrauenswürdig eingestuft werden, bis sie verifiziert sind. Die Verifizierung findet kontinuierlich statt. Es wird außerdem der am geringsten mögliche Zugriff gewährt, der möglich ist.
Unser Fazit
Zusammenfassend kann man sagen, dass die NIS2-Richtlinie eine Reaktion auf die aktuelle IT-Sicherheitslage in Europa darstellt. Die Intensität und Häufigkeit der Angriffe steigen. Auch die Methoden der Angreifer variieren stark. In Deutschland wird mit Hochdruck an der Umsetzung dieser EU-Richtlinie in nationalem Recht gearbeitet. Bis wann die Richtlinie umgesetzt werden kann und wann Unternehmen für Verstöße sanktioniert werden, ist derzeit noch nicht klar. Für Unternehmen ist es trotzdem wichtig, jetzt schon zu agieren. Eine Erhöhung des IT-Sicherheitsstandards im Unternehmen kann viel Zeit in Anspruch nehmen. Auch ohne die neue Richtlinie sollten sich Unternehmen der aktuellen Sicherheitslage bewusst sein und Maßnahmen ergreifen. Unternehmen, welche nicht von der Richtlinie betroffen sind, können die Richtlinie als Leitfaden für IT-Sicherheit nehmen und Teile der Richtlinie umsetzen.
Comments