IT Sicherheit, News

NIS2 EU-Richtlinie: Die Anforderungen an die IT-Sicherheit steigen. Was kommt auf Sie zu?

Veröffentlicht am von Dominik Kruckenberg
NIS2 EU-Richtlinie
24
Aug

Die digitale Transformation hat Unternehmen weltweit stark geprägt und eröffnet ihnen unzählige neue Möglichkeiten. Gleichzeitig wachsen jedoch auch die Risiken im Bereich der Informationssicherheit.
Um diesen Herausforderungen zu begegnen, verabschiedete die EU im Januar 2023 die NIS2-Richtlinie, welche die Mindestanforderungen für die Netzwerk- und Informationssicherheit der ursprünglichen NIS-Richtlinie erweitert. Ziel ist eine Harmonisierung des Sicherheitsniveaus, da die Umsetzung der NIS-Richtlinie durch die Mitgliedstaaten bisher sehr unterschiedlich erfolgte. Dies hat zu einer erheblichen Heterogenität des Cybersecurity-Levels innerhalb der EU geführt. Bis Oktober 2024 sollen europäische Unternehmen NIS2 umsetzen. Eine wesentliche Veränderung besteht darin, dass nun eine deutlich größere Vielfalt von Unternehmen der EU-Richtlinie folgen muss. Dazu gehören Branchen wie Energie, Verkehr, Gesundheit, Banken und weitere kritische Infrastrukturen.
Was bedeutet diese Neuerung nun für IT-Verantwortliche?

Was ist neu?

Im Vergleich zur vorherigen Richtlinie wurden der Anwendungsbereich und die Compliance-Anforderungen erweitert. Unternehmen sind nun verpflichtet, ihre Informationssicherheitsmaßnahmen zu verbessern und sicherheitsrelevante Vorfälle zu melden. Dies erfordert von IT-Verantwortlichen ein umfassendes Verständnis der Richtlinie sowie die Implementierung geeigneter Sicherheitsmaßnahmen.

Die Anforderungen sind unter anderem:

  • Incident Management: Prävention, Detektion und Bewältigung von Sicherheitsvorfällen
  • Business Continuity: Backup-Management, Desaster Recovery, Krisenmanagement Anforderungen

Erfahren Sie, auf unserer Veranstaltung für IT-Verantwortliche, wie Sie diesen und weiteren Anforderungen gerecht werden:

Besuchen Sie unsere Veranstaltung zur Netzwerk- und Informationssicherheit

Wo liegt der Fokus?

Die NIS2-Richtlinie legt einen verstärkten Fokus auf Risikobewertung und präventive Sicherheitsmaßnahmen. IT-Administratoren müssen eine umfassende Bewertung der potenziellen Risiken durchführen und geeignete Sicherheitsvorkehrungen treffen, um mögliche Bedrohungen abzuwehren. Dies beinhaltet Sicherheitslösungen wie Firewalls, Intrusion Detection Systems (IDS) und Zugangskontrollmechanismen.
Ein weiterer Schwerpunkt der NIS2-Richtlinie liegt auf der effektiven Bewältigung von sicherheitsrelevanten Vorfällen. IT-Administratoren müssen über klare Prozesse und Richtlinien für den Umgang mit sicherheitsrelevanten Ereignissen verfügen, einschließlich einer Meldepflicht gegenüber den nationalen Behörden. Das Ziel ist eine schnelle Reaktion auf solche Begebenheiten und die Minimierung möglicher Schäden.

Für wen gilt NIS2?

Die NIS2-Richtlinie gilt für Unternehmen und Institutionen, die zur kritischen Infrastruktur gehören. Darüber hinaus sieht die EU vor, die Anforderungen auf „besonders wichtige Einrichtungen“ auszuweiten. Zu diesen Einrichtungen gehören Großunternehmen sowie mittlere Unternehmen in bestimmten Sektoren, die gesellschaftskritische Aufgaben erfüllen.

Als Schwellenwert wurden mindestens 50 Mitarbeiter und ein Jahresumsatz von 10 Millionen Euro aus den nachfolgenden Branchen festgelegt:

  • Bankwesen & Finanzen
  • Chemische Industrie
  • Digitale Infrastruktur
  • Energie
  • Gesundheitswesen
  • ICT Service Management
  • Nahrungsmittelversorgung
  • Öffentliche Verwaltung
  • Transport
  • Wasseraufbereitung und -versorgung

Neben bereits genannten Sektoren gilt die Richtlinie auch für:

  • Abfallentsorgung
  • Digitale Dienste
  • Forschung
  • Logistik
  • Produktion
  • Verarbeitendes Gewerbe

Unternehmen im besonderen öffentlichen Interesse:

  • Rüstungsgüter und VS-IT (UBI_1)
  • Wertschöpfung (UBI_2)
  • Gefahrenstoffe (UBI_3)

Worauf sollte man achten?

Bisher wurden die folgenden Bereiche zum Risikomanagement festgelegt, die konkreten Maßnahmen wurden jedoch noch nicht klar definiert.

  • Risikoanalyse
  • Management von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs
  • Supply Chain Security
  • Bewertung der Effektivität des Risikomanagements
  • Schulungen und Cyberhygiene
  • Kryptografie
  • Personal, Zugriffe und Anlagen
  • Multi-Faktor Authentifizierung
  • Sichere Entwicklung und Beschaffung
  • Sichere Kommunikation & Notfallkommunikation

Fazit: Die NIS2-Richtlinie stellt eine bedeutende Entwicklung im Bereich der Informationssicherheit für Unternehmen dar. IT-Verantwortliche in verschiedenen Branchen sind gefordert, ihre Sicherheitsmaßnahmen zu überprüfen und anzupassen, um den Anforderungen der Richtlinie gerecht zu werden. Die verstärkte Fokussierung auf Risikobewertung, präventive Maßnahmen, Incident-Response und die Zusammenarbeit mit nationalen Behörden erfordert ein proaktives und ganzheitliches Sicherheitsmanagement. Durch die Umsetzung der NIS2-Richtlinie können Unternehmen ihre Widerstandsfähigkeit gegenüber Cyberangriffen stärken und die Sicherheit ihrer digitalen Infrastrukturen gewährleisten.

Sind Sie auf die Umsetzung der Anforderungen von NIS2 vorbereitet?

Suchen Sie das persönliche Gespräch zur NIS2 EU-Richtlinie
Besuchen Sie unsere Veranstaltung zur Netzwerk- und Informationssicherheit

Weiterführende Links NIS2 EU-Richtlinie

Hier finden Sie die aktuelle NIS2 EU-Richtlinie

Webinar-Aufzeichnung zum Thema NIS2

Sprechen Sie uns an!

Dominik Kruckenberg

Telefon: +49 160 337 22 55
E-Mail: dominik.kruckenberg@stepit.net

Dominik Kruckenberg

Telefon: +49 160 337 22 55 E-Mail: <a href="mailto:dominik.kruckenberg@stepit.net" rel="noopener">dominik.kruckenberg@stepit.net</a>