Die Europäische Union (EU) hat die NIS2-Richtlinie verabschiedet, die Teil der EU-Strategie zur Gestaltung der digitalen Zukunft Europas im Bereich der IT-Sicherheit ist und eine direkte Erweiterung der NIS-Richtlinie von 2016 darstellt, die das erste IT-Sicherheitsgesetz auf EU-Ebene war. Check Point erklärt, was die Verabschiedung von NIS2 für Unternehmen aller Art bedeutet. 

Hintergrund der neuen Richtlinie ist eine dynamische Bedrohungslandschaft, die sich zunehmend auf die Netzwerke von Unternehmen auswirkt, sowie die Erkenntnis, dass die erste NIS-Richtlinie in den einzelnen EU-Mitgliedstaaten unterschiedlich umgesetzt wurde.

Daher will die EU einen einheitlicheren Ansatz für den Schutz von Sektoren und Lieferketten schaffen, die Kritische Infrastruktur (KRITIS) betreffen, da ein großer Cyber-Angriff enorme Auswirkungen auf die Wirtschaft jedes einzelnen Mitgliedstaats, aber auch auf den Rest der Union haben könnte.

Wenn beispielsweise das nationale Energieversorgungsunternehmen eines Landes für kurze oder längere Zeit ausfällt, werden die Strompreise steigen und da Strom an einer europäischen Börse gehandelt wird, werden die Preise in ganz Europa steigen.

Was auf die Mitgliedstaaten zukommt
Im Gegensatz zur DSGVO-Richtlinie, die personenbezogene Daten der Bürger schützt, zielt die NIS2-Richtlinie auf den Schutz von Wirtschaftsdaten ab. Im Rahmen der neuen Gesetzgebung müssen die Mitgliedstaaten unter anderem eine nationale IT-Sicherheitsstrategie und ein nationales Gesetz entwerfen. Dieses soll Anforderungen an das Risikomanagement und die Berichterstattung der Unternehmen, die unter die NIS2-Richtlinie fallen, stellen. Außerdem soll auf nationaler Ebene eine Kontaktstelle dafür eingerichtet werden.

Betroffene Institutionen
Zusätzlich zu den Sektoren, die schon in der NIS-Richtlinie enthalten waren, erstreckt sich die neue NIS2 unter anderem auf die Lebensmittelbranche, Fracht- und Schifffahrtsunternehmen, Telekommunikations- und Datenanbieter, Social-Media-Plattformen und Anbieter von Rechenzentren, sowie Unternehmen, die in der Abfall- und Abwasserwirtschaft tätig sind, außerdem Produktionsunternehmen, die für die Wirtschaft des Landes wichtig sind.

Die unter die Richtlinie fallenden Unternehmen werden in zwei Kategorien unterteilt: essenzielle Unternehmen (z. B. Telekommunikationsunternehmen, Versorgungsunternehmen und Banken) und wichtige Unternehmen (z. B. Lebensmittelunternehmen und Frachtunternehmen). Unternehmen mit weniger als 250 Beschäftigten oder einem Jahresumsatz von weniger als 50 Millionen Euro sind jedoch von der Richtlinie ausgenommen.

Aufgrund des Konzepts der Verantwortung für die Lieferkette ist jedoch davon auszugehen, dass auch kleinere Unternehmen, die Zulieferer für die von der Richtlinie erfassten Sektoren sind, NIS2 einhalten müssen. Darüber hinaus erstreckt sich die Richtlinie auch auf öffentliche Verwaltungen, doch ist derzeit noch unklar, ob dies beispielsweise für Kommunen gilt.

Was auf die Unternehmen zukommt
NIS2 stellt neue Anforderungen an die betroffenen Unternehmen und Organisationen. Dazu gehören das Fachwissen und die Verantwortung der Führungskräfte, ein wirksames Risikomanagement, einschließlich Risikoanalyse und Reaktion auf Vorfälle, sowie die Meldung und Behandlung von Cyber-Vorfällen.

Das Management ist somit für die Einhaltung der NIS2-Richtlinie durch die Firma verantwortlich und kann bei Verfehlung zur Rechenschaft gezogen werden. Das Unternehmen oder die Organisation selbst muss verschiedene Anforderungen an die IT-Sicherheit erfüllen, einschließlich der Umsetzung von Sicherheitsmaßnahmen und internationalen Standards, wie ISO27001 oder dem NIST-Framework.

Unternehmen, welche die NIS2-Richtlinie nicht einhalten, können mit Geldstrafen von bis zu zehn Millionen Euro oder zwei Prozent des gesamten weltweiten Jahresumsatzes belegt werden. Es ist wichtig, darauf hinzuweisen, dass es, wie bei der DSGVO-Richtlinie, kein NIS2-Etikett oder eine Liste geben wird, an die sich die Unternehmen halten müssen.

Es liegt an der Organisation selbst, Maßnahmen zu ergreifen, um die Einhaltung der Datensicherungsbestimmungen zu gewährleisten. Anbieter von Sicherheitslösungen können somit zwar helfen, aber es ist Sache des Unternehmens, die notwendige Berichterstattung einzurichten.

Frist für die Umsetzung
Ende Dezember 2022 wurde die NIS2-Richtlinie verabschiedet und in der EU offiziell gemacht. Danach haben die Mitgliedsstaaten 21 Monate Zeit, die Richtlinie in nationales Recht zu wandeln. Das heißt aber nicht, dass Unternehmen bis dahin mit der Umsetzung der neuen Maßnahmen warten können. Denn bereits 18 Monate nach der Verabschiedung müssen die von der Richtlinie betroffenen Organisationen in der Lage sein, diese einzuhalten.

Das mag zwar lang erscheinen, aber wir wissen aus Erfahrung, dass es für viele Unternehmen sehr lange dauern kann, neue Maßnahmen, Verfahren usw. einzuführen. Deshalb ist es wichtig, dass alle betroffenen Einrichtungen und Firmen sofort beginnen.

Ratschläge zum Einstieg
Wie bereits erwähnt, enthält die NIS2-Richtlinie keine Checkliste oder Mindestanforderungen an die Schutztechnologie. Sie beschreibt, wie ein angemessenes Schutz-Niveau aussieht, das auf verschiedene Weise interpretiert werden kann.

Man darf jedoch davon ausgehen, dass Unternehmen zumindest Firewall- und Intrusion-Prevention-Technologien in ihrem Netzwerk benötigen, sowie Endpunktsicherheit und die Implementierung von Multi-Faktor-Authentifizierung, Datenverschlüsselung und Zugangsbeschränkung. Es ist jedoch wichtig zu erwähnen, dass nicht alles mit Technologie gelöst werden kann.

Verfahren und Technologie sind gleichermaßen wichtig. Das bedeutet, dass sich Unternehmen einen Überblick verschaffen und einen Plan aufstellen sollten, anstatt nur nach einer schnellen Lösung zu suchen. In diesem Sinne gibt es einige erste Schritte, die man gehen kann. Zunächst ist es wichtig, zu prüfen, ob das eigene Unternehmen unter die neue Richtlinie fällt.

Wenn das der Fall ist, sind folgende Aspekte zu beachten:

  • Vergewissern Sie sich, dass die IT-Sicherheit für die Unternehmensleitung Priorität hat und sich die Führungskräfte ihrer Verantwortung bewusst sind. Beginnen Sie mit der Analyse der Bedürfnisse Ihres Unternehmens und erstellen Sie einen Fahrplan mit klaren Zielen und Zeitvorgaben zur Umsetzung.

  • Identifizieren und priorisieren Sie Ihre Vermögenswerte, einschließlich Informationen, Prozessen und Systemen.

  • Konzipieren Sie einen Rahmen, auf dem Sie Ihre Sicherheit aufbauen können. Dies könnte ISO2001 oder NIST sein. Wichtig ist auch, dass Sie ein Risikomanagement für Ihre Vermögenswerte und Abläufe einführen.

  • Automatisieren Sie so viele Prozesse und Routinen wie möglich. So sollte beispielsweise die IT-Sicherheit in Zukunft immer Teil neuer Systeme und Cloud-Einführungen sein.

  • Konsolidieren Sie Ihre Sicherheitsfunktionen und -lösungen. Das macht den Betrieb einfacher und sicherer und senkt unter anderem die Personalkosten.

  • Führen Sie einen Meldeprozess ein, der den NIS2-Anforderungen entspricht und stellen Sie sicher, dass er genutzt werden kann, um Angriffe und Bedrohungen zu entschärfen.

Viele Organisationen haben bereits einige Maßnahmen umgesetzt, da sie die ursprünglichen NIS-Anforderungen erfüllen mussten. Andere Organisationen müssen sich jedoch auf eine völlig neue Realität einstellen.

Das kann eine große und entmutigende Aufgabe sein, für manche gar überwältigend erscheinen. Aus diesem Grund tut jeder gut daran, sich früh mit den Anforderungen und möglichen Maßnahmen zu befassen, sowie Experten zu Rate zu ziehen.

Weitere Beiträge....