fbpx

Ihr IT-Systemhaus TTG Daten- und Bürosysteme GmbH für Unternehmen aus Nordthüringen und Südniedersachsen

EU-NIS-2: Die EU stellt die Weichen neu!

Inhaltsverzeichnis

Dass Internetkriminalität eine steigende und ernstzunehmende Gefährdung verkörpert, ist schon seit langem bekannt. Bedauerlicherweise zeigen Firmen nach wie vor bloß wenig Einsatz für die Cybersicherheit. Aufgrund dieser besorgniserregenden Begebenheit hat die Europäische Union die EU-NIS-2-Richtlinie festgelegt, welche am 16. Januar 2023 in Kraft getreten ist. Diese Regel erneuert die NIS-Direktive von 2016 und modernisiert den derzeitigen Rechtsrahmen, um mit der zunehmenden Digitalisierung sowie einer sich wandelnden Bedrohungslandschaft Schritttempo zu halten. In den folgenden Textabschnitten lesen Sie unter anderem, welche Ziele die neue Richtlinie verfolgt, welche Konsequenzen diese auf Unternehmen hat sowie warum Unternehmen nicht noch weiter trödeln sollten, proaktiv Maßnahmen zu ergreifen, um ihre Netzwerk- und Informationssicherheit zu stärken.

Die Digitalisierung übt definitiv einen tiefgreifenden Einfluss auf fast alle Wirtschaftssektoren aus. Von der Automatisierung von Arbeitsprozessen über die Etablierung moderner Geschäftsmodelle bis hin zur Optimierung der Energieeffizienz – der digitale Wandel verändert nicht nur Arbeitsweisen, Kommunikation oder Informationszugang, sondern eröffnet Unternehmen auch unerwartete Möglichkeiten zur Umsatzsteigerung, Gewinnmaximierung und Ausweitung. Allerdings ist dieser Fortgang ebenso ein idealer Nährboden für Internetkriminalität. Jeden Tag werden groß angelegte wie auch gezielte Internetangriffe ausgeführt, bei denen Unternehmen infiltriert werden, um geschäftskritische Daten zu klauen und bestmöglichen Profit zu bekommen. Der deutschen Wirtschaft entsteht dadurch aktuell ein jährlicher Schaden von rund 203 Milliarden Euro (Quelle: Bitkom). Aufgrund jener Bedrohungslage spricht sich gegenwärtig eine Mehrheit der Firmen für erweiterte gesetzliche Richtlinien aus, die jedes Unternehmen dazu bestimmen, überzeugende Maßnahmen zur Kräftigung ihrer Cybersicherheit zu ergreifen. Genau an dieser Stelle kommt die EU-NIS-2-Richtlinie (Network-and-Information-Security-Richtlinie) ins Spiel, welche am 16. Januar 2023 in Kraft getreten ist.

1. NIS-2-Richtlinie: Ein Meilenstein in der Internetsicherheit!

Bei der EU-NIS-2-Richtlinie, ebenso bekannt als die zweite Richtlinie zur Netzwerk- und Informationssicherheit oder Richtlinie (EU) 2022/2555 (Quelle: EUR-Lex), dreht es sich um eine erneuerte Version der originalen NIS-Richtlinie, welche im Jahr 2016 von der EU umgesetzt wurde. Die Absicht der neuen EU-Richtlinie ist es, eine Widerstandsfähigkeit kritischer Netzwerke wie auch Informationssysteme zu optimieren und ein einheitliches Schutzniveau für systemrelevante Infrastrukturen in der EU durchzusetzen. Im Vergleich zu ihrer Vorgängerin ergänzt die aktuelle EU-NIS-2-Richtlinie das Ausmaß der geschädigten Unternehmen, intensiviert die Verpflichtungen der Betroffenen und erweitert die Aufsichtsbefugnisse wie auch Sanktionsbefugnisse der Behörden.

Die Mitgliedstaaten haben nun bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. Danach wird die Kommission in gleichmäßigen Abständen das ordnungsgemäße Funktionieren der Richtlinie überprüfen, wobei die erste Begutachtung bis zum 17. Oktober 2027 passieren muss.

Eine Hand drückt auf einen Button mit der Beschreibung Security.

2. Von EU-NIS-1 zu EU-NIS-2: Mehr Sektoren, strengere Anforderungen, erhöhter Schutz!

Ein Finger tippt auf der Tastatur eines aufgeklappten Notebooks.

Das Ziel, ein einheitliches Cybersicherheitsniveau in der gesamten Europäischen Union zu erreichen, ist nicht neu. Bereits 2016 wurde die allererste Richtlinie zur Netzwerk- und Informationssicherheit (NIS-1) von der EU implementiert. Das Ziel dieser Richtlinie lag darin, einen rechtlichen Rahmen für den Aufbau nationaler Cybersicherheitskapazitäten in der EU zu schaffen, die Kooperation der Mitgliedstaaten zu optimieren wie auch Mindestsicherheitsanforderungen sowie Meldepflichten für kritische Landschaften und bestimmte Anbieter digitaler Services festzulegen. Allerdings gab es bei der praktischen Umsetzung der NIS-1-Richtlinie einige Schwachstellen und Lücken. Unterschiedliche Interpretationen sowie Nutzungen der Richtlinie in den Mitgliedstaaten führten zu fehlender Harmonisierung und einer widersprüchlichen Sicherheitslandschaft in der EU. Außerdem konnte die NIS-1-Richtlinie den fortwährenden Schwierigkeiten im Bereich der Cybersicherheit nicht genug gerecht werden. Auf Basis dieser Erkenntnisse wurde die EU-NIS-2-Richtlinie entwickelt. Die verschärften Maßnahmen sollen garantieren, dass die Richtlinie eingehalten wird und das generelle Cybersicherheitsniveau in der Europäischen Union weiterhin verbessert wird.

3. Wer ist von NIS-2 betroffen? Ein Überblick!

Mit der Expansion des Geltungsbereichs auf eine größere Palette von Firmen und Sektoren führt die EU-NIS-2-Richtlinie erhebliche Folgen mit sich. Diese nimmt keinesfalls nur traditionelle sowie kritische Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen und digitale Infrastruktur in den Fokus, sondern rückt ebenso neue Bereiche wie Abwasser, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallmanagement, Lebensmittelproduktion und Forschung in den Mittelpunkt. Diese neu integrierten Sektoren werden nun als „wesentliche Einrichtungen“ anerkannt und spielen eine relevante Rolle in unserer Wirtschaft und Infrastruktur. Obendrein zu den „wesentlichen Einrichtungen“ definiert die neue Richtlinie eine zusätzliche Kategorie, welche „wichtige Einrichtungen“. Jene Kategorie gliedert die Firmen graduell nach Kritikalität sowie Abhängigkeiten von anderen Sektoren. Unabhängig von jener Unterscheidung gelten für Unternehmen beider Kategorien dieselben Anforderungen bezüglich Meldepflichten und Risikomanagement.

Die NIS-2-Richtlinie legt auch spezifische Kriterien fest, nach denen Unternehmen von jener Verordnung registriert werden. Insbesondere betrifft das Unternehmen mit mindestens 50 Mitarbeitern sowie einem Jahresumsatz von mehr als 10 Millionen Euro. Mit jener sogenannten „Size-Cap-Rule“ will die Richtlinie gewährleisten, dass vor allem Firmen, welche ein hohes Risiko für Internetangriffe darstellen und über ausreichend Ressourcen für überzeugende Sicherheitsmaßnahmen verfügen, entsprechend reguliert werden. Es gibt jedoch Ausnahmen für manche Sektoren oder Unternehmen. Losgelöst von deren Größe unterliegen Anbieter elektronischer Interaktion, wichtige nationale Monopole und die öffentliche Verwaltung, welche wegen ihrer strategischen Wichtigkeit für die nationale Sicherheit und Infrastruktur von großer Relevanz sind, dem Anwendungsbereich der EU-NIS-2-Richtlinie. Außerdem sind kleinere Firmen oft von der Richtlinie befreit. Nichtsdestotrotz gibt es spezielle Sektoren und Bereiche, in denen die Regelungen unabhängig von ihrer Größe Gebrauch finden.


4. EU-NIS-2: Die Rolle externer IT-Sicherheitsexperten!

Die Einführung der NIS-2-Richtlinie kann eine anspruchsvolle Aufgabe sein, insbesondere für Unternehmen, die keinesfalls über ausreichende interne Ressourcen oder auch Fachkenntnisse in der Cybersicherheit verfügen. In solchen Fällen können IT-Dienstleister sowie externe IT-Sicherheitsexperten eine wertvolle Unterstützung bieten. Diese können Firmen in nachfolgenden Bereichen unterstützen:

  • Analyse bestehender Sicherheitsmaßnahmen: IT-Dienstleister wie auch externe IT-Sicherheitsexperten sind in der Lage, eine umfangreiche Bewertung der bestehenden Sicherheitsmaßnahmen eines Unternehmens vorzunehmen. Mit deren spezialisierten Wissen sind sie in der Lage, potenzielle Sicherheitslücken zu erkennen und gezielte Vorschläge für Verbesserungen anzubieten.
  • Entwicklung eines umfassenden Cybersicherheitsplans: Aufgrund ihrer Kenntnisse können diese Spezialisten Firmen hierbei helfen, einen detaillierten und überzeugenden Cybersicherheitsplan zu erstellen, welcher den spezifischen Vorgaben der NIS-2-Richtlinie gerecht wird.
  • Einführung passender Sicherheitsmaßnahmen: IT-Dienstleister und externe IT-Sicherheitsexperten können wertvolle Unterstützung bei der wirklichen Implementierung der im Cybersicherheitsplan festgelegten Maßnahmen leisten. Sie stellen sicher, dass die implementierten Maßnahmen korrekt umgesetzt werden und die beabsichtigten Ziele erreichen.
  • Durchführung regelmäßiger Sicherheitskontrollen: Jene Fachleute können auch routinemäßige Sicherheitsprüfungen durchführen, um zu gewährleisten, dass die implementierten Sicherheitsmaßnahmen konstant effektiv bleiben und den Vorstellungen der NIS-2-Richtlinie entsprechen.
  • Berichterstattung und Reaktion auf Sicherheitsvorfälle: IT-Dienstleister und externe IT-Sicherheitsexperten können Unternehmen bei der effektiven Reportage und Reaktion auf Sicherheitsvorfälle unterstützen. Selbige können dabei helfen, die wichtigen Informationen an die jeweiligen Behörden weiterzuleiten sowie überzeugende Schritte zur Beseitigung der Situation einzuführen.
Das Bild zeigt ein Schild und im Hintergrund die Erde in blau.


5. Fazit: Es ist höchste Zeit aktiv zu werden!

Fakt ist: Die EU-NIS-2 ist aktiv – und sie stellt zweifelsohne einen bedeutenden Schritt zur Kräftigung der Cybersicherheit in der EU dar. Trotz strenger Sicherheitsstandards, Meldepflichten und möglicher Sanktionen bietet sie betroffenen Firmen die Chance, ihre Cybersicherheit zu optimieren, geschäftskritische Daten zu schützen sowie das Vertrauen ihrer Kunden und Partner zu stärken. Um die Vorgaben der Richtlinie wirksam zu erfüllen, sollten diese auf die Expertise von IT-Dienstleistern und externen IT-Sicherheitsexperten ausweichen. Mit der Unterstützung können selbige die gesetzlichen Vorgaben einhalten und rechtzeitig geeignete sowie angemessen skalierbare technische, operative und organisatorische Maßnahmen umsetzen, ohne dabei ihre hauseigenen IT-Ressourcen zu überfordern.

Brauchen auch Sie Hilfe bei der Umsetzung einer ganzheitlichen IT-Sicherheitsstrategie laut der NIS-2-Richtlinie? Oder haben Sie noch weitere Fragen zu diesem Thema?

Kontaktieren Sie uns noch heute!

Lassen Sie sich zur passenden Software beraten