Blog
Beitrag teilen auf:
Neue NIS-2-Richtlinie stärkt die Cybersicherheit – und stellt klare Anforderungen an Unternehmen und Organisationen
Die neue NIS-2-Richtlinie tritt im Oktober 2024 in Kraft und ist ein wichtiger Meilenstein in der Cybersicherheit. Sie ist deutlich strenger als die Vorgängerrichtlinie und erhöht die Anforderungen an Unternehmen und Organisationen, um kritische Infrastrukturen und digitale Dienste vor Angriffen zu schützen.
Ziel der Richtlinie ist es, die Cybersicherheit in der Europäischen Union zu stärken und die Zusammenarbeit zwischen den Mitgliedsstaaten beim Schutz kritischer Infrastrukturen zu verbessern.
Die NIS-2-Richtlinie steht für „Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen (NIS) in der Europäischen Union“. Die neue Direktive trat am 16. Januar 2023 in Kraft. Im März 2024 soll das NIS-Umsetzungsgesetz in Deutschland verkündet werden und im Oktober 2024 in Kraft treten.
Unternehmen und Organisationen, die von der NIS-2-Richtlinie betroffen sind, sollten sich frühzeitig mit den neuen Anforderungen auseinandersetzen und Maßnahmen zur Umsetzung ergreifen. Welche das sind, beleuchtet der Blogbeitrag im Folgenden:
Kernpunkte der NIS-2-Richtlinie
- Die NIS-2-Richtlinie legt den Mindeststandard für Cybersecurity für Mitglieder der Europäischen Union fest.
- Sie bildet die Basis für ein umfassendes Risikomanagement bei Unternehmen.
- Sie hat zum Ziel, die sicherheitskritischen Netz- und Informationssysteme vor Cyberangriffen zu schützen. Im Vordergrund stehen hierbei eine Festlegung von Mindestanforderungen für die Sicherheit von Netz- und Informationssystemen sowie die Erhöhung der Melde- und Informationsaustauschpflichten bei Sicherheitsvorfällen.
- Die NIS2-Richtlinie setzt klare Anforderungen und verpflichtet Unternehmen, angemessene Maßnahmen zum Schutz ihrer IT-Infrastrukturen zu ergreifen. Sie soll zugleich ein verbessertes Sicherheitsbewusstsein im Unternehmen erzeugen.
Für wen gilt die Richtlinie?
Die NIS-2-Richtlinie gilt für Betreiber kritischer Dienste (z.B. Energie- und Wasserversorgung, Verkehr, Gesundheitswesen) und bestimmte Anbieter digitaler Dienste (z.B. Cloud-Computing, Online-Marktplätze) in der EU.
Insgesamt regelt die Direktive 18 Sektoren. Da Ausfälle der Infrastrukturen in diesen Bereichen zu erheblichen Störungen und Risiken führen, müssen die Sektoren bestimmte Sicherheitsmaßnahmen umsetzen, um ihre IT-Infrastrukturen zu schützen.
Die Umsetzung von risikobasierten Sicherheitsmaßnahmen, der Schutz vor Cyberangriffen und die Gewährleistung der Geschäftskontinuität sind Anforderungen aus der NIS-2-Richtlinie. Bei Sicherheitsvorfällen müssen diese den gesetzlichen Anforderungen entsprechend gemeldet werden.
Anforderungen an Betreiber kritischer Dienste
Durch die noch strengere Regulierung müssen die betroffenen Unternehmen und Organisationen unter anderem folgende Anforderungen erfüllen:
- Sicherheitsrichtlinien etablieren und umsetzen
- Sicherheitsvorfälle verhindern, erfassen und bewältigen
- Backup-Management einführen
- Sicherheit der Lieferkette gewährleisten
- Sicherheit bei der Beschaffung von IT- und Netzwerk-Systemen gewährleisten
- Performance-Messungen von Cyber- und Risikomaßnahmen
- Cybersecurity-Training
- Daten verschlüsseln
- Personalinformationen schützen
- Zugangskontrollen einführen
- Asset Management einführen
- Multi-Faktor-Authentifizierung und Single Sign-on (SSO) nutzen
- Sichere Sprach-, Video- und Text-Kommunikation nutzen
- Sichere Notfall-Kommunikations-Systeme bereitstellen
Bei der Fülle an Anforderungen gilt es, sich zeitnah mit dem Thema auseinanderzusetzen und die notwendigen Maßnahmen einzuleiten.
GISA als IT-Komplettdienstleister bietet zur Umsetzung der NIS-2-Richtlinie für Ihr Unternehmen mit dem „Full Managed IT-Security Service“ die komplette Bandbreite zur Konformität. Dabei übernehmen wir alle Business IT-Security- und Cyber-Security-Leistungen in Ihrem Unternehmen oder in Ihrer Institution, um die Erfüllung der gesetzlichen Anforderungen zu gewährleisten. Sprechen Sie uns an!
Mehr zum Thema IT-Sicherheit finden Sie hier.
Stefan Röhrig
Stefan Röhrig ist bei GISA als IT-Security Consultant tätig. Er unterstützt Institutionen beim Aufbau eines Informationssicherheitsmanagementsystems (ISMS) bzw. stellt den Informationssicherheitsbeauftragten. Dies beinhaltet eine umfangreiche Beratung von der Konzeption des ISMS über die Integration in die Organisation bis zur Realisierung einzelner Sicherheitsmaßnahmen sowie regelmäßige Überprüfungen der umgesetzten Maßnahmen. Dadurch stellt er die drei Schutzziele der Informationssicherheit nach einem weltweit anerkannten Standard sicher.
Diese Beiträge könnten Sie auch interessieren:
Security Awareness Trainings & Social Engineering Tests für die Unternehmenssicherheit
Nutzen Sie Security Awareness Trainings und Social Engineering Tests, um Ihre Mitarbeitenden fit und aufmerksam im Thema Cybersicherheit zu machen.
Entwicklung von Softwarelösungen in der SAP Utilities Industry Cloud
SAP bietet mit der „Industry Cloud for Utilities” eine Sammlung von modular adaptierbaren Lösungen an, die entweder von SAP selbst oder von Partnern erstellt wurden.
Notfall- und Krisenmanagement – Dimensionen, die Sie berücksichtigen sollten
IT-Security Experten für die Kommunikation, die technische Seite und die Nachbereitung im Sicherheitsvorfall.
