‹ Zurück

NIS2 - Verständlich?

Weshalb ist NIS2 in der EU wichtig?

Die Network and Information Security 2 (NIS 2) ist zweifellos eine entscheidende Weiterentwicklung der vorherigen NIS-Richtlinie und spiegelt die wachsenden Herausforderungen im Bereich der Cybersecurity wider. Die NIS 2, die im Dezember 2022 in einer überarbeiteten Version verabschiedet wurde, hat das Ziel, die Sicherheit kritischer Infrastrukturen in der Europäischen Union zu stärken. Lassen sie uns genauer betrachten, was die NIS 2 definiert und wie sie sich von ihrem Vorgänger, der NIS 1, unterscheidet.

1.1 Definition und Anwendungsbereich:
Die NIS 2 ist eine revidierte Version der aktuellen Netz- und Informationssicherheitsrichtlinie (NIS 1) der EU. Ihr Anwendungsbereich wurde erheblich erweitert, um nicht nur Betreiber kritischer Infrastrukturen, sondern auch Anbieter wesentlicher Dienste im digitalen Bereich zu erfassen. Die Richtlinie legt Mindeststandards für Informationssicherheit fest, die von betroffenen Unternehmen in bestimmten Sektoren mit mehr als 50 Mitarbeitern und einem Umsatz von über 10 Millionen Euro eingehalten werden müssen.

1.2 Sinn und Zweck der NIS 2:
Die Einführung der NIS 2 durch die EU ist eine Reaktion auf die ständig wachsenden Bedrohungen für kritische Infrastrukturen, insbesondere seit dem Ukrainekrieg im Jahr 2022. Die zunehmende Möglichkeit von digitalen Angriffen auf wichtige Einrichtungen wie Dammanlagen, Stromversorger und Atomkraftwerke hat die EU veranlasst, strengere Standards einzuführen. Die NIS 2 zielt darauf ab, die Verwundbarkeit kritischer Infrastrukturen zu minimieren und potenziell katastrophale Folgen von Cyberangriffen zu verhindern.

1.3 Unterschied zwischen NIS 1 und NIS 2:
Die NIS-1-Richtlinie, eingeführt im Jahr 2016, war eine Reaktion auf die steigenden Anforderungen an die IT-Sicherheit in Europa. Allerdings wurde sie durch die NIS 2 ersetzt, die ab 2024 noch strengere Anforderungen an Unternehmen und Organisationen stellt. Die NIS 2 soll Organisationen widerstandsfähiger machen und den Schutz der europäischen Gesellschaft in ihrem täglichen Leben gewährleisten. Die verschärfte Version der Richtlinie betont die Notwendigkeit, mit den sich ständig weiterentwickelnden Bedrohungen im Cyberspace Schritt zu halten.

Insgesamt markiert die NIS 2 einen bedeutenden Schritt in Richtung einer umfassenden Cybersecurity in der EU. Es ist entscheidend, dass die Mitgliedsstaaten die Richtlinie bis Ende 2024 in nationales Recht umsetzen, um die Sicherheit kritischer Infrastrukturen zu gewährleisten und die EU vor den zunehmenden Herausforderungen im Bereich der Cybersecurity zu schützen.

2. Neue Anforderungen für Unternehmen
Die NIS-2-Richtlinie bringt für Unternehmen wesentliche Veränderungen mit sich. Zu den zentralen Punkten gehören die Selbstklassifizierung in "besonders wichtige" oder "wichtige" Einrichtungen, gefolgt von der Pflicht zur Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI). "Besonders wichtige" Einrichtungen müssen zudem am Informationsaustausch über die BISP-Plattform teilnehmen.

Ein weiterer Schwerpunkt liegt auf dem Informationsaustausch und der Meldepflicht von Sicherheitsvorfällen. Unternehmen sind verpflichtet, solche Vorfälle sofort den zuständigen Behörden zu melden. Die Richtlinie setzt außerdem strengere Sicherheitsanforderungen, die Unternehmen dazu veranlassen, ihre bestehenden Praktiken im Bereich der Informationssicherheit zu überprüfen und anzupassen.

Um diesen neuen Anforderungen gerecht zu werden, ist es entscheidend, das Bewusstsein der Mitarbeiter zu schärfen und Schulungen zur Informationssicherheit durchzuführen. Die aktive Beteiligung der Unternehmen an der Umsetzung der NIS-2-Richtlinie ist nicht nur gesetzlich verpflichtend, sondern auch entscheidend für die Sicherheit kritischer Infrastrukturen und die Anpassung an die ständig wachsenden Herausforderungen im Bereich der Cybersecurity.

3. NIS-2-Compliance für Unternehmen

3.1 Risikomanagement als Grundpfeiler der NIS-2-Compliance:

• Unternehmen müssen ein NIS-2-konformes Risikomanagement für die Informationssicherheit etablieren.
• Verpflichtung zur Umsetzung angemessener technischer, operativer und organisatorischer Maßnahmen, um Risiken zu beherrschen.
• Strukturiertes Risikomanagement ermöglicht die frühzeitige Erkennung von Bedrohungen und Schwachstellen.
• Einheitliches Risikomanagement führt zu erhöhter Widerstandsfähigkeit gegenüber Bedrohungen.

3.2 Informationssicherheitsstandards in Lieferketten sicherstellen:

• Sicherheit in der Lieferkette ist ein zentraler Aspekt der NIS-2-Anforderungen.
• Unternehmen müssen sicherstellen, dass Geschäftspartner Sicherheitsvorkehrungen treffen.
• Vertragliche Vereinbarungen und Zertifizierungen spielen eine entscheidende Rolle.

3.3 Sicherheitsvorfälle melden und angemessen behandeln:

• Betreiber Kritischer Infrastruktur müssen Störungen und Vorfälle unverzüglich melden.
• Implementierung eines effektiven Sicherheitsprogramms mit klaren Richtlinien und Verfahren.
• ISO 27001-Richtlinien für schnelle Identifizierung, Behebung und Wiederherstellung nach Sicherheitsvorfällen.
• Klare Kommunikationswege und Informierung von Kunden bei Sicherheitsvorfällen.

 

4. Weitere wichtige Pflichten nach NIS-2-Definition:

• Geschäftsführung muss die Einhaltung der Anforderungen gemäß nationaler Gesetzgebung überwachen.

• Entwicklung und Umsetzung von Richtlinien für Risiken und Informationssicherheit.

• Maßnahmen für Business Continuity Management (BCM), Einkaufssicherheit und Effektivitätsmessungen sind erforderlich.
• Schulungen zur "Cybersecurity Hygiene" für Mitarbeiter.
• Festlegung und Implementierung von Kryptografie, Sicherheitsmaßnahmen für das Personal und Authentifizierungsmethoden.
• Notfall-Kommunikationssysteme für Krisensituationen.
   

Die konsequente Umsetzung dieser Pflichten ist nicht nur gesetzlich vorgeschrieben, sondern auch entscheidend für die Sicherheit kritischer Infrastrukturen und den Schutz vor Cyberangriffen.

5. Was bedeutet dies für Schweizer Unternehmen?
Für die Schweiz ist NIS2 relevant, weil die Richtlinie explizit Lieferketten und Partnerunternehmen einbezieht. Das bedeutet ein Unternehmen welche Dienstleistungen zu einem EU-Unternehmen anbietet, können allenfalls mit den Richtlinien konfrontiert werden, sind jedoch nicht den Richtlinien unterstellt ist, sondern den Anforderungen, welche der Dienstleisterbezüger stellt.

Schweizer Unternehmen sind jedoch gut beraten, wenn das Unternehmen sich am IKT-Minimalstandard orientiert.

Fazit:
Die Schweizer Unternehmen sind nicht dem NIS2 unterstellt, sind jedoch gut bereaten sofern sie Dienstleistungen an EU Unternehmen stellen, sich mit den Richtlinien auseinanderzusetzen.
Ebenfalls sehe ich es als sinnvoll, wenn man ein Framework einsetzt um die Visibilität zu erhalten.  Der IKT-Minimalstandard setzt eine gute Basis.

Links:

https://www.bsi.bund.de/DE/Home/home_node.html

https://www.bwl.admin.ch/bwl/de/home/bereiche/ikt/ikt_minimalstandard.html

https://eur-lex.europa.eu/eli/dir/2022/2555

https://digital-strategy.ec.europa.eu/de/policies/nis2-directive