NIS2 hat die NIS-Richtlinie verbessert, um ein robusteres Cybersicherheitsprogramm für die EU zu unterstützen. Mehr Dienstleister müssen sich auf strengere Vorschriften einstellen... sind Sie bereit?

Die Richtlinie über die Netz- und Informationssicherheit (NIS), die ursprünglich vor über acht Jahren eingeführt wurde, war ein Eckpfeiler bei der Verbesserung der Cybersicherheit in der Europäischen Union (EU). Mit der bevorstehenden Einführung der NIS2, die im Oktober dieses Jahres in Kraft treten soll, müssen sich Unternehmen auf einen neuen Rechtsrahmen vorbereiten, der auf dem Vorgänger aufbaut und gleichzeitig wichtige Aktualisierungen und Verbesserungen enthält.

NIS und NIS2: Was ist der Unterschied?

Die NIS-Richtlinie, die 2016 eingeführt wurde, um den Rechtsrahmen für Cyberrisiken und die Abwehrbereitschaft von Unternehmen zu modernisieren, wurde 2023 mit NIS2 geändert und erweitert.

Die rasche digitale Transformation nach Covid brachte eine komplexere Landschaft von Cybersicherheitsbedrohungen mit sich. Angesichts der zunehmenden Verflechtung von Systemen, Lieferketten und mehr hat eine Bedrohung, die in einem Sektor auftritt, weitreichende Auswirkungen. Mit anderen Worten: Das Ökosystem der EU-Wirtschaft ist stärker vernetzt und voneinander abhängig als je zuvor, und die Mitglieder müssen jetzt Maßnahmen gegen Bedrohungen ergreifen, um sicherzustellen, dass sie auf die wachsenden Risiken vorbereitet sind. Da die Mitgliedstaaten strengere Cybersicherheitsstandards einhalten, um die Widerstandsfähigkeit zu verbessern, müssen sich mehr Unternehmen auf die neue Ordnung vorbereiten.

Die NIS-Richtlinie hat zweifellos die Widerstandsfähigkeit der Informationssysteme in der EU verbessert, aber angesichts des raschen Wandels in der digitalen Wirtschaft auch gewisse Grenzen aufgezeigt.

Laut der Website der Europäischen Union ist die NIS-Richtlinie in Bezug auf folgende Punkte unzureichend:

  • Vorbereitung der EU-Unternehmen auf die Bedrohungen der Cybersicherheit
  • Vorbereitung der Mitgliedstaaten und Sektoren auf die Abwehr von Bedrohungen der Cybersicherheit
  • Schaffung eines gemeinsamen Verständnisses der Mitgliedstaaten für die wichtigsten Bedrohungen und Herausforderungen der Cybersicherheit
  • Fehlen einer gemeinsamen Antwort

Die NIS2 ist eine Antwort auf die Herausforderungen der vorangegangenen NIS-Richtlinie und verbessert diese, indem sie die Anzahl und die Art der Einrichtungen, die den Cybersicherheitsvorschriften unterliegen, erweitert, die Kategorien dieser Einrichtungen vereinfacht, die Zusammenarbeit zwischen den Abteilungen fördert, die Berichterstattungsanforderungen verschärft und vieles mehr.

Credential Stuffing

Was sind die Hauptkomponenten von NIS2?

Ausweitung des Anwendungsbereichs:
Die NIS2 erweitert den Anwendungsbereich der bisherigen Vorschriften, indem zusätzliche Sektoren auf der Grundlage ihrer Digitalisierung, Vernetzung und Bedeutung für Wirtschaft und Gesellschaft einbezogen werden. Es wird eine klare Größenschwelle eingeführt, die alle mittleren und großen Unternehmen in ausgewählten Sektoren umfasst. Es liegt jedoch im Ermessen der Mitgliedstaaten, kleinere Unternehmen mit hohem Sicherheitsrisikoprofil in die Richtlinie aufzunehmen.

Vereinfachte Taxonomie:
Die neue Richtlinie erweitert die Zahl der Einrichtungen, die der Regulierung unterliegen, und vereinfacht ihre Kategorien, indem die Unterscheidung zwischen Betreibern wesentlicher Dienste und Anbietern digitaler Dienste aufgehoben wird. Je nachdem, unter welche Kategorie eine Einrichtung fällt (wesentlich oder wichtig), führt die Richtlinie neue Sicherheits- und Meldeanforderungen ein.

Verschärfte Sicherheits- und Meldeanforderungen:
Die Verordnung verschärft und strafft die Sicherheits- und Meldeanforderungen für Unternehmen, indem sie die Verfahren, den Inhalt und die Fristen für die Meldung von Vorfällen festlegt. Sie zielt darauf ab, die Sanktionsregelungen in den Mitgliedstaaten zu harmonisieren, um eine einheitliche Ahndung von Verstößen zu gewährleisten.

Der Schlüssel zur Akzeptanz Ihres Plans für das Cyber-Risikomanagement angesichts knapper Budgets und personeller Herausforderungen.

Kohärenz durch Zusammenarbeit:
Die NIS2 baut auf bestehenden Beziehungen und Regulierungsstellen auf, um die Kohärenz zwischen den Mitgliedstaaten, in Bezug auf Sanktionen und in der Koordinierung mit anderen Stellen zu gewährleisten. Auf der speziellen Website heißt es: "Die Mitgliedstaaten können in Zusammenarbeit mit der Kommission und der ENISA auf Unionsebene koordinierte Sicherheitsrisikobewertungen kritischer Lieferketten durchführen und dabei auf dem erfolgreichen Ansatz aufbauen, der im Zusammenhang mit der Empfehlung der Kommission zur Cybersicherheit von 5G-Netzen verfolgt wurde." Die NIS2 stärkt auch die Rolle der Kooperationsgruppe bei der Gestaltung strategischer politischer Entscheidungen und fördert die Kommunikation und Koordinierung durch das Netzwerk der europäischen Verbindungsorganisationen für Cyberkrisen.

Neuer staatlicher Rahmen:
NIS2 schafft einen grundlegenden Rahmen für den Umgang mit Schwachstellen in der EU. Dazu gehört zum Beispiel eine EU-Schwachstellendatenbank, die von der EU-Agentur für Cybersicherheit betrieben und gepflegt wird.

Wie sind die Unternehmen in die NIS2 eingebunden?

Unternehmen, die sich auf NIS2 vorbereiten, nehmen die verschärften Sicherheits- und Meldeanforderungen zur Kenntnis. Die Mitgliedstaaten erwarten von Unternehmen, die unter die NIS2 fallen, dass sie die Auswirkungen von Zwischenfällen auf die Empfänger ihrer Dienste verwalten, verhindern und minimieren. Generell wird es strengere Risikobewertungen und detailliertere Erwartungen hinsichtlich der Berichterstattung geben.

In Artikel 21 der NIS2 heißt es: "Die Mitgliedstaaten stellen sicher, dass wesentliche und bedeutende Einrichtungen geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen, die diese Einrichtungen für ihren Betrieb oder die Erbringung ihrer Dienste nutzen, und um die Auswirkungen von Zwischenfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder zu minimieren."

Credential Stuffing

Wie verwaltet NIS2 das Risiko?

Die Richtlinie sieht vor dass die zuständigen Stellen das System aufbauen und unterstützen werden:

  • Strategien zur Risikoanalyse und zur Sicherheit von Informationssystemen;
  • Behandlung von Zwischenfällen;
  • Geschäftskontinuität, z. B. Backup-Management und Disaster Recovery, sowie Krisenmanagement;
  • Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte in den Beziehungen zwischen jeder Einrichtung und ihren direkten Lieferanten oder Dienstleistern
  • Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzen und Informationssystemen, einschließlich der Behandlung und Offenlegung von Schwachstellen;
  • Strategien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit;
  • grundlegende Praktiken der Cyberhygiene und Schulungen zur Cybersicherheit;
  • Richtlinien und Verfahren für den Einsatz von Kryptographie und gegebenenfalls Verschlüsselung;
  • Personalsicherheit, Zugangskontrollpolitik und Vermögensverwaltung;
  • die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Die Unternehmen warten nicht bis Oktober, um zu beginnen. Stattdessen beginnen sie jetzt mit ihren Risikobewertungen, internen Schulungen und der Dokumentation.

Einige Schritte, die sie unternehmen:

  • Führen Sie eine umfassende Bewertung durch
  • Verstehen Sie Anwendbarkeit und Klassifizierung
  • Überprüfung und Aktualisierung von Grundsätzen und Verfahrensweisen
  • Verbesserung der Sicherheitsmaßnahmen
  • Aufbau von Fähigkeiten zur Reaktion auf Zwischenfälle
  • Erleichterung des Informationsaustauschs und der Zusammenarbeit
  • Informiert bleiben und mit den Behörden zusammenarbeiten
  • Investitionen in Schulung und Sensibilisierung
  • Überwachung regulatorischer Entwicklungen

Wenden Sie sich an unser Team für weitere Informationen darüber, wie Ihre Teams die Lösungen von Mitratech mit dem NIS2-Framework und den verfügbaren Vorlagen nutzen können, um die Einhaltung von NIS2 zu beschleunigen und die leistungsstarken Vorteile einer Partnerschaft mit GRC-Technologie der nächsten Generation zu nutzen.

Credential Stuffing

Weitere Blogs, die Ihnen gefallen könnten:

Unser Fokus? Auf Ihren Erfolg.

Vereinbaren Sie einen Termin für eine Demo, oder erfahren Sie mehr über die Produkte, Dienstleistungen und das Engagement von Mitratech.

Kontakt