Vor fast einem Jahr trat die zweite EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen (NIS-2) in Kraft. Diese bahnbrechende Regelung hat das Ziel, die Cybersicherheit in Europa zu stärken und die Resilienz kritischer Infrastrukturen zu gewährleisten. In diesem Artikel werfen wir einen Blick auf die Anwendungsbereiche, Risikomanagementmaßnahmen, verpflichtende Maßnahmen und Meldepflichten gemäß NIS-2.
Anwendungsbereiche NIS-2: Wichtige Einrichtungen
1. Unternehmen mit signifikanter Größe
NIS-2 zielt auf Unternehmen ab, die eine erhebliche Größe erreicht haben. Dies betrifft Unternehmen, die Waren oder Dienstleistungen anbieten und entweder mehr als 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.
2. Betroffene Sektoren
Besondere Aufmerksamkeit gilt den Sektoren Energie, Trinkwasser, Abwasser und Siedlungsabfallentsorgung. Diese Branchen sind essenziell für das tägliche Leben und müssen besonders robust gegenüber Cyberbedrohungen sein.
Risikomanagementmaßnahmen für wichtige Einrichtungen
Minimierung von Auswirkungen
Unternehmen sind verpflichtet, die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Dies erfordert wirksame technische und organisatorische Maßnahmen, um eine schnelle Reaktion und Wiederherstellung zu gewährleisten.
Zudem müssen die Risikomanagementmaßnahmen die Risikofaktoren wie Unternehmensgröße, Umsetzungskosten, Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen berücksichtigen.
Verpflichtende Maßnahmen (Europa & International)
Risikoanalyse und Sicherheitskonzepte
- Unternehmen müssen Konzepte für die Risikoanalyse und Sicherheit ihrer Informationssysteme entwickeln und implementieren
Bewältigung von Sicherheitsvorfällen
- Ein effizientes Krisenmanagement, einschließlich der Bewältigung von Sicherheitsvorfällen, ist verpflichtend
Aufrechterhaltung des Betriebs
- Maßnahmen wie Backup-Management, Wiederherstellung nach einem Notfall und Krisenmanagement sind unerlässlich
Sicherheit der Lieferkette
- Die Sicherheit der Lieferkette, einschließlich der Beziehungen zu Anbietern und Diensteanbietern, muss gewährleistet sein.
Sicherheitsmaßnahmen bei Erwerb und Entwicklung
- Bei der Beschaffung, Entwicklung und Wartung von Informationssystemen sind Sicherheitsmaßnahmen erforderlich
Bewertung der Wirksamkeit
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen müssen implementiert werden
Cyberhygiene und Schulungen
- Grundlegende Verfahren und Schulungen im Bereich der Cybersicherheit sind Pflicht
Kryptografie und Verschlüsselung
- Unternehmen müssen Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung entwickeln
Sicherheit des Personals und Zugriffskontrolle
- Maßnahmen zur Sicherheit des Personals und zur Zugriffskontrolle müssen implementiert werden
Multi-Faktor-Authentifizierung
- Die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung ist erforderlich
Meldepflichten für Unternehmen
Besonders wichtige und wichtige Einrichtungen müssen:
- Unverzüglich, innerhalb von 24 Stunden nach Erkennung eines Sicherheitsvorfalls, eine Erstmeldung abgeben
- Diese Erstmeldung beinhaltet den Verdacht auf einen Sicherheitsvorfall, dessen mögliche böswillige Ursachen und grenzüberschreitende Auswirkungen
- Für besonders wichtige Einrichtungen ist innerhalb von 72 Stunden nach Kenntniserlangung eines Sicherheitsvorfalls eine Bestätigung oder Aktualisierung der Erstmeldung erforderlich
- Auf Ersuchen des Bundesamtes muss eine Zwischenmeldung über relevante Statusaktualisierungen erfolgen
- Spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls muss eine Abschlussmeldung vorliegen. Diese enthält eine ausführliche Beschreibung des Vorfalls, Angaben zur Bedrohung, getroffene Abhilfemaßnahmen und grenzüberschreitende Auswirkungen.
Die ab dem 17. Oktober 2024 wirksam werdende NIS-2-Richtlinie hat somit einen klaren Fahrplan für die Cybersicherheit vorgegeben, um Europas digitale Infrastruktur zu schützen. Unternehmen sollten diese Maßnahmen nicht nur als Pflicht sehen, sondern als Investition in ihre Resilienz gegenüber zunehmenden Cyberbedrohungen.