Seit Januar 2023 gilt in der Europäischen Union die NIS 2 Richtlinie. Diese ist der erste Schritt in einem Prozess, der allgemein zu mehr Cybersicherheit in der EU führen soll. Diese Richtlinie wird nach und nach in geltende Gesetze umgesetzt werden. Vor allem Betreiber kritischer Infrastruktur werden – sofern noch nicht geschehen – ihre IT Sicherheit verbessern müssen. Aber Achtung, der Kreis der KRITIS Unternehmen wird in Zukunft weitere Unternehmen einschließen, die bisher nicht dazugehörten. Daher erklären wir in diesem Artikel, was genau es mit der NIS-2 Richtlinie auf sich hat und worauf Sie achten müssen.
Inhaltsverzeichnis
- NIS-2 Richtlinie - mehr Cybersicherheit in der EU
- Was besagt die NIS-2 Richtlinie?
- Umsetzung in nationales Recht
- Fazit
NIS-2 Richtlinie – mehr Cybersicherheit in der EU
Bereits seit einiger Zeit steht die allgemeine Cybersicherheit der EU im Fokus. Besonders die Sicherheit kritischer Infrastruktur, unter anderem in Bezug auf Cyberangriffe, wird dabei durchaus ernst genommen. Im Zuge dessen ist 2023 die sogenannte NIS-2 Richtlinie der EU in Kraft getreten, welche an die aktuelle Bedrohungslage und neuen Entwicklungen im Bereich der Digitalisierung angepasst ist. NIS steht für Network and Information Security. Bei der NIS-2 Richtlinie handelt es sich eben „nur“ um eine Richtlinie. Die eigentliche Umsetzung in geltendes nationales Recht ist den entsprechenden Regierungen/Behörden in den Mitgliedsstaaten überlassen.
Was besagt die NIS-2 Richtlinie?
Die NIS-2 Richtlinie stellt zuerst einmal ein paar grundlegende Anforderungen an die Mitgliedsstaaten. So sollen alle Mitgliedsstaaten eine Netz- und Informationssicherheitsbehörde haben. In Deutschland ist das, das Bundesamt für Sicherheit in der Informationstechnik (BSI). Weiter soll eine staatenübergreifende Kooperationsgruppe eingerichtet und eine gemeinsame Sicherheitskultur geschaffen werden.
Handfeste und konkrete Sicherheitsmaßnahmen werden von der NIS-2 Richtlinie nicht vorgelegt. Dies wird in der nationalen Umsetzung geregelt. Allerdings kann man festhalten, dass Cyber-Risikomanagement, Penetrationstests, Intrusion Detection Systeme sowie die Sicherung und Aufrechterhaltung von Geschäftsprozessen wichtige Bereiche sein werden, um die sich viele Unternehmen kümmern müssen. Auch Notfallmanagement und Berichterstattung an die Behörden werden zu den Aufgaben gehören.
Umsetzung in nationales Recht
Die NIS-2 Richtlinie ist im Januar 2023 in Kraft getreten. Der Zeitplan besagt, dass diese Richtlinie innerhalb der nächsten 21 Monate in geltendes nationales Recht umgesetzt werden muss. Das heißt, ungefähr Mitte bis Ende des Jahres 2024 werden sich KRITIS Unternehmen mit all den Themen rund um eine starke europäische IT Sicherheit beschäftigt haben müssen.
Was können Sie bereits tun?
Wenn Sie definitiv oder im Zuge der Erweiterung des Kreises der KRITIS Unternehmen vermutlich zu diesen gehören, sollten Sie sich schon jetzt daran machen, Ihre IT Sicherheit zu verbessern und an den zuvor genannten Bereichen ansetzen. Gerade moderne Intrusion Detection Systeme (Einbruchserkennungssysteme), wie Sie zum Beispiel in den Security Operations Center Services der BRANDMAUER IT GmbH eingesetzt werden bieten einen guten Startpunkt, um die IT Sicherheit schnell zu stärken. Wenn Sie zielgerichtet und mit System in die Cybersicherheitsinfrastruktur investieren, können Sie wenig falsch machen und sind mit großer Wahrscheinlichkeit schon auf die Anforderungen der NIS-2 Richtlinie vorbereitet.
Und auch wenn Sie nicht zu den KRITIS Unternehmen gehören, lohnt sich die Investition in IT Sicherheit bestimmt. Denn ein Hackerangriff ist um ein Vielfaches teurer als vorbeugender Schutz!
Fazit NIS-2 Richtlinie
Die NIS-2 Richtlinie wird neue Anforderungen an KRITIS Unternehmen stellen. Die Umsetzung in nationales Recht wird noch etwas dauern, aber wer sich jetzt schon darauf vorbereitet, wird nicht überrascht oder gerät unter Zeitdruck. Mit etwas mehr Zeit können Sie Budgets besser planen und IT Sicherheitsmaßnahmen in Ruhe und ordentlich umsetzen. Wir empfehlen, schon jetzt den Anfang zu machen. Und wir empfehlen übrigens auch allen Unternehmen, die nicht zu den KRITIS Unternehmen gehören, sich dennoch in Sachen IT Sicherheit an diesen zu orientieren. Wenn Sie Unterstützung benötigen kontaktieren Sie uns. Unsere kostenlose und unverbindliche Gefahrenanalyse gibt Ihnen Klarheit wo Sie Handlungsbedarf in Sachen Cybersicherheit haben.
Sie möchten Ihren Status Quo mit den NIS-2 Maßnahmen vergleichen? Dann laden Sie sich unsere kostenlose Checkliste herunter, die wertvolle Tipps für die Implementation ihres IT Sicherheitskonzepts bietet und mögliche Fragen aus ihren Köpfen beseitigen kann.