Haben Sie schon von NIS 2 gehört? Dabei handelt es sich um den Nachfolger von NIS, der europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit. Seine Umsetzung muss jetzt dringend angegangen werden.
Wer betroffen ist und welche Auswirkungen NIS 2 hat, erfahren Sie bei uns
Unser Beitrag über NIS 2 im Überblick:
Was ist NIS?
NIS bzw. die NIS-Richtlinie ist bereits im August 2016 in Kraft getreten. Sie stellt die Richtlinie für ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen in der europäischen Union dar. Damit das funktioniert, wurden bestimmte Maßnahmen definiert. Die Abkürzung NIS steht dabei für „Network and Information Security“.
Im Großen und Ganzen geht es bei NIS um einen europaweiten Rechtsrahmen für den Aufbau nationaler Kapazitäten für die Cybersicherheit und eine stärkere Zusammenarbeit der Mitgliedstaaten der EU. Außerdem wurden Mindestsicherheitsanforderungen und Meldepflichten für Kritische Infrastrukturen, sowie für bestimmte Anbieter digitaler Dienste wie Cloud-Services und Online-Marktplätze definiert. Ziel ist es, die Widerstandskraft kritischer Infrastrukturen gegen Hackerangriffe europaweit zu stärken.
Wichtig: Die NIS-Richtlinie darf nicht mit dem IT-Sicherheitsgesetz 2.0 verwechselt werden. Denn das regelt nur die Sicherheit der Kritischen Infrastrukturen innerhalb Deutschlands. Ziel hierbei ist der Schutz der Bevölkerung.
NIS 2 fordert von Unternehmen mehr IT-Sicherheit. Bild: © Syda Productions/stock.adobe.com
Was besagt der Nachfolger NIS 2?
Die Europäische Union hat die Richtline NIS 2 als Nachfolger auf NIS eingeführt. Sie ist eine Reaktion auf die steigenden Bedrohungen durch Cyberkriminalität und trat am 16. Januar dieses Jahres in Kraft. 21 Monate haben die EU-Mitgliedstaaten nun Zeit, die Vorgaben in nationales Recht umzusetzen. Mitte Oktober 2024 wird also der Stichtag sein. In Deutschland könnte daraus sozusagen das IT-Sicherheitsgesetz 3.0 werden.
Die neue NIS-2-Richlinie wurde an bereits bestehende Bestimmungen angepasst, definiert betroffene Unternehmen neu und erweitert sie um Sektoren und Branchen. Die wichtigsten Unterschiede zur alten NIS-Richtlinie sind:
- Künftig gibt es elf wesentliche („essential“) und sieben wichtige („important“) Sektoren.
- Hohe Geldstrafen drohen Betrieben, die NIS 2 nicht umsetzen. Die Rede ist von bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes.
- Bestehende Anforderungen wurden konkretisiert, beispielsweise müssen Unternehmen künftig Penetrationstests regelmäßig durchführen und Systeme zur Meldung von Vorfällen regelmäßig überprüfen.
Weitere Neuerungen sind:
- Betroffen sind mittlere und große Unternehmen ab 50 Mitarbeiter/10 Mio. Euro Umsatz ohne Anlagen-Schwellenwerte. Einige Betreiber (Teile der digitalen Infrastruktur und öffentliche Verwaltung) sollen unabhängig der Größe reguliert werden.
- Die Anforderungen an Betreiber und Mitgliedstaaten steigen, künftig muss die Cybersicherheit auch in Lieferketten betrachtet werden.
- Die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern werden vertieft.
Die neuen Maßnahmen, die NIS 2 mit sich bringt, sollen Unternehmen nicht nur verpflichten, einen aktiven Ansatz zur Verteidigung ihrer Netzwerke und Systeme zu verfolgen, sondern auch, eine solchen Ansatz konkret umzusetzen – um besser gegen Cyberangriffe gewappnet zu sein. Alle Vorgaben der NIS-2-Richtlinie finden Sie in der DIRECTIVE (EU) 2022/2555 des europäischen Parlaments.
IT-Sicherheit wird zur Pflicht
NIS 2 legt also Mindestanforderungen an die IT-Sicherheit fest. Vorgeschrieben ist dann die Prävention sowie Erkennung und Abwehr von Cyberattacken. Neben moderner Backup-Konzepte und Desaster-Recovery werden auch Verfahren für den Einsatz von Multi-Faktor-Authentifizierung, Kryptografie und gegebenenfalls Verschlüsselung zur Pflicht. Oder kurz: Firmen müssen in vier Bereichen tätig werden!
- Minimierung der Angriffsfläche
- frühzeitige Erkennung von Angriffen
- schnelle Reaktion und
- eine vollständige Wiederherstellung
Für Firmen heißt es spätestens jetzt also, in die IT-Sicherheit zu investieren. Denn Cyberkriminelle sind einfallsreich und lassen sich immer neue Kniffe einfallen, um an ihr Ziel – sensible Daten und/oder Lösegeld – zu gelangen. So nutzen die Kriminellen beispielsweise KI-Technologien für das Ermitteln von Passwörtern. Sie spüren Schwachstellen in der IT mithilfe entsprechender Programme auf und missbrauchen Captchas, die eigentlich vor Hackern und Spam-Bots schützen sollen. Wichtig: Viele der in NIS 2 genannten Vorgaben lassen sich mit einer Zero-Trust-Strategie in Kombination mit einem System für das Security Information and Event Management (SIEM) oder das Security Operations Center (SOC) bereits abdecken.
Für Unternehmen bedeutet das: Sie müssen nicht nur in die Abwehr von Angriffen investieren, sondern mit geeigneten Backup-Routinen, im Idealfall mit einer ausgefeilten Backup-Strategie, auch in die Wiederherstellung der Daten. Der erste und günstigste Schritt in eine Umfassende IT-Sicherheit ist die Schulung von Mitarbeitern mit sogenannten Awareness-Schulungen.
Die günstigste, aber wichtige Investition in die IT-Sicherheit ist die Sensibilisierung der Mitarbeiter. Bild: ©master1305/stock.adobe.com
Awareness-Schulungen als Baustein für NIS 2
Mitarbeiter sind nach wie vor die größte Gefahr für sensible Firmendaten, denn sie sind viel zu häufig gutgläubig und leichtsinnig. Eine Bitkom-Studie zeigt deutlich, dass das sogenannte Social Engineering deutlich zugenommen hat. Dabei versuchen die Kriminellen vor allem durch betrügerische Telefonanrufe oder E-Mails an sensible Informationen zu gelangen. Wenn Kriminelle möglichst schnell ans Geld kommen wollen, ist der CEO-Betrug äußerst beliebt, der zum sogenannten Social Hacking gehört.
Schützen können Sie sich, indem Sie Ihre Mitarbeiter schulen. NIS 2 schreibt solche Schulungen sogar vor. Zwar wird es keine 100 prozentige Sicherheit geben, aber Betriebe sollten alles unternehmen, um es den Kriminellen zu schwer wie möglich zu machen. Dazu gehört neben einer IT-Strategie ein umfassendes IT-Sicherheitskonzept.
Wenn Sie Fragen zur IT-Sicherheit im Allgemeinen oder im Detail haben, wenden Sie sich gern an Ihren PC-SPEZIALIST in Ihrer Nähe. Wir beraten Sie gern unverbindlich und betreuen Ihre IT mit dem IT-Basisschutz proaktiv, so dass Sie sich ganz auf Ihr Kerngeschäft konzentrieren können.
_______________________________________________
Quellen: security-insider, is-its, openkritis, bsi-bund
Schreiben Sie einen Kommentar