NIS-2

Die NIS-2-Richtlinie der EU: Neue Pflichten und wie Sie sich darauf vorbereiten können

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie¹ trat am 16. Januar 2023 in Kraft. Sie muss von den Mitgliedstaaten bis zum 17. Oktober 2024 umgesetzt werden. Neben anderen Zielen verpflichtet die NIS-2-Richtlinie die wichtigsten Betreiber in Schlüsselindustrien, Sicherheitsmaßnahmen zu ergreifen und Cybervorfälle zu melden.

Für wen gilt NIS-2?

Eine Einrichtung fällt in den Anwendungsbereich der Richtlinie, wenn sie in einem der Sektoren tätig ist oder eine Dienstleistungsart erbringt, die in den Anhängen der Richtlinie aufgeführt sind, und wenn sie eine bestimmte Größe hat. Alle Einzelheiten, Ausnahmen und Abstufungen sind in den Artikeln 2 und 3 sowie in den Anhängen I und II der Richtlinie enthalten². Die NIS-2-Richtlinie sieht zwei Kategorien von Einrichtungen vor, die in ihren Anwendungsbereich fallen: wesentliche und wichtige Einrichtungen. Beide Kategorien müssen dieselben Anforderungen erfüllen. Der Unterschied liegt in den Aufsichtsmaßnahmen und Sanktionen.

Welche Anforderungen stellt NIS-2 an die Cybersicherheit?

Gemäß Artikel 21 (1) der Richtlinie stellen die Mitgliedstaaten sicher, dass wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten.

Die Maßnahmen müssen auf einem gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, die Netz- und Informationssysteme und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen, und zumindest Folgendes umfassen:

Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;
Bewältigung von Sicherheitsvorfällen;
Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;

Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;
Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme.

Welche Sanktionen drohen bei Nichteinhaltung?

Die zuständigen Behörden können bei Verstößen gegen die Verpflichtungen aus den nationalen Rechtsvorschriften zur Umsetzung der NIS-2-Richtlinie erhebliche Geldbußen verhängen. Diese Geldbußen können bis zu 10 Mio. EUR bzw. 2 % des weltweiten Jahres-umsatzes der Unternehmensgruppe im Falle wesentlicher Einrichtungen oder bis zu 7 Mio. EUR bzw. 1,4 % des weltweiten Jahresumsatzes der Gruppe im Falle wichtiger Einrichtungen betragen.

Wie können sich Unternehmen vorbereiten? Empfehlungen

Unternehmen und andere Organisationen sollten jetzt mit den Vorbereitungen beginnen:

ermitteln, ob und in welchem Umfang sie den Cybersicher-heitsverpflichtungen unterliegen
die Umsetzung in nationales Recht in ihrem Mitgliedstaat verfolgen und beachten³

den Informationen und Empfehlungen ihrer nationalen Cyber-Sicherheits-behörden folgen
die technischen, operativen und organisatorischen Maßnahmen für die Sicherheit von Netz- und Informationssystemen bewerten und weiterentwickeln

Kaspersky kennt die Anfor-derungen verschiedener Branchen und Unterneh-mensgrößen genau und schützt weltweit über 220.000 Unternehmen gegen Cyberbedrohungen. Der zuverlässige All-in-One Cyberschutz von Kaspersky deckt verschiedenste Schutz-dimensionen ab.

Jetzt absichern!

Wie die Lösungen und Services von Kaspersky Unternehmen unterstützen

Kaspersky setzt als Cybersicherheitsanbieter sein gesamtes Wissen für die Etablierung einer robusten Cyberabwehr und Vorfallreaktionskapazität von Unternehmen ein.

Wir können Ihre Kunden mit den folgenden Lösungen und Services unterstützen:

Endpoint Detection and Response (EDR) ist eine technische Lösung, die tiefe Einblicke in das Geschehen auf den Endpoints Ihrer Kunden liefert. Mit Kaspersky Endpoint Detection & Response (EDR) Optimum können sie ihr Server- und Clientnetzwerk proaktiv nach bestimmten Indicators of Compromise (IoC) scannen. Sie gewinnen daraus aufschlussreiche Erkenntnisse über drohende Cyberattacken und können bei Bedarf sofort aktiv werden. Im Falle eines Cybervorfalls erhalten sie wichtige Daten für die Ursachenanalyse (Root Cause Analysis).
Managed Detection and Response (MDR): Lagern Sie den Cyberschutz Ihrer Kunden an unsere erfahrenen Experten aus. Die Threat Hunter von Kaspersky monitoren Telemetriedaten ihrer IT-Systeme und decken Verdächtiges sofort auf. Für diesen 24/7 Service sitzen die Spezialisten in verschiedenen Security Operations Centern (SOC) auf der ganzen Welt.
Awareness Training: Kaspersky hat ein effektives Gesamtkonzept zum Aufbau von Cybersicherheits-Know-how im Unternehmen entwickelt. Die Bandbreite reicht von allgemeinen Trainings, die Ihre Kunden sensibilisieren und motivieren, über Fachschulungen für Help-Desk-Mitarbeiter bis zum Online Training für Manager. Unsere interaktive Online-Trainingsplattform KASAP bietet praxisnahe Security-Awareness-Schulungen, die sich leicht in den Arbeitsalltag integrieren lassen. Die Teilnehmer können die Lernmodule flexibel online durcharbeiten und jederzeit wiederholen.
Threat Intelligence (TI): Mit der branchenführenden Threat Intelligence (TI) von Kaspersky gewinnen Unternehmen einen unverzichtbaren 360-Grad-Blick auf die Bedrohungsland-schaft. Sie erhalten damit Zugriff auf die umfassende Gefährdungsdatenbank und das Expertenwissen von Kaspersky im IT- und OT-Umfeld. So können sie drohende Angriffe frühzeitig erkennen, Sicherheitsmaßnahmen verstärken und ihre Systeme gezielt härten.
Incident Response (IR): Bei einem Sicherheitsvorfall haben gut vorbereitete Unterneh-men den Vorteil, dass sie schneller und effizienter reagieren können. Kaspersky bietet eine Reihe von Incident Response Services an, um Organisationen bei der Vorbereitung auf einen Cybervorfall zu unterstützen. So ist Kaspersky Tabletop Exercise (TTX) eine angeleitete Übung, mit der sie ihre Prozesse und Pläne zur Vorfallreaktion überprüfen. Dadurch identifizieren sie Lücken in ihrem Notfallplan, klären die Rollen und Verantwort-lichkeiten der Teams und verbessern die Koordination zwischen den Abteilungen.
Industrial Cybersecurity: Kaspersky Industrial Cybersecurity (KICS) ist eine bewährte und zertifizierte Industrielösung, die den spezifischen Cybersicherheitsanforderungen von Industrieunternehmen und Betreibern kritischer Infrastrukturen entspricht. KICS schützt bereits mehr als 1.000 High-End-Industriekunden weltweit.

¹Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie); https://eur-lex.europa.eu/eli/dir/2022/2555

² https://eur-lex.europa.eu/eli/dir/2022/2555

³Siehe z.B. den Referentenentwurf des BMI zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)