NIS 2 ist jetzt EU-Recht: Sind Sie bereit, die Vorschriften einzuhalten?
Die Abhängigkeit von digitalen Infrastrukturen nimmt in nahezu allen kritischen Sektoren zu: Gesundheitswesen, Fertigung, Verkehrswesen, Stromübertragung und -verteilung usw. Aufgrund der größeren Angriffsfläche, die durch die Konvergenz von IT und OT entsteht, werden viele dieser Branchen zunehmend zum Ziel von Cyber-Angriffen.
Aus diesem Grund werden Cybersicherheitsvorschriften in der Gesetzgebung häufig stärker berücksichtigt. Die zunehmende Bedrohung durch Cyberkriminalität erfordert eine Aktualisierung und Neugestaltung des Rechtsrahmens, um den aktuellen Sicherheitsanforderungen gerecht zu werden. Um eine umfassende Cyber-Resilienz innerhalb der Europäischen Union (EU) zu erreichen, arbeitet Europa beispielsweise an zahlreichen Richtlinien, um die Situation durch Regulierung zu entschärfen.
Die erste EU-Richtlinie über Netz- und Informationssicherheit (NIS1) trat 2016 in Kraft, und NIS 2 erweiterte die Mindestanforderungen an die Netz- und Informationssicherheit der ersten Fassung der NIS-Richtlinie in 2023. Am 17. Oktober 2024 lief die Frist für die vollständige Umsetzung der NIS2-Richtlinie ab. Das bedeutet, dass sie nun in den EU-Mitgliedstaaten in nationales Recht umgesetzt werden muss.
Die NIS2-Richtlinie enthält die wichtigsten Maßnahmen zur Risikominderung, die Unternehmen in kritischen Sektoren berücksichtigen müssen, um in der sich entwickelnden Bedrohungslandschaft bestehen zu können. Ziel ist es, die Cyber-Resilienz von Unternehmen innerhalb der EU zu stärken und ein einheitliches Cybersicherheitsniveau zu schaffen.
Der Geltungsbereich von NIS2
Der Geltungsbereich von NIS 2 ist deutlich größer als der von NIS 1: Im Vergleich zur bisherigen NIS-Richtlinie müssen etwa 10-mal mehr Unternehmen aus insgesamt 18 Branchen die Maßnahmen umsetzen.
Kleinere Unternehmen (weniger als 50 Beschäftigte) unterliegen nun ebenfalls der NIS 2. Die Anforderungen gelten selbstverständlich für Unternehmen aus europäischen Mitgliedsstaaten, aber auch für Zulieferer, die mit EU-Unternehmen zusammenarbeiten. Sie setzt einen neuen Standard in der Netzwerk- und Informationssicherheit mit internationalen Auswirkungen.
EU-Unternehmen, die diese Risikomanagementmaßnahmen nicht umsetzen, müssen mit Geldbußen auf DSGVO-Ebene rechnen:
- Für „wesentliche“ Unternehmen: Geldbußen von bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist)
- Für „wichtige“ Unternehmen: Geldbußen von bis zu 7 Mio. EUR oder 1,7 % des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist)
Die größte Herausforderung bei der Umsetzung von NIS 2
Neben anderen Verpflichtungen sind die Risikomanagementmaßnahmen aus NIS 2 Artikel 21 für Unternehmen in kritischen Sektoren Kerninhalt der Neufassung der NIS-Richtlinie.
Die größte Herausforderung besteht darin, dass die sich aus NIS 2 ergebenden Verpflichtungen nicht spezifisch genug sind, um direkt Umsetzungsstrategien, Architekturen oder die Auswahl geeigneter Technologien abzuleiten. Weder die NIS-2-Richtlinie noch die gesetzlichen Umsetzungen der EU-Mitgliedsstaaten reichen aus, um geeignete Cybersecurity-Lösungen zu definieren.
Risikomanagementmaßnahmen aus Artikel 21 der NIS-2-Richtlinie
- Nachfolgend finden Sie eine Liste der Risikomanagementmaßnahmen, die im Rahmen der NIS-2-Richtlinie aufgeführt sind:
- Richtlinien zur Risikoanalyse und Sicherheit von Informationssystemen
- Umgang mit Vorfällen
- Geschäftskontinuität, wie z. B. Backup-Management und Disaster Recovery sowie Krisenmanagement
- Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte in Bezug auf die Beziehungen zwischen jedem Unternehmen und seinen direkten Lieferanten oder Dienstleistern
- Sicherheit bei der Anschaffung, Entwicklung und Wartung von Netzwerk- und Informationssystemen, einschließlich Schwachstellenbehandlung und -offenlegung
- Strategien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit
- Grundlegende Cyber-Hygienepraktiken und Cybersicherheitsschulungen
- Richtlinien und Verfahren für die Verwendung von Kryptografie und gegebenenfalls Verschlüsselung
- Personalsicherheit, Zugriffskontrollrichtlinien und Asset-Management
- Die Verwendung von Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierungslösungen, gesicherter Sprach-, Video- und Textkommunikation und gesicherten Notfallkommunikationssystemen innerhalb der Einheit, wo dies angemessen ist.
Unternehmen müssen mit ihren Herstellern und Zulieferern zusammenarbeiten, um diese Anforderungen umzusetzen.
Wie Belden im Zusammenhang mit NIS 2 helfen kann
Belden kann Ihnen dabei helfen, NIS 2 genauer zu verstehen und die Anforderungen zu erfüllen. Wir arbeiten mit Unternehmen zusammen, um maßgeschneiderte Lösungen für ihre Umgebungen zu entwickeln. Ein guter erster Schritt auf Ihrem Weg zur Compliance kann beispielsweise der Netzwerkbewertungsservice von Belden sein.
Unser Whitepaper gibt Ihnen einen umfassenden Überblick über den europäischen Cyber-Sicherheitsstandard und alle Verpflichtungen im Zusammenhang mit NIS 2 und erläutert, wie Belden und seine Lösungen Sie bei der Erfüllung der Anforderungen unterstützen können.
Darüber hinaus erklären Ihnen unsere Experten in einem Webinar alles, was Sie über die NIS-2-Richtlinie wissen müssen.
Sind Sie bereit, den ersten Schritt zur Verbesserung Ihrer Netzwerkinfrastruktur zu unternehmen?
Weiterführende Links:
Über den Autor
Sarah Kolberg joined the Belden team as a software content marketing manager in April 2023. Based in Germany, she helps produce content about industrial cybersecurity.