NIS 2 ist jetzt EU-Recht: Sind Sie bereit, die Vorschriften einzuhalten?

Die Abhängigkeit von digitalen Infrastrukturen nimmt in nahezu allen kritischen Sektoren zu: Gesundheitswesen, Fertigung, Verkehrswesen, Stromübertragung und -verteilung usw. Aufgrund der größeren Angriffsfläche, die durch die Konvergenz von IT und OT entsteht, werden viele dieser Branchen zunehmend zum Ziel von Cyber-Angriffen.

Aus diesem Grund werden Cybersicherheitsvorschriften in der Gesetzgebung häufig stärker berücksichtigt. Die zunehmende Bedrohung durch Cyberkriminalität erfordert eine Aktualisierung und Neugestaltung des Rechtsrahmens, um den aktuellen Sicherheitsanforderungen gerecht zu werden. Um eine umfassende Cyber-Resilienz innerhalb der Europäischen Union (EU) zu erreichen, arbeitet Europa beispielsweise an zahlreichen Richtlinien, um die Situation durch Regulierung zu entschärfen.

Die EU’ Die erste Richtlinie zur Netzwerk- und Informationssicherheit (NIS1) trat 2016 in Kraft, wobei NIS 2 die Mindestanforderungen an die Netzwerk- und Informationssicherheit der ersten Version der NIS-Richtlinie im Jahr 2023 erweitert. Am 17. Oktober 2024 erreichte NIS 2 seine vollständige Umsetzungsfrist, was bedeutet, dass es nun in den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden muss.

Die NIS 2-Richtlinie enthält die wichtigsten Maßnahmen zur Risikominderung, die Organisationen in kritischen Sektoren berücksichtigen müssen, um in der sich entwickelnden Bedrohungslandschaft bestehen zu können. Ziel ist es, die Cyber-Resilienz von Unternehmen innerhalb der EU zu stärken und ein einheitliches Cybersicherheitsniveau zu schaffen.

Der Geltungsbereich von NIS2

Der Geltungsbereich von NIS 2 ist deutlich größer als der von NIS 1: Im Vergleich zur bisherigen NIS-Richtlinie müssen etwa 10-mal mehr Unternehmen aus insgesamt 18 Branchen die Maßnahmen umsetzen.

Auch kleinere Unternehmen (weniger als 50 Mitarbeiter) unterliegen nun NIS 2. Die Anforderungen gelten selbstverständlich für Unternehmen aus europäischen Mitgliedsstaaten, aber auch für Zulieferunternehmen, die mit EU-Unternehmen zusammenarbeiten. Sie setzt einen neuen Standard in der Netzwerk- und Informationssicherheit mit internationalen Auswirkungen.

EU-Unternehmen, die diese Risikomanagementmaßnahmen nicht umsetzen, müssen mit Geldbußen auf DSGVO-Ebene rechnen:

• Für “ essentiell” Unternehmen: Bußgelder von bis zu EUR 10 Millionen oder 2 % des weltweiten Umsatzes (der höhere Betrag muss bezahlt werden)
  
  
• Für “ wichtig” Unternehmen: Bußgelder von bis zu EUR 7 Millionen oder 1,7 % des weltweiten Umsatzes (der höhere Betrag muss bezahlt werden)

Die größte Herausforderung bei der Umsetzung von NIS 2

Neben anderen Verpflichtungen sind die Risikomanagementmaßnahmen aus NIS 2 Artikel 21 für Unternehmen in kritischen Sektoren Kerninhalt der Neufassung der NIS-Richtlinie.

Die größte Herausforderung besteht darin, dass die sich aus NIS 2 ergebenden Verpflichtungen nicht spezifisch genug sind, um direkt Umsetzungsstrategien, Architekturen oder die Auswahl geeigneter Technologien abzuleiten. Weder die NIS-2-Richtlinie noch die gesetzlichen Umsetzungen der EU-Mitgliedsstaaten reichen aus, um geeignete Cybersecurity-Lösungen zu definieren.

Risikomanagementmaßnahmen aus Artikel 21 der NIS-2-Richtlinie

• Nachfolgend finden Sie eine Liste der Risikomanagementmaßnahmen, die im Rahmen der NIS-2-Richtlinie aufgeführt sind:
• Richtlinien zur Risikoanalyse und Sicherheit von Informationssystemen
• Umgang mit Vorfällen
• Geschäftskontinuität, wie z. B. Backup-Management und Disaster Recovery sowie Krisenmanagement
• Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte in Bezug auf die Beziehungen zwischen jedem Unternehmen und seinen direkten Lieferanten oder Dienstleistern
• Sicherheit bei der Anschaffung, Entwicklung und Wartung von Netzwerk- und Informationssystemen, einschließlich Schwachstellenbehandlung und -offenlegung
• Strategien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit
• Grundlegende Cyber-Hygienepraktiken und Cybersicherheitsschulungen
• Richtlinien und Verfahren für die Verwendung von Kryptografie und gegebenenfalls Verschlüsselung
• Personalsicherheit, Zugriffskontrollrichtlinien und Asset-Management
• Die Verwendung von Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierungslösungen, gesicherter Sprach-, Video- und Textkommunikation und gesicherten Notfallkommunikationssystemen innerhalb der Einheit, wo dies angemessen ist.

Unternehmen müssen mit ihren Herstellern und Zulieferern zusammenarbeiten, um diese Anforderungen umzusetzen.

Wie Belden im Zusammenhang mit NIS 2 helfen kann

Belden kann Ihnen dabei helfen, NIS 2 genauer zu verstehen und die Anforderungen zu erfüllen. Wir arbeiten mit Unternehmen zusammen, um maßgeschneiderte Lösungen für ihre Umgebungen zu entwickeln. Ein guter erster Schritt auf Ihrem Weg zur Compliance kann beispielsweise Belden sein’ S Netzwerkbewertungsdienst.

In unserem Whitepaper erfahren Sie’ Hier finden Sie einen umfassenden Überblick über den europäischen Cybersicherheitsstandard und alle Verpflichtungen von NIS 2 sowie eine Erklärung, wie Belden und seine Lösungen Ihnen bei der Erfüllung der Anforderungen helfen können.

Darüber hinaus erklären Ihnen unsere Experten in einem Webinar alles, was Sie über die NIS-2-Richtlinie wissen müssen.

Sind Sie bereit, den ersten Schritt zur Verbesserung Ihrer Netzwerkinfrastruktur zu unternehmen?

Weiterführende Links:

• NIS 2-Konformität
• Ihr Leitfaden von Belden zur EU-Richtlinie NIS 2
• Kontaktieren Sie uns