Start creating your website today.

Organisationen sind in der Pflicht, Risiken für ihre Systeme systematisch zu identifizieren und Maßnahmen zu implementieren, um diese Risiken möglichst gering zu halten.

Es müssen Prozesse implementiert werden, die Cybervorfälle schnell erkennbar machen. Damit Organisationen darauf reagieren und deren Auswirkungen begrenzen können.

Durch regelmäßige Backups und strukturiertes Vorgehen beim Krisenmanagement soll die „Business Continuity“ gewährleistet werden.

Organisationen müssen ihre Lieferkette und ihre Dienstleister überwachen und absichern, um Sicherheitsrisiken zu minimieren.

Es muss gewährleistet sein, dass Cybersicherheitsstandards in den Entwicklungs-, Beschaffungs- und Wartungsprozessen berücksichtigt werden.

Organisationen müssen einen Prozess zur Identifikation, Bewertung und Behebung von Schwachstellen in Informationssystemen etablieren.

Ob die implementierten Sicherheits- und Risikomanagementmaßnahmen wirksam sind, muss regelmäßig überprüft werden.

Regelmäßige Schulungen und Sensibilisierung der Mitarbeiter zu sicherem Verhalten und grundlegenden Cybersicherheitspraktiken.

Einsatz starker Verschlüsselung und kryptografischer Methoden, um Vertraulichkeit und Integrität von Daten sicherzustellen.

Organisationen müssen Sicherheitsmaßnahmen implementieren, die den Zugang zu Informationen und physischen Anlagen auf autorisierte Personen beschränken.

Einführung starker Authentifizierungsverfahren, wie Multi-Faktor-Authentisierung, um den Zugang zu Systemen besser abzusichern.

Sicherstellung, dass alle Kommunikationsmittel durch geeignete Technologien geschützt sind, um Vertraulichkeit und Integrität zu gewährleisten.

Organisationen müssen Kommunikationskanäle bereitstellen, die im Krisenfall eine schnelle und verlässliche Abstimmung ermöglichen.

NIS2 steht für „Network and Information Security 2“ und bezeichnet eine EU-Richtlinie zur Netzwerk- und Informationssicherheit. Sie ist der Nachfolger der 2016 in Kraft getretenen NIS-Richtlinie. Das Ziel: eine starke Cybersicherheit in der EU durch die Harmonisierung von Cybersicherheitsstandards und die Resilienz kritischer Infrastrukturen. Das deutsche NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) überführt die EU-Richtlinie in nationales Recht. In Deutschland ist das BSI (Bundesamt für Sicherheit in der Informationstechnik) die zentrale Behörde für die Umsetzung der NIS2-Richtlinie.

Im Vergleich zur 2016 in Kraft getretenen NIS-Richtlinie umfasst die NIS2-Richtlinie mehr Sektoren und bezieht größere Unternehmen automatisch mit ein. Zudem gibt es verschärfte Sicherheitsanforderungen wie Zugangskontrollen und Mitarbeiterschulungen. Auch die Bußgelder sind höher, es gibt einheitliche Meldepflichten und der Fokus auf kritische Einrichtungen ist stärker.

Die Richtlinie gilt für Unternehmen und Organisationen aus wesentlichen Sektoren (z.B. Energie, Gesundheit, digitale Infrastruktur) und aus wichtigen Sektoren (z.B. Lebensmittelproduktion, Post, Chemieindustrie). Alle Unternehmen in den relevanten Sektoren mit über 50 Mitarbeiter*innen oder einem Jahresumsatz von über 10 Millionen Euro sind automatisch betroffen. Kleine Unternehmen fallen nur unter die Richtlinie, wenn sie eine kritische Bedeutung haben.

Gemäß der Richtlinie müssen Unternehmen Maßnahmen zur Risikobewertung und -minderung ergreifen, technische und organisatorische Sicherheitsmaßnahmen implementieren und Vorfälle innerhalb von 24 Stunden melden. Hinzu kommen regelmäßige Berichte über den Status der Cybersicherheit an Management und Behörden. Letztere können auch externe Audits verlangen, um die NIS2-Konformität zu prüfen.

Die NIS2-Richtlinie besagt, dass Unternehmen die Sicherheit ihrer Systeme und Netzwerke verbessern müssen. Wichtige Punkte sind hier der Einsatz von Firewalls, Datenverschlüsselung und die Einführung Multi-Faktor-Authentifizierungen (MFA). Hinzu kommen organisatorische Maßnahmen wie Mitarbeiterschulungen und die Entwicklung interner Richtlinien. Auch strategische Maßnahmen wie die Integration von Cybersicherheit in die Unternehmensstrategie und die Lieferkettensicherheit forciert die Richtlinie. Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die zuständige Behörde gemeldet werden und Unternehmen müssen sich an etablierten Sicherheitsstandards wie ISO 27001 orientieren.

Alle Maßnahmenbereiche im Überblick:

1. Risikoanalyse und Sicherheit für Informationssysteme
2. Bewältigung von Sicherheitsvorfällen
3. Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisenmanagement
4. Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
5. Sicherheit in der Entwicklung, Beschaffung und Wartung
6. Management von Schwachstellen
7. Bewertung der Effektivität von Cybersicherheit und Risiko-Management
8. Schulungen Cybersicherheit und Cyberhygiene
9. Kryptografie und Verschlüsselung
10. Personalsicherheit, Zugriffskontrolle und Anlagen-Management
11. Multi-Faktor Authentisierung und kontinuierliche Authentisierung
12. Sichere Kommunikation (Sprach, Video- und Text)
13. Sichere Notfallkommunikation

Genau genommen ist die NIS2-Richtlinie bereits am 16. Januar 2023 EU-weit in Kraft getreten. Die Umsetzung in deutsches Recht sollte ursprünglich bis Oktober 2024 erfolgen, doch wegen Verzögerungen in Bundesrat und -tag ist das Inkrafttreten nun für später in 2025 geplant.

Nach aktuellem Stand (Dezember 2024) sind keine Übergangsfristen vorgesehen. Ab voraussichtlich März 2025 gelten die NIS2-Pflichten unmittelbar für alle betroffenen Unternehmen. Auch wenn eine direkte Sanktionierung unwahrscheinlich ist, sollten sich Organisationen nicht zu viel Zeit lassen, die erforderlichen Maßnahmen umzusetzen.

Unternehmen müssen mit hohen Bußgeldern rechnen, wenn sie die Vorgaben nicht erfüllen. Die Strafen können bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen – je nachdem, was höher ist.

Um ihre NIS2-Konformität zu prüfen, können Unternehmen neben regelmäßigen Audits und Risikoanalysen einen NIS2 Readiness Test wie den von Nortal durchführen lassen. Nach einer initialen Einstufung und einer GAP-Analyse folgt ein konkreter Maßnahmenplan zur Verbesserung der Cybersicherheit.

Auch wenn Ihre Organisation nicht unter die von NIS2 berührten fällt, sollte das Thema Cybersicherheit höchste Priorität haben. Nortal bietet umfassende Cybersecurity-Services an, die für sie interessant sein könnten.