NIS-2-Richtlinie: Alle wichtigen Infos I Aagon

11.06.2024

NIS-2-Richtlinie: Das müssen betroffene Unternehmen zur neuen EU-Regelung wissen

Durch die neue NIS-2 Directive der EU müssen die Betreiber kritischer Infrastruktur (KRITIS) und als „wichtig“ eingestufte Unternehmen in Deutschland ihre Cybersicherheitskonzepte erneuern. Es bleiben nur noch wenige Monate, um die Sicherheitsstandards der NIS-2-Richtlinie zu implementieren. Erfahren Sie, was es mit NIS-2 auf sich hat und worauf betroffene Organisationen jetzt achten müssen. 

 

Ursprung der Richtlinie

 

Am 27.12.2022 erschien die erste Version der NIS-2-Richtlinie, die von EU-Mitgliedsstaaten und den jeweiligen KRITIS-Organisationen bis Herbst 2024 umgesetzt werden soll. NIS-2 steht für Network Information Security 2 und ist eine Initiative der EU-Kommission zur Stärkung der Cybersicherheit.

Ihr Zweck: "Wichtige” und “besonders wichtige” Infrastrukturen in Zeiten zunehmender Cyberbedrohungen resilienter zu machen. Sie baut auf der ersten NIS-Richtlinie von 2016 auf und erweitert den Anwendungsbereich um weitere Sektoren wie digitale Dienstleister und bestimmte Online-Plattformen. Die Richtlinie legt unter anderem Mindestsicherheitsanforderungen für das Risikomanagement fest und definiert Meldepflichten für Cybersicherheitsvorfälle.

 

Das verändert sich durch die neue Richtlinie NIS-2 in Deutschland

 

NIS 2 legt EU-weite Standards und Anforderungen für die Sicherheit von KRITIS fest und ändert bestehende Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI).Die Abkürzung KRITIS steht für kritische Infrastrukturen, also für Organisationen und Institutionen aus Bereichen wie Energieversorgung, Wasser, Gesundheitswesen, Transport oder Telekommunikation. Sie alle haben gemeinsam, dass sie grundlegende und zum Teil lebenswichtige Funktionen für das Gemeinwesen erfüllen und dadurch besonders konsequent vor Cyberattacken geschützt werden müssen.

 

Die NIS-2-Richtlinie der EU ergänzt und erweitert die Schutzmaßnahmen, die bereits im Rahmen der bisherigen KRITIS-Gesetzgebung ergriffen wurden. Darüber hinaus sind aber auch zunehmend Wirtschaftsunternehmen von der Gesetzgebung betroffen, die je nach Größe und Jahresumsatz als „wichtige“ oder „besonders wichtige“ Einrichtungen definiert werden. Da sich die Bedrohungslage und die von Hackern eingesetzten Methoden und Technologien sehr schnell weiterentwickeln

Geringes Bewusstsein für NIS-2-Anforderungen in deutschen Unternehmen

 

Laut Bitkom kosten Cyberattacken die deutsche Wirtschaft pro Jahr über 200 Milliarden Euro. Grund genug für betroffene Organisationen, dem Thema Cybersicherheit höchste Priorität einzuräumen – könnte man meinen. Die Realität sieht jedoch anders aus: Eine aktuelle Umfrage zeigt, dass die Hälfte aller Beschäftigten einen Cyberangriff auf das eigene Unternehmen für unwahrscheinlich halten, während nur jedem vierten Vorgesetzten in Sachen IT-Sicherheit ein vorbildliches Verhalten attestiert wird.

Erschreckend ist daran die Diskrepanz zur tatsächlichen Wahrscheinlichkeit, dass Unternehmen Opfer einer Cyberattacke werden: Im Jahr 2022 registrierte das Bundeskriminalamt über 130.000 Fälle von Cybercrime – der in Deutschland zu den Phänomenbereichen mit dem höchsten Schadenspotenzial zählt. Besonders die Anzahl von Taten, die aus dem Ausland erfolgen und in Deutschland Schaden verursachen steigt stark an. 49 Prozent der Betreiber von KRITIS-Infrastruktur geben an, eine starke Zunahme von Cyberattacken auf ihr Unternehmen zu erleben.

 

NIS-2-Umsetzung in deutschen KRITIS Unternehmen 

 

In Deutschland müssen KRITIS-Betreiber sowohl die Anforderungen der KRITIS-Gesetzgebung als auch die Vorgaben der NIS-2-Richtlinie erfüllen. Wer davon zum ersten Mal hört, hat in der Regel keine genaue Vorstellung davon, was das konkret bedeutet. Im Zweifelsfall helfen dann externe Cybersicherheitsdienstleister bei der schrittweisen Umsetzung NIS-2-konformer Sicherheitskonzepte. Dabei unterzieht man Netzwerke und Informationssysteme zunächst einer umfassenden Risikoanalyse, auf deren Basis dann geeignete Sicherheitsmaßnahmen evaluiert und implementiert werden.

Darunter fallen etwa Zugriffskontrollen, Verschlüsselungstechnologien und ein Incident Response Plan (IRP oder Vorfallreaktionsplan), der im Fall einer Cyberattacke schnelle und effektive Gegenmaßnahmen ermöglicht und deren Schadenspotenzial begrenzt. Auch die Sensibilisierung von Beschäftigten für Cyberbedrohungen durch entsprechende Weiterbildungsmaßnahmen sind fester Bestandteil jedes NIS-2-konformen Sicherheitskonzeptes. Eine Orientierungshilfe bietet ISO27001: Wer ISO27001-zertifiziert ist, kann davon ausgehen, einen Großteil der NIS2-Anforderungen zu erfüllen. 

 

Sicherheit und Risikomanagement gemäß NIS 2

 

KRITIS-Betreiber sowie „wichtige“ und „besonders wichtige“ Einrichtungen sind durch die NIS-2-Richtlinie gesetzlich dazu verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen. So schützen Sie die IT und Prozesse ihrer erbrachten Dienste, vermeiden Störungen und halten Auswirkungen von Sicherheitsvorfällen gering. Wichtig zu wissen: Unternehmen, die von NIS2 betroffen sind, müssen sich proaktiv beim BSI registrieren. Wird dies versäumt, drohen empfindliche Strafen.

Entsprechend wichtig ist es also für die Betroffenen, zeitnah festzustellen, inwiefern sie von NIS-2 betroffen sind – und welche Maßnahmen bis Oktober 2024 erforderlich sind, um den neuen Anforderungen gerecht zu werden. Zu den zahlreichen sicherheitsrelevanten Handlungsbereichen zählen beispielsweise:

NIS-2 Richtlinie umsetzen per UEM

 

Letztlich geht es bei der NIS-2 Richtlinie um die kontinuierliche Überwachung und Aktualisierung von Sicherheitsmaßnahmen, um auf dynamische Bedrohungslagen und die damit verbundenen Anforderungen reagieren zu können. UEM-Systeme spielen dabei eine wichtige Rolle: Sie sind prädestiniert dafür, Organisationen bei der Umsetzung der Anforderungen aus NIS-2 zu unterstützen.

UEM steht für Unified Endpoint Management. UEM-Systeme verwalten und kontrollieren Endgeräte zentral, stellen Sicherheits-Updates und Patches automatisch bereit. Darüberhinaus ermöglichen sie die Konfiguration von Sicherheitseinstellungen gemäß der Unternehmensrichtlinien und die Überwachung von Compliance-Standards in Echtzeit. Unified-Endpoint-Systeme verbessern damit die Reaktionsfähigkeit auf Sicherheitsvorfälle – und verleihen Unternehmen genau die Fähigkeiten, die Unternehmen benötigen, um die Anforderungen aus NIS-2 zu erfüllen.

 

ACMP Suite mit neuen NIS-2-Sicherheitsfeatures

 

Aktuell gibt es für die Umsetzung der NIS-2 Richtlinie keine Übergangsfrist. Bei betroffenen Unternehmen herrscht also starker Zugzwang, die Anforderungen bis Oktober 2024 umzusetzen. Auch Aagon hat die Entwicklungen im Zusammenhang mit NIS-2 im Blick und wird die ACMP Suite im Laufe des Jahres um neue Features erweitern, die auf die Umsetzung der NIS-2-Anforderungen abzielen. Dazu zählt beispielsweise eine Multifaktor-Authentifizierung für die ACMP Console, die demnächst verfügbar sein wird. Über Reports sowie im Asset- und im Lizenzmanagement bietet unsere ACMP Suite außerdem wichtige Funktionen für die Dokumentation und damit für die Risikobewertung.

Über unsere Interpretation von SOAR (Security Orchestration Automation Response) kombinieren wir zudem verschiedene Sicherheitswerkzeuge und Programme aus der ACMP Umgebung: Managed Software, Desktop Automation, CAWUM, Vulnerability-, Defender- und BitLocker-Management. Durch diese Bündelung können Unternehmen mit der ACMP Suite automatisiert, priorisiert und somit effizient auf erkannte Bedrohungen reagieren. Ein umfassendes Patchmanagement sorgt zudem dafür, dass eingesetzte Software immer mit den neuesten Sicherheitsupdates versorgt ist.

NIS-2 Richtlinie Zusammenfassung

 

Allein in Deutschland besteht bei rund 30.000 Unternehmen Handlungsbedarf aufgrund der NIS-2-Richtlinie. Entscheidungsträger sollten daher schnell prüfen, ob sie zu diesen Unternehmen zählen oder etwa als Zulieferer indirekt betroffen sind, da sie sich beim BSI selbstständig als “wichtige” oder “besonders wichtige” Unternehmen registrieren müssen. Und sie sollten sich damit nicht mehr viel Zeit lassen: Die Prüfung der aktuellen Sicherheitsstandards und das Aufstellen NIS-2-konformer Konzepte sind komplexe Prozesse – die allerdings durch den Einsatz einer UEM-Lösung erheblich vereinfacht werden können.

 

Weitere Informationen erhalten Sie auf unseren Lösungs- und Produktseiten, in unseren Whitepapern und Ratgebern oder in unserer Aagon-Community:

Rechtsleitfaden Lizenzmanagement

Dieser Rechtsleitfaden, erstellt mit dem IT-Rechtsexperten Kjell Vogelsang, bietet Ihnen klare Antworten und praktische Hinweise zum rechtssicheren Umgang mit Softwarelizenzen.

Mehr erfahren

Ratgeber: IT-Sicherheit

Dieses Whitepaper behandelt verschiedene Aspekte der IT-Sicherheit und steht in direktem Zusammenhang mit den Anforderungen der NIS2-Richtlinie.

Mehr erfahren

Kostenlose Testversion

Ohne Verpflichtung unverbindlich downloaden & testen!

Mehr erfahren

Sind auch Sie von der NIS-2-Richtlinie betroffen? Dann lassen Sie uns miteinander sprechen – für alle Fragen stehen wir Ihnen gerne zur Verfügung! Nehmen Sie hier Kontakt zu uns auf

Es scheint, als wären Sie auf nicht auf der gewünschten Sprachversion dieser Website gelandet. Möchten Sie wechseln?

Zur Version