Die europäische NIS-2-Richtlinie (Network and Information Security Directive) ist eine bedeutende Weiterentwicklung der ursprünglichen NIS-Richtlinie. Im Gegensatz zur NIS-Richtlinie verfolgt die NIS-2-Richtlinie einen gezielteren Ansatz und weist dem Thema Cybersicherheit und Cyberhygiene aufgrund der wachsenden Bedrohungen in diesem Bereich eine entscheidende Bedeutung zu.

Warum die neue NIS-2-Richtlinie?

Die voranschreitende Digitalisierung von Gesellschaft, Wirtschaft und Verwaltung erhöht die Gefahr, Opfer von Cyberangriffen zu werden. Weltweit und durch aktuelle Konflikte verstärkt, nehmen Cyberangriffe drastisch zu, und die Kosten liegen im Milliardenbereich. Hierbei können Cyberangriffe nicht nur zu existenzbedrohenden Schäden in der Privatwirtschaft führen, sondern auch Staaten destabilisieren und einen direkten Angriff auf die Demokratie darstellen.

Hier möchte die Europäischen Union (EU) entgegenwirken. Die NIS-2-Richtlinie ist eine europäische Initiative zur Stärkung der Cybersicherheit innerhalb der EU. Diese neue Richtlinie zielt darauf ab, Organisationen besser auf den Schutz vor Cyberbedrohungen vorzubereiten und die Cyber-Infrastruktur in der gesamten EU sicherer und widerstandsfähiger zu gestalten. Die Vorgaben der NIS-2-Richtlinie werden von den EU-Mitgliedstaaten in nationales Recht umgesetzt. In Deutschland erfolgt dies durch das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG), das Mitte Oktober 2024 in Kraft treten soll.

 

Wichtige Begriffe rund um NIS-2

Die NIS-2-Richtlinie umfasst verschiedene Begriffe und Akronyme, die für das Verständnis der neuen Regulierungen essenziell sind:

  • NIS-Richtlinie: Network and Information Security Directive (Richtlinie mit Mindestharmonisierung)
  • KRITIS: Kritische Infrastruktur
  • CER-Richtlinie: Critical Entities Resilience Directive (Richtlinie mit Mindestharmonisierung)
  • CRA: Cyber Resilience Act (Rechtsakt mit Vollharmonisierung)
  • UBI: Unternehmen im besonderen öffentlichen Interesse
  • NIS2UmsuCG: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
  • Einrichtung: NIS-2 gilt sowohl für Unternehmen als auch für öffentliche Einrichtungen, Einrichtung als Überbegriff

 

Wer muss die NIS-2-Richtlinie umsetzen?

Die NIS-2-Richtlinie führt einheitliche Regeln für mittlere und große Einrichtungen in 18 verschiedenen Sektoren ein, die als „sehr kritische Sektoren“ und „kritische Sektoren“ klassifiziert werden. Gegenüber der früheren NIS-Richtlinie sind 7 neue Sektoren hinzugekommen – darunter Behörden, Forschung und verarbeitendes Gewerbe.

Unternehmen und Organisationen werden auf Basis ihrer Größe (EU Size Cap) und ihrer Sektorenzugehörigkeit klassifiziert. Dies stellt sicher, dass sowohl kleine als auch große Unternehmen die notwendigen Sicherheitsmaßnahmen ergreifen.

Zur Kategorie „besonders wichtig“ zählen Unternehmen/Organisationen

  • mit mindestens 250 Mitarbeitern oder
  • mit einem Jahresumsatz über 50 Millionen Euro und einer Jahresbilanzsumme über 43 Millionen Euro oder
  • mit der Zugehörigkeit zu Anlage 1 NIS2UmsuCG

ODER

Betreiber kritischer Anlagen, unabhängig von der Unternehmensgröße.

Zur Kategorie „wichtig“ zählen Unternehmen/Organisationen

  • mit mindestens 50 Mitarbeitern oder
  • mit einem Jahresumsatz und einer Jahresbilanzsumme jeweils über 10 Millionen Euro oder
  • mit der Zugehörigkeit zu Anlage 1 oder 2 NIS2UmsuCG.

Alle Einrichtungen, die in diesen Bereichen tätig sind und unter die Anforderungen der NIS-2-Richtlinie fallen, müssen die neuen gesetzlichen Bestimmungen einhalten. Dies betrifft sowohl die Erhöhung der IT-Sicherheitsstandards als auch die Verbesserung der Meldepflichten und der Zusammenarbeit und Unterstützung bei Sicherheitsvorfällen. Die neue NIS-2-Richtlinie betrifft ca. 30.000 Unternehmen in Deutschland.

Ob Ihre Organisation unter die NIS-2-Richtlinie fällt, erfahren Sie zum Beispiel im NIS-2-Kompass der HiSolutions AG.

 

NIS-2 – Anforderungen an das Risikomanagement

In Kapitel IV/Artikel 21 fordert die NIS-2-Richtlinie „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen“ im Rahmen des Risikomanagements. Diese Maßnahmen müssen mindestens die folgenden Punkte umfassen:

a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;

b) Bewältigung von Sicherheitsvorfällen;

c) Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;

d) Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;

e) Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;

f) Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;

g) grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;

h) Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;

i) Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;

j) Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

 

Strukturierte Umsetzung der NIS-2-Richtlinie mit HiScout

Unternehmen und Organisationen stehen nun also vor der Herausforderung, die in der NIS-2-Richtlinie geforderten Maßnahmen umzusetzen. Wichtig ist nun, nicht einfach planlos an die Themen heranzugehen, sondern einen strategischen und umfassenden Ansatz zu wählen. Dazu zählt auch eine lückenlose Dokumentation. Hier kommt die HiScout GRC Suite ins Spiel. Die Software unterstützt die Verantwortlichen bei der vollständigen Koordinierung der Umsetzung ihrer NIS-2-Compliance. Dazu bietet die GRC-Software einen bereits umfangreichen Gefährdungskatalog, mit sich daraus ergebenden Schutzanforderungen und Maßnahmen zur Umsetzung. Dies ermöglicht Managern eine umfassende Überwachung der Compliance und der Risiken.

Um Unternehmen und Organisationen bei der Umsetzung der NIS-2-Richtlinie zu unterstützen, deckt die HiScout GRC Suite bereits einen Großteil der NIS-2-Anforderungen ab. Die Verantwortlichen haben die gesamte Dokumentation, die sie zum Nachweis der NIS-2-Konformität benötigen, einschließlich Risikomanagement, Vorfällen, Maßnahmen und anderen Aufgaben rund um die NIS-2-Konformität, zentral an einer Stelle.

Welche Anforderungen genau sich mit der HiScout Suite bereits umsetzen lassen, haben wir hier zusammengefasst:

  • Punkt a) und „Schwachstellen erkennen“ aus Punkt e)
    • Definition von Prozessketten (durch Schutzbedarfsfeststellung/Business Impact-Analyse)
    • Inventarisierung von Assets (Strukturanalyse)
    • Durchführung einer Business Impact-Analyse (BIA)
    • Erstellung eines Corporate Compliance & Governance-Inventars
  • Punkte e), g), h), i), j)
    • Aktivierung einer Notfallumgebung in Cyber-Krisen-Übungen (Teil der Durchführung von BCM-Übungen)
    • Security und Continuity Awareness und Training sicherstellen (Üben und Testen in BCM)
    • Aufbau eines vollständigen, verständlichen und skalierbaren Security Control Framework (GRC-Suite)
    • Schulung zur Verbesserung der Reaktionsfähigkeit/Sicherheitsvorfallbehandlung (Üben und Testen in BCM)
  • Punkt d) und „Schwachstellen erkennen“ aus Punkt e)
    • GAP-Analyse durch Soll-Ist-Vergleich (BCM)
    • Technische Audits (Auditmanagement ISO 27001)
    • Bedrohungssimulationen, Adversary Emulation
    • BCM – Üben und Testen
    • Prozessübergreifende BC- und DR-Tests
  • Punkt b), c) und f)
    • Business Continuity-Pläne (BCM)
    • Analyse und Priorisierung der Geschäftsprozesse (BCM)
    • Aufbau/Bildung/Moderation von Krisenstäben und Notfallteams (BCM/BAO)
    • Umsetzung von Notfallmaßnahmen und Workarounds (in Grundschutz Umsetzungsnachweis)
    • Risikomanagementmaßnahmen im Bereich der Cybersicherheit (Status/Wirkung)
  • Punkt g)
    • Wiederanlaufplanung/Wiederherstellungsplanung (Ablauf in BCM dokumentiert)

 

Die NIS-2-Richtlinie stellt hohe Anforderungen an Unternehmen, insbesondere im Bereich der Cybersicherheit und Cyberhygiene. Mit HiScout verfügen Sie über eine umfassende Management-Suite zur effektiven Umsetzung dieser Anforderungen. Von der Risikoanalyse über Business Continuity bis hin zur Sicherheit der Lieferkette – HiScout ist Ihr idealer Partner für die Umsetzung der NIS-2-Richtlinie.

Durch den Einsatz der HiScout GRC Suite mit ihrem integrierten Reporting können Sie nicht nur die Umsetzung der Anforderungen der NIS-2-Richtlinie belegen, sondern auch eine sicherere und transparentere digitale Umgebung herstellen. Mit unserer Expertise und unseren innovativen Technologien versetzen wir Organisationen in die Lage, ein robustes Cybersicherheits-Framework aufzubauen, Risiken zu minimieren, die Geschäftskontinuität zu gewährleisten und kritische Dienste zu schützen.

Wir freuen uns darauf, Sie bei der Umsetzung der NIS-2-Richtlinie zu unterstützen!

Verwandte Artikel

  • Verzweifelter Mitarbeiter wegen Geschäftsausfall, Aufschrift
    Blog

    Warum ist Business Continuity Management so wichtig?

    Unvorhersehbare Ereignisse können die Betriebsabläufe eines Unternehmens oder einer Organisation erheblich beeinträchtigen, wenn es nicht gar zu kompletten Betriebsausfällen kommt. Es reicht daher nicht aus, nur über einen Notfallplan zu verfügen und operativ zu agieren. Um wirklich auf Notfälle und Krisen angemessen reagieren zu können, müssen Sie die Widerstands- und Reaktionsfähigkeit Ihres Unternehmens strategisch, präventiv und operativ stärken. Erfahren Sie jetzt, welche Rolle Business Continuity Management (BCM) dabei spielt.

    Blog ansehen
    • Auf der HiScout Webseite werden keine zustimmungspflichtigen Cookies verwendet. Wenn Sie auf der Seite weitersurfen, stimmen Sie der Nutzung sonstiger Cookies zu. Die Auswertung der Webseitenbesuche erfolgt anonymisiert und datenschutzkonform mit dem Webanalysetool Matomo. Weitere Informationen finden Sie in unserer Datenschutzerklärung.