NIS2-Richtlinie
Was sie besagt & wie ihr Unternehmen die Anforderungen erfüllen kann
Vor dem Hintergrund der zunehmenden Cyberrisiken hat die EU mit der NIS2-Richtlinie neue Maßstäbe für die Cybersicherheit gesetzt. Diese umfassende Richtlinie, zielt darauf ab, kritische Infrastrukturen besser vor Cyberangriffen zu schützen.
Was ist NIS2?
Bereits im Jahr 2013 erkannte die Europäische Union, dass die Anzahl der Cyberangriffe erheblich zunahm und eine große Herausforderung für Organisationen und Bürger darstellte. Als Reaktion darauf führte die EU im Jahr 2016 die NIS-Richtlinie (Netzwerk- und Informationssicherheit) ein, um die Cybersicherheitsfähigkeiten von Netzwerken und Infrastruktursystemen in sieben Sektoren zu verbessern, darunter Energie, Verkehr, Bankenwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastrukturen.
Die 2023 in Kraft getretene NIS2-Richtlinie sieht vor, dass Unternehmen Sicherheitsmaßnahmen implementieren, um Risiken zu managen und die Auswirkungen von Cybervorfällen zu verhindern und zu minimieren.
Webinar: NIS2 Deep Dive mit Rechtsanwalt Karsten U. Bartels
Möchten Sie sicherstellen, dass Ihr Unternehmen den neuen Anforderungen der NIS2-Richtlinie entspricht? Dann ist unser Webinar genau das Richtige für Sie!
Erfahren Sie alles Wichtige zur rechtlichen Umsetzung des NIS2UmsuCG und räumen Sie Missverständnisse aus dem Weg. Sichern Sie sich wertvolle Tipps zu Anwendbarkeit, Haftung, Risikomanagement und mehr.
Was ist der Unterschied zwischen NIS und NIS2?
Mit der NIS2-Gesetzgebung erweiterte die Europäische Union den Geltungsbereich der NIS-Richtlinie von 2016 und definierte wesentliche sowie wichtige Diensteanbieter, die in den Anwendungsbereich dieser Richtlinie fallen, um die Einhaltung von Maßnahmen zum Management von Cybersicherheitsrisiken und Meldepflichten sicherzustellen.
NIS2 stärkte die Cybersicherheitsvorgaben und die Überwachung durch jeden Mitgliedstaat, indem für jeden Staat eine Aufsichtsbehörde geschaffen wurde und erstmals Sanktionen für Unternehmen eingeführt wurden, die gegen die Bestimmungen verstoßen. Diese Sanktionen umfassen die Möglichkeit, dass eine Aufsichtsbehörde eine Geldstrafe von bis zu 10.000.000 Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens verhängen kann, je nachdem, welcher Betrag höher ist.
Bestimmte Unternehmen waren bereits Teil von NIS, dochNIS2 hat den Geltungsbereich der abgedeckten Sektoren erweitert. Wir empfehlen Ihrer Organisation, eine gründliche Überprüfung ihrer aktuellen Sicherheitspraktiken durchzuführen, um sich auf den Übergang von NIS zu NIS2 vorzubereiten. Dies sollte insbesondere die Verbesserung derFähigkeiten zur Reaktion auf Vorfälle, die Implementierung stärkerer Cybersicherheitsmaßnahmen und die Sicherstellung der Einhaltung der Sicherheitsanforderungen der NIS2-Richtlinie umfassen.
Welche Unternehmen sind von NIS2 betroffen?
Während die NIS-Richtlinie primär auf mittelgroße und große Unternehmen abzielte, erstreckt sich der Anwendungsbereich der NIS2-Richtlinie auch auf kleinere Unternehmen.
Das bedeutet, dass ab Oktober 2024 auch kleinere Organisationen mit einem Umsatz von mindestens 10 Millionen Euro und mindestens 10 Beschäftigten, je nach erbrachten Dienstleistungen, die Richtlinie NIS2 einhalten müssen.
Welche Anforderungen und Verpflichtungen bringt NIS2?
Die NIS2-Richtlinie führte neue Anforderungen und Verpflichtungen für Organisationen in vier zentralen Bereichen ein:
- Risikomanagement: Unternehmen müssen Maßnahmen ergreifen, um Cyberrisiken zu minimieren, einschließlich Incident-Management, verstärkter Sicherheit in der Lieferkette, verbesserter Netzwerksicherheit, besserer Zugangskontrolle und Verschlüsselung.
- Unternehmerische Verantwortung: Das Unternehmensmanagement muss die Cybersicherheitsmaßnahmen zur Bewältigung von Cyberrisiken überwachen, genehmigen und geschult werden.
- Meldepflichten: Unternehmen müssen Prozesse für die sofortige Meldung von Sicherheitsvorfällen mit erheblichen Auswirkungen auf ihre Dienstleistungserbringung oder -empfänger einrichten.
- Geschäftskontinuität: Sicherstellung der Geschäftskontinuität bei größeren Cybervorfällen, einschließlich Systemwiederherstellung, Notfallverfahren und der Einrichtung eines Krisenreaktionsteams.
Welche Sanktionen gibt es?
Gemäß Artikel 32 und 33 der NIS2-Richtlinie kann die Aufsichtsbehörde tätig werden, wenn Sie die NIS2-Vorschriften nicht befolgen oder einhalten. Dies umfasst die Durchführung eigener Tests und Untersuchungen auf Grundlage der von der Organisation nach einem Cyber-Sicherheitsvorfall bereitgestellten Beweise. Diese Tests umfassen unter anderem Vor-Ort-Inspektionen, Stichproben, regelmäßige Audits und Ad-hoc-Audits.
Im Falle der Nichteinhaltung von NIS2 oder der Nichtbereitstellung aktueller Informationen können die Behörden öffentliche Warnungen aussprechen, Ihre Aktivitäten überwachen, Fristen setzen und Ihnen Ihre Betriebslizenz oder Zertifizierung entziehen, sodass Ihr Unternehmen nicht mehr operieren kann.
Wenn Unternehmen die NIS2-Richtlinie nicht einhalten, gibt es verschiedene Sanktionen:
Geldbußen
NIS2 sieht vor, dass Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Unternehmen und von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes für wichtige Unternehmen verhängt werden können.
Nichtmonetäre Maßnahmen
NIS2 sieht außerdem vor, dass die Mitgliedstaaten nichtmonetäre Abhilfemaßnahmen verhängen können, wie z. B. Compliance-Anordnungen, Sicherheitsaudit-Umsetzungsanordnungen, verbindliche Weisungen und Benachrichtigungen über Bedrohungen für die Kunden der Unternehmen.
Dies gilt gleichermaßen für wesentliche und wichtige Unternehmen.
Mit NIS2 können die EU-Mitgliedstaaten insbesondere die Offenlegung der Sicherheitsverletzung gegenüber der Öffentlichkeit anordnen.
Wie kann Hornetsecurity helfen?
Jedes Unternehmen, das unter den Geltungsbereich von NIS2 fällt, muss überprüfen, ob alle seine Lieferanten ein ähnliches Sicherheitsniveau haben. Daher müssen alle Unternehmen, die Cybersecurity-Produkte anbieten, NIS2-konform sein, um Dienstleistungen für seine Kunden anbieten zu können.
Darum ist Hornetsecurity ein großartiger Partner für alle Unternehmen, die NIS2-konform sein müssen:
- Um ein Höchstmaß an Sicherheit zu gewährleisten, haben wir ein umfassendes Cybersicherheitsprogramm implementiert. Dieses basiert auf den strengen Anforderungen der ISO 27001 und beinhaltet einen robusten Risikomanagementprozess.
- Unsere spezialisierten Teams, darunter das Computer Security Incident Response Team Lab, arbeiten kontinuierlich an der Erkennung und Abwehr von Cyberbedrohungen.
- Wir haben eine transparente Schwachstellen-Offenlegungspolitik implementiert, um die Sicherheit unserer Systeme und Technologien kontinuierlich zu verbessern.
- Unsere umfassenden Cybersicherheitsprozesse sind darauf ausgerichtet, die Sicherheit Ihrer Daten zu schützen. Als anerkannter Partner nationaler Behörden arbeiten wir aktiv daran, die europäische und globale Cyber-Resilienz zu fördern.
Die umfassende Lösung von Hornetsecurity, 365 Total Protection Compliance and Awareness, hilft Unternehmen bei der Erfüllung der NIS2-Anforderungen und deckt die Bereiche E-Mail-Security, Backup und Wiederherstellung, Compliance, Berechtigungsmanagement und Security Awareness ab.
Über eine zentrale, cloudbasierte Konsole verwaltet, bietet sie umfassenden digitalen Schutz, stärkt das Vertrauen der Kunden und sichert die Geschäftskontinuität.
SO HILFT HORNETSECURITY BEI DER ERFÜLLUNG DER NIS2 ANFORDERUNGEN
Risikomanagement:
Einrichtungen müssen Maßnahmen ergreifen, um Cyberrisiken zu minimieren, einschließlich:
Incident Management -> Inhaltsanalyse nach einem Angriff: E-Mail-Header-Analysen im CP, unveränderbare E-Mail-Body-Aufbewahrung im Archivierungssystem
Starke Sicherheit in der Lieferkette -> Unterstützung für SPF/DKIM/DMARC; AI-Empfängerüberprüfung (SMF)
Verbesserte Netzwerksicherheit -> Spam- und Malware-Filter, Advanced Threat Protection, Webfilter
Bessere Zugangskontrolle -> CP mit 2FA und Synchronisation mit Ihrem Verzeichnisdienst, 365 Permission Manager
Verschlüsselung -> Verschlüsselungsdienst (SMF), Kommunikation ist mit TLS 1.2/1.3 verschlüsselt
✅ 365 Total Protection Compliance and Awareness
✅ Advanced Threat Protection
✅ 365 Permission Manager
Betriebskontinuität:
Einrichtungen müssen Prozesse implementiert haben im Falle von:
Größeren Cybervorfällen -> Geo-redundantes Rechenzentrum
Systemwiederherstellung -> Automatisierte Backups für Mailboxen, Teams, OneDrive und SharePoint
Notfallverfahren -> E-Mail-Kontinuitätsdienst, Archivierung
Einrichtung eines Krisenreaktionsteams -> Unterstützung durch das Personal der Hornetsecurity Security Labs
✅ 365 Total Protection Compliance and Awareness
✅ Email continuity
✅ 365 Total Backup
✅ VM Backup
Unternehmerische Verantwortung:
Das Management muss:
Überwachen, genehmigen -> Gruppenberichte des Security Awareness Service mit ESI
In den Cybersicherheitsmaßnahmen des Unternehmens geschult werden, um Cyberrisiken zu adressieren -> E-Learnings des Security Awareness Service, Phishing-Kampagnen des Security Awareness Service zur Sensibilisierung
✅ 365 Total Protection Compliance and Awareness
✅ Security Awareness Service
Meldepflichten:
Einrichtungen müssen Prozesse aufsetzen für:
Unverzügliche Meldung von Sicherheitsvorfällen mit erheblichen Auswirkungen auf ihre Dienstleistungserbringung oder Empfänger -> Meldung von E-Mail-Bedrohungen, Statusbenachrichtigung im Falle von Serviceproblemen in Bezug auf unsere Dienste
✅ 365 Total Protection Compliance and Awareness
✅ 365 Total Protection Enterprise Backup
Mehr über HORNETSECURITYS SERVICES
Interessiert an verwandten Themen?
Hat Ihnen unser Beitrag zum Thema NIS2 gefallen? Dann könnten Sie auch andere Artikel in unserer Wissensdatenbank interessieren! Wir helfen Ihnen dabei, mehr über Cybersicherheitsthemen wie Emotet, Trojaner, IT-Sicherheit, Cryptolocker-Ransomware, Phishing, Cyber Kill Chain und Computerwürmer zu erfahren.