2016 markierte einen Wendepunkt in der Cybersicherheitspolitik der EU mit der Einführung der Netz- und Informationssicherheitsrichtlinie (NIS-1). Jetzt, einige Jahre später, erleben wir eine signifikante Aktualisierung durch die Einführung der NIS2-Richtlinie. Entdecke in unserem neuesten Blogbeitrag, wie sich die Standards für die Cybersicherheit verändern und was die NIS-2 für uns bedeutet.
NIS 2 umfasst eine neue Richtlinie für ein gemeinsames Cybersicherheitsniveau innerhalb der EU. Diese Richtlinie soll für die Stärkung der Cyberresilienz kritischer Infrastrukturen der EU sorgen.
Die EU will Unternehmen damit dazu verpflichten, ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen zu erhöhen. Diese Verpflichtungen beeinhalten Maßnahmen zur Erhöhung des Schutzes vor Cyberangriffen, die Einhaltung von Sicherheitsstandards und die Verpflichtung, Systeme stets auf dem neuesten Stand zu halten.
Alle Unternehmen, die als Betreiber kritischer Infrastrukturen gelten. Darunter fallen Einrichtungen, Anlagen und Systeme, deren Funktionsfähigkeit von großer Bedeutung für die Gesellschaft, die Sicherheit des Landes und der Wirtschaft ist. Ein Ausfall dieser Infrastruktur ist mit erheblichen Störungen und Risiken verbunden.
Die Implementierung der NIS-2-Richtlinie und die Klassifizierung von Unternehmen als Betreiber kritischer Infrastruktur obliegen den einzelnen EU-Mitgliedstaaten. In Deutschland bestimmt das Bundesamt für Katastrophenschutz, welche Branchen und Einrichtungen dazu zählen. Dazu gehören Firmen aus Energie- und Wasserversorgung, IT und Telekommunikation, Nahrungsmittelversorgung, Transport und Logistik, Finanzwesen sowie dem Gesundheitssektor. Unternehmen sollten umgehend Maßnahmen ergreifen, um ihre Cybersecurity-Standards an die Anforderungen der NIS-2-Richtlinie anzupassen, bevor diese als nationales Gesetz in Kraft tritt.
Ein effektives Risikomanagement, das Schwachstellen und Bedrohungen identifizieren kann, ist hierbei der erste Schritt. Danach ist ein Incident-Management-System erforderlich, das im Falle eines Sicherheitsvorfalls reagiert und alle Meldevorschriften einhält.
Weiterhin sind gemäß NIS-2 technische und organisatorische Maßnahmen zur Sicherung von Anlagen, Netzwerken, Systemen und Lieferketten notwendig. Ebenso wichtig sind Backup-Pläne und Strategien zur Aufrechterhaltung des Geschäftsbetriebs in Krisenzeiten. Bei der Umsetzung dieser Schritte können Unternehmen von der Zusammenarbeit mit einem internen oder externen Cybersecurity-Berater profitieren.