IT-Sicherheit

NIS2-Richtlinie

EU will Cybersicherheit & Resilienz verbessern

von 17.05.2023
Mit der NIS2-Richtlinie der EU müssen Länder bis zum 16. Oktober 2024 aktiv werden. Bild: Unsplash/Trent Erwin

Ist Ihnen die NIS2-Richtlinie ein Begriff? Falls nicht, aufgepasst: Die EU will mit der überarbeiteten Richtlinie zur Sicherheit von Netz- und Informationssystemen (kurz: NIS2) die Cybersicherheit verbessern. Für Unternehmen gilt es, aktiv zu werden.

Wir erklären, was es mit NIS2 auf sich hat und was dadurch auf Unternehmen zukommt.

Inhaltsverzeichnisexpand_more
  1. Cybercrime weiter auf Rekordniveau
  2. Was ist die NIS2-Richtlinie?
  3. Wen betrifft die NIS2-Richtlinie?
  4. Was besagt die NIS2-Richtlinie?
  5. Ab wann gilt die NIS2-Richtlinie?
  6. IT-Experten helfen bei IT-Sicherheit

Cybercrime weiter auf Rekordniveau

Es klingt schon fast nach einer alten Leier, wenn das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) mit seinem alljährlichen Bericht zur Lage der IT-Sicherheit in Deutschland wieder vor einem Cybercrime-Geschehen auf Rekordniveau warnt – so wie es auch beim BSI-Lagebericht 2022 wieder der Fall war.

Aber es ist nun einmal so: Die Akteure auf der Bühne der Internetkriminalität übertreffen sich jedes Jahr aufs Neue und entwickeln täglich neue Methoden, mit denen sie Einrichtungen und Unternehmen angreifen können, um an wertvolle Daten und womöglich auch an lukrative Lösegelder zu kommen.

Für die potenziellen Opfer bedeutet das: Sie sollten jederzeit gegenüber Angriffsversuchen wachsam sein. In der Realität ist das aber häufig nicht der Fall. In vielen Einrichtungen und Unternehmen ist die IT-Infrastruktur noch immer nicht angemessen geschützt; der IT-Sicherheit wird nicht der Stellenwert eingeräumt, den sie eigentlich haben sollte. Und genau das soll die NIS2-Richtlinie ändern.

Zu sehen ist ein Gesetzeshammer, der wie ein neuronales Netz dargestellt ist. Bild: Unsplash/Conny Schneider

Bei der NIS2-Richtlinie handelt es sich um ein neues Regelwerk der EU für mehr Cybersicherheit. Bild: Unsplash/Conny Schneider

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (auch: NIS-2-Richtlinie) bezeichnet ein EU-Regelwerk, das auf die Cybersicherheit von Einrichtungen und Unternehmen abzielt. Während die Abkürzung NIS für „Network and Information Security“ steht, verrät die Ziffer „2“, dass es sich um eine zweite Fassung der ursprünglich 2016 veröffentlichten NIS-Richtlinie handelt.

Das Ziel der neuen NIS2-Richtlinie ist es, Mindeststandards für die Cybersicherheit zu definieren und so die Resilienz einzelner Einrichtungen und Unternehmen – und dadurch auch der gesamten EU – zu verbessern. Es gilt, Unterschiede zwischen den Ländern und Sektoren zu minimieren und einen einheitlichen Maßnahmenkatalog gegen Cyberbedrohungen umzusetzen.

Darüber, weshalb es zu der überarbeiteten Fassung der Richtlinie zur Sicherheit von Netz- und Informationssystemen gekommen ist, lässt sich streiten. Während böse Zungen behaupten, der mäßige Erfolg des ersten Regelwerks sei der Grund, gibt es auch wohlwollende Stimmen, die sich darauf berufen, dass die sieben Jahre alte Richtlinie den seither neuen Herausforderungen im Bereich der Cybersicherheit nicht mehr gerecht wird.

Wen betrifft die NIS2-Richtlinie?

In die Pflicht genommen werden in erster Linie die Betreiber der sogenannten Kritischen Infrastrukturen (kurz: KRITIS). Warum? Weil diese für das Gemeinwohl extrem wichtig sind, stark von der Informations- und Kommunikationstechnologie abhängen und daher als Ziel von Cyberattacken besonders interessant erscheinen. Denn wird eine Einrichtung aus der Kategorie KRITIS durch eine Attacke lahmgelegt, sind die Auswirkungen massiv.

Die Angriffe können entweder politisch motiviert sein und sollen beispielsweise dem Gemeinwesen eines bestimmten Landes schaden; es ist aber genauso gut möglich, dass allein ein finanzielles Interesse hinter einer Attacke steckt, sprich: Die Angreifer erhoffen sich (besonders) hohe Lösegelder. Fakt ist, dass Betreiber kritischer Infrastrukturen einen Anstieg an Cyberangriffen erleben, wie unter anderem der Digitalverband Bitkom berichtet.

Zu sehen ist eine Büroumgebung, die nach NIS2-Richtlinie abzusichern ist. Bild: Unsplash/Austin Distel

IT-Infrastrukturen sind laut NIS2-Richtlinie vor Cyberbedrohungen zu schützen. Bild: Unsplash/Austin Distel

Neue Richtlinie mit zusätzlichen Sektoren

Wichtig zu wissen: Die NIS2-Richtlinie zieht den Kreis derer, die als KRITIS gewertet werden, nun deutlich größer, denn es kommen neue elementare Sektoren hinzu. Dabei wird wie folgt differenziert:

  • „Essential Entities“ (deutsch: wesentliche Einrichtungen) mit den folgenden Sektoren:
    • Energie (mit Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff)
    • Transport (mit Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
    • Bankwesen
    • Finanzmärkte
    • Gesundheit
    • Trinkwasser
    • Abwasser
    • Digitale Infrastruktur
    • ICT Service Management
    • Öffentliche Verwaltung
    • Weltraum
  • „Important Services“ (deutsch: wichtige Einrichtungen) mit den folgenden Sektoren:
    • Post und Kurier
    • Abfallwirtschaft
    • Chemikalien
    • Lebensmittel
    • Industrie
    • Digitale Dienste
    • Bildung und Forschung

Kleine Unternehmen sind von der Richtlinie kaum betroffen – es sei denn sie sind alleiniger Anbieter eines Dienstes  in einem Land und tragen entscheidend zur Aufrechterhaltung wesentlicher Aktivitäten der Gesellschaft oder ihrer Wirtschaft bei. Ansonsten gilt die Richtlinie für Unternehmen und Organisationen der genannten Sektoren mit mindestens 50 Mitarbeitern und 10 Millionen Euro Jahresumsatz.

Was besagt die NIS2-Richtlinie?

Die NIS2-Richtlinie soll Einrichtungen und Unternehmen gewissermaßen zu ihrem Glück, nämlich einer umfassenden Cybersecurity, zwingen. Dafür ist ein umfassender Vorgabenkatalog definiert, den es entsprechend umzusetzen gilt. Im Wesentlichen geht es mit den vorgeschriebenen Maßnahmen darum, die Angriffsfläche zu minimieren, Angriffe frühzeitig zu erkennen, im Ernstfall schnell zu reagieren und Systeme vollständig wiederherstellen zu können. In der NIS2-Richtlinie werden 14 Punkte genannt, die von den betroffenen Unternehmen und Sektoren zu erfüllen sind:

  • Policies (Richtlinien für Risiken und Informationssicherheit)
  • Incident Management (Prävention, Detektion und Bewältigung von Cybervorfällen)
  • Business Continuity (Business Continuity Management mit Backup Management, Desaster Recovery, Krisen-Management)
  • Supply Chain (Sicherheit in der Lieferkette)
  • Einkauf (Sicherheit in der Beschaffung von IT und Netzwerk-Systemen)
  • Effektivität (Vorgaben zur Messung von Cyber- und Risiko-Maßnahmen)
  • Training (Cyber-Security-Hygiene)
  • Kryptographie (Vorgaben für Kryptographie und Verschlüsselung)
  • Personal (Human Resources Security)
  • Zugangskontrolle
  • Asset Management (ISMS)
  • Authentication (Einsatz von Multi-Faktor-Authentifizierung [MFA] und Single-Sign-On [SSO])
  • Kommunikation (Einsatz sicherer Sprach-, Video- und Text-Kommunikation)
  • Notfall-Kommunikation (Einsatz gesicherter Notfall-Kommunikations-Systeme)

Das umfangreiche Regelwerk geht noch genauer auf all diese Punkte ein. Für genauere Informationen empfehlen wir daher einen Blick in die NIS2-Richtlinie selbst, sprich die DIRECTIVE (EU) 2022/2555 des europäischen Parlaments.

Zu sehen sind ein Laptop und Arme, es wird in einem Notizbuch geschrieben. Bild: Unsplash/jeshoots.com

Multi-Faktor-Authentifizierung müssen sämtliche Mitarbeiter anwenden. Bild: Unsplash/jeshoots.com

Ab wann gilt die NIS2-Richtlinie?

Grob gesagt, sollten die betroffenen Einrichtungen und Unternehmen die NIS2-Richtlinie spätestens bis zum Herbst 2024 umgesetzt haben. Wer es ganz genau wissen möchte: Die NIS2-Richtlinie ist am 27. Dezember 2022 im Amtsblatt L333 der Europäischen Union veröffentlich worden und am zwanzigsten Tag nach ihrer Veröffentlichung, also dem 16. Januar 2023, in Kraft getreten; 21 Monate haben die Mitgliedsstaaten ab diesem Tag Zeit, um die Richtlinie in nationales Recht umzusetzen – damit wäre der 16. Oktober 2024 der Stichtag.

Und ist die Richtlinie dann geltendes Recht, sollten Einrichtungen und Unternehmen die in dem Gesetz genannten Mindestanforderungen auch zu dem genannten Stichtag erfüllen, um nicht – gewissermaßen mutwillig – dagegen zu verstoßen.

Kurzum: Der Countdown läuft. Es gilt, besser früher als später tätig zu werden und die eigene IT-Sicherheit entsprechend kritisch zu hinterfragen und gegebenenfalls aufzurüsten. Schließlich sollte ein möglichst hoher Schutz im eigenen Interesse liegen.

IT-Experten helfen bei IT-Sicherheit

Viele der in der NIS2-Richtlinie genannten Vorgaben lassen sich mit einer Zero-Trust-Strategie in Kombination mit einem System für das Security Information and Event Management (SIEM) oder das Security Operations Center (SOC) bereits abdecken.

Sie möchten genauer wissen, was es damit auf sich hat? Oder möchten Sie so ein System in Ihrem Unternehmen einrichten lassen? In jedem Fall sind Sie bei sämtlichen Anliegen rund um die Cybersicherheit bei den Experten aus dem IT-SERVICE.NETWORK genau richtig.

Die Fachleute aus unserem Netzwerk kennen sich mit den notwendigen Schutzmaßnahmen gegen Cyberbedrohungen aus und wissen auch  mit komplizierten Regelwerken wie der NIS2-Richtlinie etwas anzufangen. Nehmen Sie einfach Kontakt auf und lassen Sie sich zunächst völlig unverbindlich beraten – wir freuen uns auf Ihre Anfrage!

Weiterführende Links:
BSI, Security Insider, ESET, Security Insider, Security Insider, Security Insider

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

AnyDesk-Hack

Anbieter von Fernwartungssoftware ist Ziel von Cyberattacke

von • 14.02.2024

Neuer Tag, neuer Sicherheitsvorfall: Jetzt hat es AnyDesk, den Anbieter der gleichnamigen Software getroffen. Das BSI empfiehlt Unternehmen, angesichts des AnyDesk-Hacks vors...

Weiterlesen
IT-Sicherheit

Datenleck bei Trello

15 Millionen Datensätze bei Hackerangriff auf Betreiber Atlassian erbeutet

von • 12.02.2024

Cyberkriminelle konnten durch ein Datenleck bei Trello offenbar Daten von mehr als 15 Millionen Daten abgreifen. In einem Hackerforum im Darknet stehen diese Daten zum Verkauf. Wir berichten, was e...

Weiterlesen
IT-Sicherheit

Have I Been Pwned

Webseite gibt Auskunft über durch Datenlecks geleakte Konto

von • 07.02.2024

Nachrichten über Datenlecks machen immer wieder die Runde. Häufig ist Nutzern dabei gar nicht bewusst, dass auch ihre Daten geleakt worden sein könnten. Die Webseite Have I Been Pwned gibt Gewisshe...

Weiterlesen