Cybersicherheit in der EU: Die NIS-2-Richtlinie

Was ist die NIS-2-Richtlinie für Cybersicherheit?

Die NIS-2-Richtlinie, oder Network and Information Security Directive 2 (Richtlinie zur Netz- und Informationssicherheit 2) ist eine EU-weite Gesetzgebung zur Cybersicherheit. Die Richtlinie soll das allgemeine Niveau der Cybersicherheit in der Europäischen Union deutlich erhöhen. Die NIS-2-Richtlinie trat 2023 in Kraft und hat das Ziel, den bestehenden Rechtsrahmen der ursprünglichen, im Jahr 2016 eingeführten NIS-Richtlinie zu modernisieren.

Diese Aktualisierung ist eine Reaktion auf die zunehmende Digitalisierung und die sich verändernde Bedrohungslage.

Die NIS-2-Richtlinie erweitert ihren Geltungsbereich über den ursprünglichen Rahmen hinaus. So werden die Cybersicherheitsvorschriften auf neue Branchen und Unternehmen ausgeweitet. Die Richtlinie soll die Widerstandsfähigkeit und Reaktionsfähigkeit öffentlicher und privater Einrichtungen bei Vorfällen steigern. Dies soll durch eine Verbesserung der Abwehrbereitschaft der Mitgliedstaaten und der Zusammenarbeit untereinander erreicht werden.

So wird beispielsweise festgelegt, dass alle Mitgliedstaaten angemessen ausgestattet sein müssen. Dazu gehören ein Computer Security Incident Response Team (CSIRT) und eine zuständige nationale Behörde für Netzwerk- und Informationssysteme (NIS).

Welches sind die Hauptziele von NIS-2?

Das oberste Ziel der NIS-2-Richtlinie ist die Förderung einer robusten Cybersicherheit in der gesamten EU. Dies beinhaltet den Schutz wichtiger Branchen vor Cyberbedrohungen und die Vertrauensbildung gegenüber wichtigen Diensten.

Dies wird erreicht durch:

• Etablierung eines standardisierten Niveaus von Cybersicherheits-Schutzmaßnahmen in allen EU-Mitgliedstaaten.

• Klare Identifizierung und Regulierung der von der Richtlinie betroffenen Branchen.

• Erweiterte Cybersicherheitsmaßnahmen und strengere Regeln für die Meldung von Vorfällen.

• Verbesserung der Zusammenarbeit und Koordinierung zwischen den Mitgliedstaaten bei der Bekämpfung von Cyberbedrohungen.

Ziel der NIS-2 ist es, ein einheitliches Schutzniveau in sämtlichen EU-Mitgliedstaaten zu schaffen. Die Richtlinie legt die betroffenen Branchen und Mindest-Sicherheitsanforderungen eindeutig fest und vereinheitlicht die Meldepflichten. Außerdem führt sie auch Maßnahmen zur Durchsetzung der Regelungen sowie Sanktionsmöglichkeiten ein. Diese Maßnahmen haben das Ziel, kritische Infrastrukturen und EU-Bürgerinnen und -Bürger vor Cyberangriffen zu schützen.

Eine bedeutende Erweiterung der NIS-2 gegenüber ihrem Vorgänger NIS-1 ist ihr konkreter Anwendungsbereich. Zu den betroffenen Branchen gehören die verarbeitende Industrie, die Lebensmittelindustrie, Kurierdienste, die Raumfahrt und die digitale Infrastruktur. Alle in diesen Branchen agierenden mittleren und großen Unternehmen fallen in den Anwendungsbereich der NIS-2.

NIS-2 unterscheidet dabei zwischen „wesentlichen“ und „wichtigen“ Einrichtungen. Beide Formen müssen die gleichen Sicherheitsmaßnahmen einhalten. Allerdings stehen „wesentliche“ Unternehmen zusätzlich unter proaktiver Aufsicht.

Zu den Änderungen gehören verschärfte Sicherheitsanforderungen, eine bessere Durchsetzung der Regelungen, strengere Meldepflichten zu Vorfällen und eine verbesserte Zusammenarbeit. Es gibt Regeln zu Risikomanagement, Cybersicherheits-Schulungen, Krisenmanagement und Datenverschlüsselung. Auf diese Weise sollen die flexiblen Auslegungen beseitigt werden, die unter der ursprünglichen NIS zu Schwachstellen führten.

Bei der Meldung von Vorfällen gelten nun neue, strengere Fristen, wobei eine erste Meldung innerhalb von 24 Stunden nach einem Cybersicherheitproblem erfolgen muss. So können die Behörden besser auf potenzielle Bedrohungen reagieren. Außerdem fördert NIS-2 die Zusammenarbeit und Kommunikation zwischen den Mitgliedstaaten. Das geschieht durch die Einrichtung einer gemeinsamen europäischen Struktur für das Cyberkrisen-Management – das „Cyber Crisis Liaison Organization Network“. Dadurch wird die Netzwerksicherheit zu einer gemeinsamen Aufgabe.

Erhöhen Sie Ihren Online-Schutz

Datenlecks erkennen, bevor sie dem Unternehmen Schaden zufügen

Jetzt kostenlos testen

Wie wirkt sich die NIS-2-Richtlinie auf Unternehmen aus?

Der erweiterte Anwendungsbereich der NIS-2-Richtlinie betrifft ein breiteres Spektrum von Unternehmen. Die Richtlinie betrifft insbesondere Unternehmen, die kritische Infrastrukturen innerhalb der EU bereitstellen.

Für diese Unternehmen ist es daher wichtig zu verstehen, was die Richtlinie für sie bedeutet. Möglicherweise müssen Sie sich auf erweiterte Risikomanagement- und Meldeanforderungen vorbereiten.

Einer der Schlüsselbereiche der NIS-2-Richtlinie, mit der sich Unternehmen befassen müssen, ist die Sicherheit von Netzwerken und Informationssystemen.

Unternehmen müssen ein belastbares Programm für das Management ihrer Cybersecurity-Risiken einführen, um den Anforderungen der Richtlinie gerecht zu werden. Dieses Programm muss technische und organisatorische Maßnahmen wie Authentifizierung, Autorisierung, Verschlüsselung und eine konsequente Überwachung der Sicherheit von Netzwerken, Informationssystemen und APIs umfassen.

Zu den wichtigsten Schritten beim Aufbau eines umfassenden Netzwerk- und Informations-Sicherheitsprogramms gehören:

• Durchführung einer umfassenden Risikobewertung im Bereich der Cybersicherheit. Auf diese Weise können Sie sämtliche Risiken für Ihr Netzwerk, Ihre Informationssysteme und APIs identifizieren.

• Implementierung geeigneter Maßnahmen zur Bewältigung der identifizierten Risiken. Einige der wichtigsten möglichen Maßnahmen sind Authentifizierung, Autorisierung, Verschlüsselung und eine konsequente Überwachung Ihres Netzwerks und Ihrer Informationssysteme.

• Die Entwicklung robuster Mechanismen zur Meldung von Vorfällen. Sie müssen Systeme zur Erkennung und Meldung von Sicherheitsvorfällen im Zusammenhang mit Ihrem Netzwerk und Ihren Informationssystemen einrichten.

• Sicherstellung der Einhaltung der einschlägigen Vorschriften und Standards. Unternehmen müssen sicherstellen, dass sie nicht nur die NIS-2-Richtlinie, sondern auch andere geltende Vorschriften wie die Datenschutz-Grundverordnung und andere einschlägige Datenschutzgesetze einhalten.

• Schulung und Sensibilisierung. Außerdem sollten Unternehmen auch ihre Mitarbeiter, Auftragnehmer und Drittanbieter über Praktiken der Netzwerk- und Informationssystemsicherheit informieren. Dazu gehören sichere Kodierungsverfahren, sichere Bereitstellungspraktiken sowie Verhaltensweisen in Reaktion auf Vorfälle.

Unternehmen, die sich auf diese Aspekte konzentrieren, sind gut auf die NIS-2-Richtlinie vorbereitet. So können sie Ihre Netzwerke und Systeme angemessen vor potenziellen Cyberbedrohungen schützen. Außerdem können sie gegenüber nationalen Cybersicherheitsbehörden besser nachweisen, dass sie die Vorschriften einhalten, und fördern damit wiederum das Vertrauen in ihre Dienste und kritischen Infrastrukturen.

Welche Branchen sind von NIS-2 betroffen?

Die NIS-2-Richtlinie erweitert ihren Geltungsbereich über die ursprüngliche NIS-Richtlinie hinaus und umfasst ein breiteres Spektrum von Branchen.

Dazu gehören die Betreiber „wesentlicher“ Dienste in Bereichen wie:

• Energie

• Verkehr

• Bankwesen

• Gesundheitswesen

• Digitale Dienstleister wie Online-Marktplätze, soziale Netzwerkplattformen und Suchmaschinen

• Forschung

• ICT-Service-Management

• Raumfahrt

• Unternehmen, die Dienstleistungen zur Registrierung von Domainnamen anbieten

Die Unternehmen in diesen Branchen müssen sich an die Vorschriften und Anforderungen der NIS-2-Richtlinie halten.

Wann tritt NIS-2 in Kraft?

Den Mitgliedstaaten wurde eine Frist von 21 Monaten bis zum 17. Oktober 2024 eingeräumt, um die in der NIS-2-Richtlinie beschriebenen Maßnahmen in nationales Recht umzusetzen.

Das bedeutet konkret: Unternehmen müssen sich auf die neue Netzwerk- und Informations-Sicherheitslandschaft vorbereiten und sich entsprechend anpassen.

Neue Cybersicherheitsrichtlinien – die CER-Richtlinie

Ein anderes wichtiges Gesetz neben der NIS-2 ist die EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER). Der Hauptunterschied zwischen NIS-2 und CER besteht darin, dass sich NIS-2 auf die Cybersicherheit konzentriert, während der Schwerpunkt von CER auf der physischen Sicherheit vor Naturkatastrophen, Überschwemmungen, Bränden usw. liegt.

Die CER-Richtlinie ersetzt die europäische Richtlinie über kritische Infrastrukturen von 2008. Sie führt strengere Regeln ein, um kritische Infrastrukturen gegen Bedrohungen wie Naturgefahren, Terroranschläge, Insider-Bedrohungen und Sabotage zu schützen.

Die CER-Richtlinie ist am 16. Januar 2023 in Kraft getreten. Die Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Anforderungen der CER-Richtlinie in nationales Recht umzusetzen. Bis zu diesem Datum muss jeder Mitgliedstaat die erforderlichen Maßnahmen zur Einhaltung der Richtlinie einführen und veröffentlichen. Diese Maßnahmen müssen dann ab dem 18. Oktober 2024 angewendet werden.

Gemäß der CER-Richtlinie müssen die Mitgliedstaaten bis zum 17. Januar 2026 eine Strategie zur Verbesserung der Resilienz ihrer kritischen Einrichtungen entwickeln. Diese Strategie soll die Fähigkeit kritischer Einrichtungen stärken, sich auf Vorfälle, die die Bereitstellung wesentlicher Dienstleistungen unterbrechen könnten, vorzubereiten, sich vor ihnen zu schützen und richtig auf sie zu reagieren.

Die CER-Richtlinie umfasst elf Branchen: Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt und Lebensmittel. Die Mitgliedstaaten müssen eine nationale Strategie verabschieden und regelmäßige Risikobewertungen durchführen.

Fazit

Die NIS-2-Richtlinie wird zu einem wichtigen Rahmen für die Cybersicherheit in der EU werden. Unternehmen in ihrem Geltungsbereich müssen strenge technische, operative und organisatorische Maßnahmen ergreifen.

Die Frist für die nationale Umsetzung der Richtlinie läuft bald ab. Unternehmen müssen sich auf die Erfüllung der NIS-2-Anforderungen vorbereiten.

Bei der notwendigen Einhaltung der NIS-2-Vorschriften leistet NordPass als Passwort-Manager wertvolle Unterstützung. Die Funktionen des Programms sorgen für mehr Sicherheit in Bezug auf die Passwörter in Ihrem Unternehmen.

Eine zentrale Rolle spielt dabei der verschlüsselte Passwort-Tresor. Hier werden alle arbeitsbezogenen Passwörter und Informationen mit der sicheren XChaCha20-Verschlüsselung gespeichert und geschützt. Dank der Zero-Knowledge-Architektur von NordPass können ausschließlich autorisierte Benutzer auf die Daten zugreifen.

NordPass verfügt zudem über einen Passwort-Generator. Damit können Sie ganz einfach starke und eindeutige Passwörter erstellen, die gegen Erraten oder Brute-Force-Angriffe geschützt sind. Die Passwortqualitäts-Funktion unterstützt Sie bei der Bewertung der Stärke und Sicherheit Ihrer Passwörter. Identifizieren Sie Schwachstellen oder wiederverwendete Passwörter, die ein Risiko für Ihre Accounts darstellen könnten.

Außerdem umfasst NordPass einen Datenleck-Scanner. Sie können automatisch erkennen, ob Domains oder E-Mails Ihres Unternehmens durch Datenlecks kompromittiert worden sind. Damit lassen sich sofort Maßnahmen ergreifen, um potenzielle Risiken zu minimieren und Ihre Konten zu schützen. Die Passwortrichtlinien-Funktion ermöglicht die Einführung einer robusten Passwortrichtlinie auf Administratoren-Ebene.

Die Aktivitätsprotokollfunktion von NordPass dient der Transparenz und Rechenschaftspflicht. Damit behalten Sie die Kontrolle über die Anmeldevorgänge in Ihrem Unternehmen. Die Multi-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene und verringert das Risiko eines unbefugten Zugriffs.

Mit diesen Funktionen stärken Unternehmen ihre Passwortsicherheit und tragen zur Einhaltung der NIS-2-Vorschriften bei. So entsteht eine sicherere digitale Umgebung mit höherer Resilienz.