Sie sind hier: Home » Markt » Hinweise & Tipps

Die wichtigsten Informationen zu NIS2


NIS2: Was heißt das für Unternehmen und wie gut sind sie vorbereitet?
Mit der neuen Richtlinie geht die EU einen weiteren Schritt, um das Cyberrisikomanagement zu verbessern



Die Bedrohungslage durch Cyber-Angriffe ist unvermindert ernst. Um – auch vor dem Hintergrund aktueller geopolitischer Entwicklungen – die Resilienz insbesondere gesellschaftlich relevanter Organisationen und Einrichtungen gegenüber Attacken zu stärken, ist Mitte Januar 2023 die NIS2-Richtlinie der Europäischen Union in Kraft getreten. Nevis, Schweizer Spezialistin für Customer Identity und Access Management-Lösungen, erklärt, was das für Unternehmen bedeutet und gibt eine Einschätzung zur Lage.

2016 verabschiedete die EU die Richtlinie zu Sicherheit von Netzwerk- und Informationssystemen (NIS). Damit schuf sie erstmals einen einheitlichen Gesetzesrahmen, um die Zusammenarbeit der EU-Mitgliedsstaaten in punkto Cybersicherheit zu stärken. NIS wird jetzt durch NIS2 ersetzt.

Für Unternehmen bedeutet das: Ab dem Inkrafttreten am 16. Januar 2023 haben die Mitgliedsländer 21 Monate Zeit, NIS2 in nationales Recht zu überführen. Mit der neuen Richtlinie geht die EU einen weiteren Schritt, um das Cyberrisikomanagement zu verbessern. Ziel ist es, den Schutz von Netzwerk- und Informationssystemen vor Cyberattacken weiter zu stärken und Richtlinien in den 27 Mitgliedsstaaten der EU etwa durch Mindestanforderungen zu vereinheitlichen. Im Zuge dessen werden die Bußgeldzahlungen, für den Fall, dass Betreiber kritischer Infrastrukturen die Vorgaben nicht erfüllen, erhöht. Zeitgleich werden die nationalen Behörden zu einer strikteren Überwachung der Einhaltung angehalten.

Neue Sektoren und neue Pflichten
Mit der NIS2 wurde die Zahl der betroffenen Sektoren gegenüber der NIS erweitert. So gibt es nun sieben kritische Essential Sectors und elf Important Entities, die sich aktuell nur teilweise mit den deutschen KRITIS-Sektoren und den UBI (Unternehmen im besonderen öffentlichen Interesse) decken. Daher sind hier bei der deutschen Gesetzgebung noch Anpassungen zu erwarten. Zu den wesentlichen Einrichtungen gehören Unternehmen aus den Bereichen Energie, Transport, Banken, Finanzmärkte, Gesundheit, Trinkwasser, Abwasser und digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt. Die wichtigsten Einrichtungen umfassen Anbieter in den Bereichen Post und Kurier, Abfallwirtschaft, Chemie, Ernährung, Industrie, digitale Dienste und Forschung.

Die Anforderungen an die Cybersecurity für Betreiber von Einrichtungen kritischer Dienstleistungen in den genannten Sektoren steigen. Für den Schutz der IT und der Netzwerke sind sie unter anderem zum Einsatz von Incident Management Systemen, sicheren Authentifizierungsmaßnahmen wie Multi-Faktor-Authentifizierung und Single Sign-on oder Notfall-Kommunikations-Systemen, verpflichtet. Es muss ferner sichergestellt sein, dass auf Sicherheitsvorfälle rechtzeitig reagiert wird und die erste Benachrichtigung innerhalb von 24 Stunden an die zuständigen Behörden erfolgt. Unternehmen sollten bei alldem auch beachten, dass die Geldbußen bei Verstößen gegen die in der Richtlinie definierten Pflichten und Vorgaben drastisch sind. Der Höchstbetrag im Fall von wesentlichen Einrichtungen beträgt mindestens 10 Mio. Euro oder im Falle einer juristischen Person 2 Prozent des gesamten weltweiten Umsatzes des Vorjahres. Bei wichtigen Einrichtungen beträgt die Höchststrafe mindestens 7 Mio. Euro beziehungsweise 1,4 Prozent des Umsatzes.

Unternehmen sind schlecht vorbereitet
Die NIS2 bedeutet für viele Unternehmen, dass sie ihre aktuellen Routinen zur Erkennung und Abwehr von Cyber-Angriffe auf den Prüfstand stellen und sich für die neuen Vorgaben rüsten müssen. Obwohl noch einige Zeit vergehen wird, bis sie in den europäischen Mitgliedsländern verpflichtend greifen, sind Sicherheitsverantwortliche gut beraten, bereits heute entsprechende Maßnahmen zu ergreifen. Ohnehin gilt: Cyberkriminelle sind jetzt schon hochgerüstet.

Dabei stellt sich die Sicherheitslage in vielen Unternehmen erschreckend schlecht dar, wie das Nevis Sicherheitsbarometer zeigt. Dafür hat der Customer Identity and Access Management (CIAM)-Spezialist zusammen mit den Meinungsforschungsunternehmen Civey und mo’web research im vergangenen Sommer 500 deutsche IT-Entscheider und 1.000 deutsche Konsumenten befragt. Wie bereits 2021 stellte sich erneut heraus, dass die IT-Sicherheit von Unternehmensdaten häufig ausbaufähig ist und viele IT-Entscheider in puncto Know-how nicht auf dem neusten Stand sind.

So gehören zu den meistgenannten Sicherheitsmaßnahmen, vorgeschriebene Mindestlängen für Passwörter (65 Prozent) sowie die Verpflichtung zu regelmäßige Passwortänderungen (41 Prozent). Lediglich 34 Prozent nutzen bereits die Zwei-Faktor-Authentifizierung per SMS und nur 21 Prozent die sicherere biometrische Zwei-Faktor-Authentifizierung. Wie ernst die Lage ist, offenbart die Aussage von rund zehn Prozent der befragten IT-Verantwortlichen, dass sie keine Maßnahmen für erhöhte IT-Sicherheit ergreifen. Mit Cybersecurity-Standards wie FIDO, OAuth oder WebAuthn, als verlässliche Datenschutz-Leitlinien, ist zudem die Hälfte (47 Prozent) der Spezialisten nicht vertraut.

Moderne Lösungen entlasten Sicherheitsteams
Des Weiteren kommt hinzu, dass in vielen Sicherheitsteams heute der Schwerpunkt auf der Wartung genutzter Technologien liegt, um die Bedrohungserkennung zu optimieren. Maßnahmen für die automatisierte Reaktion auf Attacken kommen aus Zeitgründen zu kurz. Um dem Abhilfe zu schaffen und sich gleichzeitig sowohl für NIS2 als auch die unvermindert kritische Bedrohungssituation zu rüsten, sollten Unternehmen moderne Lösungen, die Sicherheitsrisiken minimieren, einsetzen. Systeme zur Angriffserkennung oder CIAM, mit Multi-Faktor-Authentifizierung und Single Sign-on, unterstützen sie dabei, den Vorgaben der NIS2 zu entsprechen. Außerdem versetzen sie Sicherheitsteams kosteneffizient in die Lage, ihre Kapazitäten auf die aktive Reaktion auf Cybergefahren zu fokussieren. (Nevis: ra)

eingetragen: 15.02.23
Newsletterlauf: 11.05.23

Nevis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Investitionen in nachhaltige Rechenzentren

    Digitale Technologien spielen eine wesentliche Rolle, um schädliche Emissionen zu reduzieren und die Klimaziele in Deutschland zu erreichen. So ergab eine aktuelle Bitkom-Studie zum Einsatz von digitaler Lösungen in Sektoren wie Energie, Industrie und Verkehr, dass die CO2-Emissionen im Klimaziel-Stichjahr 2030 jährlich um 73 Millionen Tonnen reduziert werden könnten.

  • NIS-2-Umsetzung in Deutschland

    Mit dem neuen für NIS-2-Gesetz kommen auf viele Unternehmen strengere Cybersicherheitsanforderungen zu - doch es gibt noch offene Fragen und neue Entwicklungen, die bisher wenig Beachtung gefunden haben. Jetzt ist die Zeit zum Handeln. Seit der Verabschiedung der NIS-2-Richtlinie durch die EU im Jahr 2022 war die Umsetzung in den Mitgliedstaaten ein komplexer Prozess.

  • Dem Fiskus drei Schritte voraus

    Teure Materialien sowie steigende Energie- und Transportpreise sind nur zwei Gründe, warum in zahlreichen Unternehmen der Sparzwang wächst. "Unvorhergesehene und potenziell kostspielige Steuernachzahlungen können in einer ohnehin angespannten Situation den Druck auf die finanziellen Ressourcen empfindlich erhöhen", weiß Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld.

  • Gesetze über Gesetze

    Der Countdown läuft: Die NIS2-Richtlinie steht praktisch schon vor der Tür und Betreiber kritischer Infrastrukturen (KRITIS) arbeiten auf Hochtouren daran, bis Oktober alle notwendigen Maßnahmen zu treffen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen