Das Informationssicherheitsmanagement innerhalb einer Organisation ist heutzutage ein strategisches Minimum im effektiven Kampf gegen Cyberkriminalität. Die Anwendung einheitlicher präventiver Maßnahmen hilft, grundlegende Sicherheitsvorkehrungen bewusst aufzubauen und die Kontrolle über Risikomanagementprozesse aufrechtzuerhalten.
Im Kontext der Steigerung der Cybersicherheit kommt die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, auch als NIS2-Richtlinie bekannt, den oben genannten Erwartungen entgegen.
Erfahren Sie, welche Änderungen sie mit sich bringt und wie diese Änderungen das tägliche Leben in der digitalen Welt beeinflussen können.
Inhaltsverzeichnis:
1. Was ist die NIS2-Richtlinie?
2. Welche Einrichtungen sind von der NIS2-Regelung betroffen?
3. Wann tritt die NIS2 in Kraft?
4. War die Einführung der Änderungen notwendig? NIS1 vs NIS2
5. Risikomanagementmaßnahmen
6. Verpflichtungen gemäß NIS2 und die daraus resultierenden Vorteile
Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie ist eine gesetzliche Regelung der Europäischen Union, die darauf abzielt, die Cybersicherheit in den Mitgliedstaaten zu stärken. Sie stellt eine Überarbeitung der ursprünglichen NIS-Richtlinie (Network and Information Systems Directive) von 2016 dar und reagiert auf die sich dynamisch verändernde digitale Landschaft sowie die zunehmenden Bedrohungen durch Cyberangriffe.
Kernziele und -vorgaben der Richtlinie sind:
- Auferlegung minimaler Anforderungen an die Mitgliedstaaten zur Einführung von Vorschriften, die das Cybersicherheitsniveau tatsächlich und wirksam erhöhen,
- Steigerung des Wissens und Bewusstseins sowie der Fähigkeiten, auf Vorfälle zu reagieren und deren Auswirkungen zu minimieren,
- Harmonisierung der Sanktionssysteme und Berichtspflichten,
- Stärkere Aufsicht über die Verwaltungsorgane,
- Erhöhung des Vertrauens in digitale Dienste.
Die neuen Vorschriften sollen ein hohes Schutzniveau für Netz- und Informationssysteme gewährleisten, die für die Funktionsweise der Gesellschaft und der Wirtschaft in der EU von entscheidender Bedeutung sind.
Welche Einrichtungen sind von der NIS2-Regelung betroffen?
Die NIS2-Richtlinie umfasst eine breite Palette privater und öffentlicher Institutionen anhand der folgenden Kriterien:
- Einrichtungen von entsprechender Größe (Size Cap Rule), die die Schwellenwerte für mittlere Unternehmen überschreiten, d. h. >50 Mitarbeiter und ein Jahresumsatz von >10 Mio. EUR.
Die Richtlinie sieht jedoch Ausnahmen vor – auch Mikrounternehmen können unter die NIS2-Regelung fallen, wenn sie als wesentlich für bestimmte Sektoren definiert sind (z. B. Dienste, deren Störung die öffentliche Sicherheit oder Gesundheit gefährden könnte; Vertrauensdiensteanbieter; öffentliche Verwaltungen).
- Einrichtungen, die in bestimmten, von der EU als wesentlich anerkannten Sektoren tätig sind.
Basierend auf diesen Kriterien werden die von der NIS2-Regelung erfassten Einrichtungen in wesentliche und wichtige Einrichtungen unterteilt.
Unterteilung der von der NIS2-Regelung erfassten Einrichtungen nach Größe:
- Wesentliche Einrichtungen: >250 Mitarbeiter und ein Jahresumsatz von >50 Mio. EUR
- Wichtige Einrichtungen: >50 Mitarbeiter und ein Jahresumsatz von >10 Mio. EUR
Unterteilung der von der NIS2-Regelung erfassten Einrichtungen nach Sektoren:
| WESENTLICHE SEKTOREN |
WICHTIGE SEKTOREN |
| Energie |
Post- und Kurierdienste |
| Transport |
Abfallwirtschaft |
| Banken |
Produktion, Herstellung und Vertrieb von Chemikalien |
| Finanzmarktinfrastrukturen |
Produktion, Verarbeitung und Vertrieb von Lebensmitteln |
| Gesundheitswesen |
Herstellung von Medizinprodukten |
| Trinkwasser |
Herstellung von Elektronikprodukten |
| Abwasser |
Herstellung von optischen Produkten |
| Digitale Infrastruktur |
Herstellung von Kraftfahrzeugen |
| Verwaltung von IKT-Diensten |
Digitale Dienstleister |
| Öffentliche Verwaltung |
Wissenschaftliche Forschung |
| Raumfahrt |
|
Die obige Unterteilung bestimmt direkt die Art der Verantwortung und die Höhe der bei Verstößen gegen die Verpflichtungen der Richtlinie verhängten Verwaltungssanktionen für diese Einrichtungen.
Wann tritt die NIS2 in Kraft?
Die NIS2-Richtlinie (Network and Information Systems Directive 2) trat am 16. Januar 2023 in Kraft und gibt den Mitgliedstaaten der Europäischen Union Zeit, ihre Bestimmungen bis zum 17. Oktober 2024 umzusetzen. Die Mitgliedstaaten haben somit einen festgelegten Zeitraum, um ihre nationalen Vorschriften anzupassen und entsprechende Prozesse und Verfahren in den Organisationen einzuführen, um die volle Übereinstimmung ihrer Aktivitäten mit den Anforderungen der NIS2 zu gewährleisten. Im polnischen Rechtssystem wird die Umsetzung der NIS2-Bestimmungen wahrscheinlich im Rahmen einer Änderung des Gesetzes vom 5. Juli 2018 über das nationale Cybersicherheitssystem erfolgen.
Unternehmen sollten daher so schnell wie möglich mit der Umsetzung der neuen Vorschriften beginnen, um potenzielle Sanktionen zu vermeiden und die Sicherheit ihrer Informationssysteme zu gewährleisten.
War die Einführung der Änderungen notwendig? NIS1 vs NIS2
Um das Cybersicherheitsniveau in der Europäischen Union zu erhöhen, wurde 2016 die NIS-Richtlinie eingeführt. Kontrollen zur Überprüfung der Wirksamkeit der NIS haben gezeigt, dass der Umfang der Umsetzung der EU-Vorschriften durch die Mitgliedstaaten nicht immer konsistent war. Darüber hinaus hat sich die digitale Realität seit 2016 so revolutionär verändert, dass die bisherigen Vorschriften nicht mehr ausreichten. Dies führte direkt zu einem Anstieg der Cyberbedrohungen, die nicht nur Bürger oder Unternehmen, sondern auch die Kontinuität der kritischen Infrastruktur der Staaten bedrohen.
Die NIS2-Richtlinie bringt erhebliche Änderungen im Vergleich zu ihrer Vorgängerin, der NIS-Richtlinie von 2016, mit sich. Der Hauptunterschied besteht in der erheblichen Erhöhung der Anzahl der zur Anwendung ihrer Vorschriften verpflichteten Einrichtungen: Die Einrichtungen wurden in wesentliche und wichtige unterteilt; außerdem wurde neben dem Größenkriterium das Sachkriterium eingeführt.
Während die NIS hauptsächlich Betreiber wesentlicher Dienste in Sektoren wie Energie, Transport, Banken, Gesundheit und Finanzen betraf, umfasst die NIS2 auch zusätzliche Branchen, wie das Management von IKT-Diensten, öffentliche Verwaltung, Raumfahrt und Vertrauensdienstanbieter. Im Gegensatz zur NIS-Richtlinie basiert die NIS2 auf dem Prinzip der Selbsteinschätzung der Einrichtungen. Nach diesem Prinzip sind die Einrichtungen verpflichtet, selbst zu bewerten, ob sie die Voraussetzungen erfüllen, um als WESENTLICHE oder WICHTIGE Einrichtung eingestuft zu werden.
Die neue Richtlinie enthält auch detaillierte Mindestanforderungen an die Risikomanagementmaßnahmen, die von den verpflichteten Einrichtungen ergriffen werden müssen. Die NIS2 definiert, dass alle Einrichtungen angemessene und verhältnismäßige technische, operationelle und organisatorische Maßnahmen ergreifen müssen, um die Risiken für die Cybersicherheit von Netz- und Informationssystemen zu bewältigen. Diese Maßnahmen umfassen in der Praxis implementierte Sicherheitsrichtlinien für die Informationssysteme der Organisation, aktualisierte Verfahren und technische Lösungen, Cyberrisikoanalysen, Notfallpläne und Krisenmanagement, aber auch Sicherheitsaudits und Penetrationstests.
Die NIS2 sieht eine strengere Überwachung und Durchsetzung der Vorschriften durch nationale Behörden vor und legt mehr Wert auf das Risikomanagement in der Lieferkette - die Bedrohungen in diesem Bereich betreffen die Beziehungen zwischen Einrichtungen und Lieferanten.
In der NIS2 wird auch dem Thema Schulungen und Cyberhygiene besondere Bedeutung beigemessen. Es wird nämlich die Pflicht zu regelmäßigen Schulungen für Mitarbeiter und Partner auf allen Ebenen vorgeschrieben. Die Ausbildung in diesem Bereich sollte detailliert an die Eigentümlichkeit der Organisation angepasst sein.
Infolgedessen müssen mehr Unternehmen, sowohl große als auch mittlere, die neuen Anforderungen erfüllen, um die Widerstandsfähigkeit der Netzwerk- und Informationssysteme in der gesamten Europäischen Union zu stärken.
Risikomanagementmaßnahmen
Gemäß der NIS2-Richtlinie sind wesentliche und wichtige Einrichtungen verpflichtet, Risikomanagementmaßnahmen umzusetzen (Art. 21 NIS2). Die Risikoanalyse im Lichte der NIS2-Bestimmungen geht tatsächlich über bloße Sicherheitsmaßnahmen hinaus, die in Organisationen weiterhin intuitiv und nicht unbedingt systematisch angewendet werden. Gegenwärtig ist es gerechtfertigt, sich auf Risikomanagementstandards (ISO 27001 oder die ISO 31000-Familie) zu beziehen, beispielsweise im Hinblick auf die Vorbereitung der Risikoanalyse und -bewertung.
Gemäß Art. 21 NIS2 basieren die Risikomanagementmaßnahmen auf einem ganzheitlichen Ansatz, der darauf abzielt, Netz- und Informationssysteme sowie deren physische Umgebung vor Vorfällen zu schützen und umfassen mindestens die folgenden Elemente:
a) Richtlinien zur Risikoanalyse und IT-Sicherheitssysteme;
b) Vorfallsmanagement;
c) Kontinuitätsmanagement, z. B. Verwaltung von Backups und Wiederherstellung des Normalbetriebs nach außergewöhnlichen Ereignissen sowie Krisenmanagement;
d) Sicherheit der Lieferkette, einschließlich Sicherheitsaspekten in den Beziehungen zwischen jeder Einrichtung und ihren direkten Lieferanten oder Dienstleistern;
e) Sicherheit beim Erwerb, der Entwicklung und Wartung von Netz- und IT-Systemen, einschließlich der Handhabung von Schwachstellen und deren Offenlegung;
f) Richtlinien und Verfahren zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen hinsichtlich der Cybersicherheit;
g) Grundlegende Cyberhygienepraktiken und Cybersicherheitsschulungen;
h) Richtlinien und Verfahren zur Anwendung von Kryptographie und gegebenenfalls zur Verschlüsselung;
i) Personalsicherheit, Zugangskontrollrichtlinien und Asset-Management;
j) Gegebenenfalls Verwendung von Multi-Faktor- oder kontinuierlicher Authentifizierung, sicheren Sprach-, Text- und Videoverbindungen sowie sicheren internen Kommunikationssystemen in der Einrichtung in Notfallsituationen.
Was bedeuten diese Bestimmungen tatsächlich und welche Bedeutung haben sie für Autenti?
Wesentlich ist, dass im Rahmen der Risikomanagementmaßnahmen für Einrichtungen, die unter die NIS2 fallen (einschließlich Autenti), zwei Standards als Dokumentationsgrundlage vorgesehen sind:
- Normative Dokumentation - zur Erfüllung dieser Pflicht hat Autenti ein Informationssicherheitsmanagementsystem (gemäß ISO/IEC 27001:2017) und ein Kontinuitätsmanagementsystem (gemäß ISO 22301:2020) eingeführt. Auf der Grundlage dieser Normen hat Autenti eine Reihe normativer Dokumente eingeführt und angewendet, wie z. B. die Informationssicherheits- und Kontinuitätspolitik, die rechtlich vorgeschriebene und in der Richtlinie vorgesehene Lösungen, Sicherheitsmaßnahmen, Risikomanagementmethoden und Maßnahmen zur Gewährleistung der Kontinuität der angebotenen Dienste erklärt.
- Operative Dokumentation (entsprechend den normativen Anforderungen) - zur Erfüllung dieser Pflicht führt Autenti ein Vorfallregister, ein Risikoregister, ein Schulungs- und Schulungsnachweisregister, ein Backup-Register, eine Inventarisierung von Prozessen, Vermögenswerten und Geräten.
Verpflichtungen gemäß NIS2 und die daraus resultierenden Vorteile
Die NIS2-Richtlinie auferlegt den betroffenen Einrichtungen eine Reihe von Verpflichtungen. Autenti erfüllt als verpflichtete Einrichtung alle Vorschriften, was wiederum die Glaubwürdigkeit des Unternehmens auf dem Markt stärkt und die Widerstandsfähigkeit gegen Cyberbedrohungen erhöht.
NIS2 verpflichtet wesentliche und wichtige Einrichtungen zur Umsetzung von Risikomanagementmaßnahmen sowie zur Überwachung und Reaktion auf Sicherheitsvorfälle. Verpflichtete Einrichtungen sollten Verfahren zum Management und Umgang mit Vorfällen, eine Dokumentation des Reaktionsverlaufs auf Vorfälle sowie eine Dokumentation zur Weitergabe von Informationen an das zuständige CSIRT haben. Darüber hinaus sind die Einrichtungen verpflichtet, Vorfälle in Bezug auf Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität zu überwachen und zu erkennen.
Organisationen sind verpflichtet, Vorfälle unverzüglich zu melden und die Dienstleistungsempfänger über potenzielle Bedrohungen und Gegenmaßnahmen zu informieren. Ein weiterer von der NIS2 vorgeschriebener und im nationalen Cybersicherheitsgesetz vorgesehener Punkt ist der Sicherheitsaudit. Geprüfte Einrichtungen unterliegen Kontrollen in streng festgelegten Bereichen, wie der Organisation und den Informationssicherheitsmanagementprozessen, dem Änderungsmanagement, der Pflege und Entwicklung von Informationssystemen, der physischen Sicherheit sowie dem Sicherheits- und Kontinuitätsmanagement der Dienstleistungskette.
Aus diesen und anderen für bestimmte Einrichtungen vorgesehenen Verpflichtungen ergeben sich tatsächlich viele Vorteile. Organisationen erhöhen ihre Widerstandsfähigkeit gegen Cyberbedrohungen - regelmäßige Schulungen für die Leitungsgremien liefern Wissen und vor allem Bewusstsein im Bereich des Cyberrisikomanagements. Die Richtlinie fördert die Anwendung innovativer und fortschrittlicher Technologien wie Datenverschlüsselung, Kryptographie, Segmentierung und Zugangsmanagement, was die Vertraulichkeit und Integrität der Informationen gewährleistet. Penetrationstests helfen Organisationen, Schwachstellen in der Sicherheit zu identifizieren und Gegenmaßnahmen zu ergreifen, was wiederum die allgemeine digitale Sicherheit erhöht.
Für Autenti als Vertrauensdiensteanbieter ist die Gewährleistung der Cybersicherheit heute keine Möglichkeit oder Alternative, sondern eine grundlegende, unbestreitbare Anforderung und. Kunden von Autenti können sicher sein, dass Autenti im Rahmen der Dienstleistungserbringung alle strengen Bedingungen der NIS2-Richtlinie erfüllt und somit keine Bedenken hinsichtlich der Sicherheit der digitalen Infrastruktur bei Autenti haben müssen.
Erfahren Sie, wie wir Ihnen helfen können, Geschäftsprozesse mit NIS2-konformen Dokumentenkreislauf-Lösungen zu beschleunigen.
