Aktuelles, Branche - geschrieben von dp am Dienstag, Mai 14, 2024 16:51 - noch keine Kommentare
NIS-2-Anforderungen: Konkrete Bedeutung der verschärften EU-Richtlinie
NIS-2 baut auf Grundlage der Vorgängerrichtlinie von 2016 auf und ist eine Reaktion u.a. auf zunehmende Angriffe auf Lieferketten
[datensicherheit.de, 14.05.2024] „In einer Zeit, in der Cyber-Bedrohungen größer und raffinierter denn je sind, hat die Europäische Union (EU) mit der Einführung der Richtlinie zur Netz- und Informationssicherheit (NIS-2) einen wichtigen Schritt zur Stärkung ihrer digitalen Verteidigung getan“, so Andy Fourie, „VP of Sales EMEA“ bei BlueVoyant, in seiner aktuellen Stellungnahme. Die NIS-2-Richtlinie baue auf der Grundlage der Vorgängerrichtlinie aus dem Jahr 2016 auf und sei eine Reaktion auf die zunehmenden Angriffe auf Lieferketten und den Bedarf an robusteren Meldeverfahren in ganz Europa. Diese Richtlinie betreffe mehr als 160.000 in der EU tätige Unternehmen – „insbesondere diejenigen, die in 15 Schlüsselsektoren als ,wesentliche’ und ,wichtige’ Unternehmen eingestuft sind“.
Foto: BlueVoyant
Andy Fourie zu NIS-2-Konsequenzen: Unternehmen müssen diese Veränderungen mit Sorgfalt und Weitsicht angehen!
NIS-2 schreibt KRITIS-Unternehmen umfassende Überarbeitung ihrer Cyber-Sicherheitspraktiken vor
NIS-2 schreibe solchen Unternehmen eine umfassende Überarbeitung ihrer Cyber-Sicherheitspraktiken vor und zwinge sie, ihre Schutzmaßnahmen in der Lieferkette und ihre Meldepflichten neu zu bewerten und zu verbessern. „Da die Frist für die Einhaltung der Vorschriften im Oktober 2024 abläuft, beginnt für die Unternehmen ein Wettlauf mit der Zeit, um die strengen Anforderungen von NIS-2 zu erfüllen.“
Fourie empfiehlt einen genaueren Blick auf die neuen Anforderungen: „NIS-2 führt vier Hauptbereiche ein, die jeweils spezifische Mandate umfassen, die darauf abzielen, die Cyber-Sicherheitsstandards in allen Bereichen zu erhöhen:“
1. Risikomanagement
Die Unternehmen müssten einen vielschichtigen Ansatz zur Minimierung von Cyber-Risiken umsetzen. Dazu gehörten die Einführung fortschrittlicher Protokolle für das Management von Vorfällen, die Stärkung der Sicherheit der Lieferkette, die Verbesserung der Sicherheit von Netzwerken, die Verbesserung der Zugangskontrolle und der Einsatz von Verschlüsselungstechnologien.
2. Verantwortlichkeit der Unternehmen
Die Richtlinie unterstreiche die Notwendigkeit der Überwachung und Schulung von Maßnahmen zur Cyber-Sicherheit durch die Unternehmensleitung. Sie führe Sanktionen, auch finanzieller Art, für Verstöße ein, „die auf fahrlässiges Verhalten von Führungskräften zurückzuführen sind“.
3. Berichtspflichten
Organisationen müssten Verfahren für die unverzügliche Meldung von derartigen Cyber-Vorfällen einrichten, welche die Bereitstellung von Diensten oder Datenempfängern erheblich beeinträchtigen, und dabei die festgelegten Meldefristen einhalten.
4. Geschäftskontinuität
Die Unternehmen müssten solide Pläne entwickeln, um die Betriebskontinuität nach größeren Cyber-Vorfällen zu gewährleisten. Dazu gehörten Strategien zur Systemwiederherstellung, Notfallverfahren und die Bildung von Krisenreaktionsteams.
10 NIS-2-Mindestanforderungen
NIS-2 definiere neben den allgemeinen Verpflichtungen zehn grundlegende Anforderungen, die das Fundament der Cyber-Sicherheit in der EU bilden sollen:
- Risikobewertungen und Formulierung von Sicherheitsrichtlinien für Informationssysteme
- Evaluierung der Wirksamkeit von Sicherheitsmaßnahmen durch festgelegte Richtlinien und Verfahren
- Anwendung von Kryptographie und Verschlüsselung
- Effiziente Bewältigung von Sicherheitsvorfällen
- Sichere Systembeschaffung, -entwicklung und sicherer Systembetrieb, einschließlich Protokollen zur Meldung von Sicherheitslücken
- Durchführung von Schulungen zur Cyber-Sicherheit und Einhaltung grundlegender Praktiken der Cyber-Hygiene
- Sicherheitsverfahren für Mitarbeiter, die auf sensible Daten zugreifen
- Notfallpläne zur Aufrechterhaltung des Geschäftsbetriebs während und nach Cyber-Vorfällen
- Multi-Faktor-Authentifizierung (MFA) und Verschlüsselung für Sprach-, Video- und Textkommunikation
- Stärkung der Sicherheit in der Lieferkette – Anpassung der Sicherheitsmaßnahmen an die Schwachstellen der einzelnen direkten Zulieferer
Die Nichteinhaltung dieser umfassenden Anforderungen könnte erhebliche Geldbußen nach sich ziehen, die sich für „wesentliche Unternehmen“ auf 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes und für „wichtige Unternehmen“ auf sieben Millionen Euro oder 1,4 Prozent beliefen.
NIS-2-Vorbereitung als strategischer Imperativ
Für in der EU tätige Unternehmen bedeute die Vorbereitung auf NIS-2 eine Reihe strategischer Schritte, darunter die Feststellung der Anwendbarkeit, die Bewertung bestehender Sicherheitsmaßnahmen, die Überarbeitung der Sicherheitsrichtlinien und die Einbeziehung neuer Sicherheits- und Meldemaßnahmen in ihr Lieferkettenmanagement.
Glücklicherweise könnten aktuelle Cyber-Sicherheitsrahmenwerke, wie das „NIST Cyber Security Framework“ (CSF) oder ISO27001 eine solide Grundlage bilden, welche den Übergang für Unternehmen erleichtern könnten. Da die Frist im Oktober 2024 immer näher rücke, sei die Botschaft klar: „Die Zeit zum Handeln ist jetzt gekommen!“ Die NIS-2-Richtlinie der EU lege nicht nur die Messlatte für die Cyber-Sicherheit höher, sondern unterstreiche auch die Bedeutung eines einheitlichen und proaktiven Ansatzes zum Schutz der Digitalen Landschaft vor neuen Bedrohungen. „Unternehmen müssen diese Veränderungen mit Sorgfalt und Weitsicht angehen“, legt Fourie abschließend nahe.
Weitere Informationen zum Thema:
Europäische Kommission
Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie)
OpenKRITIS
NIS2 in EU Countries
NIS2 DIRECTIVE
NIS2 Requirements / Understand and prepare for the upcoming NIS2 requirements
OpenKRITIS
Sanktionen in NIS2 (ab 2024) / Situation ab 2024
datensicherheit.de, 11.05.2024
NIS-2 sollte als Chance für starke Cyber-Sicherheit angenommen werden / Strenge Cyber-Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen als Herausforderung und Booster
datensicherheit.de, 02.05.2024
NIS-2: Verpasste Chance oder Wegweiser für mehr IT-Sicherheit / Ari Albertini sieht Umsetzung der NIS-2-Richtlinie als notwendige, aber derzeit noch nicht hinreichende Maßnahme an
datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS2-Richtlinie
Kooperation
Mitgliedschaft
Mitgliedschaft
Multiplikator
Aktuelles, Experten, Veranstaltungen - Jul 27, 2024 0:58 - noch keine Kommentare
ULD-Sommerakademie 2024 in Kiel: Digitale Datenräume und Archive im Fokus
weitere Beiträge in Experten
- NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen
- KI-Verordnung tritt am 1. August 2024 in Kraft
- Cyber-Resilienz – potenzielle Bedrohungen proaktiv erkennen und IT-Notfallplan vorbereiten
- CrowdStrike: Ein IT-Update und es wackelt die ganze Welt
- IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024
Aktuelles, Branche, Veranstaltungen - Jul 27, 2024 0:46 - noch keine Kommentare
Schutz persönlicher Daten: SOPHOS lädt zu Web-Seminar mit der Ethischen Hackerin Rachel Tobac ein
weitere Beiträge in Branche
- Job-Betrug in Sozialen Medien: Tipps zum Erkennen auf den ersten Blick
- Robuste Sicherheitspraktiken notwendig: CrowdStrike-Vorfall hat IT-Schwachstellen enthüllt
- Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich
- Melissa Bischoping benennt Lehren aus dem CrowdStrike-Ausfall
- Crowdstrike-Vorfall als Weckruf für ganzheitliche digitale Sicherheit
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren