Das müssen Unternehmen bei der Umsetzung von NIS2 beachten
Mit der zunehmenden Digitalisierung der Arbeitswelt steigt auch die Anzahl von Cyberangriffen – insbesondere auf Organisationen, die gesellschaftlich und wirtschaftlich relevante (digitale) Dienste erbringen. Die Folgen sind gravierend: Cyberangriffe verursachen nicht nur enorme wirtschaftlichen Schäden, sondern können auch die Versorgung mit notwendigen Ressourcen bedrohen. Zur Gewährleistung eines ausreichenden Sicherheitsniveaus hat die EU deshalb die Cybersecurity-Richtlinie NIS2 in Kraft gesetzt. Da diese bis Ende 2024 umgesetzt werden muss, müssen viele Unternehmen ihre Cybersecurity-Strategie überarbeiten. Wie Unternehmen die Vorgaben der NIS2-Richtlinie umsetzen können, erfahren Sie hier!
Was ist NIS2?
Die NIS2-Richtlinie der EU ist eine Richtlinie über Netz- und Informationssicherheit (NIS = Network and Information Security Directive). Sie ist eine Überarbeitung der 2016 festgelegten NIS-Richtlinie und zielt darauf ab, die Sicherheit von Netzwerken und Informationssystemen innerhalb der EU zu stärken, um die Resilienz gegenüber Cyberangriffen zu verbessern. Die Richtlinie definiert klare Mindestanforderungen für die IT-Sicherheit digitaler Dienstleister und Betreiber kritischer Infrastrukturen. Diese sind verpflichtet, angemessene Sicherheitsmaßnahmen zu implementieren und Sicherheitsvorfälle zu melden. NIS2 sieht zudem eine strengere Überwachung und Durchsetzung der Richtlinie vor. So müssen die Mitgliedsstaaten Aufsichtsbehörden benennen und Mechanismen zur Durchsetzung der Anforderungen einrichten.
Was ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG)?
Das NIS2-Umsetzungsgesetz (kurz: NIS2UmsuCG) ist das Gesetz eines EU-Mitgliedsstaats, das die Bestimmungen der NIS2-Richtlinie in nationales Recht umsetzt. Das Umsetzungsgesetz eines Mitgliedsstaates konkretisiert und ergänzt die Anforderungen der Cybersecurity-Richtlinie, um sicherzustellen, dass Unternehmen im jeweiligen Land die erforderlichen Maßnahmen zur Verbesserung der Cybersicherheit ergreifen und den Meldepflichten nachkommen. Die Länder sind verpflichtet, die NIS2-Vorschriften bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2% des Vorjahresumsatzes.
Welche Unternehmen & Sektoren sind von NIS2 betroffen?
Die NIS2-Richtlinie gilt für Unternehmen aus zwei Kategorien: „essential“ (wesentlich) und „important“ (wichtig). Wesentliche Organisationen sind solche mit essenzieller Bedeutung für das staatliche Gemeinwesen, deren Ausfall schwerwiegende Folgen hätte. Hierzu zählen Energie- und Wasserversorgung, Transport, Finanz- und Bankwesen, Gesundheit und öffentliche Verwaltung. Zu den wichtigen Organisationen zählen unter anderem Kurierdienste und digitale Dienstleister.
Bedeutung von NIS2 für die Cybersecurity-Strategie von Unternehmen
Mit der verpflichtenden Umsetzung der NIS2-Richtlinie sehen sich viele Unternehmen und Behörden mit der Herausforderung konfrontiert, ihre Cybersecurity-Strategie zu überarbeiten. Die entscheidende Grundlage ist die Implementierung eines UEMs. Zudem müssen Risikoanalysen und weitere Sicherheitsmaßnahmen auf verschiedenen Ebenen durchgeführt werden.
Welche Vorteile bietet ein UEM?
Unified Endpoint Management (UEM) ist ein Konzept zur einheitlichen Verwaltung und Sicherung aller im Unternehmensnetzwerk integrierten Endgeräte. Im Kontext von NIS2 ist die Implementierung einer UEM-Strategie unverzichtbar, da Unternehmen so ihre eingesetzten Geräte zentral kontrollieren und die Sicherheitsanforderungen von NIS2 einheitlich durchsetzen können. Mithilfe eines UEM können Organisationen zudem Sicherheitsvorfälle schneller erkennen und auf diese reagieren – eine zentrale Anforderung der Cybersecurity-Richtlinie. Insbesondere Mobilgeräte stellen aufgrund ihrer dezentralen Nutzung sowie der Vielzahl der verfügbaren Betriebssysteme und Apps ein erhöhtes Cybersecurity-Risiko für Unternehmen dar. Sie müssen deshalb zwingend mithilfe einer App Risk Management-Lösung in der UEM-Strategie berücksichtigt werden.
Lesen Sie hier, was Unternehmen beim Einsatz eines UEM beachten müssen!
Checkliste: Wie können Unternehmen die NIS2 Anforderungen umsetzen?
Die Umsetzung der NIS2-Richtlinie erfordert von den betroffenen Unternehmen, konkrete Maßnahmen zu ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Hierzu gehören folgende Schritte:
- Risikobewertung: Zunächst sollten Sie eine umfassende Risikoanalyse Ihrer Netz- und Informationssysteme durchführen, um potenzielle Sicherheitsrisiken zu identifizieren und zu bewerten.
- Sicherheitsmaßnahmen implementieren: Basierend auf der Risikobewertung sollten Sie angemessene Sicherheitsmaßnahmen umsetzen, um Ihre Netz- und Informationssysteme zu schützen. Hierzu gehören Sicherheitsvorkehrungen wie Firewalls, Verschlüsselung und Zugriffskontrollen.
- Technische Lösungen einsetzen: Um auch mobile Bedrohungen zu erkennen, sollten Sie eine technische Mobile-Security-Lösung wie APPVISORY verwenden. Sie identifiziert Sicherheitslücken im bestehenden App-Portfolio, arrangiert Apps in einer Positiv- und Negativliste und stellt so den Schutz betrieblich genutzter Mobilgeräte sicher. Testen Sie APPVISORY hier kostenlos und verschaffen Sie sich ein Bild darüber, wie Ihre mobile Infrastruktur aufgestellt ist!
- Incident-Response-Plan erstellen: Sie sollten einen Incident-Response-Plan entwickeln, der festlegt, wie Ihr Unternehmen auf Sicherheitsvorfälle reagiert und diese bewältigt. Dieser sollte die von NIS2 vorgeschriebene Einrichtung von Meldeverfahren sowie die Zusammenarbeit mit Behörden beinhalten.
- Compliance überprüfen: Weiterhin sollten Sie regelmäßig ihre Sicherheitsmaßnahmen überprüfen und sicherstellen, dass sie den Anforderungen der NIS2-Richtlinie entsprechen.
- Schulung und Sensibilisierung: Zudem sollten Sie ihr Personal regelmäßig schulen und für Cyber-Gefahren sensibilisieren, sodass sie sich der Bedeutung von Cybersicherheit bewusst sind und die Richtlinien des Unternehmens einhalten.
