Köln, den 22. April 2024. Mit der umfassenden Cybersicherheitsrichtlinie NIS2, die bis 17. Oktober 2024 in nationales Recht umgewandelt werden muss, legt die EU neue Mindeststandards für Cybersicherheit fest. NIS2 betrifft dabei deutlich mehr Unternehmen als der Vorgänger NIS1, stellt höhere Anforderungen und steigert den Durchsetzungsdruck. Diese Auswirkungen betreffen auch Schweizer Unternehmen, die in der EU tätig sind.
Wir stehen Ihnen als Partner bei der Einführung von NIS2 zur Seite.
Die neue EU-Richtlinie: „Network and Information Systems Directive 2“ (NIS2) wird ab 17. Oktober 2024 die Richtlinie (EU) 2016/1148 (NIS-Richtlinie) aufheben und damit die bisher umfassendste europäische Cybersicherheitsrichtlinie sein. Ziel ist es, einen Grundstock an Sicherheitsmaßnahmen zu schaffen, das Risiko von Cyberangriffen zu mindern und das allgemeine Niveau der Cybersicherheit in der EU zu verbessern.
NIS2 baut auf früheren Rechtsvorschriften wie NIS1 und DSGVO auf, ergänzt diese jedoch um neue, höhere Anforderungen. Diese umfassen u.a. Risikobewertungen, Richtlinien und Verfahren für Kryptografie, Sicherheitsverfahren für Mitarbeitende mit Zugang zu sensiblen Daten, mehrstufige Authentifizierung und Schulungen zur Cybersicherheit. NIS2 legt dabei einen Schwerpunkt auf Sicherheit und Geschäftskontinuität, einschließlich der Sicherheit der Lieferkette.
Dadurch werden deutlich mehr Unternehmen als zuvor (über 160.000) in die Pflicht genommen. Zur Identifizierung der entsprechenden Unternehmen hat die EU 18 kritische Sektoren definiert, darunter z.B. Energie, Transportwesen oder Lebensmittel; zusätzlich wird die Unternehmensgröße berücksichtigt. Neben einer höheren Anzahl an betroffenen Unternehmen steigen auch Berichtspflicht und Durchsetzungsdruck.
Obwohl die Schweiz nicht direkt von der EU-Gesetzgebung betroffen ist, ist die NIS2-Richtlinie auch für die Schweiz relevant. Denn die Richtlinie bezieht explizit Lieferketten und Partnerunternehmen ein und hat somit Auswirkungen auf Schweizer Unternehmen, die in oder mit der EU tätig sind. Diese Unternehmen müssen möglicherweise ihre Sicherheitsmaßnahmen anpassen, um den neuen EU-Standards zu entsprechen.
NIS2 legt sowohl eine Benchmark für Mindestmaßnahmen für Cybersicherheit als auch klare Richtlinien für die Meldung von Sicherheitsvorfällen und potenziellen Schwachstellen fest.
Die Anforderungen umfassen dabei folgende vier Ziele:
Bei Verstößen gegen die NIS2-Richtlinie ist vor allem mit Sanktionen in Form von hohen Geldbußen zu rechnen. Darüber hinaus haftet aber auch das Management selbst und kann bei Missachtung der Richtlinie zur Verantwortung gezogen werden.
Die Einführung von NIS2 bindet Budgets und Ressourcen und benötigt daher ein klares Konzept – von einem ersten Readiness Check, Security Analyse und Risikomanagement bis zur Umsetzung notwendiger Maßnahmen zur Schließung von Sicherheitslücken inkl. Meldeverfahren.
«Wir wissen, dass NIS2 eine komplexe Herausforderung darstellen kann. Deshalb unterstützen wir Unternehmen mit unserer Expertise dabei, die Konformität zu erreichen – denn wir verfügen über jahrelange Erfahrung bei der Implementierung höchster Sicherheitskonzepte und -maßnahmen. Als Microsoft Partner setzen wir dafür auf die Vorteile umfassender Microsoft-Sicherheitslösungen wie z.B. Microsoft Defender for Cloud oder Microsoft Intune», erklärt Friedhelm Otto, Bereichsleiter Cloud Security & Infrastructure bei der novaCapta.
«Den NIS2 Standard zu erreichen, ist ein erster Schritt – es ist jedoch genauso wichtig, ihn nach der Umsetzung kontinuierlich zu halten. Auch bei dieser Herausforderung unterstützen wir mit unseren Managed Services inkl. SOC-Lösung», ergänzt Gerardo Immordino, Bereichsleiter Managed Modern Endpoint.
Wir verfügen über fundierte Erfahrung bei der Umsetzung grundlegender Sicherheitsmaßnahmen in Unternehmen, u.a. bestätigt durch unsere ISO 27001 Zertifizierung und unsere Auszeichnung als Microsoft Solution Partner im Bereich Security.
