NIS2-Richtlinie: Das müssen Sie wissen

Köln, den 22. April 2024. Mit der umfassenden Cybersicherheitsrichtlinie NIS2, die bis 17. Oktober 2024 in nationales Recht umgewandelt werden muss, legt die EU neue Mindeststandards für Cybersicherheit fest. NIS2 betrifft dabei deutlich mehr Unternehmen als der Vorgänger NIS1, stellt höhere Anforderungen und steigert den Durchsetzungsdruck. Wir stehen Ihnen als Partner bei der Einführung von NIS2 zur Seite.  
 

Was ist NIS2?

Die neue EU-Richtlinie: „Network and Information Systems Directive 2“ (NIS2) wird ab 17. Oktober 2024 die Richtlinie (EU) 2016/1148 (NIS-Richtlinie) aufheben und damit die bisher umfassendste europäische Cybersicherheitsrichtlinie sein. Ziel ist es, einen Grundstock an Sicherheitsmaßnahmen zu schaffen, das Risiko von Cyberangriffen zu mindern und das allgemeine Niveau der Cybersicherheit in der EU zu verbessern.

NIS2 baut auf früheren Rechtsvorschriften wie NIS1 und DSGVO auf, ergänzt diese jedoch um neue, höhere Anforderungen. Diese umfassen u.a. Risikobewertungen, Richtlinien und Verfahren für Kryptografie, Sicherheitsverfahren für Mitarbeitende mit Zugang zu sensiblen Daten, mehrstufige Authentifizierung und Schulungen zur Cybersicherheit. NIS2 legt dabei einen Schwerpunkt auf Sicherheit und Geschäftskontinuität, einschließlich der Sicherheit der Lieferkette.

Dadurch werden deutlich mehr Unternehmen als zuvor (über 160.000) in die Pflicht genommen. Zur Identifizierung der entsprechenden Unternehmen hat die EU 18 kritische Sektoren definiert, darunter z.B. Energie, Transportwesen oder Lebensmittel; zusätzlich wird die Unternehmensgröße berücksichtigt. Neben einer höheren Anzahl an betroffenen Unternehmen steigen auch Berichtspflicht und Durchsetzungsdruck.

Welche Anforderungen legt NIS2?

NIS2 legt sowohl eine Benchmark für Mindestmaßnahmen für Cybersicherheit als auch klare Richtlinien für die Meldung von Sicherheitsvorfällen und potenziellen Schwachstellen fest. Die Anforderungen umfassen dabei folgende vier Ziele:

Bei Verstößen gegen die NIS2-Richtlinie ist vor allem mit Sanktionen in Form von hohen Geldbußen zu rechnen. Darüber hinaus haftet aber auch das Management selbst und kann bei Missachtung der Richtlinie zur Verantwortung gezogen werden.
 

So erreichen Sie den NIS2 Standard

Die Einführung von NIS2 bindet Budgets und Ressourcen und benötigt daher ein klares Konzept – von einem ersten Readiness Check, Security Analyse und Risikomanagement bis zur Umsetzung notwendiger Maßnahmen zur Schließung von Sicherheitslücken inkl. Meldeverfahren.

«Wir wissen, dass NIS2 eine komplexe Herausforderung darstellen kann. Deshalb unterstützen wir Unternehmen mit unserer Expertise dabei, die Konformität zu erreichen – denn wir verfügen über jahrelange Erfahrung bei der Implementierung höchster Sicherheitskonzepte und -maßnahmen. Als Microsoft Partner setzen wir dafür auf die Vorteile umfassender Microsoft-Sicherheitslösungen wie z.B. Microsoft Defender for Cloud oder Microsoft Intune», erklärt Friedhelm Otto, Bereichsleiter Cloud Security & Infrastructure bei der novaCapta.

«Den NIS2 Standard zu erreichen, ist ein erster Schritt – es ist jedoch genauso wichtig, ihn nach der Umsetzung kontinuierlich zu halten. Auch bei dieser Herausforderung unterstützen wir mit unseren Managed Services inkl. SOC-Lösung», ergänzt Gerardo Immordino, Bereichsleiter Managed Modern Endpoint.