NIS2-Richtlinie mit Quick-Check

NIS2-Richtlinie mit Quick-Check

Neue Cybersecurity-Richtlinie steht vor der Tür

Die Implementierung der NIS2-Richtlinie befindet sich in der finalen Phase. Die EU-Mitgliedsstaaten haben nicht mehr lange Zeit, die Richtlinie in ihre nationalen Gesetze zu integrieren. Dieser Umsetzungsprozess beinhaltet die Verabschiedung lokaler Gesetze, die die Ziele und Anforderungen von NIS2 widerspiegeln. Obwohl einige Mitgliedstaaten aktiv daran arbeiten, gibt es Bedenken, dass nicht alle die Frist einhalten werden. Unabhängig davon sollten sich Organisationen in allen betroffenen Sektoren auf die verschärften Cybersicherheitsmaßnahmen und die Meldepflicht für Vorfälle vorbereiten, die in der NIS2-Richtlinie vorgeschrieben sind. Allerdings können die verschärften Sicherheitsmaßnahmen und die Meldepflichten für Vorfälle gemäß NIS2 eine große Herausforderung sein. Im Folgenden finden Sie alle wichtigen Informationen inkl. Quick-Check ob Ihr Unternehmen von der neuen Richtlinie betroffen ist.

NIS2-Quick-Check

Mit diesem interaktiven NIS2-Check können Sie überprüfen ob Ihr Unternehmen oder Ihre Organisation von der neuen NIS2-Richtlinie betroffen ist.

Sollte im Folgenden die interaktive Abfrage aufgrund von nicht akzeptierten Cookies nicht angezeigt werden, können Sie sie hier ansehen.

Was ist NIS2?

NIS2 ist die überarbeitete Version der von der EU 2016 eingeführten Cybersecurity-Richtlinie NIS und konzentriert sich nicht nur auf den Schutz kritischer Infrastrukturen, sondern umfasst deutlich mehr Bereiche und Unternehmen. Dabei steht NIS für "Network and Information Security". Sie definiert unter anderem Kriterien zur Identifikation von Betreibern kritischer Infrastrukturen und legt Mindeststandards für deren Informationssicherheit fest. Ziel ist es, das Sicherheitsniveau in den EU-Mitgliedstaaten zu stärken und zu vereinheitlichen.

NIS2-Studie - Status quo der NIS2-Umsetzung in Unternehmen

connect professional führt derzeit eine neutrale Studie zum Status der Umsetzung der NIS2-Richtlinie in Unternehmen durch bei der die BOC IT-Security als Gold-Sponsor unterstützt..

Wer ist von NIS2 betroffen?

Die NIS2-Richtlinie betrifft Unternehmen nur dann, wenn sie mindestens 50 Mitarbeiter oder einen Jahresumsatz und Jahresbilanz von mehr als 10 Millionen Euro aufweisen sowie zu einer der folgenden Branchen zählen (auch Zulieferer, Dienstleister und andere verbundene Unternehmen können betroffen sein):

  • wesentliche Organisationen (essential): Energie, Transport, Bankwesen, Finanzmärkte, Gesundheitswesen, Trinkwasser, Digitale Infrastruktur, Abwasser, Öffentliche Verwaltung, ICT Service Management im B2B, Weltraum
  • wichtige Organisationen (important): Post- und Kurierdienste, Abfall, Lebensmittel, Chemikalien, digitale Dienste (etwa für Suchmaschinen, Online-Marktplätze, Cloud-Services, soziale Netzwerke), Industrie (unter anderem Maschinenbau, Fahrzeugbau, Datenverarbeitungsgeräten) sowie Forschung.

Für beide Gruppen gelten die gleichen Vorgaben. Unterschiede macht die EU jedoch bei drohenden Strafen und Sanktionen.

Was müssen Unternehmen bei der Umsetzung beachten?

Die Maßnahmen nach § 30 Abs. 2 müssen mindestens die folgenden Punkte umfassen:

    • Risikoanalyse und Sicherheit für Informationssysteme
    • Bewältigung von Sicherheitsvorfällen
    • Aufrechterhaltung des Betriebs, Backup-Management, Krisen-Management
    • Sicherheit der Lieferkette und zwischen Einrichtungen
    • Sicherheit in der Entwicklung, Beschaffung und Wartung
    • Management von Schwachstellen
    • Bewertung der Effektivität von Cybersicherheit und Risiko-Management
    • Cyberhygiene und Schulungen zur Cybersicherheit
    • Kryptografie und Verschlüsselung
    • Personalsicherheit, Zugriffskontrolle und Anlagen-Management
    • Multifaktor-Authentifizierung und kontinuierliche Authentisierung
    • Sichere Kommunikation (Sprach, Video- und Text)
    • Sichere Notfallkommunikation
    • Einsatz von Systemen zur Angriffserkennung (nur Betreiber kritischer Anlagen - § 31 Abs. 2)

Welche Sanktionen drohen bei Nichteinhaltung?

Die Sanktionen bei Nichteinhaltung der Anforderungen der NIS2-Richtlinie können erhebliche finanzielle Strafen beinhalten. Abhängig von der Einstufung des Unternehmens als "essential" oder "important" kann die Höchststrafe bis zu 10 Millionen Euro oder bis zu zwei Prozent des globalen Jahresumsatzes des betroffenen Unternehmens betragen. Neben den finanziellen Sanktionen drohen auch betriebliche Einschränkungen wie beispielsweise die vorübergehende Aussetzung bestimmter Dienste oder die Beschränkung von Geschäftsaktivitäten.

Die NIS2-Richtlinie verpflichtet Geschäftsführer, Maßnahmen zum Risikomanagement zu genehmigen und zu überwachen. Bei Nichterfüllung ihrer Pflichten droht persönliche Haftung der Geschäftsführung bis zur Ebene des CEO, insbesondere bei fehlenden Schutzmaßnahmen gegen Sicherheitsvorfälle.

Umsetzung mit WatchGuard

Viele Unternehmen sind mit den Vorgaben und Verpflichtungen von NIS2 überfordert und wissen nicht, wie sie diese umsetzen können – erst recht in Zeiten von Fachkräftemangel und fehlenden IT-Mitarbeitern im eigenen Haus. Die Cybersecurity-Lösungen von WatchGuard decken NIS2-Anforderungen ab. Das Portfolio umfasst Hardware und Cloud Firewalls mit Mobile User Access, sichere WLAN Access Points, Multifaktor-Authentifizierung mit AuthPoint sowie fortschrittliche Endpoint Security Lösungen. Bei Managed Detection and Response (MDR) kümmern sich Experten rund um die Uhr um den Schutz der Systeme und reagieren auf mögliche Attacken. WatchGuard bietet zudem XDR mit ThreatSync an, das über reine Endpoint-Security hinausgeht und Informationen aus Netzwerk-, E-Mail-, Cloud- und anderen Datenquellen integriert.

Wir als WatchGuard Platinum Partner stehen Ihnen bei der Umsetzung der NIS2-Richtlinie mit effizienten und passenden WatchGuard Produkten gerne zur Seite.

Unser Ansprechpartner

Gerne können Sie direkt mit unserem Ansprechpartner Kontakt aufnehmen.

Markus Kauder Maik Lumler

ml@boc.de
Tel. 0208 8596455