2016 trat die erste NIS-Richtlinie in Kraft. NIS 2 Richtlinie stellt eine wesentliche Weiterentwicklung der ursprünglichen Richtlinie dar. Die neue EU-Richtlinie soll die Cybersicherheit innerhalb der EU-Mitgliedsstaaten weiter stärken. Außerdem soll sie den Schutz kritischer Infrastrukturen sowie wesentlicher und wichtiger Einrichtungen gewährleisten.
Mit der NIS 2.0 werden die Anforderungen an die Cybersicherheit erweitert und verschärft. Damit soll den zunehmenden Bedrohungen durch Cyberangriffe begegnet werden.

„Es ist ermutigend zu sehen, dass EU-Länder und Gesetzgeber die katastrophalen Auswirkungen erfolgreicher Cyberangriffe auf verschiedene Branchen anerkennen, indem sie strengere Cybersicherheitsregeln für Unternehmen vereinbaren.“
Trevor Dearing, EMEA Director of Critical Infrastructure bei Illumio in Portswigger

Was sind wesentliche und wichtige Einrichtungen?

Mit der Einführung der NIS2-Richtlinie ist die Zahl der betroffenen Unternehmen deutlich gestiegen.
Von der ursprünglichen NIS-Richtlinie (NIS1) waren etwa 30.000 Unternehmen in der gesamten EU betroffen. Mit NIS2 werden es mehr als 100.000 Unternehmen sein.
Als wesentliche und wichtige Einrichtungen werden Unternehmen ab 50 Mitarbeitenden und 10 Mio. Euro Umsatz eingestuft, die bestimmten Sektoren angehören. Dazu gehören Branchen wie

  • Gesundheitswesen
  • Transportwesen
  • Finanzsektor
  • Wasserversorgung
  • digitale Infrastruktur
  • chemische Industrie und
  • öffentliche Verwaltung.

Da einige Betreiber unabhängig von ihrer Größe reguliert werden (u.a. Forschungseinrichtungen und öffentliche Verwaltungen), können auch mittlere Unternehmen betroffen sein.

chart diagram of crticial and high critical sectors

 

Die wichtigsten Änderungen gegenüber der ersten NIS-Richtlinie

Die ursprüngliche NIS-Richtlinie konzentrierte sich auf Betreiber kritischer Anlagen und kritischer Infrastrukturen, vergleichbar mit den deutschen KRITIS-Unternehmen. NIS2 deckt nun ein viel breiteres Spektrum von Sektoren ab.

NIS2 stellt detailliertere und strengere Sicherheitsanforderungen. Dazu gehören regelmäßige Risikobewertungen und die Einführung von Maßnahmen zur Prävention von und zur Reaktion auf Cyberangriffe.
Unternehmen müssen Cybervorfälle, die erhebliche Auswirkungen auf die Erbringung ihrer Dienstleistungen haben, schneller und detaillierter melden. Innerhalb von 24 Stunden muss eine Frühwarnung erfolgen, innerhalb von 72 Stunden eine Mitteilung über den Vorfall.
NIS2 erweitert die Befugnisse der nationalen Behörden zur Durchsetzung der Richtlinie und zur Verhängung von Sanktionen bei Nichteinhaltung. Die Strafen können sich auf mehrere Millionen Euro belaufen.

 

Fristen und Zuständigkeiten

Die EU-Mitgliedstaaten müssen die NIS2 Richtlinie bis spätestens Oktober 2024 in nationales Recht umsetzen.
In Deutschland geschieht dies durch das NIS2 Umsetzungsgesetz. Es integriert die Anforderungen der EU-Richtlinie in das nationale IT-Sicherheitsgesetz.
Zuständig für die Überwachung ist das Bundesamt für Sicherheit in der Informationstechnik BSI. Das BSI nimmt eine zentrale Position ein, indem es die Umsetzungsgesetze von NIS2 unterstützt und überwacht.

Verschärfte Maßnahmen

Die Richtlinie verlangt, dass alle Organisationen ihre Netzwerke, Informationssysteme und physischen Systemumgebungen schützen. Außerdem unterstützt sie die Umsetzung eines Zero-Trust-Modells, um die Widerstandsfähigkeit gegenüber Cyberangriffen insgesamt zu verbessern.

Gemäß der NIS2-Richtlinie müssen Unternehmen sicherstellen, dass Kryptographie und Netzwerksicherheit dem neuesten Stand der Technik entsprechen. Betroffene Unternehmen sollten daher eine Reihe von technischen und organisatorischen Maßnahmen ergreifen, um dies zu gewährleisten. Dazu gehören die regelmäßige Überprüfung und Erneuerung digitaler Zertifikate sowie die Implementierung robuster PKI-Systeme.

Kryptographie

Kryptographie ist ein zentrales Element der NIS2-Richtlinie. Sie verwendet mathematische Algorithmen, um sensible Daten zu verschlüsseln. So erhalten nur autorisierte Benutzer darauf Zugriff. In Verbindung mit digitalen Zertifikaten ermöglicht Kryptographie eine sichere Kommunikation über Netzwerke.

Netzwerksicherheit

Zur Netzwerksicherheit gehören Firewalls, Intrusion-Detection-Systeme und regelmäßige Sicherheitsupdates. Sie dienen dem Schutz der Integrität, Vertraulichkeit und Verfügbarkeit von Daten.

Digitale Zertifikate und Zertifikatsmanagement

Digitale Zertifikate dienen als elektronische Ausweise, die die Identität eines Benutzers, Geräts oder einer Organisation bestätigen. Sie werden von Zertifizierungsstellen (Certificate Authorities, CAs) ausgestellt, die als Vertrauensanker fungieren. Sie enthalten wichtige Informationen wie den öffentlichen Schlüssel des Zertifikatsnutzers und die Identität des Ausstellers.
Die Verwaltung digitaler Zertifikate ist für die Aufrechterhaltung der Sicherheit und Integrität von IT-Systemen entscheidend. Digitale Zertifikate haben eine begrenzte Gültigkeit. Sie müssen kontinuierlich überwacht und verwaltet werden, damit sie nicht ablaufen oder kompromittiert werden.
Zertifikatsmanagement-Tools wie essendi xc übernehmen die automatisierte und zentralisierte Verwaltung. Unternehmen behalten so den Überblick über alle ausgestellten und verwendeten Zertifikate. Dadurch werden Sicherheitslücken geschlossen und der Verwaltungsaufwand reduziert.

Wie essendi xc Sie sonst noch unterstützen kann, zeigen wir Ihnen gerne in einer kostenlosen LiveDemo.

PKI

Die Public Key Infrastructure (PKI) spielt eine wesentliche Rolle bei der Netzwerksicherheit. Sie bietet den Rahmen für die Verwaltung digitaler Zertifikate. Die PKI unterstützt Unternehmen bei der Erstellung und Verwaltung vertrauenswürdiger digitaler Identitäten. Dies ist essentiell für den Schutz vor Identitätsdiebstahl.

 

Multi-Faktor-Authentifizierung (MFA)

Die Multi-Faktor-Authentifizierung (MFA) ist eine der wichtigsten Maßnahmen im Bereich der Cybersicherheit. Sie stellt eine zusätzliche Sicherheitsstufe dar. Sie verlangt, dass sich der User über mehrere Faktoren authentifiziert. Meist ist es eine Kombination aus

secuirty shield with stars which should demonstrate a password 4 stars which should demonstrate a security token a digital fingerprint
etwas, das der Benutzer kennt (Passwort), etwas, das er hat (Security-Token), oder etwas, das er ist (biometrische Daten).

Erst dann erhält er Zugang zu den IT-Systemen.
Zusammen bilden Zertifikate, MFA und PKI ein starkes Schutzschild gegen Cyberangriffe.

 

Zusammenfassung

Die NIS2 Richtlinie stellt eine deutliche Verschärfung der Cybersicherheits-Anforderungen für Unternehmen in der Europäischen Union dar. Mit der Ausweitung auf neue Sektoren wird der Schutz kritischer Infrastrukturen noch umfassender. Besonders betroffen sind Betreiber kritischer Infrastrukturen und wesentlicher und wichtiger Einrichtungen. Sie müssen umfangreiche Maßnahmen ergreifen, um den neuen Anforderungen gerecht zu werden.
Durch proaktive Sicherheitsstrategien und regelmäßige Überprüfungen können Unternehmen ihre Systeme schützen und deren Betrieb sicherstellen.
Von zentraler Bedeutung sind dabei

  • die Fokussierung auf das Management digitaler Zertifikate sowie
  • die Integration von Multi-Faktor-Authentifizierung.

Unternehmen, die die Anforderungen der NIS 2.0 nicht erfüllen, drohen Bußgelder in Millionenhöhe. Der fristgerechten Umsetzung der Richtlinie sollte daher Beachtung geschenkt werden.