Was besagt die NIS2-Richtlinie?

Was besagt die NIS2-Richtlinie?

NIS2 ist eine Weiterentwicklung der NIS1-Richtlinie, die 2016 verabschiedet wurde. Mit der NIS-Richtlinie wurden erste Maßnahmen zur Schaffung eines einheitlichen Rechtsrahmens für die Cybersicherheit in der EU ergriffen. Im Dezember 2022 verabschiedeten der Rat der EU und das Europäische Parlament die NIS2-Richtlinie, mit der die Anforderungen an die Cybersicherheit EU-weit überarbeitet und erweitert wurden.

Da es sich bei NIS2 ebenfalls um eine Richtlinie und nicht um eine formelle Verordnung handelt, ist die Richtlinie in den Mitgliedstaaten nicht unmittelbar anwendbar, solange sie nicht in nationales Recht umgesetzt wird. Die Gesetzgeber in den jeweiligen Ländern sind daher verpflichtet, ihre nationalen IT-Sicherheitsgesetze innerhalb der vom europäischen Gesetzgeber gesetzten Frist, d. h. zum 17. Oktober 2024, zu ändern.

Warum wurde die NIS2-Richtlinie eingeführt?

Durch die Richtlinie sollen strengere Sicherheitsanforderungen umgesetzt werden. Dazu wird auch der Anwendungsbereich auf weitere Branchen (Sektoren) und Einrichtungen ausgeweitet. Darüber hinaus werden Maßnahmen wie Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme, Bewältigung von Sicherheitsvorfällen und die Sicherheit von Lieferketten berücksichtigt. Auch Berichtspflichten sollen vereinfacht werden.

Wann wird die NIS2-Richtlinie in Kraft treten?

Unternehmen und Organisationen müssen bis spätestens zum 18. Oktober 2024 die neuen und strengeren Cybersicherheitsvorschriften der EU erfüllen, sonst drohen hohe Strafen. Die Sophos NIS2 Compliance Card hilft Ihnen dabei. Sie zeigt Ihnen, wie Lösungen von Sophos Sie bei der Umsetzung der neuen NIS2-Richtlinien effektiv unterstützen können.

Welche Bußgelder oder Strafen drohen bei Nichteinhaltung der NIS2-Richtlinie?

Bei Nichterfüllung der Pflichten müssen die Mitgliedstaaten den Unternehmen oder Organisationen gemäß NIS2 hohe Geldbußen auferlegen: 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für „wesentliche“ Einrichtungen und 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für „wichtige“ Einrichtungen.

NIS2 verpflichtet die Leitungsorgane unmittelbar zur Umsetzung und Überwachung der Einhaltung der Rechtsvorschriften innerhalb Ihres Unternehmens oder Ihrer Organisation. Bei Verstößen gegen diese Richtlinie kann die Ausübung von Leitungsaufgaben auf Geschäftsführungs- bzw. Vorstandsebene vorübergehend untersagt werden.

Welche Anforderungen stellt die NIS2-Richtlinie an die Cybersicherheit?

Konkret verlangt NIS2, dass spezifische Maßnahmen als Teil einer aktiven Risikomanagementstrategie ergriffen werden, die sich auf die Sicherung der Lieferkette erstreckt. Dies gilt auch für außereuropäische Unternehmen, die mit EU-Unternehmen, die zur Einhaltung der NIS2-Bestimmungen verpflichtet sind, Geschäftsbeziehungen unterhalten.

Eine Liste spezifischer Risikomanagement-Maßnahmen finden Sie im Sophos-Whitepaper zum Thema NIS2 auf Seite 5.

Für wen ist NIS2 verpflichtend?

Mit NIS2 wird der Anwendungsbereich von NIS1 auf 18 weitere öffentliche und private Sektoren ausgeweitet. Darunter befinden sich höchst kritische Sektoren wie Energie, Verkehr und öffentliche Verwaltung.

Der Anwendungsbereich der NIS2-Richtlinie erstreckt sich in erster Linie auf Unternehmen und Organisationen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz oder einer Jahresbilanzsumme von mindestens 10 Mio. EUR. In einigen Ausnahmen greift die NIS2-Richtlinie unabhängig von der Größe der Einrichtung; so gilt sie beispielsweise für alle Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste.

Eine vollständige Liste der Sektoren, Klassifizierungen der Einrichtungen und zusätzlichen Anforderungen finden Sie im Sophos-Whitepaper zum Thema NIS2, Seite 3-4.

Wie kann ich mit Sophos die Anforderungen der NIS2 erfüllen?

Sophos bietet ein umfassendes Portfolio an Cybersecurity-Lösungen und -Diensten, die Unternehmen gezielt darin unterstützen, die NIS2-Anforderngen zu erfüllen. Sophos bietet Expertenwissen und Unterstützung für Ihre NIS2-Compliance-Maßnahmen durch kontinuierliche Compliance-Überwachung und Sicherung Ihrer Daten und Geräte. Sprechen Sie mit einem Sophos-Sicherheitsexperten und erfahren Sie, wie Sie Ihre Risiken reduzieren können.

Die Sophos NIS2 Reference Card beschreibt die NIS2-Anforderungen und zeigt, wie Sicherheitslösungen von Sophos Unternehmen dabei unterstützen können, die NIS2-Compliance-Vorgaben zu erfüllen. Dies umfasst die Analyse des Risikomanagements (einschließlich Schulungen), die Behandlung von Vorfällen und die technischen, betrieblichen und organisatorischen Maßnahmen zur Steuerung der Cybersecurity-Risiken auf den vorgeschriebenen Ebenen.

Wie kann ich sicherstellen, dass ich auch in Zukunft die NIS2-Vorschriften erfülle?

NIS2 und andere Cybersicherheitsvorschriften erfordern mehr als nur eine einmalige Analyse und Bewertung Ihres aktuellen Sicherheitsstatus. Nachweise über die Einhaltung von Sicherheitsvorgaben sowie über regelmäßige Schulungen zum Thema Cybersicherheit sind für jeden Bereich Ihrer IT-Umgebung zu erbringen – von den Zugangskontrollen über die Netzwerk- und Gerätesicherheit bis hin zu den Daten selbst, sowohl im Ruhezustand als auch bei der Übertragung.

Unternehmen und Organisationen müssen einen Prozess zur kontinuierlichen Überwachung ihrer IT-Umgebungen (einschließlich der Cloud-Ressourcen) etablieren, um sicherzustellen, dass sie die gesetzlichen Anforderungen jederzeit erfüllen. Automatisierungs- und Sicherheitstools können dabei helfen, indem sie ununterbrochen nach Netzwerkbedrohungen suchen und Sie sofort benachrichtigen, wenn es zu Regelwidrigkeiten in Ihrer Umgebung kommt.

Ein Anbieter von Cybersecurity-as-a-Service (CSaaS) kann den erforderlichen kontinuierlichen Compliance-Ansatz unterstützen, da er über die Expertise und die entsprechenden Ressourcen verfügt, um Ihren Compliance-Status rund um die Uhr zu überwachen. Dieses Modell hilft Ihrem internen Cybersicherheitsteam, nicht mehr nur auf NIS2-Audit-Anfragen zu reagieren, sondern einen proaktiveren Ansatz zu wählen. Durch die fortwährende Einhaltung der Bestimmungen können Sie auf jede Sicherheitsprüfung Ihrer Systeme und auf alle Anfragen zu Ihren Datenschutzrichtlinien souverän reagieren.

Sollte ich eine NIS2-Konformitätsprüfung in Betracht ziehen?

Für viele Unternehmen und Organisationen ist es von Vorteil, einen Berater hinzuzuziehen, der ihre Systeme auf NIS2-Konformität prüft. Eine NIS2-Analyse liefert einen ganzheitlichen Überblick über den Cybersicherheitsstatus Ihres Unternehmens und bietet bei Bedarf detaillierte Einblicke. So erhalten Sie eine umfassende Bestandsaufnahme aller potenziellen Schwachstellen in Ihrer derzeitigen IT-Umgebung und können Bereiche mit Verbesserungsbedarf ermitteln.

Wie kann mir Cybersecurity-as-a-Service (CSaaS) bei der Einhaltung der NIS2-Richtlinie helfen?

Die Zusammenarbeit mit einem Anbieter von Cloud-Diensten für Cybersicherheit verringert die Belastung für Unternehmen, die über keine internen Ressourcen für die kontinuierliche Einhaltung der NIS2-Richtlinien verfügen. Ein Managed Detection and Response (MDR)-Anbieter setzt beispielsweise Sicherheitsexperten ein, um potenzielle Sicherheitsrisiken in Ihrer gesamten Umgebung zu erkennen und zu analysieren – rund um die Uhr, 365 Tage im Jahr. Der richtige MDR-Partner nutzt weltweit führende Threat Intelligence, um den Risikograd zu bestimmen und schnelle, effektive Reaktionsmaßnahmen zu priorisieren. So können Bedrohungen gezielt beseitigt und personenbezogene Daten geschützt werden. Laden Sie die Sophos NIS2 Compliance Card herunter, um mehr darüber zu erfahren, wie Managed Security dazu beiträgt, die Sicherheitsanforderungen zur Einhaltung gesetzlicher Vorschriften zu erfüllen.

 

NIS2-FAQs für einen schnellen Überblick

Die NIS2-Richtlinie

1. Was besagt die NIS2-Richtlinie? NIS2 ist eine EU-Verordnung, die darauf abzielt, die Cybersicherheit in den Mitgliedstaaten zu verbessern, indem sie strengere Anforderungen an die Sicherheit und die Meldung von Vorfällen festlegt.

2. Welche zentralen Aspekte beinhaltet die NIS2-Richtlinie? Zu den wichtigsten Aspekten gehören strengere Sicherheitsanforderungen, ein erweiterter Anwendungsbereich und ein besseres Incident Reporting (Meldewesen).

3. Was hat die Europäische Kommission veranlasst, eine neue NIS-Richtlinie auszuarbeiten? Die Kommission hat diese neue Richtlinie ausgearbeitet, um dem rasanten Wandel in der Cybersicherheitslandschaft und neuen Bedrohungen besser begegnen zu können. Sehen Sie dazu die PPT-Präsentation zum NIS2-Webinar von Sophos: Die Bedrohungen: (5:18), in dem diese zusätzlichen Punkte erörtert werden.

• Zunehmende Abhängigkeit von der digitalen Infrastruktur: Die COVID-19-Pandemie hat die Abhängigkeit von digitalen Systemen sowohl bei Privatpersonen als auch bei Unternehmen erhöht, auch bei solchen, die traditionell nicht als digital aufgestellte Unternehmen gelten. Durch diesen Wandel ist auch eine starke Cybersicherheit zunehmend in den Fokus gerückt.
• Anstieg der Cyberangriffe: Die Zahl der Cyberangriffe, insbesondere von Ransomware, hat dramatisch zugenommen. Solche Angriffe betreffen sämtliche Branchen. Sie sind Teil lukrativer krimineller Machenschaften, die Hunderte von Millionen Euro einbringen.
• Groß angelegte Supply-Chain-Angriffe: Die Auswirkungen groß angelegter Angriffe auf die Supply Chain haben die Schwachstellen in vernetzten globalen Lieferketten offengelegt. Zudem wurde deutlich, dass umfassende Cybersicherheit-Strategien dringend erforderlich sind.
• Geopolitische Bedrohungen: Die russische Invasion in der Ukraine im Februar des vergangenen Jahres hat die ernste Cyber-Bedrohungslage und die Notwendigkeit von Maßnahmen auf staatlicher Ebene zur Bewältigung dieser Risiken deutlich gemacht.
• Unzulänglichkeiten bei den bisherigen Maßnahmen: Trotz der Verbesserungen, die die ursprüngliche Richtlinie mit sich brachte, gab es immer noch erhebliche Unterschiede bei den Cybersicherheits-Standards in der EU und eine uneinheitliche Wahrnehmung der Cyberbedrohungen seitens der Mitgliedstaaten.

4. Welche Aspekte der früheren NIS1-Richtlinie werden in NIS2 übernommen? Zentrale Aspekte wie das Risikomanagement und Incident Reporting wurden beibehalten und verbessert.

5. Welche Hauptziele verfolgt die NIS2-Richtlinie? Durch die NIS2-Richtlinie soll insbesondere die Cyberresilienz gestärkt werden. Weitere wichtige Ziele sind ein besseres Incident Reporting (Meldung der Vorfälle) und eine engere Zusammenarbeit zwischen den Mitgliedstaaten. Sehen Sie dazu die PPT-Präsentation zum NIS2-Webinar von Sophos: Die Zielsetzung: (7:54), in dem diese zusätzlichen Punkte erörtert werden.

• Schutz kritischer Infrastrukturen: Sicherstellen, dass kritische Infrastrukturen sowie Unternehmen und Organisationen in der EU vor Cyberangriffen geschützt sind.
• Erweiterung der bestehenden Regelungen: Die in der ursprünglichen Richtlinie festgelegten Anforderungen werden durch Einführung strengerer Maßnahmen und umfassenderer Leitlinien erweitert.
• Einheitliche Sicherheitsstufen: Für eine einheitlichere und stärkere Cybersicherheit in allen Mitgliedsstaaten der Europäischen Union sorgen.

6. Was sind die wichtigsten Unterschiede zwischen NIS1 und NIS2? NIS2 führt strengere Sicherheitsanforderungen ein, erweitert den Umfang der erfassten Sektoren/Branchen und sieht im Vergleich zu NIS1 strengere Meldepflichten vor.

Umsetzung und Durchsetzung der NIS2:

7. Wann wird die NIS2-Richtlinie in Kraft treten? Sie soll im Oktober 2024 in Kraft treten, wobei der Zeitplan für die Umsetzung gestaffelt ist.

8. Wie wird die NIS2-Richtlinie in den verschiedenen EU-Mitgliedstaaten durchgesetzt? Die nationalen Behörden werden für die Durchsetzung und Überwachung der Compliance zuständig sein, wobei die Koordinierung auf EU-Ebene erfolgt.

9. Wie sollten sich Unternehmen auf die NIS2-Richtlinie vorbereiten? Unternehmen und Organisationen sollten mit einer Analyse der Schwachstellen beginnen und entsprechend ihre Cybersicherheitsmaßnahmen verbessern. Darüber hinaus sollten sie Systeme zur kontinuierlichen Überwachung und Berichterstattung einführen.

10. Sollte ich eine NIS2-Konformitätsprüfung in Betracht ziehen? Für viele Unternehmen ist es von Vorteil, einen Berater hinzuzuziehen, der ihre Systeme auf die Einhaltung der NIS2-Vorschriften hin überprüft und feststellt, ob ihre Cyberabwehr verstärkt werden müsste.

11. Wie können Unternehmen und Organisationen ihr aktuelles Vermögen, die Bestimmungen der NIS2-Richtlinie einzuhalten, beurteilen? Unternehmen und Organisationen können zur Bewertung der Konformität Tools und Methoden verwenden sowie Berater hinzuziehen, um die Sicherheit Ihrer Systeme zu beurteilen.

12. Was ist ein wirksamer Incident-Response-Plan im Sinne der NIS2-Richtlinie? Ein effektiver Plan sollte definierte Rollen, Kommunikationsprotokolle und regelmäßige Tests umfassen.

13. Welche Auswirkungen hat die NIS2-Richtlinie auf kleine und mittlere Unternehmen (KMU)? KMU müssen die Bestimmungen der Richtlinie einhalten, was zusätzliche Investitionen und Ressourcen für die Cybersicherheit bedeuten kann, wenn Folgendes auf sie zutrifft:

Für Unternehmen in den von NIS2 betroffenen Sektoren gelten die folgenden Schwellenwerte:

• Mittelständische Unternehmen: 50 bis 249 Mitarbeiter, mit einem Umsatz von weniger als 50 Millionen Euro und/oder einer Bilanzsumme von weniger als 43 Millionen Euro.
• Große Unternehmen: 250 oder mehr Beschäftigte, mit einem Umsatz von mindestens 50 Millionen Euro und/oder einer Bilanzsumme von mindestens 43 Millionen Euro.

14. Für wen gilt die NIS2-Richtlinie; welche Einrichtungen (Sektoren) müssen die Vorschriften der Richtlinie befolgen? NIS2 gilt für viele Unternehmen, dabei gibt es zwei Gruppen unterteilt in wesentliche und wichtige Einrichtungen:

Wenn Sie in einem dieser Sektoren/Branchen tätig sind und außerdem über mindestens 50 Mitarbeiter verfügen sowie einen Jahresumsatz von mindestens 10 Millionen Euro erzielen, gilt für Sie die NIS-Richtlinie. Sehen Sie dazu die Webinar-Folie zu Sophos NIS2 über wesentliche und wichtige Einrichtungen (Sektoren).

Welchen Regelungsbereich umfasst die NIS2-Richtlinie?

15. Welcher Mitgliedsstaat wird im Rahmen der NIS-Richtlinie rechtlich für die Einrichtungen zuständig sein? Die Gerichtsbarkeit wird in der Regel durch den Sitz der Hauptniederlassung des Unternehmens/der Organisation in der EU bestimmt.

16. Was beinhalten Artikel 21 und die in der NIS2-Richtlinie vorgeschriebenen Cybersicherheitsmaßnahmen? Artikel 21 der NIS2-Richtlinie soll die Cybersicherheitsstandards und -sanktionen verschärfen und gleichzeitig die Widerstandsfähigkeit gegenüber Cyberangriffen verbessern. Artikel 21 enthält viele der in der Richtlinie geforderten Aspekte, wie z. B. die Umsetzung von Risikomanagement-Maßnahmen, Incident-Response-Protokolle und regelmäßige Sicherheitsaudits. Sehen Sie dazu die PPT-Präsentation zum NIS2-Webinar von Sophos, Sicherheitsstandards: (14:25), in der diese zusätzlichen Punkte erörtert werden.

• Grundlegende Durchsetzung von IT-Sicherheitsvorgaben: Behandelt grundlegende Vorgehensweisen wie Passwortverwaltung, Schutz von Systemadministratoren, Software-Updates und Backups.
• Schwachstellen-Management Stellt sicher, dass Schwachstellen in Systemen erkannt und beseitigt werden.
• Sicherheit für Lieferketten: Konzentriert sich auf den Schutz der Lieferkette gegen Cyberbedrohungen.
• Verschlüsselungs- und Kryptographie-Standards: Setzt Standards für Verschlüsselung und Kryptographie zum Schutz sensibler Daten.
• Asset Management: Betrifft die Verwaltung und den Schutz digitaler Assets.
• Zugriffskontrolle und Zero Trust Security: Strenge Maßnahmen zur Zugriffskontrolle und ein Zero-Trust-Sicherheitsmodell werden umgesetzt.
• Risikoanalyseprozess: Erfordert einen Risikoanalyseprozess, der die notwendigen Sicherheitsmaßnahmen ermittelt.
• Dokumentation und Reporting bei Vorfällen: Schreibt ordnungsgemäße Verfahren für den Umgang mit Vorfällen und deren Meldung vor.
• Unterbrechungsfreier E-Mail-Zugriff: Betont die Notwendigkeit von Krisenmanagement- und Notfallplänen zur Gewährleistung der Geschäftskontinuität.

17. Welche Arten von Vorfällen müssen gemäß der NIS2-Richtlinie gemeldet werden? Vorfälle, die die Dienste erheblich stören oder die Sicherheit gefährden, müssen gemeldet werden.

Wie erziele ich NIS2-Konformität?

18. Welche Anforderungen an Schulungen und Security-Awareness-Kultur stellt die NIS2-Richtlinie? Regelmäßige Schulungen und Awareness-Programme zur Cybersicherheit sind für alle Mitarbeiter erforderlich.

19. Welche Ressourcen stehen zur Verfügung, um Unternehmen und Organisationen bei der Einhaltung der NIS2-Richtlinie zu unterstützen? Unternehmen und Organisationen können auf Leitfäden, Best-Practice-Rahmenwerke, Beratungs- und Support-Dienstleistungen zurückgreifen.

20. Wie fügt sich die NIS2-Richtlinie in bestehende IT-Governance-Rahmenwerke ein? NIS2 wurde mit Rahmenwerken wie COBIT und ITIL abgestimmt, um eine umfassende IT-Governance zu gewährleisten.

21. Welche Anforderungen stellt die NIS2-Richtlinie an das Reporting? Die Einrichtungen müssen ernste Vorfälle innerhalb von 24 Stunden melden und über den Stand der Abhilfemaßnahmen informieren.

22. Welche Rolle spielen Drittanbieter bei der Einhaltung von NIS2? Anbieter und Lieferanten müssen die gleichen Sicherheitsstandards erfüllen wie ihre Kunden.

Gibt es irgendwelche NIS2-Risiken oder -Strafen?

23. Was passiert, wenn wir die Vorschriften der NIS2-Richtlinie nicht einhalten? Die Nichteinhaltung kann erhebliche Strafen nach sich ziehen, darunter Geldstrafen und mögliche Betriebsbeschränkungen.

24. Welche finanziellen Folgen hat eine Nichteinhaltung der NIS2-Richtlinie? Die Nichteinhaltung von Vorschriften kann zu hohen Geldstrafen und erhöhten Betriebskosten aufgrund von Sicherheitsverstößen führen.

Wer koordiniert die NIS2-Richtlinie?

25. Wie werden die neuen Regeln zu einer besseren Zusammenarbeit beitragen? Die Richtlinie unterstützt und erleichtert den Informationsaustausch und gemeinsame Sicherheitsübungen der Mitgliedsstaaten.

26. Steht diese Initiative im Einklang mit anderen EU-Vorschriften? NIS2 steht im Einklang mit den allgemeinen EU-Vorschriften zur Cybersicherheit und zum digitalen Markt, wie z. B. der allgemeinen Datenschutzverordnung (GDPR).

27. Wie will die Europäische Kommission das Cyber-Krisenmanagement verbessern? Zu den Strategien gehören die Schaffung eines koordinierten Reaktionsrahmens und die Förderung der grenzüberschreitenden Zusammenarbeit.

Erläutern Sie die strategischen Überlegungen

28. Welche Vorteile bietet die Einhaltung der NIS2-Richtlinie? Die Einhaltung von Vorschriften erhöht die Sicherheit, verbessert den Ruf und steigert die Wettbewerbsfähigkeit, während gleichzeitig die negativen finanziellen Auswirkungen bei Nichteinhaltung von Vorschriften vermieden werden.

29. Wie kann CSaaS die Einhaltung der NIS2-Vorschriften unterstützen? Die Partnerschaft mit einem externen Sicherheitsunternehmen, das Cybersicherheit als Cloud-Service anbietet, verringert den Aufwand für die laufende Überwachung, Erkennung und Reaktion für Unternehmen, die über keine internen Ressourcen für die kontinuierliche Einhaltung der NIS2-Bestimmungen verfügen.

30. Wie wird in der NIS2-Richtlinie auf neue Cyberbedrohungen eingegangen? NIS2 enthält Bestimmungen zur Anpassung an neue und aufkommende Cyberbedrohungen.

Wie kann ich NIS2 umsetzen?

31. Was sind die nächsten Schritte zur Umsetzung der Richtlinie? Unternehmen und Organisationen sollten die nationalen Vorschriften zur Umsetzung in Ihrem Land kennen, Interessengruppen einbeziehen und die Durchsetzungsmechanismen einrichten. Eine vollständige Liste der Sophos-Lösungen, die Unternehmen und Organisationen bei der Einhaltung der NIS2-Vorschriften unterstützen, steht im NIS2-Whitepaper zum Download bereit.

32. Welche Tools können Unternehmen und Organisationen einsetzen, um die Vorschriften der NIS2-Richtlinie zu erfüllen? Der Einsatz leistungsstarker Sicherheits- und Automatisierungstools kann dazu beitragen, die Compliance-Anforderungen effizient zu erfüllen.

NIS2-Ressourcen

Gerüstet für die Einhaltung der NIS2-Richtlinie

Erfahren Sie mehr über die NIS2-Bestimmungen

Herunterladen der NIS2 Compliance Card

Stärken Sie Ihren Cyberschutz: Einblick in die NIS-2-Richtlinie

Jetzt ansehen: Sophos NIS2 Webinar

Sophos-Leitfaden zum Digital Operational Resilience Act (DORA)