NovaMDR nutzt modernste Sicherheitstechnologie und Sicherheitsexperten von Weltklasse
Wir sind bestrebt, unsere Kunden auf ihrem Weg zur Einhaltung von Vorschriften zu unterstützen.
ForeNova bietet Unternehmen eine neue Möglichkeit, den unerbittlichen und oft unentdeckten Cyber-Bedrohungen, die aus allen Richtungen kommen, ein Ende zu setzen. Mit der einheitlichen Kommandozentrale von ForeNova können Unternehmen Bedrohungen erkennen, die sich bereits in ihrem Netzwerk befinden und bisher unbekannt waren.
5 Nov, 2024
1 Nov, 2024
Berechnen Sie den ROI des Aufbaus Ihres eigenen SOC im Vergleich zur Verwendung von MDR
Erfahren Sie, wie Sie Ihre Online-Identität und -Informationen mit Cybersecurity Essentials schützen können
14.11.2023 12:02:20
Die Europäische Union (EU) ist bekannt als eine Region, die Cybersicherheit und Datenschutz sehr ernst nimmt, dank der Allgemeinen Datenschutzverordnung (GDPR). Fünf Jahre nach Inkrafttreten der DSGVO ist die EU weiterhin Vorreiter in Sachen Cybersicherheitsvorschriften, diesmal mit der Richtlinie über Netz- und Informationssicherheit 2 (NIS2).
Die NIS war die erste EU-weite Gesetzgebung im Bereich der Cybersicherheit. Ihr Hauptziel war es, die EU-Mitgliedstaaten dabei zu unterstützen, fortschrittliche Standard-Cybersicherheitskapazitäten zu entwickeln, die es ihnen ermöglichen, Cyberbedrohungen zu widerstehen, Cyberangriffe zu vermeiden und ihre Informationssysteme zu schützen.
Die NIS2 erweitert den Anwendungsbereich der ursprünglichen NIS und verpflichtet mehr Einrichtungen und Sektoren in der EU, die geforderten Cybersicherheitsmaßnahmen umzusetzen. Sie befasst sich auch mit der Sicherheit von Lieferketten, enthält strengere Durchsetzungsvorschriften und strafft die Meldepflichten in der EU. Durch diese Aktualisierungen zielt die NIS2 darauf ab, die Cybersicherheit in der EU langfristig zu erhöhen.
In den letzten zehn Jahren waren zahlreiche europäische Länder, Unternehmen und kritische Sektoren von Cyberangriffen betroffen. Diese Probleme veranlassten die EU, ein EU-weites Cybersicherheitsökosystem zu entwickeln und umzusetzen. Die NIS-Gesetzgebung zur Cybersicherheit war einer der ersten Schritte zur Schaffung dieses Ökosystems. Die 2016 von den Mitgliedstaaten verabschiedeten NIS zielten darauf ab, ein hohes gemeinsames Niveau der Cybersicherheit in allen EU-Mitgliedstaaten zu gewährleisten. Sie enthielt zahlreiche rechtliche Maßnahmen zur Verbesserung der allgemeinen Cybersicherheitslage der EU.
Alles in allem waren die in der NIS vorgeschlagenen Ideen gut. Ihre Umsetzung erwies sich jedoch als sehr schwierig, vor allem weil die Mitgliedstaaten die Anforderungen unterschiedlich umsetzten. Diese Unterschiede erhöhten den Aufwand für Unternehmen, die in mehr als einem Mitgliedstaat tätig sind. Eine unzureichende Durchsetzung schränkte auch die von den Mitgliedstaaten erreichbare - und erreichte - Cyber-Resilienz ein.
Die NIS hat es auch nicht geschafft, die EU auf die sich verändernde Bedrohungslandschaft vorzubereiten oder das Situationsbewusstsein auf blockweiter Ebene zu verbessern. Außerdem konnte sie den Mitgliedstaaten nicht dabei helfen, wirksame Maßnahmen zur Minimierung von Cyber-Bedrohungen zu ergreifen, sich auf künftige Cyber-Herausforderungen vorzubereiten oder ihre allgemeine Cyber-Resilienz zu verbessern.
Diese Herausforderungen verdeutlichten die Notwendigkeit, den Anwendungsbereich der NIS zu erweitern, ihre Anwendbarkeit zu klären und die Regeln für das Cyber-Risikomanagement und die Meldung von Vorfällen zu vereinheitlichen. Diese Erfordernisse in Verbindung mit einer offenen öffentlichen Konsultation (OPC) der ursprünglichen NIS-Richtlinie führten zur Entwicklung der NIS2-Richtlinie.
Kurz gesagt ist das Hauptziel der NIS2-Richtlinie die Erhöhung der Cybersicherheit kritischer Infrastrukturen und digitaler Dienste in der EU und die Gewährleistung ihrer Widerstandsfähigkeit gegenüber bekannten und neu auftretenden Cyber-Bedrohungen.
Mit der NIS2 wurden die in der ursprünglichen NIS festgelegten Sicherheitsanforderungen verschärft. Außerdem wurden die Einschränkungen der NIS angegangen, die zu den im vorigen Abschnitt genannten Problemen geführt haben. Durch die Ausweitung des Anwendungsbereichs der NIS und die Festlegung der nachstehenden Ziele für die EU zielt die NIS2 darauf ab, die langfristigen Cybersicherheitsfähigkeiten der EU zu stärken:
Die NIS2-Richtlinie führt neue Anforderungen und Verpflichtungen für EU-Organisationen ein, um gemeinsam zum Schutz der kritischen Infrastrukturen in der EU beizutragen und ihre Cybersicherheit und Widerstandsfähigkeit zu stärken. Diese Anforderungen und Verpflichtungen sind klar formuliert, um unterschiedliche Auslegungen auszuschließen (was zu Umsetzungsproblemen und erhöhten Cybersicherheitsrisiken im Rahmen der NIS geführt hat). Sie fallen unter vier übergreifende Bereiche:
Die NIS2 verlangt von den EU-Einrichtungen, dass sie Maßnahmen zur Minimierung von Cyberrisiken und zum Schutz ihrer Vermögenswerte ergreifen, wie z. B. Vorfallsmanagementprozesse, stärkere Netzwerksicherheitskontrollen, robuste Zugangskontrollen und Datenverschlüsselung.
Im Rahmen der NIS2 beaufsichtigen und genehmigen Unternehmensleiter die Cybersicherheitsmaßnahmen des Unternehmens. Sie müssen auch darin geschult werden, wie sie diese Maßnahmen wirksam einsetzen, um die Cyberrisiken der Organisation zu minimieren. Kommt es trotz dieser Maßnahmen zu einem Sicherheitsverstoß, kann die Unternehmensleitung bestraft werden. Sie können für den Vorfall finanziell haftbar gemacht werden und vorübergehend von ihrer Funktion ausgeschlossen werden.
Die NIS2 harmonisiert die Regeln für die Meldung von Vorfällen im Bereich der Cybersicherheit. Sie zielt auch darauf ab, ein Gleichgewicht zwischen schneller Berichterstattung (um die Ausbreitung eines Vorfalls zu vermeiden) und eingehender Berichterstattung (um wertvolle Lehren aus dem Vorfall zu ziehen) herzustellen.
Die Richtlinie sieht einen mehrstufigen Meldeansatz vor. So müssen Einrichtungen, die von einem Vorfall betroffen sind, innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls einen ersten "Frühwarnbericht" an eine zuständige nationale Behörde oder ein Computer Security Incident Response Team (CSIRT) übermitteln. Außerdem müssen sie innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls einen Vorfallsbericht und innerhalb eines Monats einen Abschlussbericht vorlegen.
Alle Organisationen müssen über einen Plan verfügen, der die Geschäftskontinuität im Falle eines Cybervorfalls oder einer Krise gewährleistet. Dieser Plan sollte klar darlegen, wie die Einrichtung die Krise bewältigen wird, insbesondere in Bezug auf die Wiederherstellung von Systemen und Informationen, den Systemzugang, die Datensicherung, Notfallverfahren, die Behandlung von Vorfällen und die Krisenreaktion. Er sollte auch aufzeigen, wie die Einrichtung ihren Betrieb während und nach dem Vorfall verwalten wird.
Zusätzlich zu diesen vier übergreifenden Bereichen legt die NIS2-Richtlinie bestimmte grundlegende Sicherheitsmaßnahmen fest, die die wesentlichen Einrichtungen in der EU umsetzen müssen. Zu diesen Maßnahmen, die das Risiko verringern und die Möglichkeit von Cyberangriffen minimieren sollen, gehören:
Anwendbarkeit von NIS2
Im Allgemeinen fallen alle Unternehmen (mittlere und große), die in den von der NIS2-Richtlinie erfassten Sektoren tätig sind oder unter die Richtlinie fallende Dienstleistungen erbringen, in den Anwendungsbereich der Richtlinie und werden von ihren Vorschriften und Anforderungen betroffen sein. Die Richtlinie führt eine "Größenkappungsregel" ein, um zu bestimmen, welche Unternehmen von den Anforderungen der Richtlinie betroffen sein werden. Außerdem wird festgelegt, welche Einrichtungen als Betreiber von "wesentlichen" Diensten gelten und welche Einrichtungen als "wichtig" eingestuft werden.
Wesentliche Sektoren/Einrichtungen |
Wichtige Sektoren/Einrichtungen |
Energie |
Post- und Kurierdienste |
Transport |
Abfallwirtschaft |
Bankwesen |
Chemikalien |
Finanzdienstleistungen und -märkte |
Lebensmittel |
Gesundheitswesen |
Hersteller medizinischer Geräte |
Trinkwasser und Abwasser |
Computer |
Digitale Infrastruktur |
Elektronik |
Öffentliche Verwaltung |
Maschinenpark |
Weltraum |
Fahrzeuge |
Pharmazeutika (einschließlich Impfstoffe) |
Digitale Anbieter |
Aus der Sicht der NIS2 fallen alle diese Einrichtungen in die Zuständigkeit des Mitgliedstaates, in dem sie niedergelassen sind, und nicht des Mitgliedstaates, in dem sie ihre Dienstleistungen erbringen. Erbringt eine wesentliche Einrichtung Dienstleistungen in mehr als einem Mitgliedstaat, fällt sie in die Zuständigkeit jedes dieser Mitgliedstaaten.
Die NIS2-Richtlinie gilt auch für Einrichtungen der öffentlichen Verwaltung auf zentraler und regionaler Ebene. Darüber hinaus kann sie auch auf lokaler Ebene gelten, wenn die Mitgliedstaaten dies wünschen.
Bestimmte EU-Einrichtungen sind vom Anwendungsbereich der NIS2 ausgenommen. Diese sind:
Als politische Vereinbarung wurde die NIS2 im November 2022 vom Europäischen Rat und vom Europäischen Parlament angenommen. Beide Gesetzgeber unterzeichneten den Text im Dezember 2022, und er trat im Januar 2023 in Kraft. Die 27 EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen.
Alle EU-Einrichtungen, die zumindest teilweise digital arbeiten und einem gewissen Cybersicherheitsrisiko ausgesetzt sind, müssen sich dieser Frist bewusst sein und die NIS2-Richtlinien bis dahin umsetzen, insbesondere wenn sie gemäß der NIS2-Definition als wesentlich oder notwendig erachtet werden. Der Konformitätsprozess dauert etwa 12 Monate. Ab Mai 2023 haben EU-Einrichtungen, die in den Geltungsbereich der NIS2 fallen, 17 Monate Zeit, um den Prozess abzuschließen.
In diesem Prozess müssen sie mehrere Aktivitäten durchführen, die sich auf Folgendes beziehen:
Die Anforderungen der NIS2 sind für die Einrichtungen, die in ihren Geltungsbereich fallen, rechtsverbindlich. Es liegt im Ermessen der Mitgliedstaaten, Unternehmen, die die Vorschriften nicht einhalten, mit abschreckenden Sanktionen und Geldbußen zu belegen. Im Allgemeinen können gegen wichtige Unternehmen, die die Richtlinien nicht einhalten, Geldstrafen von bis zu 10 Millionen Euro oder 2 % ihres weltweiten Gesamtumsatzes verhängt werden - je nachdem, welcher Betrag höher ist. Gegen wichtige Unternehmen, die die NIS2 nicht einhalten, können Geldbußen von bis zu 7 Mio. EUR oder 1,7 % des weltweiten Umsatzes verhängt werden. Darüber hinaus können Unternehmen, die die Vorschriften nicht einhalten, gezwungen werden, ihre Geschäftstätigkeit auszusetzen, bis sie die NIS2-Anforderungen erfüllen und eine 100%ige Konformität erreichen.
Die Richtlinie überträgt den Leitungsorganen der Unternehmen eine zusätzliche Verantwortung für die Erfüllung der Anforderungen und die Einhaltung der Verpflichtungen und Bestimmungen der Richtlinie. Mit "Organen" sind hier Manager auf allen Ebenen gemeint, einschließlich der Führungsebene und der C-Suite. Manager, die die NIS2 nicht einhalten, können mit Geldstrafen und strafrechtlichen Sanktionen belegt werden. Wenn nach einem Cybervorfall grobe Fahrlässigkeit nachgewiesen wird, können sie persönlich haftbar gemacht werden. Bei wiederholten Verstößen in einer wichtigen Einrichtung kann deren Führungskräften vorübergehend die Ausübung von Führungspositionen untersagt werden.
Neben Bußgeldern und nicht-monetären Abhilfemaßnahmen sieht die NIS2 auch strafrechtliche Sanktionen für Organisationen und deren Management vor, die die Vorschriften nicht einhalten. Darüber hinaus sind die nationalen Aufsichtsorgane befugt, einen Überwachungsbeauftragten zu benennen. Sie können auch anordnen, dass die Führungskräfte der Organisation Sicherheitsaudits durchführen, Bedrohungsmeldungen an die Kunden der Organisationen senden und Verstöße gegen die Vorschriften öffentlich machen (und dabei auch die für den Verstoß verantwortlichen juristischen Personen/Führungskräfte benennen).
Mit all diesen strengen Maßnahmen wird ein doppeltes Ziel verfolgt: i) die Rechenschaftspflicht für die Umsetzung der in der Richtlinie geforderten Cybersicherheitsmaßnahmen auf organisatorischer Ebene zu erhöhen und ii) grobe Nachlässigkeit beim Cyber-Risikomanagement in Unternehmen zu verhindern.
Die Umsetzung der verschiedenen Anforderungen der NIS2 und die Einhaltung der Richtlinie können zeitaufwändig und sogar überwältigend sein. Die Zusammenarbeit mit einem externen Cybersicherheitsteam, Compliance- und NIS2-Experten wie ForeNova kann dazu beitragen, die Überforderung zu verringern.
Die NIS2-Spezialisten von ForeNova können Ihnen bei allen Aspekten der NIS2-Konformität behilflich sein, von der Feststellung, ob Sie in den Anwendungsbereich der Richtlinie fallen, über die Erstellung eines Konformitätsplans bis hin zur Bewertung Ihrer Sicherheitsmaßnahmen und der Änderung Ihrer Sicherheitsrichtlinien. Außerdem erstellen wir eine Bestandsaufnahme Ihrer Anlagen, bewerten Ihr Netzwerk und implementieren Kontrollen, um Ihre Angriffsfläche zu verringern und Datenverletzungen zu verhindern. Wenn Sie eine 24/7-Bedrohungserkennung und -Reaktion benötigen, können wir Ihnen das bieten.
Wir können alle Vorschriften überprüfen und unsere Fähigkeiten und NIS2-Anforderungen mit Ihnen abgleichen. Mit unserer Erfahrung in der Unterstützung von Kunden wie Krankenhäusern bei der Erfüllung von NIS2 können wir einen transparenten Prozess und den effizientesten Weg zur NIS2-Konformität bieten.
Kontaktieren Sie uns unter support@forenova.com, um mit der NIS2-Implementierung zu beginnen - bevor es zu spät ist.