{"id":26628,"date":"2024-05-10T10:15:06","date_gmt":"2024-05-10T08:15:06","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=26628"},"modified":"2024-05-02T10:21:59","modified_gmt":"2024-05-02T08:21:59","slug":"nis2-richtlinie-komplexes-regelwerk-fuer-mehr-it-security","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=26628","title":{"rendered":"NIS2-Richtlinie: komplexes Regelwerk f\u00fcr mehr IT-Security"},"content":{"rendered":"\n

Autor\/Redakteur: Daniel Gra\u00dfer, Senior Director Security Services bei plusserver<\/a>\/gg<\/p>\n\n\n\n

Komplexere Regeln, erweiterter Anwendungsbereich, viele neue und damit rechtlich unklare Begriffe \u2013 die NIS2-Richtlinie (Network and Information Security Directive 2) der EU wird in der Wirtschaft gef\u00fcrchtet. So sch\u00e4tzen Experten, dass sich mindestens 29.000 Unternehmen<\/a> erstmals mit den neuen Pflichten zur Cybersecurity besch\u00e4ftigen m\u00fcssen.<\/p>\n\n\n\n

\"\"
Quelle: plusserver<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Mehr Unternehmen fallen unter die NIS2-Richtlinie<\/strong><\/p>\n\n\n\n

Kleinere Unternehmen mit weniger als 50 Mitarbeitenden oder mit weniger als 10 Millionen Euro Jahresumsatz stehen nicht in der Umsetzungspflicht. Keine Ausnahme gilt jedoch f\u00fcr Organisationen im Bereich kritischer Infrastruktur, beispielsweise aus den Bereichen Energie, Verkehr, Banken und Finanzen, Gesundheit sowie digitale Dienstleistungen.<\/p>\n\n\n\n

Die NIS2-Richtlinie zielt darauf ab, die Resilienz gegen\u00fcber Cyberangriffen zu erh\u00f6hen und das Sicherheitsniveau innerhalb der Mitgliedsstaaten zu harmonisieren. Sie enth\u00e4lt eine Vielzahl an zus\u00e4tzlichen Regeln, die den bisherigen KRITIS-Unternehmen zum gr\u00f6\u00dften Teil bekannt sein sollte. Ein wichtiges Element ist dabei die Meldepflicht: Unternehmen m\u00fcssen erhebliche Zwischenf\u00e4lle innerhalb von 72 Stunden an die nationalen Beh\u00f6rden melden, um die Auswirkungen schnell minimieren zu k\u00f6nnen.<\/p>\n\n\n\n

Ma\u00dfnahmen f\u00fcr die NIS2-Umsetzung<\/strong><\/p>\n\n\n\n

Generell fordert die Richtlinie, dass Unternehmen und \u00f6ffentliche Verwaltungen geeignete technische und organisatorische Ma\u00dfnahmen der Cybersecurity umsetzen. Dies umfasst die Sicherung von Netzwerken und Systemen sowie die Implementierung von Sicherheitsrichtlinien.<\/p>\n\n\n\n

Hilfreich ist die Orientierung an branchenspezifischen Sicherheitsstandards (B3S), die vom BSI anerkannt sind. Sie erlauben es Unternehmen aus den jeweiligen Branchen, die richtigen Sicherheitsma\u00dfnahmen zu formulieren und tragen zur Rechtssicherheit bei ihrer Umsetzung bei. Verantwortlich f\u00fcr die Umsetzung ist die Gesch\u00e4ftsf\u00fchrung, die auch daf\u00fcr haftet und sich empfindlichen Sanktionen gegen\u00fcbersieht.<\/p>\n\n\n\n

Im Detail \u00e4hneln die Ma\u00dfnahmen der Normengruppe ISO 27001ff., bei der es um ein Managementsystem f\u00fcr Informationssicherheit geht, sowie den davon abgeleiteten Normen und Standards mit ihren Best Practices. So muss es unter anderem ein Incident Management geben, Vorkehrungen f\u00fcr Backups und Disaster Recovery, Single-Sign-on mit Multi-Faktor-Authentifizierung und eine Zugriffskontrolle f\u00fcr alle Systeme durch Identity & Access Management. Solche und \u00e4hnliche Ma\u00dfnahmen finden sich auch im Grundschutzkatalog des Bundesamtes f\u00fcr Sicherheit in der Informationstechnik (BSI).<\/p>\n\n\n\n

Der Stand der Technik \u00e4ndert sich schnell<\/strong><\/p>\n\n\n\n

Die Umsetzung der NIS2-Richtlinie erfordert von den betroffenen Unternehmen auf jeden Fall eine sorgf\u00e4ltige Planung. Es empfiehlt sich, eine umfassende Risikobewertung durchzuf\u00fchren, angemessene Sicherheitsma\u00dfnahmen auszuw\u00e4hlen und einen effektiven Incident-Response-Plan zu erstellen. Die Schulung der Mitarbeitenden spielt dabei eine ebenso wichtige Rolle wie die st\u00e4ndige \u00dcberwachung und Anpassung der Sicherheitsstrategien an den aktuellen Stand der Technik.<\/p>\n\n\n\n

Dieses Kriterium ist etwas verschwommen, da sich der Stand der Technik in der IT normalerweise sehr schnell \u00e4ndert. Dadurch k\u00f6nnen sich vor allem kleinere Unternehmen mit nur wenig mehr als 50 Mitarbeitenden schwertun, NIS2 umzusetzen. Deshalb ist es ein wichtiger Praxistipp, externe Berater und L\u00f6sungsanbieter zu verpflichten, um alle Anforderungen zu erf\u00fcllen. Externe Services wie Penetrationstests, Security Operations Center (SOC) oder Advanced Threat Protection helfen Unternehmen, ihre Verteidigungslinien zu st\u00e4rken und potenzielle Schwachstellen zu identifizieren und zu schlie\u00dfen.<\/p>\n\n\n\n

Die NIS2-Richtlinie ist f\u00fcr die Unternehmen angesichts der dynamischen Bedrohungslage ein Pflichtprogramm, um die Widerstandsf\u00e4higkeit gegen Cyberkriminalit\u00e4t zu st\u00e4rken. Ohne Cybersecurity ist unternehmerisches Handeln in Zukunft gar nicht mehr m\u00f6glich.<\/p>\n","protected":false},"excerpt":{"rendered":"

Komplexere Regeln, erweiterter Anwendungsbereich, viele neue und damit rechtlich unklare Begriffe \u2013 die NIS2-Richtlinie (Network and Information Security Directive 2) der EU wird in der Wirtschaft gef\u00fcrchtet. So sch\u00e4tzen Experten, dass sich mindestens 29.000 Unternehmen erstmals mit den neuen Pflichten zur Cybersecurity besch\u00e4ftigen m\u00fcssen.<\/p>\n","protected":false},"author":81,"featured_media":26630,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[18178,490,3541,5834,17846,10828],"class_list":["post-26628","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-b3s","tag-bsi","tag-iso-27001","tag-kritis","tag-nis2","tag-plusserver"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/26628","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=26628"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/26628\/revisions"}],"predecessor-version":[{"id":26631,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/26628\/revisions\/26631"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/26630"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=26628"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=26628"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=26628"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}