NIS-2 Leitfaden: So schützen Sie Ihre digitale Kommunikation
Digitale Kommunikation unter NIS-2: Warum Cybersicherheit jetzt entscheidend ist Digitale Kommunikation ist das Rückgrat moderner Unternehmen. Sie...
Überblick
Die Kernkompetenz von DRACOON: Einhaltung und Erfüllung von Compliance-Richtlinien durch Anwendung von State-of-the-Art-Sicherheitsfeatures
Höchste Zertifizierungen und Testierungen für Ihren Compliance-Vorteil.
Use Cases
Die Kernkompetenz von DRACOON: Einhaltung und Erfüllung von Compliance-Richtlinien durch Anwendung von State-of-the-Art-Sicherheitsfeatures
Höchste Zertifizierungen und Testierungen für Ihren Compliance-Vorteil.
Höchste Zertifizierungen und Testierungen für Ihren Compliance-Vorteil.
Die Kernkompetenz von DRACOON: Einhaltung und Erfüllung von Compliance-Richtlinien durch Anwendung von State-of-the-Art-Sicherheitsfeatures
Höchste Zertifizierungen und Testierungen für Ihren Compliance-Vorteil.
Höchste Zertifizierungen und Testierungen für Ihren Compliance-Vorteil.
6 Min. Lesezeit
DRACOON
:
22.01.24 13:36
Besonders wichtige Unternehmen müssen strengere Sicherheitsvorschriften erfüllen, da ein Sicherheitsvorfall weitreichende Folgen haben und im schlimmsten Fall ganze Staaten lahmlegen könnte. Genau diese Vorschriften soll NIS-2 vereinheitlichen und konkretisieren, um sowohl die Resilienz- als auch Reaktionskapazitäten öffentlicher und privater Stellen der EU zu stärken und dadurch das gemeinsame Cybersicherheitsniveau EU-weit zu erhöhen. Diese Ziele sollten eigentlich bereits mit der 2016 in Kraft getretenen Richtlinie zur Netzwerk- und Informationssicherheit NIS-1 erreicht werden.
Die erste Fassung der EU-Richtlinie für Cybersicherheit NIS hatte in der Praxis einige Probleme:
Diese Mängel sollen durch NIS-2 nun bewältigt werden. Die neue NIS-Richtlinie regelt genau, welche Organisationen als kritische Infrastrukturen gelten und welchem Sektor sie zugeordnet werden. Daneben schließt NIS-2 jetzt mehr Unternehmen ein, schreibt neue Pflichten und strengere Sanktionen vor und verbessert den Risikomanagementansatz.
Jetzt wird ganz klar festgelegt, wie die Verfahren, Inhalte und Fristen zur Meldung etwaiger Sicherheitsvorfälle auszusehen hat und wie sie in nationales Recht umgesetzt, überwacht und durchgesetzt werden. Des Weiteren soll auch die Zusammenarbeit privater und öffentlicher Einrichtungen im Krisenfall ermöglicht bzw. verbessert werden. Hierfür sollen nationale Computer-Notfallteams (Computer Security Incident Response Teams — CSIRTs) zusammengestellt und ein koordinierter Incident Response Plan festgelegt werden.
Den genauen Wortlaut zur Umsetzung der NIS-2-Richtlinie finden Sie sowohl auf Deutsch als auch auf Englisch im entsprechenden Amtsblatt der Europäischen Union vom 14.12.2022.
Betroffen sind systemkritische Unternehmen, sog. KRITIS-Unternehmen. Openkritis.de hat die beiden Hauptgruppen betroffener Unternehmen übersichtlich zusammengefasst, die im neuen BSI-Gesetz reguliert werden:
Hinweis: Auch kleine Unternehmen, die in die nachfolgenden Kriterien zur Einordnung "kritischer" und "besonders kritischer" Einrichtungen fallen, können von der neuen NIS-Richtlinie betroffen sein.
Die Europäische Kommission unterscheidet bei den betroffenen Unternehmen zwischen "Sektoren mit hoher Kritikalität" und "sonstige kritische Sektoren". Die entsprechenden Kriterien finden Sie in der nachfolgenden Übersicht.
Eine umfangreichere Tabellenversion mit den Kriterien zur Einordnung "kritischer" und "besonders kritischer" Sektoren finden Sie in den Anhängen I und II des Amtsblatts der EU.
Seit September 2023 liegt der dritte Gesetzesentwurf zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit (NIS2UmsuCG) vor.
Bei einem Sicherheitsvorfall müssen betroffene Einrichtungen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) verschiedene Berichte vorlegen. Diese umfassen eine erste Meldung innerhalb von 24 Stunden, eine detaillierte Meldung innerhalb von 72 Stunden und abschließend eine Schlussmeldung nach einem Monat.
Sicherheitsvorfälle beziehen sich auf Ereignisse, welche entweder Informationen von gespeicherten, übermittelten oder verarbeiteten Daten beeinträchtigen oder entsprechende Dienste, welche über informationstechnische Systeme, Komponenten und Prozesse angeboten werden oder zugänglich sind (gemäß § 2 Abs. 1 Nr. 37 BSIG-E).
Konkret geht es um die Beeinträchtigung der
Die Betreiber von betroffenen Einrichtungen werden verpflichtet, gewisse technische und organisatorische Maßnahmen (TOM) zur Gewährleistung der IT-Sicherheit zu ergreifen. Im Detail werden mindestens folgende Maßnahmen vorausgesetzt:
Hinweis: Bis zur Verabschiedung des Gesetzes können sich die Details noch ändern.
Sollte sich in einem betroffenen Unternehmen ein Sicherheitsvorfall ereignen, ergibt sich daraus für Unternehmen eine verschärfte Meldepflicht.
Um zu verhindern, dass betroffene Organisationen die strengen Regularien nicht einhalten, werden bei Missachtung der Auflagen nicht nur die Meldepflichten, sondern auch die verhängten Sanktionen verschärft. Den Inhalt der Sanktionsvorschriften hat PWC übersichtlich zusammengefasst:
"Geschäftsführer haften mit ihrem Privatvermögen."
Der Referentenentwurf des Bundesinnenministeriums sieht vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften. Das Bußgeld kann dabei bis zu 2 Prozent des weltweiten Jahresumsatzes betragen.
Die neue Directive 2022/2555 (NIS-2) ist auf EU-Ebene bereits seit 2023 wirksam, jedoch müssen die jeweiligen Staaten die Richtlinie erst bis zum 17. Oktober 2024 in nationales Recht umsetzen – spätestens dann müssen Unternehmen auch entsprechende Maßnahmen ergriffen haben.
Bis März 2024 soll das NIS-2-Umsetzungsgesetz verkündet werden. Für Deutschland existiert bereits ein Referentenentwurf für das neue Gesetz (Stand Juli 2023).
Auch wenn Ihr Unternehmen weniger als 50 Mitarbeiter und unter 10 Mio. Euro Jahresumsatz hat, sollten Sie sich nicht zu früh in falscher Sicherheit wiegen. Kleine Unternehmen können nämlich trotzdem betroffen sein, wenn sie in die weiter oben genannten Kriterien (besonders) kritischer Einrichtungen fallen.
Falls Sie nicht sicher sind, ob Ihr Unternehmen zu den von NIS-2 kritischen Einrichtungen gehört, warten Sie nicht auf Post – ob man selbst unter die Regelung fällt, muss jedes der etwa 30.000 in Deutschland betroffenen Unternehmen in Eigenregie herausfinden.
Ist Ihr Unternehmen z.B. ein Dienstleister oder Lieferant für ein besonders kritisches Unternehmen, ist Ihr Unternehmen automatisch auch als kritisch einzuordnen und muss ebenso strenge Sicherheitsvorkehrungen einhalten.
Dateien sicher ablegen, mit Kollegen teilen oder an Unternehmensexterne zu versenden, ist für europäische Unternehmen schon seit Inkrafttreten der DSGVO eine Compliance-Herausforderung. Mit den zusätzlichen Anforderungen der Richtlinie NIS-2 wird es für betroffene Unternehmen ab dem 17. Oktober 2024 nun sogar noch schwieriger.
Genau hier blüht die Enterprise-File-Sync-and-Share-Lösung DRACOON auf – nicht umsonst wurden wir 2023 von der ISG zum 7. Mal in Folge zum Marktführer der sicheren Enterprise File Sharing Services gewählt. DRACOON ermöglicht Unternehmen nicht nur die benutzerfreundliche Zusammenarbeit im Arbeitsalltag, sondern erfüllt auch die strengen Auflagen der neuen Richtlinie NIS-2 sowie die der DSGVO.
Durch unsere Zertifizierungen wie das BSI C5 Typ 2, IDW PS 951, ISO 27001:2013, ISO 27017:2015 und ISO 27018:2019, sind betroffene Unternehmen rechtlich auf der sicheren Seite und können einfach nachweisen, dass sie die hohen KRITIS-Sicherheitsanforderungen einhalten.
Mit der Zero-Trust-Cloud von DRACOON erfüllen Sie alle NIS-2-Auflagen und sind zukunftsfähig aufgestellt. Ihre Daten sind bei uns nachweislich so sicher wie nur möglich und lassen sich im Arbeitsalltag gleichzeitig intuitiv und bequem verwalten.
Benutzerfreundlichkeit ist natürlich eine subjektive Erfahrung. Überzeugen Sie sich gerne selbst und testen Sie DRACOON 14 Tage lang kostenlos oder kontaktieren Sie uns für ein unverbindliches Beratungsgespräch mit unseren Spezialisten.
Digitale Kommunikation unter NIS-2: Warum Cybersicherheit jetzt entscheidend ist Digitale Kommunikation ist das Rückgrat moderner Unternehmen. Sie...
Cybersicherheit im Fokus Cyberangriffe auf Unternehmen und kritische Infrastrukturen nehmen weltweit zu. Sensible Daten sind oft das Ziel solcher...
Die digitale Bedrohungslage im Jahr 2025 Finanztransaktionen, medizinische Patientendaten, interne Geschäftsberichte – täglich werden riesige...
Cybersicherheit im Fokus Cyberangriffe auf Unternehmen und kritische Infrastrukturen nehmen weltweit zu. Sensible Daten sind oft das Ziel solcher...