NIS2-Richtlinie: 6 Aspekte einer erfolgreichen Transformation

In unserer aktuellen Blog-Serie rund um das Thema NIS2 sind wir u.a. darauf eingegangen, welche Anforderungen NIS2 an die zu treffenden Risikomanagementmaßnahmen stellt. Neben der Erweiterung der Sektoren betroffener Unternehmen macht NIS2 Vorgaben zu der Implementierung eines Mindestkonsens an Risikomanagementmaßnahmen. In diesem Newsletter geben wir Ihnen einen allgemeinen Überblick über die neue NIS2-Richtlinie. 

Hintergrund: Die Bedrohungslage

Die steigende Bedrohung aus dem Cyberraum und geopolitische Entwicklungen machen staatliche Einrichtungen anfällig für Cybersicherheitsbedrohungen. Dies führte zur Einführung der NIS2-Richtlinie, um ein höheres Sicherheitsniveau in der EU zu gewährleisten. 

A. NIS2-Richtlinie (EU) 2022/2555: Was Sie wissen müssen 

• Datum der Einführung: 13. Januar 2023 
• Ziel: Hohes Cybersicherheitsniveau in der EU
• Betroffene Sektoren: 18 mit erweitertem Adressatenkreis
• Umsetzungsfrist: Bis Oktober 2024

Die NIS2-Richtlinie ist eine Reaktion auf die unzureichende NIS1-Richtlinie und fordert Mitgliedsstaaten auf, die Vorgaben in nationales Recht zu überführen. 

NIS2-Anforderungen und Ziele: Ein Überblick 

Die NIS2-Richtlinie setzt klare Anforderungen an Unternehmen und Einrichtungen mit mindestens 50 Beschäftigten und einem Mindestjahresumsatz von 10 Mio. Euro. Die Ziele sind:

• Sicherheitsvorfälle verhindern oder ihre Auswirkungen minimieren
• Angemessene technische, operative und organisatorische Maßnahmen ergreifen
• Sicherheitsniveau dem bestehenden Risiko anpassen

Bis zum 17. Oktober 2024 werden detaillierte technische und methodische Anforderungen festgelegt. 

Neue organisatorische NIS2 Anforderungen kann in grobe Kategorien unterteilt werden, die ableiten lassen, welche Maßnahmen zur Verbesserung oder Nachweis der Sicherheitslage notwendig sind. So gibt es für NIS2 die folgenden Kategorien:

1. Risikomanagement
2. Unternehmensverantwortung
3. Meldepflichten
4. Geschäftskontinuität

Laut NIS2 müssen wesentliche und wichtige Einrichtungen nicht nur die vier Hauptanforderungsbereiche erfüllen, sondern auch grundlegende Sicherheitsmaßnahmen ergreifen, um verschiedenen Cyber-Bedrohungen zu begegnen.
 

Orientierung an einschlägigen Regelwerken: 

Um den Anforderungen der NIS2 gerecht zu werden, können sich Unternehmen an bewährten Regelwerken orientieren, darunter:

• IT-Grundschutz des BSI
• Normenreihe ISO 27000
• Zero Trust Maturity Model der CISA
• NIST Cybersecurity Framework
• CIS Critical Security Controls 

Diese Regelwerke bieten eine solide Grundlage und helfen bei der Umsetzung der NIS2-Maßnahmen, denn die NIS2-Richtlinie betont die Einhaltung des Standes der Technik unter Berücksichtigung einschlägiger Normen. ISO/IEC 27001:2022 Annex 1 und ISO 27002, NIST Cybersecurity Framework, CIS Controls und andere Regelwerke bieten dazu Orientierung. 

B. 6 Aspekte für eine erfolgreiche NIS2-Transformation: 

1. Sensibilisierung der Geschäftsleitung: 

   Geschäftsleitung muss sich der Cybersicherheitsverantwortung bewusst sein.

2. Analyse des aktuellen Zustands: 

   Detaillierte Analyse der Informationssicherheitsrisiken im Unternehmen.

3. Übersicht über Prozesse und Verantwortlichkeiten: 

   Identifikation und Zuweisung von Prozessverantwortlichen.

4. Beurteilung von Lieferketten und externen Dienstleistern: 

   Einbeziehung von Lieferketten und Dienstleistern in die Risikobeurteilung.

5. Etablierung eines Meldekonzepts: 

   Klare Richtlinien und Verfahren für die Erfassung, Bewertung und Meldung von Sicherheitsvorfällen.

6. Kritischen Sicherheitskontrollen: 

   Das Implementieren von sogenannten Kritischen Sicherheitskontrollen, die sich an bestehenden Regularien wie z.B. dem IT-Grundschutz orientieren, führen zu einer erfolgreichen Transformation. 

C. Maßnahmen als Teil des Risikomanagements:

Um Sicherheitsvorfälle zu verhindern oder zu minimieren, sind konkrete Maßnahmen erforderlich. Diese Mindestsicherheitsanforderungen gehen aus Artikel 21 Absatz 2 der NIS2 Richtlinie hervor. Das Ziel insbesondere der NIS2 Risikomaßnahmen ist es, Sicherheitsvorfälle zu verhindern oder ihre Auswirkungen zu minimieren: 

• Richtlinien für Risikoanalyse und Sicherheit für Informationssysteme

• Incident Management für die Bewältigung von Sicherheitsvorfällen 

• Business Continuity für die Aufrechterhaltung des Betriebs

• Supply Chain Management für die Sicherheit der Lieferkette

• Prevention & Detection für Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen

• Risk & Compliance für Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen

• DLP/Verschlüsselung für den Einsatz von Kryptografie und Datenschutzmaßnahmen

• Awareness für grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen 

Mapping der NIS2-Maßnahmen: 

Eine Parallele zu den NIS2-Maßnahmen sind beispielsweise die ISO 27001 Annex A Controls. Um eine Vorstellung darüber zu bekommen, welche Maßnahmen Unternehmen und Einrichtungen implementieren müssten, wagen wir einen Blick in ISO 27001 Annex A.

Wir haben Dokumente vorbereitet, die Ihrem Unternehmen helfen werden, sich vor dem 17. Oktober auf die NIS2-Richtlinie vorzubereiten:

• 6 Punkte, die Sie jetzt zu NIS2 wissen müssen
• NIS2 Matrix
  
  

D. NIS2-Richtlinie: Update 2025

Die NIS2-Richtlinie, deren vollständige Umsetzung für 2025 geplant ist, führt mehrere wichtige Neuerungen ein, die bei allen wesentlichen und wichtigen Unternehmen Beachtung finden müssen. Eine grundlegende Änderung ist der deutlich erweiterte Anwendungsbereich, durch den zahlreiche Unternehmen in Sektoren wie Gesundheitswesen, Fertigung und digitale Infrastruktur der Compliance-Pflicht unterliegen, von denen viele zuvor nicht in den Geltungsbereich der ursprünglichen NIS-Richtlinie fielen.

Diese Erweiterung geht mit strengeren Sicherheitsverpflichtungen einher. Unternehmen müssen umfassende Risikomanagementmaßnahmen auf der Grundlage eines „All-Hazards“-Ansatzes implementieren, der die Systemsicherheit, die Behandlung von Vorfällen, die Geschäftskontinuität (z. B. Backup-Management und Notfallwiederherstellung), die Sicherheit der Lieferkette sowie die Verwendung von Verschlüsselung und Multi-Faktor-Authentifizierung umfasst. Von entscheidender Bedeutung ist, dass die NIS2-Richtlinie strenge, harmonisierte Anforderungen an die Meldung von Vorfällen in der gesamten Europäischen Union vorschreibt.

Unternehmen sind verpflichtet, schwerwiegende Vorfälle innerhalb von 24 Stunden nach Bekanntwerden an die zuständigen Computer Security Incident Response Teams (CSIRTs) zu melden, gefolgt von einem detaillierten Bericht spätestens 72 Stunden nach Bekanntwerden und einem Abschlussbericht innerhalb eines Monats. Die Nichteinhaltung unterliegt strengeren Durchsetzungsmaßnahmen und potenziell erheblichen Verwaltungsstrafen, mit dem Ziel, die kollektive Cybersicherheitsresilienz der EU deutlich zu stärken.

Sicherheitsmaßnahmen mit DriveLock erfolgreich umsetzen: 

Die DriveLock HYPERSECURE Platform bietet eine Lösung, um die kritischen Sicherheitskontrollen der NIS2-Richtlinie zu erfüllen. Ein Mapping der DriveLock-Module zu den NIS2-Anforderungen zeigt die Vielseitigkeit der Plattform: 

• Inventory: Discovery und Hardware & Software Inventory
• Media Protection: Device Control
• Malware Defense: Application Control und Defender Antivirus
• Secure Configuration: Security Configuration Management
• Data Protection: Encryption und BitLocker Management
• Security Awareness: Security Awareness Campaigns
• Vulnerability Management: Vulnerability Management
• Privilege Control: User & Groups Management/SSO
• Incident Response: Threat Detection & Response und MITRE ATT&CK® Framework

DriveLock bietet HYPERSECURE IT-Lösungen, die digitale Arbeitsplätze schützen und den höchsten Sicherheitsstandards entsprechen.

Mit DriveLock vermeiden Sie Cyberattacken und Sicherheitsvorfälle von Beginn an. Unsere Technologie hilft, Sicherheitsverletzungen zu verhindern, potenzielle Bedrohungen frühzeitig zu erkennen und effektive Sicherheitsmaßnahmen zu ergreifen, bevor sie zu Problemen werden. Setzen Sie auf Proaktivität und Prävention, statt auf reaktive Maßnahmen.  

Schützen Sie Ihre Endgeräte in wenigen Minuten auf Knopfdruck. Passt DriveLock zu Ihren Anforderungen? Testen Sie unsere Lösungen einfach und kostenfrei für 30 Tage.

Lesen Sie hier auch unsere weiteren Blog-Posts:

Was mit NIS2 auf Sie zukommt
NIS2: noch zu vage für konkrete Maßnahmen? Was Sie jetzt bereits tun können.