Springe zum Hauptinhalt

Mega-Menü-Produkt-Services_Pfeil

HYPERSECURE Platform Zero Trust Strategy 

 

Compliance-Check_NIS2

Machen Sie den kostenlosen
NIS2-Compliance-Check

Jetzt prüfen

Support
Service Desk Partner  Portal

 

Mega-Menü-Blog_Pfeil

News, Informationen und Tipps zum Thema IT SecurityZum Blog

3 Min. Lesezeit

Was mit NIS2 auf Sie zukommt

Was mit NIS2 auf Sie zukommt

Haben Sie mehr als 50 Mitarbeiter oder mehr als 10 Mio. Euro Umsatz? Oder werden von staatlicher Seite als kritische Einrichtung eingestuft? Dann wissen Sie bestimmt, dass NIS2 auf Sie zukommt. 

In dieser Blog-Serie informieren wir, wie DriveLock Ihnen mit der Umsetzung von NIS2 helfen kann.  

Ausblick

  • Wachsende Bedrohung im Cyberraumund geopolitische Entwicklungen erhöhen das Risiko von Cyberattacken auf kritische Infrastrukturen.
  • Die NIS2-Richtlinie  wurde am 13. Januar 2023 eingeführt, um einheitliche Cybersicherheitsstandards zu erreichen und muss bis Oktober 2024 von den Mitgliedsstaaten  der EU in nationales Recht umgesetzt werden, wobei sie 18 Sektoren und Unternehmen mit bestimmten Kriterien betrifft.
  • NIS2 stellt konkrete Vorgaben zur Implementierung von Risikomanagementmaßnahmen, zur Verstärkung der Verantwortung des Managements sowie zur Einführung zeitlich definierter Meldefristen und Sanktionen bei Verstößen gegen die Cybersicherheitsbestimmungen.
  • Ein Meldekonzept hilft, Verspätungen zu vermeiden und sicherzustellen, dass Unternehmen im Falle eines Sicherheitsvorfalls rechtzeitig die erforderlichen Behörden benachrichtigen, um mögliche Sanktionen zu verhindern.
  • NIS2-Risikomaßnahmen sollen Sicherheitsvorfälle verhindern oder ihre Auswirkungen minimieren, indem angemessene Maßnahmen ergriffen werden, um Risiken für Netz- und Informationssysteme zu kontrollierenUmfassende Sicherheitskontrollen sollen die Integrität, Verfügbarkeit und Vertraulichkeit von Systemen und Daten sicherstellen.

 

 

A. Wer betrifft NIS2?


Die steigende Bedrohungslage aus dem Cyberraum sowie geopolitische Entwicklungen erhöhen das Risiko, dass Einrichtungen der kritischen Infrastruktur durch Cyberattacken beeinträchtigt werden. Das klingt nach einer herausfordernden Aufgabe.

Am 13. Januar 2023 wurde deshalb die NIS2-Richtlinie (EU) 2022/2555 in Kraft gesetzt.

Ziel dieser Richtlinie ist es, ein hohes einheitliches Cybersicherheitsniveau insbesondere für kritische Einrichtungen, Dienstleister und Behörden in der EU zu erreichen. Mitgliedsstaaten sind aufgefordert, die Vorgaben bis Oktober 2024 in nationales Recht zu überführen.

Insgesamt sind 18 Sektoren betroffen und somit ein deutlich erweiterter Adressatenkreis an Unternehmen mit mindestens 50 Beschäftigten und einem Mindestjahresumsatz von 10 Mio. Euro. Nationale Gesetzgeber können zusätzliche konkrete Einrichtungen benennen, die sie als "Wesentliche" oder "Wichtige" Einrichtungen einstufen und als solche reguliert werden sollen. 

Sektoren hoher Kritikalität  Sonstige kritische Sektoren
Energie Post- und Kurierdienste
Verkehr Abfallbewirtschaftung
Bankwesen Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Finanzmarkt Infrastruktur Verarbeitendes Gewerbe/Herstellung von Waren
Gesundheitswesen Anbieter digitaler Dienste 
Trinkwasser Forschung
Abwasser  
Digitale Infrastruktur  
Verwaltung von ITK-Diensten (B2B)  
Öffentliche Verwaltung  
Weltraum  


LESEN SIE HIER AUCH UNSERE WEITEREN BLOG-POSTS:

Welche Änderungen bringt die NIS2 gegenüber der NIS1?


NIS2 steht für "Network and Information Security Directive 2" und ist eine Aktualisierung der ursprünglichen NIS-Richtlinie, auch bekannt als NIS1. Hier sind einige der wichtigsten Änderungen und Aktualisierungen, die NIS2 im Vergleich zu NIS1 mit sich bringt:

  1. Erweiterter Anwendungsbereich: NIS2 erweitert den Anwendungsbereich auf eine breitere Palette von Sektoren, die als wesentlich für die Sicherheit und das Funktionieren der Gesellschaft angesehen werden. Dazu gehören Sektoren wie digitale Infrastruktur, Cloud-Computing-Dienste, Online-Marktplätze und Suchmaschinen.

  2. Stärkere Sicherheitsanforderungen: NIS2 führt strengere Sicherheitsanforderungen für Diensteanbieter und digitale Dienste ein, um sicherzustellen, dass sie angemessene Maßnahmen zum Schutz vor Cyberbedrohungen ergreifen. Dies umfasst Aspekte wie Risikomanagement, Incident-Response-Planung und Sicherheitsmaßnahmen.

  3. Zusätzliche Meldepflichten: NIS2 erweitert die Meldepflichten für Sicherheitsvorfälle und -verletzungen. Diensteanbieter sind verpflichtet, bedeutende Sicherheitsvorfälle den nationalen Behörden zu melden.

  4. Stärkere behördliche Durchsetzung: Die Durchsetzung der NIS-Richtlinie wird durch die Einführung strengerer Sanktionen und Bußgelder verstärkt, um sicherzustellen, dass Unternehmen angemessene Sicherheitsmaßnahmen implementieren und Sicherheitsvorfälle ordnungsgemäß melden.

  5. Zusammenarbeit und Koordination: NIS2 fördert eine verstärkte Zusammenarbeit und Koordination zwischen den Mitgliedstaaten der EU, um auf grenzüberschreitende Cybersicherheitsbedrohungen effektiver reagieren zu können. Dies beinhaltet den Austausch bewährter Verfahren und die Koordination von Sicherheitsmaßnahmen.

  6. Förderung von Sicherheitskultur und -kapazitäten: NIS2 legt einen stärkeren Schwerpunkt auf die Förderung einer robusten Sicherheitskultur und den Aufbau von Cybersicherheitskapazitäten in der gesamten EU. Dies umfasst Schulungen, Sensibilisierungskampagnen und Investitionen in Cybersicherheitsforschung und -entwicklung.

Diese Änderungen sind darauf ausgerichtet, die Resilienz der EU gegenüber Cyberbedrohungen zu stärken und die Sicherheit digitaler Dienste und Infrastrukturen zu verbessern.

B. Meldepflichten bei Sicherheitsvorfällen


Neben der Erweiterung der Sektoren betroffener Unternehmen macht NIS2 konkrete Vorgaben zu der Implementierung eines Mindestkonsens an Risikomanagementmaßnahmen, einer Verstärkung der Verantwortung des Managements verbunden mit zeitlich definierten Meldefristen und Sanktionen bei Verstößen.

NIS2 betont die Verantwortung des Managements. Der Gesetzgeber meint es ernst mit dem Thema Cybersicherheit und führt schärfere Sanktionen für Verstöße ein. Unternehmen müssen bei schwerwiegenden Sicherheitsvorfällen dreistufige Meldepflichten (Zeile 462ff. §31 Meldepflichten) beachten, die bei Betriebsstörungen oder finanziellen Verlusten gelten. 

Meldepflichten NIS 2Verspätete Einreichungen können zu Sanktionen führen. Daher ist es ratsam, ein Meldekonzept zu etablieren. Dies gewährleistet, dass Unternehmen im Falle eines Sicherheitsvorfalls wissen, welche Behörden zu benachrichtigen sind, um die knappen Fristen einhalten zu können. 

Das Ziel der NIS2 Risikomaßnahmen ist es, Sicherheitsvorfälle zu verhindern oder ihre Auswirkungen zu minimieren 

Dazu müssen Einrichtungen angemessene technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für ihre Netz- und Informationssysteme zu kontrollieren und minimieren.

Konkrete Maßnahmen als Teil des Risikomanagements gemäß NIS2 Artikel 21 Abs. 2 erläutern wir in einem der nächsten Blog-Artikel.  

Insgesamt tragen umfassende Sicherheitskontrollen dazu bei, die Integrität, Verfügbarkeit und Vertraulichkeit von Systemen und Daten zu gewährleisten. DriveLock Lösungen und ihre Kombination von Präventions-, Erkennungs- und Reaktionsmechanismen bilden eine robuste Verteidigungslinie gegen eine Vielzahl von Cyberbedrohungen.

Wir haben Dokumente vorbereitet, die Ihrem Unternehmen helfen werden, sich vor dem 17. Oktober auf die NIS2-Richtlinie vorzubereiten:

C. Sicherheitsmaßnahmen mit DriveLock erfolgreich umsetzen


Einrichtungen und Unternehmen, die die folgenden Sicherheitsmaßnahmen adressieren, sind bestens für eine erfolgreiche NIS2 Transformation vorbereitet: 

 

Security Control 

DriveLock Modul 

 

Inventory 

Discovery 
Hardware & Software Inventory 

 

Media Protection 

Device Control 

 

Malware Defense

Application Control 
Defender Antivirus 

 

Secure Configuration 

Security Configuration Management 

 

Data Protection 

Encryption 
BitLocker Management 

 

Security Awareness 

Security Awareness Campaigns 

 

Vulnerability Management 

Vulnerability Management 

 

Privilege Control 

User & Groups Management / SSO 

 

Incident Response 

Threat Detection & Response 
MITRE ATT&CK® 5 Framework 

 

Mit DriveLock vermeiden Sie Cyberattacken und Sicherheitsvorfälle von Beginn an. Unsere Technologie hilft, Sicherheitsverletzungen zu verhindern, potenzielle Bedrohungen frühzeitig zu erkennen und effektive Sicherheitsmaßnahmen zu ergreifen, bevor sie zu Problemen werden. Setzen Sie auf Proaktivität und Prävention, statt auf reaktive Maßnahmen. 

Schützen Sie Ihre Endgeräte in wenigen Minuten auf Knopfdruck. Passt DriveLock zu Ihren Anforderungen? Testen Sie unsere Lösungen einfach und kostenfrei für 30 Tage.

 

Kostenlos Testen

SIE MÜSSEN VOLLSTÄNDIG NIS2-KONFORM SEIN IN:

00

days

00

hours

00

minutes

00

seconds

 

NIS2-Richtlinie: 6 Aspekte einer erfolgreichen Transformation

NIS2-Richtlinie: 6 Aspekte einer erfolgreichen Transformation

In unserer aktuellen Blog-Serie rund um das Thema NIS2 sind wir u.a. darauf eingegangen, welche Anforderungen NIS2 an die zu treffenden...

Read More
NIS2: noch zu vage für konkrete Maßnahmen? Was Sie jetzt tun können.

1 Min. Lesezeit

NIS2: noch zu vage für konkrete Maßnahmen? Was Sie jetzt tun können.

In unserem letzten Blog-Post sind wir darauf eingegangen, wer unter welchen Umständen von der NIS2 Direktive betroffen sein wird und welche...

Read More
11 Tipps wie Unternehmen nach Cyberattacken wieder auf die Beine kommen können

11 Tipps wie Unternehmen nach Cyberattacken wieder auf die Beine kommen können

In der heutigen digitalen Ära sind Unternehmen jeder Größe und Branche verstärkt den Gefahren von Cyberattacken ausgesetzt. Trotz aller...

Read More