Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) bestätigt, dass auch im Jahr 2023 die Schlagzahl erfolgreicher Hacking-Angriffe drastisch zugenommen haben. Die Angreifer überbieten sich dabei gegenseitig mit immer innovativeren Methoden, um wertvolle Unternehmensdaten zu stehlen und beträchtliche Summen durch Erpressung zu fordern. Dass Unternehmen deshalb mehr in die eigene Cyber-Security investieren sollten, versteht sich dabei von selbst. Dennoch vernachlässigen Viele die Sicherung ihrer IT-Strukturen und unterschätzen die Wichtigkeit der eigenen Cybersicherheit. An dieser Stelle greift die NIS-2-Richtlinie ein, um Abhilfe zu schaffen. Bis zum 17.10.2024 haben Unternehmer jetzt Zeit, diese Richtlinie umzusetzen.
Nie wieder selbst um die eigene IT kümmern müssen? Das geht mit unseren Managed Services zum monatlichen Festpreis! Hier gehts lang…
Die NIS-2-Richtlinie: Ein Schritt vorwärts in der Cybersicherheit
Die NIS-2-Richtlinie, ein legislativer Rahmen der Europäischen Union, zielt darauf ab, die Cybersicherheit von Organisationen und Unternehmen zu stärken. „NIS“ steht für „Netzwerk- und Informationssicherheit“, und die „2“ symbolisiert die Aktualisierung der ursprünglich 2016 eingeführten Richtlinie. Diese Überarbeitung setzt sich das Ziel, Cybersicherheitsstandards zu harmonisieren und die Resilienz innerhalb der EU zu steigern, indem sie Unterschiede zwischen den Mitgliedsstaaten und verschiedenen Sektoren verringert und einen konsistenten Rahmen zur Bekämpfung von Cyberbedrohungen einführt.
Die Notwendigkeit für diese Überarbeitung wird unterschiedlich interpretiert: Während manche den begrenzten Erfolg der ursprünglichen Richtlinie als Anlass sehen, argumentieren andere, dass die Anpassung an die neuen, komplexen Herausforderungen im Bereich der Cybersicherheit erforderlich wurde.
Wer braucht die NIS-2-Richtlinie?
Hauptadressaten der NIS-2-Richtlinie sind Betreiber Kritischer Infrastrukturen, da ein Angriff auf diese zu weitreichenden Folgen führen könnte. Diese Einrichtungen, von entscheidender Bedeutung für das öffentliche Wohl, werden zunehmend Ziel von Cyberangriffen, sei es aus politischen Motiven oder zur Erzielung finanzieller Gewinne, wie aus Berichten des Digitalverbands Bitkom hervorgeht. Grundsätzlich findet NIS2 Anwendung für mittlere Unternehmen oder für Unternehmen, die die Schwellenwerte für mittlere Unternehmen überschreiten.
Definition „Mittleres Unternehmen“
Ein „mittleres Unternehmen“ sollte mindestens 50 und weniger als 250 Beschäftigte haben und z.B. zum Sektor Energie oder Verwaltung von IKT-Diensten bzw. zum verarbeitenden Gewerbe/ Herstellung von Waren oder Anbieter digitaler Dienste sein.
Erweiterung des Geltungsbereichs durch die NIS-2-Richtlinie
Ein wesentlicher Aspekt der NIS-2-Richtlinie ist die Ausdehnung ihres Anwendungsbereichs auf neue Sektoren, wodurch die Klassifizierung von Einrichtungen als „wesentlich“ oder „wichtig“ eingeführt wird.
Wer gilt als „wesentliche Einrichtung“?
- Energie
- Verkehr
- Bankwesen
- Finanzmärkte
- Gesundheitswesen
- Trink- und Abwasser
- Digitale Infrastruktur
- Öffentliche Verwaltung
- Raumfahrt
Für kleinere Unternehmen tritt die Richtlinie nur in Kraft, wenn sie eine signifikante Rolle in der Bereitstellung essentieller Dienste spielen.
Wer gilt als „wichtige Einrichtung“?
Unternehmen gelten als „wichtige Einrichtung“, wenn sie in einem der insgesamt
aufgeführten 18 Sektoren tätig sind und nicht unter die Definition der „wesentlichen
Einrichtungen“ fallen.
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/Herstellung von Waren
- Anbieter digitaler Dienste
- Forschung
Die genannten Sektoren unterteilt NIS2 noch in weitere Teilsektoren
Klein- und Kleinstunternehmen können ebenfalls unter die Richtlinie fallen, wenn sie
- in einem der 18 Sektoren bzw. in einem von NIS2 als Sonderfälle benannten Diensten tätig sind.
- entweder einen Jahresumsatz von mindestens 10 Mio. Euro, aber höchstens 50 Mio. Euro oder
- eine Jahresbilanzsumme von mindestens 10 Mio. Euro, aber höchstens 43 Mio. vorweisen.
Unabhängig von der Größe der Einrichtungen gilt die NIS2-Richtlinie auch für
Einrichtungen, die in einem der in NIS2 aufgeführten 18 Sektoren tätig sind.
Unsere Leistungen im Bereich der Cyber Security für Unternehmen! Wir nehmen Ihnen alle Sorgen rund um die Sicherheit Ihrer IT einfach ab…
Kernpunkte der NIS-2-Richtlinie
Die Richtlinie fordert von den betroffenen Organisationen, umfangreiche Cybersicherheitsmaßnahmen zu ergreifen. Diese beinhalten Strategien zur Minimierung von Angriffsflächen, frühzeitiger Erkennung von Bedrohungen, schneller Reaktion im Ernstfall und vollständiger Wiederherstellung der Systeme. Ein detaillierter Blick in die NIS-2-Richtlinie, spezifisch die EU-Direktive 2022/2555, wird empfohlen.
Zeitplan für die Umsetzung
Die NIS-2-Richtlinie trat am 16. Januar 2023 in Kraft, mit einer Frist für die Mitgliedsstaaten, sie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Organisationen sind angehalten, die Vorgaben frühzeitig zu erfüllen, um Risiken zu minimieren.
Proaktive Sicherheitsmaßnahmen mit Systempartner Hagen
Systempartner Hagen empfiehlt, bereits implementierte Cybersicherheitsstrategien, wie die Zero-Trust-Strategie, zu überprüfen und anzupassen, um den Anforderungen der NIS-2-Richtlinie gerecht zu werden. Obwohl viele Unternehmen bereits gut geschützt sind, erfinden Cyberkriminelle ständig neue Methoden, um Sicherheitsbarrieren zu durchbrechen.
Lesen Sie hier, wie Sie mit der Zwei-Faktoren-Authentifizierung für mehr Sicherheit in Ihrem Unternehmen sorgen können.
Umfassende Sicherheitsanalysen durch unsere Experten
Um die Sicherheit Ihrer IT-Infrastruktur ohne täglichen Aufwand zu gewährleisten, bietet Systempartner Hagen einen detaillierten Sicherheitscheck an, der alle Schwachstellen identifiziert und als Basis für weitere Schutzmaßnahmen dient. Wir stehen Ihnen für eine umfassende Beratung zur Verfügung, um das Sicherheitsniveau Ihrer IT zu optimieren.
