NIS 2 EU-Richtlinie: “Kaum zu bewältigen?” – Mit Perseus schon!

Blog Cybersicherheit

Cyberattacken und die damit verbundenen Folgen wie Betriebsunterbrechungen gehören seit Jahren zu den größten Risiken für Unternehmen – und das weltweit.

Auch Unternehmen in Europa müssen sich zunehmend gegen Bedrohungen aus dem Internet wappnen. In Deutschland berichten mittlerweile 9 von 10 Unternehmen von Datenpannen, Sabotageversuchen oder Spionageangriffen. Die deutsche Wirtschaft erleidet jährlich dadurch Schäden in dreistelliger Milliardenhöhe. Versicherungsunternehmen können das Risiko nicht mehr allein tragen. Anbieter von Cyberversicherungen machten 2022 erstmals Verluste in diesem Segment. Daher müssen die Versicherungsnehmer stärker in die Pflicht genommen werden.

Um Cyberkriminellen entgegenwirken zu können, hat die Europäische Union im Jahr 2016 eine Richtlinie zur Gewährleistung der Netz- und Informationssicherheit – kurz NIS – verabschiedet. Ziel dieser Richtlinie (EU) 2016/1148 war der Aufbau von Cyberresilienz in der gesamten EU. Bedrohungen für Netz- und Informationssysteme wesentlicher Dienste sollten eingedämmt werden. Damit sollte die Kontinuität der Dienstleistungen – insbesondere in den Schlüsselsektoren – sichergestellt werden, um die Wirtschaft und die Gesellschaft nicht zu schädigen.

Erste Erfolge sind bereits zu verzeichnen. Untersuchungen haben gezeigt, dass bei der Stärkung der Cyberresilienz erhebliche Fortschritte erzielt wurden. Allerdings wurde auch deutlich, dass die Umsetzung der Anforderungen der Richtlinie (EU) 2016/1148 in den einzelnen EU-Mitgliedstaaten sehr unterschiedlich ausfällt, was letztlich dazu führt, dass das Risiko eines Angriffs für bestimmte Mitgliedstaaten höher ist als für andere. Dieser Zustand kann aber im schlimmsten Fall negative Konsequenzen für die gesamte Europäische Union haben. Daher wurde entschieden, Mindestanforderungen für alle Mitgliedstaaten verpflichtend zu machen. Diese wurden nun in einer aktualisierten Richtlinie über die Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (Kurz NIS2 – (EU) 2022/2555)  zusammengefasst (Amtsblatt der Europäischen Union).

Perseus als Anbieter eines 365° Grad-Ansatzes im Bereich Cybersicherheit kann vor allem kleinen und mittelständischen Unternehmen bei der Umsetzung der NIS 2-Richtlinie und den darin enthaltenen Maßnahmen beratend zur Seite stehen und aktiv bei der Umsetzung unterstützen.

Weitere Sektoren werden in die Pflicht genommen

Die NIS 2-Richtlinie weitet das Feld der Unternehmen aus, die den festgelegten Mindestanforderungen entsprechen müssen. Neben “wesentlichen” Sektoren, wie bspw. Energieversorger oder Unternehmen des Gesundheitswesen, werden zudem auch “wichtige” Sektoren herangezogen. Hierzu zählen bspw. die Abfallwirtschaft oder Post-Dienstleister.

Hier die komplette Liste:

Wesentlich:

  • Energie (Strom, Öl, Gas, Wärme, Wasserstoff)
  • Gesundheit (Versorger, Labore, F&E, Pharma)
  • Transport (Luft, Schiene, Wasser, Straße)
  • Banken und Finanzmärkte
  • Wasser und Abwasser
  • Digitale Unternehmen (dazu zählen Anbieter von Internet Exchange Points (IXP), DNS-Dienstanbieter, TLD-Namensregistrierungen,
  • Anbieter von Rechenzentrumsdiensten, Anbieter von Cloud-Computing-Diensten, Anbieter von Inhaltsbereitstellungsnetzwerken, Anbieter von Vertrauensdiensten)
  • ICT-Dienstleistungsverwaltung, Raumfahrt, öffentliche Verwaltung

Wichtig:

  • Post und Kurier
  • Abfallwirtschaft
  • Chemie
  • Ernährung
  • Industrie (Technik und Ingenieurwesen)
  • Digitale Dienste (Online-Marktplätzen, Online-Suchmaschinen, sozialer Netzwerke)
  • Forschung

Auch kleine Unternehmen sind gefordert

Neu ist ebenfalls, dass nicht nur Konzerne und Großunternehmen Konzepte zur Netz- und IT-Sicherheit vorweisen müssen. Es wird die sogenannte “size-cap rule” eingeführt.  Dadurch werden nun auch Unternehmen, die mehr als 50 Mitarbeitende beschäftigen, einen Jahresumsatz oder eine Jahresbilanz von mehr als 10 Millionen Euro haben, sowie in einem kritischen oder wichtigen Sektor agieren, den Forderungen nachkommen müssen (Infoguard.ch). Dies stellt eine Änderung zu vorhergehenden Richtlinien dar.

Der Grund für diese Erweiterung ist, dass kleine und mittlere Unternehmen in allen EU-Mitgliedstaaten einen erheblichen Anteil an der Wirtschaft ausmachen. Erschwerend kommt hinzu, dass gerade diese Unternehmen Schwierigkeiten haben, sich an eine stärker vernetzte und zunehmend digitalisierte Welt anzupassen. Jüngste Entwicklungen, wie die Covid-19-Pandemie,  und die daraus resultierende Verlagerung der Arbeit nach Hause sowie die häufigere Nutzung von Dienstleistungen im Internet haben die Lage weiter  verschärft.

Geringes Cyberbewusstsein, mangelnde IT-Sicherheit und hohe Kosten für Cybersicherheitslösungen sind nur einige der Herausforderungen, denen sich kleine und mittlere Unternehmen stellen müssen.

Diese Themen zu vernachlässigen, zu verzögern oder gar zu ignorieren ist nun keine Option mehr. Die NIS2-Richtlinie muss durch die Mitgliedstaaten bis zum 17. Oktober 2024 umgesetzt werden. Anschließend muss die Kommission in regelmäßigen Abständen das Funktionieren der Richtlinie überprüfen – erstmals bis zum 17.10.2027.

NIS 2 fordert konkrete Maßnahmen für die Cybersicherheit

Um die geforderten Mindestanforderungen umzusetzen, gibt die EU einen Maßnahmenkatalog vor, den Unternehmen befolgen müssen und die durch nationale Behörden überwacht werden. Dieser Maßnahmen werden im Artikel 21 der NSI 2 definiert. Ziel ist es hier vor allem, die Risiken für die IT-Sicherheit nachhaltig zu reduzieren und die Auswirkungen so minimal wie möglich zu halten. Die Umsetzung und Verhältnismäßigkeit der Maßnahmen hängt von bestimmten Parametern der Organisation ab: Risikoexposition des Unternehmens, die Größe des Unternehmens und die Wahrscheinlichkeit, dass ein Sicherheitsvorfall eintritt – und letztlich wie gravierend das Ausmaß eines Cybervorfalls auf Gesellschaft und Wirtschaft wäre.

Die wichtigsten Inhalte finden Sie hier einmal zusammengefasst:

  • Konzepte der Risikobewertung, Risikoanalyse und Informationssicherheit
  • Krisenmanagement und Umgang mit Sicherheitsvorfällen
  • Sicherstellung des Geschäftsbetriebs (Backup-Management)
  • Bereitstellung von Konzepten zur Zugriffssicherheit
  • Bereitstellung von Konzepten zur Multi-Faktor-Authentifizierung und verschlüsselter Kommunikation
  • Präventive Maßnahmen (z.B. grundlegende Verfahren zur Cyberhygiene und Schulungen im Bereich der Cybersicherheit, Sicherheit des Personals)

Herausforderungen für die betroffenen Unternehmen

Laut Handelsblatt sieht Hisolution-Gründer Tino Kob als erste Herausforderung, dass viele Unternehmen gar nicht wissen, dass sie von der NIS 2 Richtlinie betroffen sind. Laut seiner Schätzung werden nun 40.000 Unternehmen zusätzlich in die Verantwortung genommen.

Experten sehen bei größeren Unternehmen und Organisationen, die bereits von der NIS-Richtlinie aus 2016 betroffen waren, keine größeren Stolpersteine. Auch meinen sie, dass sich Unternehmen durch Auflagen der Sorgfaltspflicht bereits vor der Verabschiedung der NIS 2-Richtlinie mit den Themen IT-Sicherheits und Cybersicherheit auseinandergesetzt haben. Anders ist es nun, dass dies durch systematisch aufgesetzte Prozesse nachgewiesen werden muss (Handelsblatt).

Probleme bei der Integration der Mindestanforderungen sehen die Experten von Perseus vor allem bei Kleinst-, kleinen und mittleren Unternehmen. Vor allem der Mangel an IT-Fachkräften kann dazu führen, dass es an beratenden Instanzen mangelt, die die Entwicklung und Umsetzung der geforderten Maßnahmen unterstützen und diese Unternehmen auf sich allein gestellt sind. Sind viele der geforderten Aspekte neu oder bisher in der Organisation noch nicht relevant, besteht die Gefahr, dass diese Unternehmen überfordert sind.

Andere Hindernisse wie fehlende finanzielle und personelle Ressourcen können die Umsetzung der NIS-2-Richtlinie ebenfalls beeinträchtigen.

Perseus ist der perfekte Partner für KMU

Und genau hier kann Perseus  Unternehmen helfen. Das Cybersicherheits-Produktportfolio von Perseus beinhaltet viele der geforderten Maßnahmen. So kann die Perseus-Präventionslösung bei der Schulung und Sensibilisierung der Mitarbeitenden helfen. Ausgearbeitete Richtlinien zu Themen wie Datensicherheitskonzepte,  Berechtigungsmanagement, Patch Management und mobiles Arbeiten tragen zur Umsetzung der Vorgaben zur Cyberhygiene bei.

Mit dem Security Baseline Check können Unternehmen standardisiert das grundlegende Sicherheitskonzept überprüfen. Vertiefende Einblicke gewährt der Cyber Risiko Dialog.

Und auch im Bereich des Notfallmanagements kann Perseus die Unternehmen unterstützen. Ein individualisierbarer Notfallplan verschafft einen Überblick über alle Prozesse und Anwendungen, die im Notfall beachtet bzw. die vor einem Vorfall gesondert geschützt werden müssen. Auch hilft der Plan dabei, den Geschäftsbetrieb – im möglichen Schadenfall – zügig wieder anlaufen zu lassen. Im Cybernotfall hilft darüber hinaus das Perseus Notfallteam bei der Bewältigung der Schäden. Hier steht das Team seinen Kunden rund um die Uhr zur Verfügung und berät auch im Verdachtsfall.

Wir nehmen Datenschutz ernst.

Wir nutzen Cookies, um Ihnen bestmögliche Funktionalitäten bieten zu können und Informationen zu erhalten, um die Webseite hinsichtlich Inhalt, Reichweite, Performance und Sicherheit ständig zu verbessern.

Essentielle Cookies (1)

Essentielle Cookies ermöglichen grundlegende Funktionen und sind daher für den reibungslosen Ablauf der Webseite notwendig, aus diesem Grund ist eine einzelne Deaktivierung nicht möglich. Sie werden ausschließlich von uns genutzt. Für die Nutzung von essentiellen Cookies ist Ihre Einwilligung nicht erforderlich.

Technische Cookies (1)

  • Google Tag Manager
    ?

    Der Google Tag Manager dient der Verwaltung von Webseiten-Tags. Er erfasst und verarbeitet keine personenbezogenen Daten. Allerdings kann er andere Cookies auslösen, die diese unter Umständen verarbeiten. Wir nutzen ihn für Cookie-Management. Über ihn wird die Einwilligung zum setzen von Cookies eingeholt und verwaltet.

    • Cookie-Namen:
      gtm, gtm_auth, gtm_debug, gtm_preview, eng_mt, trctestcookie
    • Ablaufdatum:
      2 Jahre, Sitzung, Sitzung, Sitzung, fortdauernd, Sitzung
    • Unternehmen:
      Google Ireland Ltd.

Funktionale Cookies (3)

Funktionale Cookies setzen wir ein, um personalisierte Daten, wie z.B. Ihre Sprachpräferenz anonymisiert zu speichern und so beim nächsten Mal automatisch wieder aufzurufen. Funktionale Cookies können außerdem dazu genutzt werden, angeforderte Funktionen wie das Abspielen von Videos zu ermöglichen. Die Daten werden nicht an Dritte weitergegeben und verfolgen nicht Ihre Bewegung auf anderen Internetseiten.

Darstellung (1)

  • Vimeo
    ?

    Mit Hilfe des Vimeo-Cookies können Sie die Erklärvideos auf unserer Webseite sehen.

    • Cookie-Namen:
      vuid
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Vimeo LLC

Kommunikation (2)

  • Freshworks Webforms
    ?

    Mit Hilfe des Cloudflare-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      _cfduid
    • Ablaufdatum:
      30 Tage
    • Unternehmen:
      Cloudflare, Inc. im Formular von Freshworks, Inc.
  • SendInBlue
    ?

    Mit Hilfe des sib-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      sib_cuid
    • Ablaufdatum:
      6 Monate
    • Unternehmen:
      Sendinblue

Analysen und Statistiken (3)

Statistik-Cookies erfassen Informationen pseudonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher die Webseite nutzen, zum Beispiel welche Seiten besonders häufig geklickt werden. Dadurch können wir unsere Inhalte und Funktionen an ihre Interessen anpassen. Bei Deaktivierung können Probleme mit einzelnen Funktionalitäten der Webseite auftreten.

Analytische Cookies (3)

  • Google Analytics / Google Analytics Audiences
    ?

    Google Analytics: Die Cookies von Google Analytics liefern uns durch statistische Auswertungen Informationen zur optimalen Gestaltung der Webseite für unsere Kunden. Google Analytics Audiences: Cookies von Google für Zielgruppen-Analyse. Dient der Gruppierung von Benutzern auf der Grundlage einer beliebigen Kombination von Attributen.

    • Cookie-Namen:
      _ga, _gat, _gid, ads/ga-audiences
    • Ablaufdatum:
      2 Jahre, 1 Tag, 1 Tag, Sitzung
    • Unternehmen:
      Google Ireland Ltd.
  • Google Optimize / Double Click
    ?

    Mit Google Optimize-Cookies können wir die Nutzererfahrung auf unserer Webseite verbessern.

    • Cookie-Namen:
      _gat
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Google Irland Ltd.
  • Hotjar
    ?

    Cookies von Hotjar für Webseiten-Analyse. Damit lassen sich die Bewegungen der Nutzer unserer Internetseite anonymisiert nachvollziehen (sog. Heatmaps) zur Verbesserung ihrer Bedienungsfreundlichkeit.

    • Cookie-Namen:
      _hjid, _hjid, _hjIncludedInSampl, _hjViewportId, _hjRecordingEnabled, _hjRecordingLastActivity, _hjTLDTest
    • Ablaufdatum:
      1 Jahr, fortdauernd, Sitzung, Sitzung, Sitzung, Sitzung, Sitzung
    • Unternehmen:
      Hotjar Ltd.

Marketing- und sonstige Third-Party-Cookies (2)

Cookies für Marketing und Cookies von Dritten (Third-Party-Cookies) werden bei uns genutzt, um den Erfolg von Marketingmaßnahmen messen zu können z.B. ob man eine Webseite besucht hat. Sie können auch dazu dienen, diese im Anschluss entsprechend zu steuern z.B. die Häufigkeit einer angezeigten Anzeige zu limitieren. Es ist möglich, dass diese Information mit Dritten, wie z.B. Werbetreibenden, geteilt wird. Häufig werden diese Cookies auch mit Seitenfunktionalitäten von Dritten verbunden.

Social Media (1)

  • Facebook Connect/ Facebook Pixel
    ?

    Durch den Einsatz des Facebook Pixels können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine Facebook-Anzeige angesehen oder angeklickt haben. Facebook kann die Daten für die zielgerichtete Ausspielung von Werbeanzeigen nutzen.

    • Cookie-Namen:
      _fbp, fr, tr
    • Ablaufdatum:
      3 Monate, 3 Monate, Sitzung
    • Unternehmen:
      Facebook Ireland Ltd.

Personalisierte Werbung (1)

  • LinkedIn Marketing Solutions/LinkedIn Ads
    ?

    Durch den Einsatz der LinkedIn Marketinglösung-Cookies können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine LinkedIn-Anzeige angesehen oder angeklickt haben.

    • Cookie-Namen:
      lang (2x), bcookie, bscookie, lidc, UserMatchHistory
    • Ablaufdatum:
      Sitzung, 2 Jahre, 2 Jahre, 1 Tag, 29 Tage
    • Unternehmen:
      LinkedIn Ireland Unlimited