NIS2 EU-Richtlinie: Was ist neu für Unternehmen?
Sarah Kolberg | Juni 13, 2023
Im Januar 2023 ist die NIS2-Richtlinie der Europäischen Union in Kraft getreten. Diese erweitert die Mindestanforderungen für die Netzwerk- und Informationssicherheit der NIS-Richtlinie und soll in den Mitgliedsstaaten bis Oktober 2024 in nationales Recht überführt werden. Eine große Veränderung, die NIS2 mit sich bringt: Ein deutlich breiteres Spektrum an Unternehmen muss die EU-Richtlinie befolgen. Erfahren Sie, was NIS2 beinhaltet, für wen sie gilt und wie macmon NAC bei der Umsetzung unterstützen kann.
Was ist NIS2?
NIS steht für Network and Information Security. Die NIS-Richtlinie wurde 2016 durch die Europäische Union verabschiedet. Sie enthält Mindestanforderungen im Bereich Netzwerk- und Informationssicherheit für Unternehmen und Institutionen der kritischen Infrastruktur (KRITIS) der Mitgliedsstaaten.
Neben der öffentlichen Verwaltung wurden im Rahmen der EU-NIS-Richtlinie folgende Sektoren als KRITIS-Unternehmen definiert:
- Gesundheit
- Energie- und Wasserversorgung
- Transport und Verkehr
- Finanzwesen und Versicherungen
- Ernährung
- Informationstechnik und Telekommunikation
NIS2 ist eine überarbeitete Version der Richtlinie und wurde im Januar 2023 beschlossen. Ziel ist die Vereinheitlichung und Modernisierung des europäischen Sicherheitsniveaus.
Was ist NIS2?
Antwort von Dominik Bücker, IT-Berater bei IOK – IT-Systemhaus für den Mittelstand
(Platin-Partner von macmon secure)
Was ist neu an NIS2?
Die Mitgliedsstaaten müssen Computer Security Incident Response Teams (CSIRT) vorweisen und eine nationale Netz- und Informationssystembehörde bestimmen. Außerdem ändern sich:
- Art der Anforderungen und Maßnahmen
- Überwachung der Umsetzung
- Vorfallmeldepflichten
- Erweiterte Sanktionsvorschriften bei Nicht-Einhaltung
Eine der wohl wichtigsten Neuerungen ist die Ausweitung der EU-Richtlinie auf einen deutlich größeren Teil der Wirtschaft.
Warum NIS2?
Mit NIS2 soll eine Angleichung des Sicherheitsniveau erfolgen. Die NIS-Richtlinie wurde von den Mitgliedsstaaten sehr unterschiedlich umgesetzt, sodass weiterhin eine starke Heterogenität des Cyber-Security-Levels innerhalb der EU besteht. Einige europäische Länder sind deutlich anfälliger für Cyber-Angriffe. Zudem erfordert die zugespitzte Bedrohungslage eine Neuerung des rechtlichen Rahmens.
Für wen gilt NIS2?
NIS2 gilt für Unternehmen und Institutionen kritischer Infrastruktur. Zudem sieht die EU in NIS2 vor, die Anforderungen auf „wichtige Einrichtungen“ zu erweitern. Hierzu zählen Großunternehmen sowie mittlere Unternehmen bestimmter Sektoren, die gesellschaftskritische Aufgaben erfüllen. Als Schwellenwert sind hierbei mindestens 50 Mitarbeiter und einen Jahresumsatz von 10 Millionen festgelegt.
Zu neudefinierter KRITIS zählen:
- Bankwesen & Finanzen
- Chemische Industrie
- Digitale Infrastruktur
- Energie
- Gesundheitswesen
- ICT Service Management
- Nahrungsmittelversorgung
- Öffentliche Verwaltung
- Transport
- Wasseraufbereitung und -versorgung
Neben bereits genannten Sektoren gilt die Richtlinie auch für:
- Abfallentsorgung
- Digitale Dienste
- Forschung
- Logistik
- Produktion
- Verarbeitendes Gewerbe
Unternehmen im besonderen öffentlichen Interesse:
- Rüstungsgüter und VS-IT (UBI_1)
- Wertschöpfung (UBI_2)
- Gefahrenstoffe (UBI_3)
Warum ist NIS2 noch so ein kleines Thema in den Medien?
Bisher waren von den strengen regulatorischen Sicherheitsanforderungen der NIS-Richtlinie ein kleiner Teil der Unternehmen betroffen. NIS2 hingegen ist in seinen Ausmaßen mit der Datenschutzgrundverordnung (DSGVO) vergleichbar. Diese hatte enorme Greifweite, die Unternehmen hohen Arbeitsaufwand und Investitionen abforderte.
Obwohl NIS2 ähnlich weitreichend ist, besteht für die Richtlinie bisher wenig Bewusstsein in der deutschen Unternehmenslandschaft. Ein Grund dafür ist, dass die EU-Richtlinie vorerst in deutsches Länderrecht überführt werden muss.
Warum ist NIS2 noch ein so kleines Thema in den Medien?
Antwort von Malte Marquardt, Solution Sales Cybersecurity Lead EMEA bei Belden Inc.
Wie weit ist Deutschland mit NIS2?
In Deutschland liegt seit April 2023 ein Entwurf zur Umsetzung in nationales Recht vor: Das NIS2-Umsetzungsgesetz (NIS2UmsuCG). Der Gesetzesentwurf muss jedoch noch durch die Bundesverwaltung sowie die Gesetzgebung.
Es handelt sich bei NIS2UmsuGG um ein Änderungsgesetz zur Modernisierung des BSI-Gesetzes, insbesondere der KRITIS-Verordnung. Folgende Aspekte im BSI-Gesetz werden überarbeitet: Maßnahmen zum Risikomanagement, Meldepflichten für Vorfälle, Registrierung beim BSI, Umsetzungsnachweise und Informationspflichten.
Bisher wurden die Maßnahmen zum Risikomanagement noch nicht klar definiert, jedoch Bereiche festgelegt:
- Risikoanalyse
- Management von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs
- Supply Chain Security
- Bewertung der Effektivität des Risikomanagement
- Schulungen und Cyberhygiene
- Kryptografie
- Personal, Zugriffe und Anlagen
- Multi-Faktor Authentifizierung
- Sichere Entwicklung und Beschaffung
- Sichere Kommunikation & Notfallkommunikation
Wie hilft macmon NAC bei der Umsetzung von NIS2?
macmon NAC kann in zahlreichen Bereich der geforderten Risikomanagement-Maßnahmen unterstützen. Als Tool für Network Access Control können Zugriffsrechte für Personal und Geräte festgelegt werden. Nur authentifizierte Geräte gelangen ins Netzwerk, was eine sichere Kommunikation gewährleistet. Mithilfe der Topologie haben Sie Einblick auf alle Netzwerkgeräte und schaffen so Bewusstsein für die eigene Umgebung. Mithilfe des Reportings können alle verbundenen Endgeräte im Netzwerk identifiziert werden. Diese Einsicht können Sie für die Risikoanalyse heranziehen. Das Monitoring des Netzwerks macht sicherheitsrelevante Ereignisse sichtbar und speichert diese für 90 Tage in der lokalen Datenbank. Optional können die Ereignisse mit unserem Past Viewer auch für einen unbegrenzten Aufbewahrungszeitraum gespeichert werden. Damit können Sicherheitsvorfälle auch nachträglich, für einen beliebigen Zeitraum, untersucht werden.
Wie kann macmon NAC bei der Umsetzung von NIS2 helfen?
Antwort von Malte Marquardt, Solution Sales Cybersecurity Lead EMEA bei Belden Inc.
Mithilfe der Compliance von macmon NAC können Sie Sicherheitsrichtlinien im Netzwerk durchsetzen. Clients und Endgeräte erhalten ausschließlich Berechtigungen zu notwendigen Netzwerkbereichen. Der VLAN Manager ermöglicht eine Segmentierung des Unternehmensnetzwerks. Die Kommunikation dieser Segmente kann kontrolliert von anderen Teilen des Netzwerks unterbunden werden, wenn nötig. So kann auch während eines Angriffs die Aufrechterhaltung des Betriebs gewährleistet werden.