:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Cybersicherheit wird zur Chefsache Persönliche Haftungsrisiken aus der EU-Richtlinie NIS2
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Mit der Novelle der Netzwerk- und Informationssicherheitsrichtlinie (NIS2) legt die EU Mindeststandards für Cybersicherheit fest. Betroffen sind Unternehmen und Behörden ab 50 Beschäftigten und einem Jahresumsatz ab zehn Millionen Euro. Mit NIS2 wird auch eine persönliche Haftung von Geschäftsführern und Vorständen eingeführt, die bei Verstößen gegen die Cybersecurity-Pflichten mit empfindlichen Geldbußen rechnen müssen.
Kaum haben Unternehmen das im Mai 2021 in Kraft getretene IT-Sicherheitsgesetz 2.0 verdaut, steht mit NIS2 bereits die nächste Herausforderung vor der Tür. Ziel der neuen EU-Richtlinie ist es, ein einheitlich höheres Niveau an Cyber-Resilienz in der EU zu schaffen und den Binnenmarkt besser vor Cyberangriffen und Betriebsunterbrechungen zu schützen – den beiden größten Risiken für Unternehmen laut einer aktuellen Studie („Allianz Risk Barometer 2023“).
Deutschland muss die „EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2-Richtlinie)“ bis Oktober 2024 in nationales Recht umsetzen. Seit April 2023 liegt in Deutschland ein Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) vor.
Anwendungsbereich
Im Vergleich zur NIS1-Verordnung hat NIS2 einen erweiterten Anwendungsbereich und geht über die bisherigen KRITIS-Sektoren hinaus. Unter die Richtlinie fallen alle Einrichtungen, die einer der beiden Größenklassen “Large” und Medium” angehören (vergl. Tabelle) und Leistungen in einem von 18 definierten Sektoren erbringen.
Die Sektoren werden dabei nochmals in zwei Klassen unterteilt (Annex 1 bzw. Annex 2). Die Richtlinie unterscheidet zwischen Essential Entities (Wesentliche Einrichtungen) und Important Entities (Wichtige Einrichtungen). Zu den Essential Entities zählen insbesondere alle Large-Einrichtungen gemäß Annex 1, zu den Important Entities Medium-Einrichtungen gemäß Annex 1 sowie Large- und Medium-Unternehmen gemäß Annex 1 und Annex 2 (siehe Bild). Einige Einrichtungen sollen sogar unabhängig von ihrer Größe reguliert werden, darunter Teile der digitalen Infrastruktur und der öffentlichen Verwaltung.
Was regelt NIS2?
NIS2 definiert grundlegende Anforderungen an die Cyber-Sicherheit. Die betroffenen Einrichtungen sind verpflichtet, die Risiken, die ihre Informationssysteme betreffen, zu kontrollieren. Dazu müssen sie angemessene und verhältnismäßige Maßnahmen auf technischer, betrieblicher und organisatorischer Ebene umsetzen (siehe Artikel 21):
- Konzepte in Bezug auf Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Darüber hinaus verpflichtet die NIS2-Richtlinie die betroffenen Einrichtungen, innerhalb von 24 Stunden nach Bekanntwerden erheblicher Störungen, Vorfällen oder Cyber-Angriffen auf ihre Systeme eine Frühwarnung an die zuständige nationale Behörde zu senden. Innerhalb von 72 Stunden ist eine detailliertere Bewertung der Situation erforderlich, und nach einem Monat wird ein umfassender Abschlussbericht erwartet (siehe Artikel 23).
Sanktionen
Neu eingeführt wird mit NIS2 eine persönliche Haftung von Führungskräften, die für Verstöße gegen die Einhaltung der Richtlinie verantwortlich gemacht werden können (siehe Artikel 20). Zu den Pflichten der Führungskräfte gehört es auch, selbst an Cybersicherheitsschulungen teilzunehmen und solche Schulungen regelmäßig allen Mitarbeitern anzubieten.
Für Verstöße gegen die Anforderungen von NIS2 gelten Geldbußen bis zu einer Höhe von
- 10 Mio. Euro oder 2 Prozent des weltweiten Umsatzes (Essential Entities)
- 7 Mio. Euro oder 1,4 Prozent des weltweiten Umsatzes (Important Entities).
Darüber hinaus kann natürlichen Personen die Wahrnehmung von Leitungsaufgaben auf Geschäftsführungs- bzw. Vorstandsebene bei Essential Entities untersagt werden (siehe Artikel 32/33).
Die Anforderungen der Datenschutzgrundverordnung (DSGVO) an die Verarbeitung personenbezogener Daten sowie die dort vorgesehenen Sanktionsmöglichkeiten bleiben von NIS2 unberührt. Die für NIS2 zuständigen Behörden sind jedoch verpflichtet, eng mit den Datenschutzbehörden zusammenzuarbeiten. Insgesamt wächst damit das Risiko vermehrter Bußgelder, die die Wirtschaftskraft eines Unternehmens ernsthaft gefährden.
Fazit
Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. Die Details bei der Umsetzung der EU-Richtlinie in geltendes deutsches Recht bleiben abzuwarten. Betroffene Unternehmen sollten jedoch bereits ab heute
- Führungskräfte in die Umsetzung von Cybersicherheitsmaßnahmen einbinden
- Mitarbeitende regelmäßig zum Thema IT-Sicherheit schulen
- Grundlegende Maßnahmen zur Cyberhygiene umsetzen, z.B. regelmäßige Sicherheitsupdates sicherstellen, flächendeckend Multi-Faktor-Lösungen zur Anmeldung einsetzen oder Netzwerksegmentierung konsequent umsetzen
- Maßnahmen zur Aufrechterhaltung des Betriebs im Falle eines Angriffs stärken, z.B. durch eine Überprüfung und ggf. Optimierung der Backup- und Wiederherstellungsmöglichkeiten sowie die Erstellung eines Notfallhandbuchs zum Vorgehen bei Cybervorfällen
- Regelmäßige Reviews der eigenen Schutzniveaus durchführen, z.B. in Form von regelmäßigen Schwachstellenscans und Penetration Tests
- Erweiterte technische Maßnahmen zur Erkennung und Abwehr von Cyberangriffen prüfen, z.B. in Form eines Managed Detection & Response (MDR)-Service
Für viele Unternehmen ist der Schutz des Unternehmens bereits seit Jahren eine Selbstverständlichkeit. Durch die NIS2-Richtlinie und das damit verbundene persönliche Haftungsrisiko für Geschäftsführer und andere Leitungsorgane wird sich dieser Kreis nochmals deutlich erweitern.
Über den Autor: Dr.-Ing. Matthias Bender treibt die Themen Cybersicherheit und moderne Zusammenarbeit in mittelständischen Unternehmen voran. Als Leiter mehrerer Competence Center bei der IT-HAUS GmbH verbindet er technisches und betriebswirtschaftliches Know-how mit der seiner Erfahrung im Bereich Unternehmensführung aus seiner früheren Rolle als Geschäftsführer eines IT-Beratungsunternehmens.
(ID:49709488)
:quality(80)/p7i.vogel.de/wcms/44/13/441308ff843586c1023b6d993a9ba077/0112599838.jpeg "Ob CRA, NIS-2 oder die CER-Richtlinie: Halten sich Unternehmen nicht an die Vorschriften, können die EU-Staaten Bußgelder verhängen. Umso wichtiger ist eine strukturierte und ganzheitliche Cybersecurity-Strategie. (Bild: Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/61/9b/619bdf395f67b38d13392f7e32bb9b51/0110183645.jpeg "Die Cybersicherheit in Europa soll besser werden. Herzstück dieses Plans ist die NIS2-Richtlinie; aber für deutsche Unternehmen drängt die Zeit für die Umsetzung. (Bild: garrykillian - stock.adobe.com)")