Die Online-Bedrohungslandschaft entwickelt sich stetig weiter. Cyberangriffe kommen immer häufiger vor und die Methoden werden ausgefeilter.
- Einer Studie von Cybersecurity Ventures zufolge verursacht Cyberkriminalität pro Jahr weltweit Kosten von mehr als 6 Billionen US-Dollar – und verursacht damit höhere Kosten als jede andere Ursache zuvor. Für 2025 rechnen die Autoren der Studie sogar mit Verlusten von mehr als 10 Billionen US-Dollar.
- Auch in Deutschland war praktisch jedes Unternehmen schon einmal betroffen: 84 Prozent aller Unternehmen wurden 2022 erwiesenermaßen Opfer einer Cyberattacke, weitere 9 Prozent gehen von einem Angriff aus.
- Umso mehr wünschen sich Unternehmen möglichst umfassende politische und rechtliche Rahmenbedingungen. 98 Prozent der in einer aktuellen Bitkom-Studie befragten Unternehmen wünschen sich mehr Bewegung hin zu einer EU-weiten Zusammenarbeit beim Thema Cybersicherheit.
Zwar haben viele Unternehmen die Zeichen der Zeit erkannt und investieren massiv in wirksamere Sicherheitsmaßnahmen. Doch auch die Herausforderungen werden in den nächsten Jahren eher zu- als abnehmen.
Um Unternehmen effektiv in ihren Digitalisierungsbestrebungen und im Kampf gegen Cyberangriffe zu unterstützen, wurde kürzlich die neue EU-Richtlinie für Cybersicherheit NIS2 (Network and Information Systems) verabschiedet.
Übersicht
- Worum geht es in der NIS2?
- Wie stärkt die NIS2-Richtlinie die Cybersicherheit in der EU?
- Was unterscheidet die NIS2 von der ursprünglichen NIS-Richtlinie?
- Bis wann muss die NIS2 umgesetzt werden?
- Was sind die zentralen Vorgaben der NIS2?
- Welche Vorteile bringt die NIS2-Richtlinie?
- Wie geht es jetzt weiter?
- Was kann DataGuard für Sie tun?
Worum geht es in der NIS2?
Die neue EU-Richtlinie NIS2 stellt strengere Anforderungen an die Cybersicherheit in der EU. Die Ziele sind:
- eine Stärkung der Resilienz gegen Angriffe bei einer ganzen Reihe von EU-Unternehmen und über alle relevanten Branchen hinweg,
- das Erreichen eines hohen, einheitlichen Sicherheitsniveaus,
- die Adressierung der Sicherheit von Lieferketten (Supply Chain Security),
- die Verschärfung von Meldepflichten, um sie den gestiegenen Sicherheitsanforderungen anzupassen und
- die Einführung schärferer Überwachungsmechanismen.
Letztendlich soll hiermit die Resilienz gegenüber Cyberattacken in der gesamten EU tiefgreifend und umfassend gestärkt werden.
Die NIS2-Richtlinie enthält rechtliche Vorgaben sowohl zum Cyber-Risikomanagement als auch zu Meldepflichten bei Sicherheitsvorfällen. Damit hilft sie ungefähr 160.000 Unternehmen und Organisationen ihren Security-Status genau zu prüfen und das Sicherheitsniveau insgesamt zu erhöhen. Das Ziel: Europa zu einem sichereren Ort zum Leben und Arbeiten zu machen. Zudem hilft die Richtlinie, den Datenverkehr zwischen Unternehmen und Partnern in Europa und auf der ganzen Welt zu erleichtern.
Wie stärkt die NIS2-Richtlinie die Cybersicherheit in der EU?
Die NIS2-Richtlinie schafft die rechtliche Grundlage für mehr Cybersicherheit in der EU. Dazu:
- entwickelt sie die Vorgaben der NIS1-Richtlinie weiter. Hier hatte es bereits eine erste Strategie zur Sicherheit von Netzwerken und Daten gegeben, mit deren Hilfe Mitgliedsstaaten sich auf die nun anstehenden Aufgaben vorbereiten konnten.
- schafft sie mit der NIS-Kooperationsgruppe die Grundlage für die Zusammenarbeit und den Austausch von Daten und Informationen zwischen allen Mitgliedsstaaten.
- schafft sie eine sektorübergreifende Sicherheitskultur für die sieben Sektoren, die für Wirtschaft und Gesellschaft besonders bedeutsam sind und sich stark auf Informationstechnologien stützen; nämlich Energie, Verkehr, Trinkwasserversorgung, Bankwesen und Finanzmarktinfrastruktur, Gesundheitswesen und digitale Infrastruktur.
Was unterscheidet die NIS2 von der ursprünglichen NIS-Richtlinie?
Die NIS2 erweitert den Anwendungsbereich der ursprünglichen NIS und bezieht sich nun auf alle mittleren und großen Unternehmen, die in den vom NIS2-Rahmen abgedeckten Sektoren tätig sind. Diese müssen somit die im Vorschlag enthaltenen Sicherheitsvorschriften einhalten und umsetzen.Zusätzlich nimmt die NIS2 die Überwachung und Verwaltung der Cybersicherheit mehr in den Fokus, mit u.a. Genehmigungs- und Prüfungspflichten für die jeweils oberste Führungsebene der Unternehmen.
Bis wann muss die NIS2 umgesetzt werden?
Da es sich hier um eine EU-Richtlinie und keine Verordnung handelt, müssen die EU-Mitgliedsstaaten sie zunächst in nationales Recht überführen. Dafür haben sie Zeit bis zum 18. Oktober 2024.
Was sind die zentralen Vorgaben der NIS2?
Die NIS2-Richtlinie soll helfen, besser auf die Bedrohungen in der digitalen Welt zu reagieren, heute wie in der Zukunft. Hierfür werden verschiedene zentrale Vorgaben gemacht, die die Cybersicherheit von EU-Unternehmen verbessern sollen. Dazu gehören:
Erweiterung des Anwendungsbereichs
Eine der wichtigsten Änderungen durch die NIS2 ist ihr umfassenderer Anwendungsbereich. Die Richtlinie bezieht wesentlich mehr Organisationen mit ein als ihre Vorgängerin, darunter Online-Marktplätze, Suchmaschinen und Cloud Computing-Dienste. Mit dieser Erweiterung des Anwendungsbereichs werden nun mehr Unternehmen und Organisationen in die Pflicht genommen, sich mit der Netzwerk- und Informationssicherheit auseinanderzusetzen.
Meldung von Sicherheitsvorfällen
Nach Maßgabe der NIS2-Richtlinie besteht eine Meldepflicht gegenüber der zuständigen nationalen Behörde für gravierende Sicherheitsvorfälle. Diese gilt für alle Unternehmen, die sogenannte wesentliche Dienste leisten („Essential Service Providers“). Ziel ist es, die Reaktionszeit gegenüber Cyberangriffen zu verringern und sicherzustellen, dass alle Mitgliedsstaaten jederzeit einen Überblick über die aktuelle Sicherheitslage in ihrer Region haben. Da bereits einige EU-Mitgliedsstaaten vergleichbare Meldepflichten auf nationaler Ebene umgesetzt haben, baut die NIS2 auf diesen auf.
Verschärfung von Sicherheitsvorgaben
Die NIS2-Richtlinie verschärft auch die Sicherheitsvorgaben für Unternehmen, die wesentliche Dienste leisten und verpflichtet sie zum Beispiel, geeignete technische und organisatorische Maßnahmen für die unternehmenseigene Netzwerk- und Informationssicherheit einzuführen. Die Unternehmen sind außerdem aufgefordert, wirksame Reaktionspläne für Sicherheitsvorfälle zu implementieren und so die negativen Folgen solcher Vorfälle zu minimieren.
Zertifizierungs-Leitlinien
Die NIS2 gibt einen Rahmen vor für die Erstellung nationaler Zertifizierungs-Richtlinien für Securityprodukte und -dienstleistungen. Diese Leitlinien sollen Unternehmen helfen, Produkte und Dienstleistungen so auszuwählen, dass sie damit ein bestimmtes Sicherheitsniveau erreichen. Weiterhin wird die Entwicklung von Securityprodukten und -dienstleistungen unterstützt, die den Ansprüchen des europäischen Marktes genügen.
Welche Vorteile hat die NIS2-Richtlinie?
Die NIS2 bringt verschiedene Vorteile für Unternehmen in ganz Europa. Dazu zählen:
Mehr Cybersicherheit
Durch die Erweiterung des Anwendungsbereichs und die verstärkten Anforderungen an Unternehmen erhöht die NIS2 das Niveau der Cybersicherheit in Europa. Dadurch wird das Risiko von Cyberangriffen verringert und Unternehmen sind besser auf den Umgang mit Cyber-Bedrohungen vorbereitet.
Mehr Kooperation
Die NIS2-Richtlinie fördert die Kooperation zwischen den Mitgliedsstaaten und den Austausch von Informationen zu Cybersecurity-Vorfällen. Durch diese Zusammenarbeit ist es für Mitgliedsstaaten leichter, auf Vorfälle zu reagieren und insgesamt resilienter gegenüber Cybergefahren zu werden.
Mehr Innovation
Die NIS2 stärkt die Entwicklung von Cybersecurity-Produkten und -Dienstleistungen, die die Anforderungen des europäischen Marktes erfüllen. Dies steigert wiederum die Innovationskraft in der Security-Branche und schafft neue Chancen für Unternehmen in ganz Europa.
Wie geht es jetzt weiter?
Die NIS2-Richtlinie ist ein wichtiger Schritt hin zu mehr Cybersicherheit in der EU. Sie hilft Unternehmen verschiedenster Branchen, sich vor Bedrohungen zu schützen und auf Angriffe zu reagieren sowie eine unternehmensweite Security-Kultur zu entwickeln.
Der europäischen Kommission zufolge wird die Richtlinie bis zum 17. Oktober 2024 (21 Monate nach Verabschiedung) in nationales Recht umgesetzt. Die Kommission wird dann in regelmäßigen Abständen die Umsetzung der Richtlinie prüfen und dem EU-Parlament und dem EU-Rat Bericht erstatten, zum ersten Mal am 17. Oktober 2027.ament und dem EU-Rat Bericht erstatten, zum ersten Mal am 17. Oktober 2027.
Was kann DataGuard für Sie tun?
DataGuard hilft Unternehmen, die interne Cybersicherheit zu stärken. Egal ob mit branchenspezifischen Hilfestellungen und Hinweisen, bei der Implementierung eines Informationssicherheits-Managementsystems oder effektivem Cyber-Risikomanagement – wir sind Ihr starker Partner in Sachen Informationssicherheit, Datenschutz und Compliance.
Vereinbaren Sie noch heute Ihr unverbindliches Beratungsgespräch und erfahren Sie mehr!
Die neue NIS2-Richtlinie verstehen: Wichtige Fakten für CEOs
Lesen Sie unseren umfassenden Leitfaden, um die Anforderungen und Auswirkungen der NIS2-Richtlinie zu verstehen und die Cybersicherheit Ihres Unternehmens zu verbessern.
Jetzt kostenlos herunterladen