Der Countdown läuft.
In nur 13 Monaten müssen zahlreiche Unternehmen die NIS-2-Richtlinie umsetzen, die sie dazu verpflichtet, strenge Anforderungen und Maßnahmen zur Gewährleistung der Cybersicherheit zu implementieren. Auf den ersten Blick mögen 13 Monate wie eine lange Zeitspanne erscheinen, doch die Zeit vergeht bekanntlich wie im Flug. Der Aufbau einer soliden, vielseitigen und widerstandsfähigen Cybersicherheitsstrategie erfordert eine gründliche Vorbereitung. Derartige neue Gesetze können anfangs überwältigend wirken, ähnlich wie es bei der Einführung der DSGVO der Fall war. Aus diesem Grund ist es von großer Bedeutung, sie in überschaubare Schritte zu unterteilen und das richtige Gleichgewicht zwischen Compliance und betrieblicher Effizienz zu finden.
Anforderungen der NIS-2
Seit dem Inkrafttreten der NIS-1 im Jahr 2016 sind vier Jahre vergangen, bis der Gesetzesentwurf für die NIS-2 im Jahr 2020 vorgelegt wurde. Gemäß der neuen NIS2-Richtlinie trug NIS-1 wesentlich dazu bei, dass es zu einem Umdenken in Bezug auf die Stärkung der Cyber-Resilienz innerhalb der EU kam. Angesichts der sich verändernden Bedrohungslage und der fortschreitenden Digitalisierung stehen wir heute vor neuen Herausforderungen, denen die EU unter anderem mit der vorliegenden NIS-2-Richtlinie begegnen will. Die neue Cybersicherheitsrichtlinie NIS-2 wurde am 16.01.2023 von der EU in Kraft gesetzt. Die Mitgliedstaaten haben bis zum 17.10.2024 Zeit, die Richtlinie in nationales Recht umzusetzen. Mit der Inkraftsetzung von NIS-2 wird die Vorgängerrichtlinie NIS-1 vom 6. Juli 2016 abgelöst. Es bestehen bereits erste Entwürfe der Umsetzung der NIS2 Richtlinie der europäischen Staaten in nationales Gesetz. So wurde bereits im Frühjahr der erste Entwurf für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) veröffentlicht. Anfang Juli 2023 erschien der zweite Referentenentwurf.
Wichtige Änderungen von NIS-1 zur NIS-2
Besonders hervorzuheben ist der deutlich erweiterte Anwendungsbereich von NIS-2 im Vergleich zu NIS-1. Während NIS-1 auf „Betreiber von wesentlichen Diensten und digitalen Diensten“ beschränkt war, wird der Anwendungsbereich von NIS-2 auf eine Reihe weiterer Sektoren und Dienste ausgeweitet, um eine umfassende Abdeckung von Wirtschaft und Gesellschaft in der EU zu gewährleisten.
Um festzustellen, ob ein Unternehmen von NIS-2 betroffen ist, können die Anhänge I und II der Richtlinie herangezogen werden. Anhang I umfasst alle Sektoren mit hoher Kritikalität (z. B. Finanzen und Transport), während Anhang II die übrigen kritischen Sektoren (z. B. Produktion) abdeckt.
Basierend auf den Definitionen in den Anhängen und unter Berücksichtigung der Unternehmensgröße kann festgestellt werden, ob es sich um eine wesentliche oder wichtige Einrichtung handelt und ob das Unternehmen von den neuen Vorschriften betroffen ist. Grundsätzlich gibt es zwei Unterschiede zwischen wesentlichen und wichtigen Einrichtungen:
- Die maximale Bußgeldhöhe
- Das Aufsichtssystem (abgeschwächte Aufsicht für wichtige Einrichtungen)
Hinsichtlich der zu ergreifenden Maßnahmen gibt es keine Unterschiede zwischen wesentlichen und wichtigen Einrichtungen.
Anforderungen an Unternehmen unter NIS-2
Im Vergleich zur NIS-1 bringt die NIS-2 ein umfangreicheres Set an Anforderungen mit sich. Unternehmen müssen sicherstellen, dass geeignete und verhältnismäßige technisch-organisatorische-Maßnahmen (TOMs) ergriffen werden, um die Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu reduzieren. Bei der Umsetzung dieser TOMs sind sowohl der Stand der Technik als auch die Kosten der Umsetzung im Verhältnis zu den Risiken in Bezug auf die Cybersicherheit zu berücksichtigen. Der Grundsatz der Verhältnismäßigkeit spielt hierbei eine wichtige Rolle, wobei unter anderem die Risikoexposition des Unternehmens und die Größe der Einrichtung miteinbezogen werden.
Für diesen risikobasierten Ansatz enthält die NIS-2-Richtlinie Mindestmaßnahmen, die Unternehmen erfüllen müssen. Folgend einige Auszüge:
- Risikoanalyse- und Informationssicherheitskonzepte
- Maßnahmen zur Bewältigung von Sicherheitsvorfällen
- Etablierung von Notfall- und Krisenmanagement
- Maßnahmen zur Sicherheit der Lieferkette, einschließlich Unterauftragnehmern
- Einführung von Verfahren zur Cyberhygiene
- Sicherstellung der Cyberhygiene und Schulungen zur Cybersicherheit
- Kryptographie-Konzepte und Verfahren zur Anwendung
- Maßnahmen zur Personalsicherheit und Berechtigungskonzepte
Herausforderungen und Ausblick
Für Unternehmen, die noch nicht mit Cybersicherheitsvorschriften konfrontiert waren, stellen die TOMs eine besondere Herausforderung dar. Falls bisher noch keine Maßnahmen ergriffen wurden, bleiben weniger als 21 Monate, um bis Oktober 2024 NIS-2-konform zu sein. Selbst wenn bereits Maßnahmen getroffen wurden, ist es wichtig zu überprüfen, ob die Anforderungen von NIS-2 entsprechend dem aktuellen Stand der Cyber-Resilienz umgesetzt wurden oder ob noch Abweichungen bestehen, die vor Ablauf der Umsetzungsfrist behoben werden müssen.
Je nach Branche und Technologie sind weitere Gesetzvorhaben auf dem Weg – etwa der Digital Operational Resiliance Act (DORA) für die Finanzbranche oder der EU AI Act, der einen verantwortungsvollen Umgang mit künstlicher Intelligenz regeln soll. Kurzum: IT-Compliance wird zum strategischen Schlüsselthema.
Maßgeschneiderte Cybersecurity mit NTT DATA
Ihr Vorteil mit NTT DATA besteht darin, dass wir Sie in jeder Phase Ihrer NIS 2-Reise unterstützen können. Im Gegenzug profitieren Sie von der umfassenden Expertise und dem tiefen Branchenverständnis von NTT DATA – von der Strategie über die Umsetzung bis hin zum sicheren Betrieb. Mit NTT DATA sind Sie NIS-2-konform und erhalten alles aus einer Hand. Sie können von den entstehenden Synergien profitieren und müssen keine zusätzlichen Dienstleister beauftragen.
Bei NTT DATA sind wir bestrebt, eine maßgeschneiderte Lösung bereitzustellen, die den individuellen Anforderungen Ihres Unternehmens entspricht, und zwar unabhängig davon, wo sich Ihr Unternehmen derzeit befindet. Dabei berücksichtigen wir Ihren Ist-Zustand und schaffen ein Gleichgewicht zwischen Compliance und Geschäftseffizienz. Sie suchen einen langfristigen Partner, der Ihnen nicht nur während der Vorbereitungsphase, sondern auch während und nach der Implementierung von NIS-2 zur Seite steht? Dann ist NTT DATA der richtige Partner für Sie.
Kontaktieren Sie uns noch heute, um Ihre Anforderungen an die Dienste von NTT DATA zu besprechen!