Im Dezember 2022, die Europäische Union bestätigte, dass sie ihre Pläne zur Ausweitung des Geltungsbereichs der Netzwerk- und Informationssystemrichtlinie (NIS) auf Outsourcer und Managed-Service-Provider vorantreiben.

Eine Reihe von Reformen und Aktualisierungen der Richtlinie über Netzwerkinformationssysteme (NIS) wurden vorangetrieben, um die Cyber-Resilienz weiter zu stärken. Die neu benannte NIS 2 wird Anbieter ausgelagerter IT und Managed Service Providers (MSPs) in den Geltungsbereich der Regeln bringen, um wichtige Lieferketten und kritische nationale Dienste besser vor Cyberangriffen zu schützen, nachdem es in den letzten Jahren zu erheblichen Störungen gekommen ist.

In einer Pressemitteilung sagte der EU-Rat, er werde „die Grundlagen für Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit und Meldepflichten in allen von der Richtlinie abgedeckten Sektoren wie Energie, Verkehr, Gesundheit und digitale Infrastruktur festlegen.“

Bei Nichteinhaltung der NIS-Vorschriften können Unternehmen, die wesentliche Dienstleistungen wie Energie, Gesundheitsversorgung, Transport oder Wasser erbringen, im Vereinigten Königreich mit einer Geldstrafe von bis zu 17 Millionen Pfund und in der EU von 10 Millionen Euro oder 2 % des weltweiten Umsatzes belegt werden.

Was ist die Richtlinie über Netzwerkinformationssysteme (NIS) und warum wurde sie aktualisiert? 

Die EU hat 2016 die Richtlinie über Netzwerk- und Informationssysteme (NIS) ins Leben gerufen, nachdem die Bedenken hinsichtlich Cyberangriffen gestiegen sind. Neben der Stärkung der Cybersicherheitsfähigkeiten der Mitgliedstaaten hoffte die Richtlinie, die Zusammenarbeit zwischen den Mitgliedstaaten im Bereich Cybersicherheit zu verbessern. Es ermutigte die Staaten außerdem, die Cybersicherheit in ihrer gesamten kritischen nationalen Infrastruktur (CNI) wie Energie, Verkehr und Gesundheitswesen zu überwachen.

Sieben Jahre nach Inkrafttreten der Richtlinie hat sich die Cyber-Bedrohungslandschaft erheblich verändert, und die Richtlinie entspricht nicht ganz den Anforderungen der sich entwickelnden Aussichten für Cyber-Sicherheitsrisiken im Jahr 2023. Cyberangriffe und Datenschutzverletzungen haben exponentiell zugenommen, insbesondere da die Menschen zunehmend auf digitale Technologie angewiesen sind. Darüber hinaus zeigen die zunehmenden Angriffe auf CNI, wie sie beim SolarWinds-Angriff zu sehen waren, Lücken in der ursprünglichen NIS-Gesetzgebung und Inkonsistenzen bei der Umsetzung von NIS durch die Mitgliedstaaten die Grenzen des Vorgängermodells und die Notwendigkeit eines umfassenderen Ersatzes.

Was sind die Kernanforderungen der NIS 2-Richtlinie?

NIS 2 wird die Probleme der vorherigen NIS-Gesetzgebung angehen und die Regeln verschärfen. Dies betrifft vor allem die inkonsistente Art und Weise, wie die ursprüngliche NIS-Richtlinie umgesetzt wurde, da dies die Zusammenarbeit zwischen den Ländern erschwerte und den Gesamtzweck der Gewährleistung der Wirksamkeit der EU-Cybersicherheit untergrub.

NIS 2 verlangt von Organisationen, dass sie sicherstellen, dass die folgenden Maßnahmen zur Bewältigung von Cybersicherheitsrisiken vorhanden sind:

Informationssicherheitsrichtlinie

Ein wichtiger Teil der Cybersicherheit ist die Bewertung Ihres Risikoniveaus. NIS 2 verlangt von Unternehmen, die potenziellen Auswirkungen eines Angriffs auf ihre wichtigsten Vermögenswerte zu bewerten und auf potenzielle Netzwerkschwachstellen oder Nachrichten über angegriffene andere Branchenmitglieder zu achten. Außerdem müssen sie beim Risikomanagement einen proaktiven und nicht einen reaktiven Ansatz verfolgen, indem sie starke Maßnahmen einführen Informationssicherheitsrichtlinien Gewährleistung einer systematischen und gründlichen Risikoanalyse.

Prävention, Erkennung und Reaktion von Vorfällen

NIS 2 verlangt von Organisationen, Pläne und Backup-Pläne zu haben, Übungen durchzuführen und alle relevanten Parteien zu schulen. Sobald eine Organisation ihre größten Schwachstellen identifiziert hat, verlangt die aktualisierte Richtlinie von ihr, klare Verfahren zur Verhinderung von Angriffen zu implementieren und sich auf Methoden zur Erkennung potenzieller Vorfälle zu einigen. Dies sollte zu einem führen Vorfallreaktionsplan mit einer transparenten Befehlskette zur Umsetzung.

Geschäftskontinuität und Krisenmanagement

Mit dem aktualisierten NIS 2 soll sichergestellt werden, dass a Das Unternehmen kann seinen Betrieb fortführen im Falle eines Cyberangriffs. Organisationen müssen über einen überprüfbaren Plan verfügen, wie das Unternehmen auf einen Angriff reagiert und wie es sich schnellstmöglich davon erholen und Störungen minimieren kann. Daher legt NIS 2 einen Schwerpunkt auf Cloud-Backup-Lösungen.

Supply Chain Sicherheit

Sicherheit der Lieferkette steht weltweit schon seit einiger Zeit unter der Lupe. NIS 2 verschärft dies und verlangt von Unternehmen, die Schwachstellen jedes ihrer Lieferanten und Dienstleister sowie ihrer Cybersicherheitspraktiken, einschließlich Datenspeicheranbieter, zu berücksichtigen. Die Richtlinie stellt sicher, dass Unternehmen die Risiken klar verstehen, eine enge Beziehung zu Lieferanten pflegen und die Sicherheit kontinuierlich aktualisieren, um den höchstmöglichen Schutz zu gewährleisten. 

Offenlegung von Sicherheitslücken

NIS 2 erfordert eine transparentere Offenlegung und Verwaltung von Schwachstellen. Organisationen müssen der Öffentlichkeit Möglichkeiten bieten, etwaige Schwachstellen zu melden, und sicherstellen, dass die zuständige Abteilung auf der Grundlage dieser Informationen handelt. Wenn eine Organisation eine Schwachstelle in ihrem Netzwerk feststellt, muss sie diese gemäß der aktualisierten Richtlinie offenlegen. Die Offenlegung solcher Schwachstellen wird den Kampf gegen Cyberkriminalität unterstützen und sicherstellen, dass sie nicht an anderer Stelle ausgenutzt werden.

NIS 2 wird außerdem aktualisierte Ansätze für Folgendes vorschreiben:

Schadensbericht

Gemäß der aktualisierten Richtlinie müssen Unternehmen innerhalb von 24 Stunden nach Bekanntwerden eines „erheblichen“ Vorfalls einen ersten Bericht, innerhalb von 72 Stunden eine vollständige Vorfallmeldung und innerhalb eines Monats einen Abschlussbericht bei jeder zuständigen Behörde, dem Computer Security Incident Response Team ( CSIRT) und manchmal auch an ihre Kunden.

Ein „erheblicher“ Vorfall ist jeder Vorfall, der zu schwerwiegenden Betriebsstörungen des Dienstes oder zu finanziellen Verlusten geführt hat oder führen kann, oder wenn der Vorfall bei anderen erhebliche Schäden verursacht hat oder verursachen kann.

Zusammenarbeit

Die erste NIS-Richtlinie scheiterte, weil sie die unterschiedlichen Vorgehensweisen einzelner Länder nicht berücksichtigte. Deshalb wird NIS 2:

  • Fördern Sie einen stärkeren Datenaustausch zwischen Behörden
  • Fordern Sie die Behörden auf, sich an der Reaktion auf Vorfälle auf EU-Ebene und nicht auf nationaler Ebene zu beteiligen
  • Einrichtung eines EU-Cyber ​​Crisis Liaison Organization Network (EU CyCLONe), einer zentralen Stelle zur Koordinierung und Verwaltung von Reaktionen auf EU-weite Cybervorfälle

Durch die Zentralisierung der Cybersicherheitskontrollen auf EU-Ebene und die Verpflichtung, dass jeder die gleichen Cybersicherheitsstandards einhält, zielt NIS 2 darauf ab, ein zuvor unterkoordiniertes System zu vereinfachen. Dies soll den kollaborativen Datenaustausch und effizientere Lösungen für auftretende Cyber-Vorfälle erleichtern.

Wer muss NIS 2 einhalten?

NIS 2 gilt für alle Organisationen mit mehr als 50 Mitarbeitern, deren Jahresumsatz 10 Millionen Euro übersteigt, sowie für alle Organisationen, die zuvor in die ursprüngliche NIS-Richtlinie einbezogen wurden.  

Die aktualisierte Richtlinie wird außerdem ihren Anwendungsbereich erweitern, um die folgenden neuen Branchen einzubeziehen:

  • Elektronische kommunikation
  • Digitale Dienste
  • Raumfahrt
  • Abfallwirtschaft
  • Essen
  • Herstellung kritischer Produkte (z. B. Medizin)
  • Postdienste
  • Öffentliche Verwaltung

Die in der ursprünglichen Richtlinie enthaltenen Branchen bleiben im Geltungsbereich der aktualisierten NIS-2-Richtlinie. Einige kleinere Organisationen, die für das Funktionieren eines Mitgliedsstaats von entscheidender Bedeutung sind, werden aufgrund der potenziellen Probleme, die entstehen könnten, wenn sie von einem Cyberangriff getroffen werden, ebenfalls in den NIS 2-Auftrag einbezogen.

Gilt NIS 2 für britische Unternehmen?

Die Britische Regierung haben bestätigt, dass sie ihre Pläne zur Aktualisierung der NIS-Vorschriften, soweit sie für das Vereinigte Königreich gelten, vorantreiben und die Verordnung auf alle Anbieter digitaler verwalteter Dienste (MSPs) ausweiten werden.

Im Rahmen dieser geplanten britischen Aktualisierung wird es in vielen Bereichen eine Angleichung an NIS 2 geben, insbesondere dort, wo es für Managed-Service-Anbieter, IT-Outsourcing und Kernanforderungen wie Vorfallmeldung, Lieferkettensicherheit und Geschäftskontinuität gilt.

Die britische Aktualisierung „wird vorgenommen, sobald es die parlamentarische Zeit erlaubt“ und ist Teil der 2.6 Milliarden Pfund (3.2 Milliarden US-Dollar) schweren Regierungsausgaben. Nationale Cyberstrategie. Auch wenn die Änderungen im Vereinigten Königreich möglicherweise nicht bereits im Jahr 2024 in Kraft treten, so gibt es doch keine Garantien, und Unternehmen sollten gut vorbereitet sein, anstatt später auf der Strecke zu bleiben.

Welche Auswirkungen hat die Nichteinhaltung von NIS 2? 

NIS 2 unterliegt deutlich strengeren Durchsetzungsanforderungen als sein Vorgänger. Die Strafen für Nichtkonformität reichen von Sicherheitsüberprüfungen und der Anordnung, bestimmte Empfehlungen zu befolgen, bis hin zu Geldstrafen in Höhe von 10 Millionen Euro oder 2 % des weltweiten Gesamtumsatzes der Organisation – je nachdem, welcher Betrag höher ist.

Insbesondere handelt es sich bei diesen Bußgeldern um die gleichen Geldstrafen wie für Datenschutz Verstöße, und NIS 2 sollte ähnlich verstanden werden. Die NIS 2-Initiative stellt einen bedeutenden Sprung in der Cybersicherheit dar und sollte genauso ernst genommen werden wie die enorme grundlegende Veränderung, die die DSGVO für den Datenschutz mit sich brachte.

Ein auf Standards basierender Ansatz für NIS 2

Für Organisationen, die die Einhaltung von NIS 2 erreichen möchten, ist eine Zertifizierung erforderlich ISO 27001 für Informationssicherheit könnte ein wichtiger erster Schritt sein.

In den NIS-Vorschriften selbst wird erwähnt, dass alle Schritte, die Unternehmen zur Einhaltung ergreifen, die „Einhaltung internationaler Standards“ berücksichtigen sollten, während die von der Agentur der Europäischen Union für Cybersicherheit (ENISA) herausgegebenen technischen Richtlinien jedes Sicherheitsziel mehreren Best-Practice-Standards zuordnen, darunter ISO 27001 . 

Ein ISO 27001-konformes Informationsmanagementsystem (ISMS) ermöglicht es Unternehmen, ihr Risiko und ihre Gefährdung durch Sicherheitsbedrohungen zu reduzieren, indem sie die relevanten Richtlinien identifizieren, die sie dokumentieren müssen, die Technologien, um sich selbst zu schützen, und die Mitarbeiterschulung, um Fehler zu vermeiden. Sie schreiben außerdem vor, dass Organisationen jährliche Risikobewertungen durchführen, was ihnen hilft, der sich ständig verändernden Risikolandschaft einen Schritt voraus zu sein.

ISO 27001 wird Unternehmen dabei helfen, die NIS 2-Anforderungen zu erfüllen und gleichzeitig eine unabhängig geprüfte Zertifizierung zu erhalten. Dies liefert Lieferanten, Stakeholdern und Regulierungsbehörden den Nachweis, dass Sie die erforderlichen „angemessenen und verhältnismäßigen“ technischen und organisatorischen Maßnahmen ergriffen haben, und weist einen Wettbewerbsvorteil auf dem Markt nach.

Organisationen, die noch einen Schritt weiter gehen möchten, könnten eine Ergänzung in Betracht ziehen ISO 22301 für das Business Continuity Management. ISO 22301 soll Ihnen dabei helfen, Ihren Ansatz zur Geschäftskontinuität umzusetzen, aufrechtzuerhalten und kontinuierlich zu verbessern. Während einige Aspekte von ISO 27001 das Business Continuity Management (BCM) umfassen, definiert es keinen Prozess für die BCM-Implementierung. Hier kommt der ergänzende Standard ISO 22301 ins Spiel. Die Zertifizierung nach diesem Standard würde die Konformität mit NIS 2 weiter belegen. 

Auch ISO 27001 und ISO 22301 arbeiten gut zusammen und bieten Ihnen die Möglichkeit, ein integriertes Managementsystem zu entwickeln, das sowohl ein ISMS als auch ein BCMS umfasst. Dieser Ansatz wird Ihnen auch dabei helfen, eine starke Cyber-Resilienz zu entwickeln.

NIS 2-Schlussfolgerungen

Nach der Veröffentlichung der EU-NIS-2-Richtlinie im Amtsblatt der Europäischen Union trat die Richtlinie am 20. Dezember 2022 in Kraft. Die Mitgliedstaaten haben 21 Monate Zeit, die Bestimmungen in ihr nationales Recht umzusetzen.

Die Zeitpläne für die Umsetzung im Vereinigten Königreich sind weniger eindeutig, da sich die britische Regierung verpflichtet hat, die erforderlichen Gesetze vorzulegen, „wenn die parlamentarische Zeit dies erlaubt“. Angesichts der aktuellen Prioritäten der Regierung gehen wir davon aus, dass die neue Regelung frühestens 2024 in Kraft treten wird.

Richten Sie Ihr Unternehmen noch heute mit ISO 27001 auf den Erfolg ein

Wenn Sie die Einhaltung von NIS 2 erreichen und Ihre Reise zu besserer Informations- und Cybersicherheit beginnen möchten, können wir Ihnen helfen. 

Laden Sie unseren wichtigen Leitfaden herunter, um mehr zu lesen und sich mit den Erkenntnissen auszustatten, die Sie benötigen, um immer einen Schritt voraus zu sein und sicherzustellen, dass Ihr Unternehmen auf Erfolgskurs ist.

Herunterladen

Ressourcen

  1. ENISA – https://www.consilium.europa.eu/en/press/press-releases/2022/11/28/eu-decides-to-strengthen-cybersecurity-and-resilience-across-the-union-council- verabschiedet-neue-gesetzgebung/
  2. GOV.uk – https://www.gov.uk/ Government/publications/national-cyber-strategy-2022
  3. NCSC – https://www.ncsc.gov.uk/collection/caf/nis-introduction