Suche
Close this search box.
MENU Schließen
Schließen
Termin anfragen
Jetzt kostenlos starten
made-in-germany-enginsight Maßnahmen zum Risikomanagement für IT-Sicherheit

NIS2-Richtlinie Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten europäischen Union

Die Gesamtanforderungen der Cybersicherheitskriterien und die Menge an betroffenen Unternehmen ist mit NIS2 stark gestiegen. Unternehmen sind bis Oktober 2024 dazu aufgefordert, die neuen Security-Maßnahmen umzusetzen. Wenn Sie die Anforderungen der NIS2-Richtlinie einfach und nachhaltig umsetzen möchten, sind Sie hier goldrichtig.

  • Steigerung des Sicherheitsniveaus
  • Verhinderung von Cyberangriffen
  • EU-konforme Compliance Standards
So setzen Sie mit Enginsight die NIS2 um
Allianz_fuer_Cybersicherheit_Enginsight
Jenoptik
Das neue Cybersicherheitsgesetz

Was ist die NIS-2-Richtlinie? Und was bedeutet sie für Unternehmen?

Die EU-Richtlinie NIS 2 (The Network and Information Security Directive) ist eine EU-weite Regulierung für die Cyber- und Informationssicherheit. Sie enthält rechtliche Anforderungen zur IT-Sicherheit, um den aktuellen Mindestsicherheitsstandard auf eine neue Ebene zu bringen und bestehende Mängel zu beheben.

Seit April 2023 gibt es für das neue Gesetz in Deutschland bereits einen vorliegenden Referentenentwurf, der dem Bundesministerium als NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) vorliegt.   

Die verschärfte NIS-2-Richtlinie konzentriert sich unter anderem auf die:

  • Sicherheit der Lieferkette
  • Risikomanagement
  • Verschärfung von Aufsichtsmaßnahmen und -pflichten (Stichwort persönliche Haftung der Geschäftsführung)
  • Einführung von Durchsetzungsvorschriften mit harmonisierten Sanktionen in allen Mitgliedsstaaten
NIS2 Compliance mit Enginsight und Partnern, Plakat
Wer ist betroffen?

NIS-2 betroffene Sektoren und Unternehmen

Die Durchsetzung von NIS2 ist abhängig von der Kategorie, in die eine Organisation eingestuft wird. Eine Organisation oder Institution kann als wesentlich (Essential Entity) oder als wichtig (Important Entity) klassifiziert werden. Die Abhängigkeit der Klassifizierung wird durch die Größe des Unternehmens bestimmt und ob es unter einen Sektor mit hoher Kritikalität oder in einen sonstigen kritischen Sektoren fällt. Die Geldstrafen bei Verstößen und die Aufsicht durch Behörden unterscheiden sich je nach Einstufung.

Klassifizierung nach Unternehmensgrößen
  • Kleine Unternehmen

  • Weniger als 50 Beschäftigte, maximal 10 Mio. Euro Umsatz oder maximal 10 Mio. Euro Bilanz

  • Mittlere Unternehmen

  • 50 – 249 Beschäftigte, maximal 50 Mio. Euro Umsatz oder 10 – 43 Mio. Euro Bilanz

  • Große Unternehmen

  • mindestens 250 Beschäftigte, mehr als 50 Mio. Euro Umsatz oder mehr als 43 Mio. Euro Bilanz  

Weniger als 50 Beschäftigte, maximal 10 Mio. Euro Umsatz oder maximal 10 Mio. Euro Bilanz

50 – 249 Beschäftigte, maximal 50 Mio. Euro Umsatz oder 10 – 43 Mio. Euro Bilanz

mindestens 250 Beschäftigte, mehr als 50 Mio. Euro Umsatz oder mehr als 43 Mio. Euro Bilanz  

Sollten sich Unternehmen nicht an die neuen Maßnahmen der NIS-2-Richtlinie halten, können je nach Sektor hohe Geldstrafen entstehen. Die Bußgelder reichen bei wesentlichen Einrichtungen von 10 Mio. Euro oder 2 Prozent des Jahresumsatzes. Für die wichtigen Einrichtungen können kosten von 7 Mio. Euro oder 1,4 Prozent des Jahresumsatzes entstehen. 

NIS2-Direktive betroffene Sektoren

= Sektoren mit hoher Kritikalität:

Energie  I  Verkehr I  Bank- und Finanzwesen I  Gesundheitswesen I  Wasserversorgung I  Digitale Infrastruktur I  Öffentliche Verwaltung I  Weltraum I  ITK-Dienste

= Sonstige kritische Sektoren

Post- und Kurierdienste I Abfallwirtschaft I Chemie I ErnährungI Forschung I Digitale Dienste I Herstellung von Waren

Handeln Sie jetzt

NIS2-Vorgaben einfach umsetzen

Konkrete technische Maßnahmen gibt die EU-Richtlinie NIS 2 nicht vor. Hierfür wird auf Branchenstandards verwiesen, wie etwa B3S! Es gibt generell eine große Überlappung mit der ISO/IEC 27001.

Erfahren Sie auf einen Blick, wie die Enginsight-Software und die passenden Services der Partner Sie bei der Umsetzung und kontinuierlichen Einhaltung von NIS2 unterstützen.

Anforderungen NIS2 Downloaden
NIS2-Richtlinie mit Enginsight und Partnern umsetzen, Plakat
Was heißt das für regulierte Unternehmen?

NIS-2 Anforderungen für Unternehmen

Alle Unternehmen und Organisationen, die als Betreibende kritischer Infrastrukturen gelten und somit unter NIS2 fallen, müssen diverse Anforderungen bezüglich Risikomanagement, Vorfallmanagement, Geschäftskontinuität und Reporting erfüllen.

Daraus resultierend lassen sich Sicherheitsziele sowie aufbauende Maßnahmen ableiten, um den Sicherheitszustand nach NIS2 zu verbessern bzw. diesen nachzuweisen. 

  • Risikomanagement

  • Die NIS2 verpflichtet Unternehmen dazu, ihre IT-Landschaft einer regelmäßigen Evaluierung zu unterziehen, um Sicherheitslücken zu erkennen und entsprechende Maßnahmen zum Schutz und zur Prävention von potenziellen Cyberangriffen einsetzen zu können. Zu diesen Maßnahmen gehören: Risikomanagement, Sicherheit der Lieferkette, verbesserte Netzsicherheit, bessere Zugangskontrolle und Verschlüsselung.

  • Vorfallmanagement

  • Die NIS2 fordert, dass Führungskräfte die Verantwortung für zur Überwachung der Cybersicherheitsmaßnahmen ihres Unternehmens übernehmen und sich mit den NIS-2-Richtlinien vertraut machen. Bei Verstößen der Anforderungen können schwere Sanktionen gegen die Führungskräfte erfolgen.   

  • Geschäftskontinuität

  • Die NIS-2 setzt für den Fall eines größeren Cyberangriffs voraus, dass Unternehmen ihre Geschäftskontinuität sicherstellen. Dies sollte Maßnahmen über vollständigen Backups bis hin zu Notfallverfahren und dem Einrichten eines Incident Response Teams beinhalten, um potenzielle Schäden zu minimieren.

  • Reporting

  • Für den Fall eines Cyberangriffs, müssen Unternehmen aus kritischen und sehr kritischen Sektoren über Meldeverfahren von Cybersicherheitsvorfällen verfügen. Die NIS-2-Richtlinie schreibt unter anderem vor, dass Cybervorfälle innerhalb von 24 Stunden gemeldet werden müssen.

Die NIS2 verpflichtet Unternehmen dazu, ihre IT-Landschaft einer regelmäßigen Evaluierung zu unterziehen, um Sicherheitslücken zu erkennen und entsprechende Maßnahmen zum Schutz und zur Prävention von potenziellen Cyberangriffen einsetzen zu können. Zu diesen Maßnahmen gehören: Risikomanagement, Sicherheit der Lieferkette, verbesserte Netzsicherheit, bessere Zugangskontrolle und Verschlüsselung.

Die NIS2 fordert, dass Führungskräfte die Verantwortung für zur Überwachung der Cybersicherheitsmaßnahmen ihres Unternehmens übernehmen und sich mit den NIS-2-Richtlinien vertraut machen. Bei Verstößen der Anforderungen können schwere Sanktionen gegen die Führungskräfte erfolgen.   

Die NIS-2 setzt für den Fall eines größeren Cyberangriffs voraus, dass Unternehmen ihre Geschäftskontinuität sicherstellen. Dies sollte Maßnahmen über vollständigen Backups bis hin zu Notfallverfahren und dem Einrichten eines Incident Response Teams beinhalten, um potenzielle Schäden zu minimieren.

Für den Fall eines Cyberangriffs, müssen Unternehmen aus kritischen und sehr kritischen Sektoren über Meldeverfahren von Cybersicherheitsvorfällen verfügen. Die NIS-2-Richtlinie schreibt unter anderem vor, dass Cybervorfälle innerhalb von 24 Stunden gemeldet werden müssen.

Was heißt das für Entscheider in regulierten Unternehmen?

NIS-2 Anforderungen an CEOs und CISOs

Mit der kommenden Einführung von NIS2 in Deutschland müssen CISOs (IT-Security-Verantwortliche) der Einhaltung für die aktualisierten Cybersecurity-Anforderungen gerecht werden und die Sicherheitsstrategien im Unternehmen an die neuen Regularien anpassen. Bei Sicherheitsvorfällen müssen CISOs ordnungsgemäß und innerhalb von 72 Stunden Bericht erstatten und gemäß der neuen NIS2-Richtlinie eine enge Kommunikation mit den zuständigen Behörden wie dem BSI in Deutschland pflegen.  

Auch Geschäftsführer (CEOs) müssen laut der neuen EU-Richtlinie NIS2 sicherstellen, dass ihr Unternehmen alle in der Verordnung aufgeführten Sicherheitsaspekte berücksichtigt und umgesetzt werden. Darunter zählen wichtige Maßnahmen zum Risikomanagement, Richtlinien zur Informationssicherheit, Backup-Planung, Geschäftskontinuität, Riskmanagement & Sicherheit der Lieferkette.  

Um wirksame Strategien zur Einhaltung von NIS2 zu entwickeln, als auch genügend Ressourcen zur Erfüllung der neuen Sicherheitspflichten parat zu haben, sollten CEOs in fester Zusammenarbeit mit ihren IT-Security-Verantwortlichen stehen. Denn bei nicht Einhaltung der NIS2 Regularien, haften Sie als Geschäftsführer persönlich für die entstandenen Risiken oder Schäden. 

Jetzt Expertern-Support für NIS 2 erhalten
Umsetzung der NIS2-Direktive

Sicherheitsziele erfüllen mit Enginsight

Die NIS-2-Richtlinie ist eine neue EU-weite Verfassung über die neuen Richtlinien der Netzwerk- und Informationssicherheit, die von allen betroffenen Unternehmen bis zum 17. Oktober 2024 umgesetzt werden muss. Durch die neue Richtlinie steigt die Anzahl der betroffenen Unternehmen erheblich. Betroffene Unternehmen müssen Ihre IT-Sicherheitsmaßnahmen prüfen und ggf. an den neuen Standard anpassen.  

Ob ein Unternehmen betroffen ist oder nicht, muss es selbst anhand der neuen NIS2-Kritieren einschätzen und bewerten.

Konkrete technische Maßnahmen gibt die NIS2-Richtlinie allerdings nicht vor. Sie verweist auf Branchenstandards wie B3S. Es gibt generell eine große Überlappung mit der ISO/IEC 27001.

Aus der NIS2-Directive lassen sich jedoch grundlegende Sicherheitsziele ableiten. Enginsight und Partner unterstützen Sie bei der Umsetzung und kontinuierlichen Einhaltung dieser Ziele aus den NIS2-Anforderungen. 

 

Risikoanalyse und Sicherheit für Informationssysteme
  • Verfahren zur regelmäßigen Risikoanalyse und Schwachstellenbewertung einführen
  • Asset Discovery, Beschreibung und Softwareinventarisierung
  • Bestehende Schwachstellen und Sicherheitslücken identifizieren
  • Regelmäßige Penetrationstest der eigenen Infrastruktur und bisher ergriffen Sicherheitsmaßnahmen
  • ISMS nach ISO 27001, TISAX, etc. umsetzen
Bewältigen von Sicherheitsvorfällen
  • End-to-end Anomalie- und Angriffserkennung umsetzen. Protokollierung aller Ereignisse und Ableitung automatischer Reaktionen.**
  • Angriffe, böswillige, fehlerhafte oder andere Aktivitäten im Netz, die sich auf kritische Dienste auswirken könnten, frühzeitig zu erkennen
  • Schnelle Reaktion auf Cybervorfälle sicherstellen (Incident Response) ermöglichen
  • Schadsoftware und Angreifende an Netzwerkgrenzen bestmöglich abwehren
  • Managed Detection and Response Services
Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisenmanagement
  • Störung der Prozesse durch Sicherheitsmaßnahmen vermeiden
  • Business-Continuity-Plan erstellen
  • Mehrstufiges Backup-Management etablieren
  • Schnelle Notfallwiederherstellung ermöglichen
  • Professionelle Krisenbewältigung und -kommunikation einrichten
Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
  • Die technische Kommunikation der Schnittstellen überwachen, auswerten und ggf. automatisierte Maßnahmen etablieren.
  • Least Privilege Access für Lieferanten etablieren
  • Sicheren Lieferanten-Zugang zum Netzwerk gewährleisten (z. B. sichere Passwörter, VPN)
Sicherheit in der Entwicklung, Beschaffung und Wartung, Management von Schwachstellen
  • Regelmäßige Penetrationstest eigener Software und Infrastruktur
  • Dauerhaftes Monitoring von Schwachstellen
  • Effektive und sichere Behandlung und von Schwachstellen sicherstellen
Bewertung der Effektivität von Cybersicherheit und Risikomanagement
  • Die Wirksamkeit des Cybersicherheit-Systems fortlaufend überprüfen und verbessern mit Hilfe von automatisierten Pentests
  • Cybersicherheitslage und Risikoexposition regelmäßig neu bewerten
Schulungen Cybersicherheit und -hygiene
  • Defense-in-Depth-Architektur aufbauen, um Versagen der Perimetersicherung frühzeitig zu erkennen und interne Netzwerk Kommunikation umfang zu überwachen
  • Gefährdete Assets überwachen und abschirmen, bei denen Patches/Aktualisierungen nicht möglich sind
  • Ausbreitung von Angriffen eindämmen (z. B. durch Netzsegmentierung)
  • Digitale Ressourcen in Bezug auf Firmware, Betriebssystem usw. auf dem neusten Stand halten
  • Starke Passwortrichtlinien festlegen und umsetzen
  • Regelmäßige Cybersicherheitsschulungen für das Personal umsetzen
Kryptografie und Verschlüsselung
  • Überwachung und Überprüfung verschlüsselter Verbindungen nach aktuellem Stand der Technik. Abgleich TLS nach TR-03116-4 Checkliste des BSI
  • Einrichtung und Sicherstellung einer durchgehenden verschlüsselten Kommunikation im internen Netz
Personalsicherheit, Zugriffs- kontrolle und Anlagenmanagement
  • Zugriffe auf kritische Dateien und Verzeichnisse Unternehmensweit überwachen.
  • Sicherheitsüberprüfungen und -sensibilisierung in das Einstellungs- und Vertragsvergabeverfahren integrieren
  • Unbefugten physischen Zugriff auf Assets verhindern
Sichere Kommunikation (Sprach, Video- und Text)
  • Überwachung sämtlicher Kommunikationssysteme und der Verschlüsselten Verbindungen
  • Innerhalb von 24 Stunden nach einem Vorfall Frühwarnung an CSIRT*** übermitteln
  • Innerhalb von 72 Stunden erste Bewertung an CSIRT übermitteln (inkl. Aussagen zu Schweregrad, Auswirkungen, Quelle)
  • Auf Anfrage des CSIRT Aktualisierungen zum Status des Vorfallsmanagements bereitstellen
  • Innerhalb eines Monats detaillierten Berichts an das CSIRT übermitteln (inkl. Informationen zu Schweregrad, interne und grenzüberschreitende Auswirkungen, Ursache, Abhilfemaßnahmen)
Multi-Faktor Authentisierung und kontinuierliche Authentisierung
  • Unbefugten Zugriff auf digitale Assets verhindern. Überwachung aller Logins und Loginversuche
  • Personalisierte Multi-Faktor-Authentifizierung sicherstellen
  • Sichere digitale Kommunikation gewährleisten

LEGENDE:
Grüne Häcken = direkte Umsetzung durch Enginsight / graue Häckchen = Lösung über Enginsight Trusted Partner verfügbar.

* Die aufgeführten Ziele sind in der NIS2 nicht explizit definiert, sondern spiegeln allgemeine grundlegende Sicherheitsziele wider, wie sie in internationalen Normen wie der IEC 62443 empfohlen werden.
** Verpflichtend für kritische Infrastrukturen
*** CSIRT (Computer security incident response team) = behördliches Computer-Notfallteam

Enginsight-Matrix zur NIS2
NIS2 Compliance mit Enginsight und Partnern, Plakat
Transparenz schaffen

Status-quo Wie gut sind Sie bisher aufgestellt?

Ihr Unternehmen befindet sich in Deutschland oder einem anderen europäischen Staat und ist NIS2-reguliert, aber Sie sind sich nicht sicher, ob Ihre Sicherheitsmaßnahmen zu den Anforderungen der Direktive passen? Dann beginnen Sie jetzt mit einer NIS2-Anforderungsanalyse Ihrer IT-Infrastruktur. Nachdem Sie die Diskrepanzen zwischen dem Status-Quo und dem Soll-Zustand identifiziert haben, können Sie priorisiert geeignete Sicherheitsmaßnahmen umsetzen (lassen) und entspannt den Nachweis erbringen, sobald durch die Gesetzesanpassung die Notwendigkeit besteht. 

Übrigens: Die IT-Inventarisierung gelingt in Enginsight auf Knopfdruck. Den Beweis treten wir gerne an. Kontaktieren Sie uns.

Mario Jandeck, CEO

FAQ zu den NIS2-Anforderungen

NIS-2 steht für „Network Information Security“ und ist ein Gesetz, das sich auf die Sicherheit von Informationsnetzwerken bezieht. Es baut auf dem ursprünglichen NIS-Framework auf und zielt darauf ab, die Cybersicherheit durch ergänzende Sicherheitsmaßnahmen in Europa zu stärken. Mit der neuen Vorgabe kommen verpflichtende Sicherheitsmaßnahmen und Meldepflichten auf Unternehmen und Organisationen zu, die bisher nicht betroffen (reguliert) waren.

In Deutschland liegt für das neue NIS2 Gesetz bereits ein Referentenentwurf als (NIS2UmsuCG) vor.

In der Europäischen Union wurde Anfang 2023 die neue NIS2-Richtlinie (EU 2022/2555) verkündet. Alle Mitgliedsstaaten sind nun verpflichtet, NIS2 durch nationale Gesetzgebung zu einem verbindlichen Mindeststandard zu machen. In Deutschland wird die Umsetzung der Richtlinie voraussichtlich im Oktober 2024 in Kraft treten. 

Alle Unternehmen und Institutionen, die als Sektoren kritischer Infrastrukturen gelten, fallen unter die neue Richtlinie NIS2, wenn sie mindestens 50 Beschäftigte oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanz aufweisen. Einige wichtige fallen unabhängig von ihrer Größe unter die Regulierung (z. B. KRITIS). Eine kurze Übersicht aller Sektoren und Anforderungen finden Sie in unserem PDF-Download zu NIS-2.

Gemäß der EU-Richtlinie NIS2 unterscheidet sich die Höhe der Geldbuße je nach Einstufung (wesentlich/wichtig, groß/mittel/klein). Der Höchstbetrag liegt bei 10 Mio € oder 2% des weltweiten Umsatzes.

Wesentliche Einrichtungen werden proaktiv, regelmäßig von Behörden geprüft. Bei wichtigen Einrichtungen findet eine reaktive Prüfung statt, also erst, wenn es Hinweise auf Verstöße gibt.

Als Geschäftsführer müssen Sie im Rahmen der neuen EU-Richtlinie NIS2 die Umsetzung der notwendigen Maßnahmen überwachen und können persönlich haftbar gemacht werden, wenn es zu Verstößen kommt. 

Mit NIS2 müssen CEOs an Schulungen teilnehmen und diese auch ihren Angestellten zur Verfügung stellen 

Für Schulungen & Hygiene zur Cybersicherheit und den neuen Anforderungen der NIS2 Directive sind wir gern für Sie da. Kommen Sie gerne auf uns zu.

Gemäß der neu eingeführten NIS2-Richtlinie sind alle betroffenen Unternehmen dazu verpflichtet, die folgenden Cybersecurity-Maßnahmen einzuleiten, um die Risiken für Gefahren bei Netz- und Informationssystemen vollständig einzudämmen oder zumindest auf ein Minimum zu reduzieren.

Policies: Konzeptentwicklung für Risikoanalysen und Sicherheit von Informationssystemen  

Vorfallbewältigung: Erkennung & Minimierung von Sicherheitsvorfällen 

Geschäftskontinuität: Backup-Management & Herstellung sowie Krisenmanagement 

Lieferkette: Sicherheit der Lieferkette Einkauf: Sicherheit bei der Beschaffung, Entwicklung und Wartung von IT-Systemen 

Wirksamkeit: Strategien zur Bewertung der Wirksamkeit von Maßnahmen im Risikomanagement  

Cyberhygiene, Schulungen: Weiterbildungen auf dem Gebiet der Cybersecurity & speziell NIS2  

Kryptographie: für Maßnahmen und Einsatz von Kryptographie & Verschlüsselung 

Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management  

Authentifizierung: Lösungen für Multi-Faktor-Authentifizierungen oder kontinuierliche Authentifizierungen 

 Kommunikation: Sichere Sprach-, Video- und Textkommunikation & eventuelle Notfallkommunikationssysteme  

 

Unternehmen und Organisationen kritischer Infrastrukturen müssen nach Verordnung der NIS2-Directive alle erheblichen Sicherheitsvorfälle (schwerwiegende Betriebsstörungen) der nationalen Behörde sowie Empfängern der eigenen Dienste unverzüglich melden.  

Frühwarnung innerhalb von 24h nach Problemerkenntnis: Vorfall ist rechtswidrig, beruht auf böswilligen Handlungen oder führt zu grenzübergreifenden Auswirkungen  
 
Ausführlicher Bericht innerhalb von 72h nach Problemerkenntnis: Erste Einschätzung des Sicherheitsvorfalls, einschließlich der Einschätzung des Schweregrads, der Auswirkungen und eventueller Hinweise auf eine Kompromittierung. 
 
Zwischen-/Abschlussbericht ein Monat nach Vorfallsmeldung: Ausführliche Beschreibung des Vorfalls, Art der Bedrohung oder Ursache, Abhilfemaßnahmen und eventuelle grenzüberschreitende Auswirkungen.  

Ja. Nach Vorschriften der NIS2-Directive müssen sich alle betroffenen Unternehmen bei der nationalen Behörde registrieren. Das genaue Vorgehen zur Registrierung ist jedoch noch nicht festgelegt.

Enginsight Logo