Die Ransomeware-Wette
Die Ransomware-Wette Sie denken, Ihre IT ist sicher? Wir wetten dagegen! Ransomware gehört aktuell zu den stärksten Bedrohungen der Cybersicherheit
Die NIS2-Richtlinie definiert verschiedene Anforderungen an die Stärkung der IT-Sicherheit in Unternehmen. Ein zentraler Aspekt ist die Einrichtung eines Risiko- und Notfallmanagements, das im Falle eines Cyberangriffes sofort greift. Darüber hinaus ist in den NIS2-Anforderungen festgelegt, dass Unternehmen geeignete Sicherheitstechnologien verwenden und Sicherheitsvorfälle zeitnah an die nationalen Behörden melden. Neu ist auch eine Registrierungspflicht der NIS2 betroffenen Unternehmen.
Da keine offizielle Benachrichtigung darüber erfolgt, ob Ihr Unternehmen in den NIS2-Geltungsbereich fällt, müssen Sie dies zunächst selbst prüfen. Eine Antwort auf die Frage: „Bin ich von NIS2 betroffen?“ finden Sie hier.
Wenn NIS2 für Sie gilt, dann müssen Sie die in der NIS2 definierten Anforderungen erfüllen. Dazu gehören entsprechende Risikomanagementmaßnahmen sowie Berichts- und Meldepflichten, denen Sie nachkommen müssen. Die Umsetzung der Anforderungen sollte Chefsache sein – denn es gibt jetzt eine persönliche Haftung bei Nichterfüllung.
Welche konkreten Anforderungen stellt die NIS2 nun an Unternehmen? Aus dem Gesetzestext lassen sich vier Handlungsbereiche erkennen, aus denen sich konkrete Maßnahmen für die eigene Organisation ableiten lassen.
Unternehmen, die den Anforderungen der NIS2-Richtlinie unterliegen, sind dazu verpflichtet, sich eigenständig beim Bundesamt für Sicherheit in der Informationstechnik (BSI) als „verpflichtende Institution“ zu registrieren. Wichtige Einrichtungen müssen diese Registrierung innerhalb von drei Monaten nach Inkrafttreten des NIS2UmsuCG vornehmen, bei dem es sich um eine Überführung der EU NIS2-Directive in nationales Recht in Deutschland handelt. Betreiber kritischer Infrastrukturen haben dafür lediglich einen Tag nach Inkrafttreten der Richtlinie Zeit.
Jedes Unternehmen hat ein eigenes Risikoprofil im Hinblick auf Risiken, die von Cyberangriffen ausgehen. Die neue NIS2-Richtlinie stellt daher konkrete Anforderungen an eine detaillierte Risikobewertung mit Blick auf die unternehmensspezifischen Cyberrisiken und Schwachstellen. Zudem müssen Unternehmen „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen“ zur Sicherung ihrer Systeme ergreifen. Dies schließt sowohl die IT-Systeme als auch deren physische Umgebung ein.
Insgesamt definiert die NIS2-Richtlinie 10 konkrete Maßnahmen in diesem Bereich:
Konzept für die Risikoanalyse und das Risikomanagement
Nach den neuen NIS2-Anforderungen müssen Unternehmen tiefgreifende Konzepte für die Risikoanalyse und die Sicherheit ihrer Informationssysteme entwickeln.
So setzt BREKOM diese Maßnahme für Sie um:
Zudem erhalten Sie von uns nach dem erfolgreichen IT-Sicherheitsaudit das Prüfsiegel „Basisprüfung ITQ“ zur Verwendung auf Ihrer Website und Ihren Geschäftspapieren.
Vorfalls-Bewältigung
Selbst mit dem besten Risikomanagement lässt sich ein Cyberangriff nicht zu 100 % verhindern. Wichtig ist, dass es in diesem Fall effektive Mechanismen zur Erkennung, Analyse, Eindämmung und schnellen Reaktion gibt. Daher ist in den NIS2-Anforderungen definiert, dass Unternehmen in der Lage sein müssen, zügig auf Bedrohungen zu reagieren, um Schaden abzuwenden.
So setzt BREKOM diese Maßnahme für Sie um:
Business Continuity Management
Zur Einhaltung der NIS2-Richtlinie benötigen Unternehmen ein robustes Business Continuity Management. Sie müssen detaillierte Pläne entwickeln, um im Falle eines Cyberangriffs betroffene Daten und Systeme schnellstmöglich wiederherzustellen. Das Ziel ist es, Unterbrechungen im Geschäftsbetrieb zu verhindern und Ausfallzeiten möglichst zu reduzieren.
So setzt BREKOM diese Maßnahme für Sie um:
Sicherheit der Lieferkette
Unternehmen müssen sicherstellen, dass auch ihre Lieferkette den hohen Sicherheitsanforderungen entspricht. Dies beinhaltet die Überprüfung der Sicherheitsstandards von Lieferanten sowie die Integration von Sicherheitsklauseln in Verträge. Regelmäßige Audits und Bewertungen der Lieferkette helfen dabei, potenzielle Schwachstellen frühzeitig zu erkennen und zu beheben.
So setzt BREKOM diese Maßnahme für Sie um:
Einkaufsrichtlinien für die IT-Sicherheit
Sicherheitsaspekte sollten in allen Phasen des Einkaufs, der Entwicklung und der Wartung von IT-Systemen berücksichtigt werden. Unternehmen müssen sichere Technologien einsetzen und regelmäßige Updates und Wartungsarbeiten durchführen.
So setzt BREKOM diese Maßnahme für Sie um:
Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
Die Wirksamkeit der Strategien für das Sicherheits- und Risikomanagement muss durch regelmäßige Überprüfungen und IT-Audits bewertet werden.
So setzt BREKOM diese Maßnahme für Sie um:
Cyberhygiene und Schulungen
Cybersicherheit ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess, der Anforderungen an die Cyberhygiene und regelmäßige Schulungen der Mitarbeiter stellt. Das Ziel ist es, das Sicherheitsbewusstsein aller Beteiligten zu stärken und gegen aktuelle Bedrohungen gewappnet zu sein.
So setzt BREKOM diese Maßnahme für Sie um:
Einsatz von Verschlüsselungstechnologien
Bei der Übertragung sensibler Daten und vertraulicher Informationen legen die Anforderungen der NIS2-Richtlinie fest, dass moderne Verschlüsselungstechnologien eingesetzt werden, um die Integrität der Daten zu schützen.
So setzt BREKOM diese Maßnahme für Sie um:
Einrichtung von Zugriffskontrollen
Mitarbeiter sollten nur auf die Daten zugreifen können, die sie für ihre Arbeit benötigen. Zugriffsrechte sollten streng vergeben und regelmäßig überprüft werden, um sicherzustellen, dass nur autorisierte Personen Zugang zu kritischen Systemen haben (Least Privilege Access).
So setzt BREKOM diese Maßnahme für Sie um:
Multifaktor-Authentifizierung
Der Zugang zu kritischen Informationen und Systemen sollte durch die Einrichtung einer Multifaktor-Authentifizierung gesichert werden, beispielsweise durch die Versendung von Einmal-Codes an ein zusätzliches Gerät wie ein Smartphone. Dies erhöht die Hürde für unbefugte Zugriffe signifikant.
So setzt BREKOM diese Maßnahme für Sie um:
Integration von MFA in alle kritischen Systeme und Anwendungen
In den Anforderungen der NIS2-Richtlinie ist vorgesehen, dass wichtige Einrichtungen am Informationsaustausch teilnehmen müssen. Dazu wird das BSI perspektivisch ein Portal einrichten, das als Plattform für den Informationsaustausch dient. Der Hintergrund: Unternehmen sollen voneinander lernen. Insbesondere ein Cyberangriff wird gerne intern abgehandelt – dadurch haben aber andere Firmen keine Gelegenheit, aus der erkannten Sicherheitslücke zu lernen, um ihre eigenen Systeme zu verbessern. Dies soll mit einem verpflichtenden Informationsaustausch erleichtert werden.
Sollte es in einem Unternehmen zu einem IT-Sicherheitsvorfall kommen, besteht die Pflicht, diesen umgehend an die nationale Behörde zu melden. Die NIS2-Richtlinie legt dabei konkrete Fristen fest, innerhalb derer der Vorfall gemeldet werden muss.
Die NIS2-Richtlinie überträgt die Verantwortung für die Umsetzung und Überwachung der Sicherheitsmaßnahmen auf die Geschäftsführung oder die entsprechenden Leitungsorgane. Zusätzlich sind diese Führungskräfte laut den NIS2-Anforderungen dazu verpflichtet, an Schulungen teilzunehmen und solche Schulungen auch für die Mitarbeitenden anzubieten. Ziel ist es, ausreichende Kenntnisse und Fähigkeiten zu erwerben, um Risiken auch eigenständig erkennen und bewerten zu können.
Haftung und Geldstrafen
Unternehmen, die die neuen Regelungen der NIS2-Richtlinie nicht beachten oder diese nicht korrekt bzw. vollständig umsetzen, setzen sich erheblichen Risiken aus. Es sind Geldstrafen von bis zu 10 Millionen Euro oder 2 % des globalen Jahresumsatzes des Unternehmens vorgesehen. Bei besonders gravierenden Verstößen können die Strafen sogar auf bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes ansteigen. In beiden Fällen wird der jeweils höhere Betrag angewendet.
Die NIS2-Richtlinie stellt Unternehmen vor große Herausforderungen. Es braucht einerseits Ressourcen und auf der anderen Seite Expertise und fachliches Know-how, um Compliance herzustellen und Haftungsrisiken zu vermeiden. BREKOM ist Ihr Partner für die Umsetzung der Anforderungen der NIS2!
Die Ransomware-Wette Sie denken, Ihre IT ist sicher? Wir wetten dagegen! Ransomware gehört aktuell zu den stärksten Bedrohungen der Cybersicherheit
NIS2-Checkliste Kennen Sie eigentlich Ihren NIS2-Reifegrad? Obwohl das Inkrafttreten der EU-Richtlinie spätestens für den Anfang 2025 geplant ist, haben sich
NIS2 – Warum sich Outsourcing lohnt Um Cybersicherheit in einem Betrieb herzustellen, reicht es heute nicht mehr aus, eine gute
Die NIS2-Richtlinie soll die Widerstandsfähigkeit von Netz- und Informationssystemen gegen Cyberangriffe verbessern und wichtige Grundlagen dafür schaffen, dass Organisationen angemessene
Aktion: Schnelligkeit zahlt sich aus! Die ersten 50 Terminbucher profitieren: Nutzen Sie den Aktionscode „NIS2-jetzt“, um Ihr NIS2-Assessment
im Wert von 249,00 EUR kostenlos zu erhalten.
Wie geht es nach der Buchung weiter?
Um das NIS2-Assessment für alle Beteiligten effizient vorbereiten zu können, melden wir uns vorm Termin und stimmen Details mit Ihnen ab.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen