Die Ransomeware-Wette
Die Ransomware-Wette Sie denken, Ihre IT ist sicher? Wir wetten dagegen! Ransomware gehört aktuell zu den stärksten Bedrohungen der Cybersicherheit
Die NIS2-Richtlinie definiert verschiedene Anforderungen an die Stärkung der IT-Sicherheit in Unternehmen. Ein zentraler Aspekt ist die Einrichtung eines Risiko- und Notfallmanagements, das im Falle eines Cyberangriffes sofort greift. Darüber hinaus ist in den NIS2-Anforderungen festgelegt, dass Unternehmen geeignete Sicherheitstechnologien verwenden und Sicherheitsvorfälle zeitnah an die nationalen Behörden melden. Neu ist auch eine Registrierungspflicht der NIS2 betroffenen Unternehmen.
Von NIS-2 betroffene Unternehmen werden nicht aktiv darüber informiert, dass sie in den Geltungsbereich fallen. Stattdessen müssen sie selbst erkennen, dass sie handeln müssen. Hier gilt der Grundsatz: Unwissenheit schützt vor Strafe nicht. Geschäftsführer werden persönlich dafür haftbar gemacht, wenn die Anforderungen nicht oder nicht richtig umgesetzt wurden.
Ein Indikator dafür, ob Ihr Unternehmen von NIS2 betroffen ist, liegt in der Unternehmensgröße bzw. dem Umsatz. Folgende Voraussetzungen müssen erfüllt sein, um in den NIS2 Geltungsbereich zu fallen:
Auch dann, wenn Sie diese Bedingungen nicht erfüllen, ein potenzieller Cyberangriff aber Systemrisiken verursachen kann, könnte Ihre Organisation NIS2 relevant sein.
In der NIS-1 Richtlinie sind vor allem die KRITIS-Branchen benannt, die eine Zuordnung zum Geltungsbereich relativ leicht gemacht haben. Mit der zunehmenden Bedrohungslage durch Cyberangriffe und der Vernetzung vieler Unternehmen und Branchen untereinander, wurden mit der NIS-2 auch die Sektoren erweitert. Die NIS-2 definiert insgesamt 18 Sektoren, die zwischen „Essential Entities” (11 Sektoren) und “Important Entities” (7 Sektoren) unterscheiden.
Essential Entitis
(wesentliche Einrichtungen)
• Gesundheitswesen
• Energiesektor
• Trinkwasserversorgung
• Banken
•Finanzmarktinfrastrukturwesen
• Digitale Infrastruktur
• Weitere Gesundheitsbereiche (Pharmaunternehmen, kritische Medizinprodukte)
• Verkehr
• Abwasser
• Raumfahrt
• IKCT-Anbieter (B2B)
• Öffentliche Verwaltung
Es erfolgt in diesen Sektoren eine proaktive Aufsicht, die beispielsweise in Form regelmäßiger Sicherheitsprüfungen durchgeführt wird. Die Strafen bei Verstößen werden höher angesetzt.
Important Entities
(wichtige Einrichtungen)
• Chemikalien
• Produzenten, Verarbeiter & Händler von Lebensmittelindustrien
• Hersteller kritischer Waren (PC, Automobile, Maschinenbau)
• Anbieter digitaler DiensteDigitale Anbieter (Social Media, E-Commerce, Suchmaschinen)
• Post- und Kurierdienstleister
• Abfallentsorgung
• Öffentliche Verwaltung
• Forschung
Eine Aufsicht in diesen Sektoren erfolgt reaktiv, also nur nach einem Hinweis auf Verstöße oder einem vorausgegangenen Sicherheitsvorfall. Die Strafen sind hier etwas niedriger angesiedelt.
In den Anforderungen der NIS2 Richtlinie ist vorgesehen, dass wichtige Einrichtungen am Informationsaustausch teilnehmen müssen. Dazu wird das BSI perspektivisch ein Portal einrichten, das als Plattform für den Informationsaustausch dient. Der Hintergrund: Unternehmen sollen voneinander lernen. Insbesondere ein Cyberangriff wird gerne intern abgehandelt – dadurch haben aber andere Firmen keine Gelegenheit, aus der erkannten Sicherheitslücke zu lernen, um ihre eigenen Systeme zu verbessern. Dies soll mit einem verpflichtenden Informationsaustausch erleichtert werden.
Die NIS-2 Regelung soll die Cybersicherheit in der Europäischen Union stärken, indem sie die Anforderungen an die Netz- und Informationssicherheit für kritische Infrastruktur und wichtige Wirtschaftsakteure erweitert. Ein zentraler Punkt der NIS-2 ist die Einbeziehung von Lieferanten in die Sicherheitsstrategien der Unternehmen, da Sicherheitsvorfälle bei Lieferanten sich direkt auf die Sicherheit und den Betrieb von Unternehmen auswirken können.
SolarWinds, ein Unternehmen, das Software zur Netzwerküberwachung und -verwaltung anbietet, wurde im Dezember 2020 von einer mächtigen Cyberattacke getroffen. Durch den Angriff auf SolarWinds konnten die Angreifer eine bösartige Aktualisierung der SolarWinds-Software einfügen. Diese Aktualisierung wurde an Tausende von SolarWinds-Kunden weltweit verteilt, darunter befanden sich auch verschiedene Abteilungen der US-Regierung.
Experten sprachen damals von einem historischen Ereignis, das vor allem beweist, wie wichtig nicht nur die eigene Cybersicherheit, sondern auch die des eigenen Netzwerkes ist.
Der Begriff der „Lieferkette“ ist in der NIS2 Richtlinie nicht konkret definiert. Der englische Begriff des Supply Chain umfasst die gesamte Versorgung vom Lieferanten der Rohmaterialien bis zum Endverbraucher. Die Lieferkette nach NIS2 ist dagegen enger gefasst und nimmt insbesondere die Managed Service Provider (MSPs) in die Pflicht, die IT-Dienstleistungen bereitstellen.
Zur MSPs Lieferkette gehören unter anderem:
Nicht jedes Unternehmen, das als Zulieferer für ein großes Unternehmen arbeitet, fällt automatisch unter NIS2. Unternehmen, die aber von der NIS2 Richtlinie betroffen sind, müssen Maßnahmen ergreifen, um ihre Lieferkette zu schützen. Dadurch können sie ihre Lieferanten aktiv dazu verpflichten, ebenfalls geeignete Sicherheitsmaßnahmen zu treffen
Bei Unsicherheiten prüfen wir für Sie, ob Ihr Unternehmen in die NIS2 Anforderungen fällt. Im Anschluss unterstützen wir Sie gerne bei der Umsetzung.
NIS2 betroffene Unternehmen stehen unter erheblichem Druck, ihre Cybersicherheitsmaßnahmen schnellstmöglich zu verbessern. Die NIS2-Richtlinie verlangt von diesen Unternehmen nicht nur die Einhaltung strenger Sicherheitsstandards, sondern auch eine zügige Umsetzung dieser Maßnahmen. Sobald der Stichtag für die NIS2-Umsetzung festgelegt wurde, müssen NIS2 betroffene Unternehmen Compliance hergestellt haben.
Verzögerungen bei der Implementierung können nicht nur zu erheblichen Geldstrafen führen, sondern auch die Sicherheit und Integrität Ihrer IT-Systeme gefährden. Eine proaktive Herangehensweise ist entscheidend, um die gesetzlichen Anforderungen zu erfüllen und die langfristige Sicherheit und Resilienz Ihrer Organisation zu gewährleisten.
Die NIS2-Betroffenheitsprüfung wird in mehreren Schritten durchgeführt: Zunächst werden die relevanten Kriterien wie Unternehmensgröße, Umsatz und Sektor überprüft, um festzustellen, ob Ihr Unternehmen in den Geltungsbereich der NIS2-Richtlinie fällt. Anschließend erfolgt eine detaillierte Analyse Ihrer IT-Sicherheitspraktiken und -infrastruktur, um Schwachstellen zu identifizieren und die erforderlichen Anpassungen vorzunehmen.
BREKOM führt die NIS2-Betroffenheitsprüfung online in einem digitalen Meetingraum per Webkonferenz durch. Die Sitzung dauert lediglich 90 Minuten. Im Anschluss haben Sie Klarheit darüber, ob auch Ihr Unternehmen von NIS2 betroffen ist.
Nein, Unternehmen erhalten keine offizielle Information darüber, ob sie von NIS2 betroffen sind. Sie müssen sich eigenständig darum kümmern und proaktiv eine NIS2-Betroffenheitsprüfung durchführen. Im Fall der Betroffenheit müssen sie sich innerhalb von 3 Monaten beim BSI (Bundesamt für Sicherheit in der Informationstechnik) registrieren.
Gemäß § 38 des Gesetzes ist die Unternehmensleitung für die Umsetzung und Überwachung der vorgeschriebenen Risikomanagementmaßnahmen verantwortlich. Die verantwortlichen Führungskräfte müssen dafür sorgen, dass alle Sicherheitsvorkehrungen gemäß den NIS2-Richtlinien umgesetzt und regelmäßig überprüft werden. Darüber hinaus sind sie verpflichtet, sich in den relevanten Bereichen schulen zu lassen, um Risiken effektiv identifizieren und bewerten zu können. Im Falle eines schuldhaften Versäumnisses oder einer fehlerhaften Umsetzung tragen die Geschäftsführer gemäß den Regelungen des Gesellschaftsrechts die persönliche Haftung für entstandene Schäden
Die Ransomware-Wette Sie denken, Ihre IT ist sicher? Wir wetten dagegen! Ransomware gehört aktuell zu den stärksten Bedrohungen der Cybersicherheit
NIS2-Checkliste Kennen Sie eigentlich Ihren NIS2-Reifegrad? Obwohl das Inkrafttreten der EU-Richtlinie spätestens für den Anfang 2025 geplant ist, haben sich
NIS2 – Warum sich Outsourcing lohnt Um Cybersicherheit in einem Betrieb herzustellen, reicht es heute nicht mehr aus, eine gute
Die NIS2-Richtlinie soll die Widerstandsfähigkeit von Netz- und Informationssystemen gegen Cyberangriffe verbessern und wichtige Grundlagen dafür schaffen, dass Organisationen angemessene
Vielen Dank für Ihre Anfrage.
Aktion: Schnelligkeit zahlt sich aus! Die ersten 50 Terminbucher profitieren: Nutzen Sie den Aktionscode „NIS2-jetzt“, um Ihr NIS2-Assessment
im Wert von 249,00 EUR kostenlos zu erhalten.
Wie geht es nach der Buchung weiter?
Um das NIS2-Assessment für alle Beteiligten effizient vorbereiten zu können, melden wir uns vorm Termin und stimmen Details mit Ihnen ab.