NIS2 – Warum sich Outsourcing lohnt
NIS2 – Warum sich Outsourcing lohnt Um Cybersicherheit in einem Betrieb herzustellen, reicht es heute nicht mehr aus, eine gute
Die NIS2-Richtlinie definiert verschiedene Anforderungen an die Stärkung der IT-Sicherheit in Unternehmen. Ein zentraler Aspekt ist die Einrichtung eines Risiko- und Notfallmanagements, das im Falle eines Cyberangriffes sofort greift. Darüber hinaus ist in den NIS2-Anforderungen festgelegt, dass Unternehmen geeignete Sicherheitstechnologien verwenden und Sicherheitsvorfälle zeitnah an die nationalen Behörden melden. Neu ist auch eine Registrierungspflicht der NIS2 betroffenen Unternehmen.
Von NIS-2 betroffene Unternehmen werden nicht aktiv darüber informiert, dass sie in den Geltungsbereich fallen. Stattdessen müssen sie selbst erkennen, dass sie handeln müssen. Hier gilt der Grundsatz: Unwissenheit schützt vor Strafe nicht. Geschäftsführer werden persönlich dafür haftbar gemacht, wenn die Anforderungen nicht oder nicht richtig umgesetzt wurden.
Ein Indikator dafür, ob Ihr Unternehmen von NIS2 betroffen ist, liegt in der Unternehmensgröße bzw. dem Umsatz. Folgende Voraussetzungen müssen erfüllt sein, um in den NIS2 Geltungsbereich zu fallen:
Auch dann, wenn Sie diese Bedingungen nicht erfüllen, ein potenzieller Cyberangriff aber Systemrisiken verursachen kann, könnte Ihre Organisation NIS2 relevant sein.
In der NIS-1 Richtlinie sind vor allem die KRITIS-Branchen benannt, die eine Zuordnung zum Geltungsbereich relativ leicht gemacht haben. Mit der zunehmenden Bedrohungslage durch Cyberangriffe und der Vernetzung vieler Unternehmen und Branchen untereinander, wurden mit der NIS-2 auch die Sektoren erweitert. Die NIS-2 definiert insgesamt 18 Sektoren, die zwischen „Essential Entities” (11 Sektoren) und “Important Entities” (7 Sektoren) unterscheiden.
Essential Entitis
(wesentliche Einrichtungen)
• Gesundheitswesen
• Energiesektor
• Trinkwasserversorgung
• Banken
•Finanzmarktinfrastrukturwesen
• Digitale Infrastruktur
• Weitere Gesundheitsbereiche (Pharmaunternehmen, kritische Medizinprodukte)
• Verkehr
• Abwasser
• Raumfahrt
• IKCT-Anbieter (B2B)
• Öffentliche Verwaltung
Es erfolgt in diesen Sektoren eine proaktive Aufsicht, die beispielsweise in Form regelmäßiger Sicherheitsprüfungen durchgeführt wird. Die Strafen bei Verstößen werden höher angesetzt.
Important Entities
(wichtige Einrichtungen)
• Chemikalien
• Produzenten, Verarbeiter & Händler von Lebensmittelindustrien
• Hersteller kritischer Waren (PC, Automobile, Maschinenbau)
• Anbieter digitaler DiensteDigitale Anbieter (Social Media, E-Commerce, Suchmaschinen)
• Post- und Kurierdienstleister
• Abfallentsorgung
• Öffentliche Verwaltung
• Forschung
Eine Aufsicht in diesen Sektoren erfolgt reaktiv, also nur nach einem Hinweis auf Verstöße oder einem vorausgegangenen Sicherheitsvorfall. Die Strafen sind hier etwas niedriger angesiedelt.
In den Anforderungen der NIS2 Richtlinie ist vorgesehen, dass wichtige Einrichtungen am Informationsaustausch teilnehmen müssen. Dazu wird das BSI perspektivisch ein Portal einrichten, das als Plattform für den Informationsaustausch dient. Der Hintergrund: Unternehmen sollen voneinander lernen. Insbesondere ein Cyberangriff wird gerne intern abgehandelt – dadurch haben aber andere Firmen keine Gelegenheit, aus der erkannten Sicherheitslücke zu lernen, um ihre eigenen Systeme zu verbessern. Dies soll mit einem verpflichtenden Informationsaustausch erleichtert werden.
Die NIS-2 Regelung soll die Cybersicherheit in der Europäischen Union stärken, indem sie die Anforderungen an die Netz- und Informationssicherheit für kritische Infrastruktur und wichtige Wirtschaftsakteure erweitert. Ein zentraler Punkt der NIS-2 ist die Einbeziehung von Lieferanten in die Sicherheitsstrategien der Unternehmen, da Sicherheitsvorfälle bei Lieferanten sich direkt auf die Sicherheit und den Betrieb von Unternehmen auswirken können.
SolarWinds, ein Unternehmen, das Software zur Netzwerküberwachung und -verwaltung anbietet, wurde im Dezember 2020 von einer mächtigen Cyberattacke getroffen. Durch den Angriff auf SolarWinds konnten die Angreifer eine bösartige Aktualisierung der SolarWinds-Software einfügen. Diese Aktualisierung wurde an Tausende von SolarWinds-Kunden weltweit verteilt, darunter befanden sich auch verschiedene Abteilungen der US-Regierung.
Experten sprachen damals von einem historischen Ereignis, das vor allem beweist, wie wichtig nicht nur die eigene Cybersicherheit, sondern auch die des eigenen Netzwerkes ist.
Der Begriff der „Lieferkette“ ist in der NIS2 Richtlinie nicht konkret definiert. Der englische Begriff des Supply Chain umfasst die gesamte Versorgung vom Lieferanten der Rohmaterialien bis zum Endverbraucher. Die Lieferkette nach NIS2 ist dagegen enger gefasst und nimmt insbesondere die Managed Service Provider (MSPs) in die Pflicht, die IT-Dienstleistungen bereitstellen.
Zur MSPs Lieferkette gehören unter anderem:
Nicht jedes Unternehmen, das als Zulieferer für ein großes Unternehmen arbeitet, fällt automatisch unter NIS2. Unternehmen, die aber von der NIS2 Richtlinie betroffen sind, müssen Maßnahmen ergreifen, um ihre Lieferkette zu schützen. Dadurch können sie ihre Lieferanten aktiv dazu verpflichten, ebenfalls geeignete Sicherheitsmaßnahmen zu treffen
Bei Unsicherheiten prüfen wir für Sie, ob Ihr Unternehmen in die NIS2 Anforderungen fällt. Im Anschluss unterstützen wir Sie gerne bei der Umsetzung.
NIS2 – Warum sich Outsourcing lohnt Um Cybersicherheit in einem Betrieb herzustellen, reicht es heute nicht mehr aus, eine gute
Die NIS2-Richtlinie soll die Widerstandsfähigkeit von Netz- und Informationssystemen gegen Cyberangriffe verbessern und wichtige Grundlagen dafür schaffen, dass Organisationen angemessene
Jetzt Management-Information zusenden lassen Die von der Europäischen Union eingeführte NIS2-Richtlinie markiert einen signifikanten Fortschritt in der Gesetzgebung zur Cybersicherheit
Jetzt Management-Information zusenden lassen Unter die NIS2-Richtlinie fallen im Gegensatz zur vorausgehenden NIS1 nun auch Hersteller und Produzenten. Betroffene Unternehmen
Vielen Dank für Ihre Anfrage.
Aktion: Schnelligkeit zahlt sich aus! Die ersten 50 Terminbucher profitieren: Nutzen Sie den Aktionscode „NIS2-jetzt“, um Ihr NIS2-Assessment
im Wert von 249,00 EUR kostenlos zu erhalten.
Wie geht es nach der Buchung weiter?
Um das NIS2-Assessment für alle Beteiligten effizient vorbereiten zu können, melden wir uns vorm Termin und stimmen Details mit Ihnen ab.