Was ist die NIS-2-Richtlinie?
Die Richtlinie der Europäischen Union zur Netz- und Informationssicherheit (NIS) ist ein Rechtsakt, der darauf abzielt, ein hohes gemeinsames Niveau der Cyber-Sicherheit für Unternehmen in der gesamten Europäischen Union zu erreichen. Die NIS-Richtlinie wurde ursprünglich 2016 verabschiedet und stützte sich in hohem Maße auf das Ermessen der einzelnen Mitgliedstaaten, wodurch es ihr an Rechenschaftspflicht mangelte.
Als Reaktion auf die wachsenden Bedrohungen durch die zunehmende Digitalisierung und die Zunahme von Cyberangriffen verabschiedete die EU am 16. Januar 2023 NIS-2, um die Sicherheitsanforderungen und die Widerstandsfähigkeit gegenüber Cyberangriffen zu stärken. Die 27 EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die NIS-2-Richtlinie in geltendes nationales Recht umzusetzen.
NIS-2 erweitert die ursprüngliche NIS-Richtlinie, indem sie eine größere Anzahl von Sektoren abdeckt und zusätzliche Risikomanagementmaßnahmen und Meldepflichten für Vorfälle enthält. Darüber hinaus sieht sie eine striktere Durchsetzung vor. NIS-2 ergänzt NIS in vier Schlüsselbereichen:
- Erweiterter Anwendungsbereich: NIS-2 erweitert den Geltungsbereich von sieben auf achtzehn Sektoren. Die NIS-2 stuft Sektoren zudem als wesentlich oder wichtig ein, mit unterschiedlichen Aufsichtsanforderungen.
- Strengere Sicherheitsanforderungen: Die Richtlinie sieht strengere Maßnahmen zur Cyber-Sicherheit vor. Diese Anforderungen umfassen Risikomanagementpraktiken, technische und organisatorische Maßnahmen, Pläne zur Vorfallreaktion und zur Notfallwiederherstellung, Mitarbeiterschulungen sowie regelmäßige Updates und Patches.
- Obligatorische Meldung von Vorfällen mit bestimmten Zeitrahmen: NIS-2 verlangt von Unternehmen, dass sie bedeutende Cyber-Sicherheitsvorfälle melden, d. h. solche, die die Erbringung der Dienstleistungen des Unternehmens beeinträchtigen könnten. Die Unternehmen müssen einen „Frühwarnbericht“ in einem standardisierten Format und mit einer verkürzten Meldefrist von 24 Stunden vorlegen, gefolgt von einer Meldung des Vorfalls innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls sowie einem Abschlussbericht innerhalb von 30 Tagen.
- Durchsetzung durch Strafen: Bei Nichteinhaltung sieht die NIS-2-Richtlinie strengere Strafen, einschließlich höherer Geldstrafen, vor.
Mit NIS-2 wurde der Anwendungsbereich der Richtlinie von 7 auf 18 Sektoren erweitert. In der vorherigen Version von NIS wurden die Bereiche Gesundheitswesen, Verkehr, digitale Infrastruktur, Wasserversorgung, Banken, Finanzmarktinfrastruktur und Energie als wesentliche Sektoren genannt. NIS-2 erweitert die Kategorie der „wesentlichen“ Sektoren um die Bereiche digitale Dienstleister, Abfallwirtschaft, Pharmazie und Labors, Raumfahrt und öffentliche Verwaltung. NIS-2 fügt zudem eine Kategorie „wichtige“ Sektoren hinzu, die öffentliche Kommunikationsanbieter, Chemikalien, Lebensmittelhersteller und -händler, Hersteller kritischer Geräte, soziale Netzwerke und Online-Marktplätze sowie Kurierdienste umfasst.
Wesentliche Unternehmen müssen die Aufsichtsanforderungen erfüllen, während wichtige Unternehmen nur einer Ex-post-Aufsicht unterliegen. Ex-post-Aufsicht bedeutet, dass Aufsichtsmaßnahmen nur dann ergriffen werden, wenn den Behörden Beweise für Verstöße vorliegen.
Artikel 21 von NIS-2 besagt: „Die Mitgliedstaaten stellen sicher, dass wesentliche und wichtige Einrichtungen angemessene und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit von Netz- und Informationssystemen, die diese Einrichtungen für ihren Betrieb oder die Erbringung ihrer Dienstleistungen nutzen, zu beherrschen und die Auswirkungen von Vorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten.“ Das Ziel von Artikel 21 besteht darin, Netz- und Informationssysteme sowie die physische Umgebung dieser Systeme vor Vorfällen zu schützen, und zwar mindestens durch Folgendes:
(a) Strategien zur Risikoanalyse und zur Sicherheit von Informationssystemen;
(b) Behandlung von Zwischenfällen;
(c) Geschäftskontinuität, z. B. Backup-Management, Notfallwiederherstellung und Krisenmanagement;
(d) Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte in Bezug auf die Beziehungen zwischen den einzelnen Einrichtungen und ihren direkten Lieferanten oder Dienstleistern;
(e) Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netz- und Informationssicherheitssystemen, einschließlich des Umgangs mit Sicherheitslücken und deren Offenlegung;
(f) Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Management von Cyber-Sicherheitsrisiken;
(g) grundlegende Cyber-Hygienepraktiken und Cyber-Sicherheitsschulungen;
(h) Strategien und Verfahren für den Einsatz von Kryptographie und gegebenenfalls Verschlüsselung;
(i) Personalsicherheit, Richtlinien für die Zugriffskontrolle und Vermögensverwaltung;
(j) Einsatz von Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierungslösungen, gesicherter Sprach-, Video- und Textkommunikation und gesicherten Notfallkommunikationssystemen innerhalb des Unternehmens, wo angemessen.
Artikel 23 der NIS-2-Richtlinie schreibt vor, dass jeder bedeutende Cyber-Sicherheitsvorfall, „der erhebliche Auswirkungen auf die Erbringung ihrer Dienstleistungen hat“, gemeldet werden muss, unabhängig davon, ob der Angriff tatsächlich den Betrieb der Einrichtung beeinträchtigt hat oder nicht. Die wichtigste Änderung im Zusammenhang mit der Meldung von Vorfällen besteht darin, dass die NIS-2-Richtlinie den obligatorischen mehrstufigen Prozess der Meldung von Vorfällen und die darin enthaltenen Inhalte detailliert darlegt.
Frühwarnung:
Innerhalb von 24 Stunden. Ein erster Bericht muss innerhalb von 24 Stunden nach einem Vorfall im Bereich der Cyber-Sicherheit bei der zuständigen Behörde oder dem nationalen CSIRT eingereicht werden. Der erste Bericht sollte eine Frühwarnung enthalten, wenn grenzüberschreitende Auswirkungen oder schädliche Absichten vorliegen können. Diese erste Meldung soll die potenzielle Ausbreitung einer Cyberbedrohung eingrenzen.
Folgemeldung über den Vorfall:
Innerhalb von 72 Stunden. Ein detaillierterer Meldebericht muss innerhalb von 72 Stunden übermittelt werden. Dieser Bericht sollte eine Bewertung des Vorfalls enthalten, einschließlich seiner Schwere, seiner Auswirkungen und der Kompromittierungsindikatoren. Das betroffene Unternehmen sollte den Vorfall zudem den Strafverfolgungsbehörden melden, falls eine Straftat vorliegt.
Abschlussbericht: Innerhalb eines Monats.
Ein Abschlussbericht muss innerhalb eines Monats nach der ersten Meldung oder dem ersten Bericht eingereicht werden. Dieser Abschlussbericht muss Folgendes enthalten:
- Eine detaillierte Beschreibung des Vorfalls.
- Seine Schwere und Folgen.
- Die Art der Bedrohung oder die wahrscheinliche Ursache des Vorfalls.
- Alle vorgenommenen und laufenden Maßnahmen zur Schadensbegrenzung.
Darüber hinaus müssen Einrichtungen gemäß der NIS-2-Richtlinie jede von ihnen identifizierte größere Cyberbedrohung, die zu einem schwerwiegenden Vorfall führen könnte, melden. Eine Bedrohung gilt als erheblich, wenn sie zu Folgendem führt:
- Erhebliche Betriebsstörungen oder finanzielle Verluste für das betroffene Unternehmen
- Sie kann natürliche oder juristische Personen betreffen und erhebliche materielle oder immaterielle Schäden verursachen.
Die NIS-2-Richtlinie sieht striktere Strafen vor als NIS. Gemäß der NIS-2-Richtlinie werden bei wesentlichen und wichtigen Einrichtungen unterschiedliche Strafen für Verstöße verhängt.
- Bei wesentlichen Einrichtungen können die Geldstrafen bis zu 10.000.000 EUR oder mindestens 2 % des gesamten weltweiten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr betragen, je nachdem, welcher Betrag höher ist.
- Bei wichtigen Einrichtungen können die Verwaltungsstrafen bis zu 7.000.000 EUR oder mindestens 1,4 % des weltweiten Gesamtumsatzes des Unternehmens im vorangegangenen Geschäftsjahr betragen, je nachdem, welcher Betrag höher ist.
Whitepaper
Richtlinie zur Netz- und Informationssicherheit (NIS-2)
Entdecken Sie, wie Unternehmen die NIS-2-Richtlinie mithilfe unserer umfassenden Cyber-Sicherheitslösungen einhalten können, und erfahren Sie mehr über die NIS-2-Anforderungen.
So unterstützt Thales Ihr Unternehmen bei der Einhaltung der NIS-2-Richtlinie
Thales und Imperva, ein Unternehmen von Thales, bieten ein breites Portfolio an sich ergänzenden Produkten für die Anwendungs- und Datensicherheit sowie die Identitäts- und Zugriffsverwaltung an. Diese umfassende Lösung kann Sie bei der Erfüllung der NIS-2-Anforderungen unterstützen. Wir können wesentlichen und wichtigen Unternehmen bei der Einhaltung von NIS-2 helfen, indem wir die wesentlichen Anforderungen an das Cyber-Sicherheits-Risikomanagement gemäß Artikel 21 erfüllen und Unternehmen bei der Erstellung vollständiger, genauer und rechtzeitiger Berichte helfen, um den Anforderungen von Artikel 23 gerecht zu werden.
Lösungen zur NIS-2-Compliance
Anwendungssicherheit
Schützen Sie Anwendungen und APIs in großem Umfang in der Cloud, lokal oder in einem Hybridmodell. Unsere marktführende Produktsuite umfasst eine Web Application Firewall (WAF), Schutz vor Distributed Denial of Service (DDoS) und bösartigen BOT-Angriffen, Sicherheit für APIs, ein sicheres Content Delivery Network (CDN) und Runtime Application Self-Protection (RASP).
Datensicherheit
Erkennen und klassifizieren Sie sensible Daten in der gesamten hybriden IT und schützen Sie sie automatisch an jedem Ort, ob at Rest, in Motion oder in Use, mithilfe von Verschlüsselungs-Tokenisierung und Schlüsselverwaltung. Die Lösungen von Thales identifizieren, bewerten und priorisieren zudem potenzielle Risiken sowie anomales Verhalten für eine genaue Risikobewertung und überwachen Aktivitäten zur Überprüfung der Einhaltung von Vorschriften, sodass Unternehmen priorisieren können, wo sie ihre Anstrengungen konzentrieren.
Identitäts- und Zugriffsverwaltung
Bieten Sie Kunden, Mitarbeitern und Partnern einen nahtlosen, sicheren und vertrauenswürdigen Zugriff auf Anwendungen und digitale Dienste. Unsere Lösungen beschränken den Zugriff interner und externer Benutzer auf der Grundlage ihrer Rollen und ihres Kontexts mit granularen Zugriffsrichtlinien, Multi-Faktor-Authentifizierung und phishing-resistenten PKI/FIDO-Hardwaregeräten, die sicherstellen, dass der richtige Benutzer zur richtigen Zeit Zugriff auf die richtige Ressource erhält.
Die wichtigsten NIS-2-Anforderungen
So unterstützt Thales Ihr Unternehmen:
- Ermittlung und Klassifizierung potenzieller Risiken für alle öffentlichen, privaten und Schatten-APIs.
- Identifizieren Sie strukturierte und unstrukturierte sensible Data-at-Risk on-premises und in der Cloud.
- Ermitteln Sie den aktuellen Stand der Compliance, dokumentieren Sie Lücken und zeigen Sie einen Weg zur vollständigen Compliance auf.
So unterstützt Thales Ihr Unternehmen:
- Beschleunigen Sie den Umgang mit Vorfällen durch automatisches Öffnen und Aktualisieren von ServiceNow-Tickets.
So unterstützt Thales Ihr Unternehmen:
- Abwehr von DDoS-Angriffen in nur drei Sekunden.
- Implementierung von Präventionsmaßnahmen, um Krisensituationen vorherzusagen und zu vermeiden.
So unterstützt Thales Ihr Unternehmen:
- Reduzierung des Drittparteienrisikos durch Beibehaltung der Kontrolle über kryptographische Schlüssel zum Schutz der in der Cloud gehosteten Daten on-premises.
- Sicherstellung einer vollständigen Rollentrennung zwischen den Administratoren des Cloud-Anbieters und Ihres Unternehmens und Beschränkung des Zugriffs auf sensible Daten.
- Überwachung und Meldung von Anomalien zur Erkennung und Verhinderung unerwünschter Aktivitäten, die die Lieferkette stören könnten.
- Ermöglichung des Beziehungsmanagements mit Lieferanten, Partnern oder anderen Drittnutzern; mit klarer Delegierung der Zugriffsrechte.
- Minimierung der Berechtigungen durch den Einsatz beziehungsbasierter, fein abgestimmter Autorisierung.
Lösungen:
Datensicherheit
Schlüsselverwaltung in der Cloud
Überwachung der Datenaktivität
Identitäts- und Zugriffsverwaltung
So unterstützt Thales Ihr Unternehmen:
- Erkennung und Verhinderung von Cyber-Bedrohungen mit einer Web Application Firewall und dadurch die Gewährleistung eines reibungslosen Betriebs sowie von Sorgenfreiheit.
- Schutz kritischer Netzwerkressourcen vor DDoS-Angriffen und schädlichen Bots bei gleichzeitiger Zulassung des legitimen Datenverkehrs.
- Datenzentrierte Sicherheit bedeutet, dass einfache Sensoren Sicherheit und Compliance in der gesamten Datenumgebung gewährleisten können.
So unterstützt Thales Ihr Unternehmen:
- Vollständige Transparenz über alle Aktivitäten mit sensiblen Daten, Verfolgung, wer Zugriff hat, Prüfung ihrer Aktivitäten und Dokumentation dieser Aktivitäten.
So unterstützt Thales Ihr Unternehmen:
- Verschlüsseln Sie Data-at-Rest on-premises, in Clouds und in Big-Data- oder Container-Umgebungen.
- Pseudonymisierung sensibler Daten in Datenbanken.
- Optimieren Sie die Schlüsselverwaltung in Cloud- und On-Premise-Umgebungen.
- Schutz von kryptographischen Schlüsseln in einer Umgebung gemäß FIPS 140-2 Level 3.
- Schutz von Data-in-Motion mit High-Speed-Verschlüsselung.
So unterstützt Thales Ihr Unternehmen:
- Beschränkung des Zugriffs interner und externer Benutzer auf Systeme und Daten rollen- und kontextbezogen mithilfe von Richtlinien.
- Anwendung kontextbezogener Sicherheitsmaßnahmen auf der Grundlage von Risikobewertungen.
- Verhindern Sie Passwort-Müdigkeit mit Smart Single Sign-on und bedingtem Zugriff.
- Schaffen Sie einen reibungslosen, sicheren und datengeschützten Zugriff für Ihre Kunden.
Lösungen:
Identitäts- und Zugriffsverwaltung
Zugriffsverwaltung für Arbeitskräfte
Kundenidentitäts- und Zugriffsverwaltung (CIAM)
Datensicherheit
So unterstützt Thales Ihr Unternehmen:
- Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) mit der größten Auswahl an Hardware- und Softwaremethoden und -formaten.
- Erstellung und Bereitstellung adaptiver Authentifizierungsrichtlinien basierend auf der Sensibilität der Daten/Anwendung.
- Schützen Sie sich mit PKI- und FIDO-Hardware-Authentifikatoren vor Phishing- und Man-in-the-Middle-Angriffen.
Lösungen:
Identitäts- und Zugriffsverwaltung
Multi-Faktor-Authentifizierung
So unterstützt Thales Ihr Unternehmen:
- Aufbewahrung der Aufzeichnungen von einem Jahr mit sofortigem Zugriff für detaillierte Recherchen und Untersuchungen. Audit-Daten werden automatisch archiviert, bleiben aber für Abfragen und Berichte in Sekundenschnelle verfügbar.
Weitere Ressourcen
