NIS2

NIS2 schließt die Lücken in der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS)

2016 hat die Europäische Kommission die Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS) der EU verabschiedet. Die NIS-Richtlinie war die erste EU-weite Rechtsvorschrift zu Cybersicherheit. Ihr Ziel war die Verbesserung der Cybersicherheit in der gesamten Europäischen Union.

Im Mai 2022 verkündete die Kommission als Reaktion auf die steigende Bedrohung durch zunehmende Digitalisierung und die Welle von Cyberangriffen, dass sie die NIS-Richtlinie ersetzen und dadurch die Sicherheitsanforderungen erhöhen würde. Sie führte strengere Überwachungsmaßnahmen und striktere Durchsetzungsbestimmungen ein, wie z. B. einheitliche Sanktionen in der gesamten EU.

Die NIS2-Richtlinie soll die folgenden Aspekte verbessern:

1. Skalierung

Zunehmende Vernetzung, rasante Digitalisierung und die allgegenwärtige Konnektivität führen dazu, dass immer mehr Unternehmen bei der Verteidigung gegenüber Cyberrisiken systemrelevant werden. Die Neudefinition des ursprünglichen Umfangs des Begriffs „grundlegende Dienstleistungen“ – dazu gehören Transport, Bankdienstleistungen und öffentliche Verwaltung sowie Unternehmen aus Bereichen wie Lebensmittelproduktion, Postdienstleistungen und Abfallmanagement – bedeutet, dass auf dem gesamten Kontinent in viel größerem Ausmaß Maßnahmen getroffen werden müssen, um sich vor Cyberbedrohungen zu schützen.

2. Governance

Weitere wichtige Schritte sind die verbesserte Security Governance sowie die Einführung einer Rechenschaftspflicht für Führungskräfte eines Unternehmens in Bezug auf Cyber-Resilienz. Cybersicherheit liegt in der Verantwortung des Vorstands und der Geschäftsleitung und sollte nicht an technische Teams delegiert werden. Die Rechenschaftspflicht stärkt die Position der Chief Information Security Officers (CISOs), wenngleich damit die Erwartung verbunden ist, dass diese effektiv mit der Geschäftsleitung kommunizieren und sowohl in technischen als auch in geschäftlichen Belangen federführend sind.

3. Geldstrafen und Sanktionen

NIS2 schreibt vor, dass den zuständigen Behörden umfangreichere Befugnisse übertragen werden. Sie können Unternehmen, die grundlegende Dienstleistungen anbieten, mit Geldstrafen mindestens in Höhe von 2 % des weltweiten Umsatzes belegen. Das ist ein gewaltiger Ansporn für Unternehmen, ihre Verpflichtungen zu erfüllen. Diese neuen potenziellen Strafen werden ein wichtiges Instrument sein, um Resilienz in der EU und darüber hinaus zu fördern.

4. Verpflichtung, auf Vorfälle zu reagieren

Lücken wurden geschlossen und die Verpflichtung, auf Vorfälle zu reagieren, wurde geprüft. Zum Beispiel ist eine „erhebliche Auswirkung“ auf ein Unternehmen nicht länger eine feste Kennzahl (Anzahl der betroffenen Benutzer), sondern es geht eher darum, ob es eine Störung wichtiger Dienste oder einen finanziellen bzw. materiellen Verlust gab. Meldungen müssen zudem nicht mehr erst nach 72, sondern bereits nach 24 Stunden erfolgen und sich an die Benutzer der Dienste sowie möglicherweise an die Öffentlichkeit richten.

Verbesserung der Cybersicherheit in ganz Europa

Mit seiner jahrzehntelangen Erfahrung in der Unterstützung von Unternehmenseinheiten und öffentlichen Unternehmen bei der Einhaltung von Compliance-Vorschriften bietet Thales integrierte Produkte und Services, die es Ihrem Unternehmen ermöglichen, seine Cybersicherheitsfunktionen zu stärken, die Sicherheit von Lieferketten anzugehen, Meldepflichten einfach nachzukommen und striktere Überwachungsmaßnahmen und Durchsetzungsvorschriften zu befolgen, einschließlich einheitlicher Sanktionen in ganz Europa. Darüber hinaus arbeitet Thales eng mit Partnern zusammen, um umfassende Lösungen anzubieten, die die Belastungen im Zusammenhang mit Compliance reduzieren können.

Schutz vor Cyberbedrohungen bei jedem Schritt

Thales bietet umfangreiche Datenschutzlösungen an, die Unternehmen dabei unterstützen, in Übereinstimmung mit der NIS2-Richtlinie zu handeln und Verantwortung für deren Einhaltung zu übernehmen.

• Gespeicherte Transaktionsdaten und personenbezogene Daten schützen: Mit dem CipherTrust Manager, den Luna-Hardware-Sicherheitsmodulen (HSMs) und Data Protection on Demand (DPoD) von Thales können Unternehmen kryptographische Schlüssel zentral verwalten und eine Vielzahl von Verschlüsselungs-, Tokenisierungs- und Datenmaskierungslösungen bereitstellen, um Transaktionsdaten und personenbezogene Daten in Dateien, Ordnern, Anwendungen und Datenbanken on-premises, in der Cloud und in hybriden Umgebungen zu schützen.
• Finanz- und personenbezogenen Data-in-Motion verschlüsseln: High Speed Encryptors (HSE) von Thales verschlüsseln alle Daten, die Netzwerke durchlaufen.
• Sichere Systeme und Anwendungen entwickeln und pflegen: Luna-HSM von Thales, erhältlich on-premises und in der Cloud als Luna Cloud HSM auf DPoD, ermöglichen es Unternehmen, Signiermaterial sicher in einem vertrauenswürdigen Hardware-Gerät zu speichern und so die Authentizität und Integrität aller Dateien mit Anwendungscode sicherzustellen.
• Strenge Maßnahmen für die Zugriffskontrolle implementieren: Produkte von Thales CipherTrust können für einen eindeutigen, mehrstufigen administrativen Zugriff auf Unternehmenssysteme on-premises oder in der Cloud eingerichtet werden. Darüber hinaus können Sie mit SafeNet Trusted Access eindeutige Benutzeridentitäten und risikobasierte Authentifizierungsrichtlinien zentral verwalten und den Zugriff auf Systeme in hybrider IT gewähren bzw. entziehen.
• Alle Zugriffsaktivitäten auf sensible Daten nachverfolgen und überwachen: Alle Produkte des Thales-CipherTrust-Datenschutzportfolios erzeugen Prüfprotokolle, die alle Operationen im Lebenszyklus von kryptographischen Schlüsseln (Erstellung/Löschung/Rotation/Widerruf) sowie weitere administrative Funktionen protokollieren, die zur Rekonstruktion von Ereignissen verwendet werden können.