Was ist NIS2?

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie bietet EU-weite Rechtsvorschriften zur Cybersicherheit. NIS2 ist eine Aktualisierung der vorherigen NIS-Richtlinie (Network and Information Security). Ihr Ziel ist die Schaffung eines gemeinsamen Cybersicherheitsstandards in allen Mitgliedstaaten der Europäischen Union. Wie bei der DSGVO geht es auch bei NIS2 um die mögliche Harmonisierung von Maßnahmen und Ansätzen zum Schutz der digitalen Infrastruktur in den EU-Mitgliedstaaten – in diesem Fall um Best Practices zur Bekämpfung des zunehmenden Ausmaßes von Cyberangriffen.

NIS2-Compliance: Hintergrund

Cyberangriffe wie Ransomware und Datenschutzverletzungen betreffen zunehmend Organisationen und Unternehmen in der gesamten EU. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat einen Bericht über die Bedrohungslandschaft veröffentlicht, in dem davor gewarnt wird, dass neue Formen von Phishing und Zero-Day-Exploits bei Angriffen auf Organisationen in der gesamten EU effektiv eingesetzt werden. NIS2 verfügt über einen weitgefassten Anwendungsbereich und zielt darauf ab, die Cybersicherheit in „wesentlichen und wichtigen Einrichtungen“ in kritischen Sektoren wie Energie, Einzelhandel, Verkehr, Banken, Gesundheit, öffentliche Verwaltung usw. zu verbessern. Die Richtlinie betrifft auch die grenzüberschreitende Sicherheit der Lieferkette und der Anbieter von Dienstleistungen.

NIS2 trat am 16. Januar 2023 in Kraft. Die EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, um NIS2 in der nationalen Gesetzgebung umzusetzen und damit anwendbar zu machen.

Wie die Lösungen von Akamai Unternehmen unterstützen können

NIS2 erzwingt die Umsetzung ganzheitlicher und strenger Sicherheitskontrollen, um Risiken zu verringern und Cybersicherheitsschäden an Systemen und Daten zu verhindern. Die Anforderungen decken eine Vielzahl von IT-Systemen und -Ressourcen ab, einschließlich des Schutzes von IT-Umgebungen vor Ransomware, Phishing und unbefugtem Zugriff.

Sicherheitslösungen von Akamai bieten intelligente Informationen und End-to-End-Schutz, um die Betriebstechnologie (Operational Technology, OT) kritischer Infrastruktur sowie IT-Systeme und Daten vor Sicherheitsverstößen, Sicherheitsvorfällen, Infektionen durch Malware und der versehentlichen Offenlegung von Daten zu schützen. Die Sicherheitsplattform von Akamai bietet die erforderliche dynamische Sicherheit, um die Zero-Trust-Prinzipien für den Datenschutz in einer Organisation anzuwenden.

Akamai unterstützt Ihre Sicherheitsteams dabei, die Effektivität und den ROI Ihrer Sicherheitsinvestitionen zu maximieren, indem es über die herkömmliche Endpoint Detection hinausgeht und eine leistungsstarke Zero-Trust-Lösung für Sicherheit und Datenschutz bereitstellt.

Akamai bietet Folgendes:

  • Eine globale Sicherheitsplattform, die Zero-Trust-Sicherheit mit umfassender Abdeckung Ihrer IT-, IoT- und OT-Umgebung durchsetzt
  • Umfassende Transparenz von Assets, Zugriffen und Netzwerkflüssen
  • Detaillierte Durchsetzung von Sicherheitsrichtlinien

Von NIS2 vorgeschriebene Cybersicherheitsmaßnahmen

Artikel 21 der NIS2-Richtlinie unterstreicht, dass die betreffenden Unternehmen Cyberrisiken durch „geeignete und verhältnismäßige technische und organisatorische Maßnahmen“ minimieren müssen. Diese Maßnahmen umfassen unter anderem:

  • Richtlinien zur Risikoanalyse und Informationssicherheit
  • Gründliche Vorfallsbearbeitung
  • Geschäftskontinuität und Krisenmanagement
  • Zuverlässige Sicherheit der Lieferkette
  • Umfassende Netzwerksicherheit
  • Behebung und Offenlegung von Schwachstellen
  • Richtlinien und Verfahren zur Bewertung der Effektivität des Cybersicherheitsrisikomanagements
  • Verwendung von Kryptografie und Verschlüsselung
  • Verwendung einer Multi-Faktor-Authentifizierung

Wie wirkt sich NIS2 auf Unternehmen aus?

NIS2 gilt für jedes in der EU tätige Unternehmen, einschließlich „aller öffentlichen und privaten Einrichtungen im gesamten Binnenmarkt, die wichtige Funktionen für die Wirtschaft und die Gesellschaft als Ganzes erfüllen“ und die „angemessene Cybersicherheitsmaßnahmen ergreifen müssen“.

In der Richtlinie werden „betreffende Einrichtungen“ in zwei Arten unterteilt: wesentliche Einrichtungen (EE, Essential Entities) und wichtige Einrichtungen (IE, Important Entities). Der Unterschied zwischen den beiden Kategorien in Bezug auf die Compliance besteht darin, dass wesentliche Einrichtungen strengeren behördlichen Anforderungen für die Überwachung der Einhaltung von Vorschriften, für die Meldepflichten bei Vorfällen und für Durchsetzungsmaßnahmen in allen Informationssystemen unterliegen. Beispiele für die jeweiligen Einrichtungen sind:

Unternehmen, die in den folgenden Sektoren tätig sind und als „wesentlich“ (EE) angesehen werden können;

  • Transport
  • Energie
  • Bankwesen
  • Gesundheitswesen
  • Wasserversorgung

Unternehmen, die in den folgenden Sektoren tätig sind und als „wichtig“ (IE) angesehen werden können;

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemische Produktion und Verarbeitung
  • Lebensmittelindustrie
  • Digitale Anbieter (Suchmaschinen, Plattformen für soziale Netzwerke usw.)

Beispiele für drei Sektoren, die von NIS2 betroffen sind:

Gesundheitswesen – Das Gesundheitswesen ist ein wesentlicher Dienst im Rahmen von NIS2; daher muss eine Gesundheitseinrichtung strenge NIS2-Vorschriften einhalten, einschließlich Risikomanagementmaßnahmen, die Cyberrisiken mindern und Schäden an IT-Systemen und -Daten verhindern. Darüber hinaus sind Vorfallmanagement, Cybersicherheit in der Lieferkette, Netzwerksicherheit, Zugriffskontrolle und Datenverschlüsselung Teil der Kernanforderung. Wesentliche Dienste wie Gesundheitseinrichtungen können Zero-Trust-Lösungen verwenden, um diese strengen Sicherheitsanforderungen zu erfüllen. Zero Trust trägt dazu bei, den Zeitaufwand für die Compliance zu verringern, da weniger Ressourcen für die Gewährleistung einer zuverlässigen Sicherheit in erweiterten Netzwerken und Lieferketten eingesetzt werden.

Einzelhandel – Der Sophos-Bericht von 2022 „The State of Ransomware in Retail“ weist auf einen Aufwärtstrend bei Bedrohungen hin, die den Einzelhandel betreffen: 77 % der Einzelhändler wurden 2021 Opfer eines Ransomware-Angriffs. In der NIS2 werden „Erzeugung, Verarbeitung und Vertrieb von Lebensmitteln“ und „Anbieter von Online-Marktplätzen“ ausdrücklich" als „wichtige Dienstleistungen“ bezeichnet. Daher fallen viele Einzelhandelsgeschäfte in den Geltungsbereich der NIS2. Durch die Anwendung von Zero-Trust-Sicherheit profitiert ein Einzelhandelsunternehmen von einem umfassenden Schutz seiner IT-Umgebung, einer hohen Transparenz von Assets, Zugriffen und Netzwerkflüssen sowie einer detaillierten Durchsetzung von Sicherheitsrichtlinien. Mit diesem umfassenden Ansatz kann ein Einzelhändler viele Anforderungen erfüllen, um die Einhaltung von NIS2 sicherzustellen.

Drittanbieter und Dienstleister – Gartner prognostiziert, dass 45 % der Unternehmen weltweit bis 2025 von Angriffen auf ihre Software-Lieferketten betroffen sein werden. Die Lieferkette ist ein perfektes Ziel für Hacker, die versuchen, über die Kette in ein Unternehmen einzudringen. NIS2 begegnet diesem Cybersicherheitsrisiko mit strengen Anforderungen an das Risikomanagement in der Lieferkette für wichtige Informations- und Kommunikationstechnologien. NIS2 erfordert einen proaktiven Ansatz für das Risikomanagement in der Lieferkette, einschließlich der Bewertung der Qualität der Cybersicherheitspraktiken von Zulieferern. Drittanbieter sollten ein Zero-Trust-Sicherheitsmodell verwenden, um sicherzustellen, dass sie über umfassende Sicherheitsmaßnahmen verfügen, die z. B. den Zugang mit geringstmöglichen Berechtigungen durchsetzen.

Akamai-Lösungen

NIS2 schreibt die Durchsetzung einer Reihe von Maßnahmen für Cybersicherheit und Risikomanagement vor. Zu diesen Maßnahmen gehören Zugriffskontrolle und die Durchsetzung des Prinzips der geringstmöglichen Berechtigungen, zuverlässige Multi-Faktor-Authentifizierung und Maßnahmen zur Abschreckung, Erkennung oder Verhinderung von bösartigem Code wie Ransomware. Die Lösungssuite von Akamai bietet Zero-Trust-Sicherheit, um Kunden dabei zu unterstützen, die Ausbreitung von Ransomware und anderen fortschrittlichen Angriffen zu verhindern. Akamai hilft Unternehmen dabei, sich vor Schwachstellen zu schützen, einschließlich erhöhter Risiken durch Cloud Computing und mobile Mitarbeiter.

Häufig gestellte Fragen (FAQ)

NIS2 ist eine EU-Richtlinie, die harmonisierte EU-weite Rechtsvorschriften zur Cybersicherheit bietet. Die NIS2- oder Netzwerk- und Informationssicherheitsrichtlinie (NIS)2 ist eine Aktualisierung der vorherigen NIS.

NIS2 gilt für Organisationen, die in der Europäischen Union in 11 wesentlichen Sektoren und sieben wichtigen Sektoren tätig sind. Gemäß NIS2 müssen die betroffenen Einrichtungen die Vorschriften zum Schutz ihrer Systeme vor Cyberangriffen einhalten und sicherstellen, dass sie zuverlässige Vorfallreaktionspläne erarbeitet haben. Weitere Einzelheiten zu den Sektoren, die unter die beiden Kategorien fallen, finden Sie im vollständigen Wortlaut der NIS2-Richtlinie.

Wie bei der DSGVO wird auch die Nichteinhaltung von NIS2 mit hohen Geldstrafen geahndet. So werden in der NIS2-Richtlinie in Artikel 34 Sanktionen für Verstöße wie folgt festgesetzt:

Wesentliche Einrichtungen: mindestens bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes 
Wichtige Einrichtungen: mindestens bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes

 NIS2-Richtlinie Artikel 23 enthält strenge Regeln für die Meldung von Cyberverstößen. Die Verordnung besagt, dass eine Benachrichtigung über Verstöße „ohne unangemessene Verzögerung“ zu erfolgen hat. Die Benachrichtigung muss innerhalb von 24 Stunden nach Bekanntwerden eines bedeutenden Vorfalls erfolgen („Frühwarnung“). Eine erste Bewertung muss innerhalb von 72 Stunden vorgenommen werden. Diese Regel gilt auch dann, wenn es keine Hinweise auf offengelegte personenbezogene Daten gibt.

Artikel 23 der NIS sieht vor, dass die Richtlinie regelmäßig überprüft wird, um die Zunahme von Cyberangriffen, die digitale Transformation, Störungen durch die Pandemie und Remotearbeit zu berücksichtigen; das Ergebnis ist die aktualisierte Richtlinie NIS2. Zu den Änderungen der neuen Version gehören ein erweiterter Geltungsbereich der betreffenden Unternehmen, die Miteinbeziehung aller mittleren und großen Unternehmen in den betreffenden Sektoren und die Miteinbeziehung kleinerer Organisationen mit hohem Risiko. NIS2 konzentriert sich auf ein risikobasiertes Sicherheitskonzept, das Bereiche wie Geschäftskontinuität und Krisenmanagement, Umgang mit Schwachstellen und deren Offenlegung sowie Multi-Faktor-Authentifizierung abdeckt.

Warum entscheiden sich Kunden für Akamai?

Akamai ist das Unternehmen für Cybersicherheit und Cloud Computing, das das digitale Leben unterstützt und schützt. Unsere marktführenden Sicherheitslösungen, überlegene Threat Intelligence und unser globales Betriebsteam bieten ein gestaffeltes Sicherheitskonzept, um die Daten und Anwendungen von Unternehmen überall zu schützen. Die Cloud-Computing-Lösungen von Akamai bieten als Full-Stack-Gesamtpaket Performance und erschwingliche Preise auf der weltweit am stärksten verteilten Plattform. Globale Unternehmen vertrauen auf Akamai für die branchenführende Zuverlässigkeit, Skalierbarkeit und Expertise, die sie benötigen, um ihr Geschäft selbstbewusst auszubauen.

