Die EU wird oftmals als weltweit führend im Bereich der Cybersicherheit angesehen. NIS2 (NIS: Network and Information Security), eine neue EU-politische Entwicklung, ist nur der jüngste in einer Reihe von Schritten zum Schutz kritischer Infrastrukturen und zur Absicherung der EU-Bürger vor den Gefahren von Cyberangriffen.
Von allen EU-Mitgliedstaaten wird erwartet, dass sie bis zum Jahr 2024 NIS2-konform agieren können. Dies bedeutet, dass sie spezifische Strategien für die Cybersicherheit verfolgen, Sachverständige benennen und Mechanismen zur Meldung von sicherheitsrelevanten Vorfällen umsetzen müssen. NIS2 verpflichtet die EU-Mitgliedstaaten außerdem zur Zusammenarbeit beim Austausch von Informationen, um die entscheidenden Assets vor Cyberangriffen zu schützen.
Im Folgenden werfen wir einen genaueren Blick auf die aktualisierte EU-Direktive und ihre Bedeutung für die Cybersicherheit in der EU.
Wie hat die EU die Cybersicherheit bisher gehandhabt?
Die Agentur der Europäischen Union für Netz- und Informationssicherheit, kurz ENISA, wurde im Jahr 2004 gegründet, um die Cybersicherheit in der EU zu verbessern. Im Jahr 2016 verabschiedete die EU dann die NIS-Richtlinie, die den EU-Mitgliedstaaten Leitlinien zur Verbesserung ihrer Cybersicherheit vorgibt.
Die NIS-Direktive wurde inzwischen überarbeitet und durch die NIS2-Richtlinie ersetzt.
Was ist NIS2?
NIS2 baut auf den Anforderungen der ursprünglichen Richtlinie auf. Die Direktive zielt nach wie vor darauf ab, kritische Infrastrukturen und Organisationen in der EU vor Cyberbedrohungen zu schützen und ein hohes Maß an gemeinsamer Sicherheit in der gesamten EU zu erwirken.
Um dieses Ziel zu erreichen, fordert NIS2 von den Mitgliedstaaten eine Reihe zusätzlicher Maßnahmen. Hierzu zählen:
- die Erstellung eines Incident-Response-Plans, der mit den Plänen anderer Mitgliedstaaten koordiniert wird
- der Aufbau eines nationalen Computer-Emergency-Response-Teams
- die Stärkung der Zusammenarbeit zwischen öffentlichen und privaten Einrichtungen
- die Verbesserung des Informationsaustauschs zwischen den Mitgliedsstaaten
Die Zusammenarbeit der Mitgliedstaaten gewährleistet, dass die Abwehrmaßnahmen gegen Cyberangriffe gestärkt werden und Unternehmen und Einzelpersonen Unterstützung und Anleitung erhalten. So stellt die EU sicher, dass die Gesellschaft und ihre Bürger vor dem wachsenden Risiko von Online-Bedrohungen geschützt sind.
Sektoren, die von NIS2 betroffen sind
Die ursprüngliche NIS-Richtlinie wurde zum Schutz dieser Einrichtungen eingeführt:
- Gesundheitswesen
- Digitale Infrastruktur
- Verkehrswesen
- Wasserversorgung
- Anbieter digitaler Dienstleistungen
- Infrastruktur der Banken und Finanzdienstleister
- Energiesektor
Darüber hinaus umfasst die NIS2-Richtlinie nun folgende Einrichtungen:
- Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste
- Abwasser- und Abfallwirtschaft
- Hersteller bestimmter kritischer Produkte (z. B. Pharmazeutika, medizinische Geräte und Chemikalien)
- Hersteller von Lebensmitteln
- Anbieter von digitalen Diensten wie Plattformen für soziale Netzwerke und Data-Center-Services
- Luft- und Raumfahrt
- Post- und Kurierdienste
- Öffentliche Verwaltung
Die vier Hauptziele von NIS2: Wie wird NIS2 die Cybersicherheit in der EU verändern?
Erhöhte Cyber-Resilienz bei allen wichtigen Dienstleistern
Wie bereits erwähnt, ist der Geltungsbereich für die Service-Provider und Diensteanbieter, die die NIS2-Direktive einhalten müssen, größer als der Umfang der ursprünglichen NIS-Richtlinie. Mit der Ausweitung des Anwendungsbereichs der Richtlinie stellt die EU sicher, dass alle wesentlichen Diensteanbieter vor Cyberbedrohungen geschützt sind.
Verschärfte Sicherheitsstandards und Sanktionen zur Verbesserung der Resilienz
Die ursprüngliche NIS-Richtlinie ermöglichte es Organisationen, die Einhaltung der Anforderungen an die Cybersicherheit individuell zu gestalten. Diese Flexibilität führte letztlich zu Schwachstellen, da einige Organisationen nicht die erforderlichen Maßnahmen ergriffen, um sich vor Cyberbedrohungen zu schützen.
NIS2 verschärft die Sicherheitsanforderungen und führt Strafen für Organisationen ein, die die Richtlinie nicht einhalten.
Die Logpoint-Lösung für SAP-Sicherheit und Compliance bietet eine umfassende Visualisierung der End-to-End-Sicherheitsprozesse eines Unternehmens und ermöglicht es, Cyberbedrohungen in Echtzeit zu erkennen und darauf zu reagieren. Es handelt sich um ein NIS2-konformes Tool, das das Sicherheitsniveau für jeden einzelnen Benutzer erhöht und umfassenden Schutz für geschäftskritische Systeme bietet.
Bessere Möglichkeiten, Cyberangriffe zu antizipieren und darauf zu reagieren
Dank einer optimierten Koordination und Kommunikation zwischen den Mitgliedstaaten wird die EU besser gerüstet sein, auf Cyberangriffe zu reagieren. Die EU hat erkannt, dass Cybersicherheit eine kollektive Anstrengung ist. Die Zusammenarbeit der EU-Behörden und der Mitgliedstaaten kann die Abwehrmaßnahmen gegen Cyberbedrohungen verbessern.
Ein EU-weiter Plan zur Reaktion auf sicherheitsrelevante Vorfälle
NIS2 fordert auch eine obligatorische Meldung von sicherheitsrelevanten Vorfällen.
Gemäß der ursprünglichen NIS-Direktive waren Unternehmen nur verpflichtet, sicherheitsrelevante Vorfälle zu melden, die erhebliche Auswirkungen auf ihren Betrieb hatten. Das bedeutete, dass einige Unternehmen Vorfälle nicht meldeten, da sie nicht zugeben wollten, dass sie von einem Angriff betroffen waren.
Im Rahmen von NIS2 müssen alle Organisationen alle auftretenden sicherheitsrelevanten Vorfälle melden – unabhängig davon, ob sie erhebliche Auswirkungen auf ihren Betrieb haben oder nicht. Damit wird sichergestellt, dass alle Vorfälle verfolgt und überwacht werden und die Behörden mögliche Bedrohungen erkennen und darauf reagieren können.
Die EU setzt sich für die Verbesserung der Cybersicherheit ein und NIS2 ist nur ein Teil dieser Bemühungen. Um herauszufinden, welche Anforderungen an Ihr Unternehmen gestellt werden, sollten Sie die NIS2-Website der EU besuchen oder sich an einen etablierten Cybersecurity-Anbieter wie Logpoint wenden, der Erfahrung mit EU-Vorgaben hat.
