NIS 2 - Was bedeutet das für Unternehmen?

Cyberangriffe stellen weiterhin eine ernsthafte Bedrohung dar. Um die Resilienz zu erhöhen, trat im Januar die NIS2-Richtlinie der EU in Kraft.

14.02.2023 12:00:00 - 3 Min.

Zürich, Januar 2023 – Die Bedrohungslage durch Cyber-Angriffe ist unvermindert ernst. Um – auch vor dem Hintergrund aktueller geopolitischer Entwicklungen – die Resilienz insbesondere gesellschaftlich relevanter Organisationen und Einrichtungen gegenüber Attacken zu stärken, ist Mitte Januar 2023 die NIS2-Richtlinie der Europäischen Union in Kraft getreten. Nevis, der Schweizer Spezialist für Customer Identity und Access Management-Lösungen, erklärt, was das für Unternehmen bedeutet und gibt eine Einschätzung zur Lage.

2016 verabschiedete die EU die Richtline zu Sicherheit von Netzwerk- und Informationssystemen (NIS). Damit schuf sie erstmals einen einheitlichen Gesetzesrahmen, um die Zusammenarbeit der EU-Mitgliedsstaaten in puncto Cybersicherheit zu stärken. NIS wird jetzt durch NIS2 ersetzt. Für Unternehmen bedeutet das: Ab dem Inkrafttreten am 16. Januar 2023 haben die Mitgliedsländer 21 Monate Zeit, NIS2 in nationales Recht zu überführen. Mit der neuen Richtlinie geht die EU einen weiteren Schritt, um das Cyberrisikomanagement zu verbessern. Ziel ist es, den Schutz von Netzwerk- und Informationssystemen vor Cyberattacken weiter zu stärken und Richtlinien in den 27 Mitgliedsstaaten der EU etwa durch Mindestanforderungen zu vereinheitlichen. Im Zuge dessen werden die Bussgeldzahlungen, für den Fall, dass Betreiber kritischer Infrastrukturen die Vorgaben nicht erfüllen, erhöht. Zeitgleich werden die nationalen Behörden zu einer strikteren Überwachung der Einhaltung angehalten.

Neue Sektoren und neue Pflichten

Mit der NIS2 wurde die Zahl der betroffenen Sektoren gegenüber der NIS erweitert. So gibt es nun sieben kritische Essential Sectors und elf Important Entities, die sich aktuell nur teilweise mit den deutschen KRITIS-Sektoren und den UBI (Unternehmen im besonderen öffentlichen Interesse) decken. Daher sind hier bei der deutschen Gesetzgebung noch Anpassungen zu erwarten. Zu den wesentlichen Einrichtungen gehören Unternehmen aus den Bereichen Energie, Transport, Banken, Finanzmärkte, Gesundheit, Trinkwasser, Abwasser und Digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt. Die wichtigen Einrichtungen umfassen Anbieter in den Bereichen Post und Kurier, Abfallwirtschaft, Chemie, Ernährung, Industrie, Digitale Dienste und Forschung. 

Die Anforderungen an die Cybersecurity für Betreiber von Einrichtungen kritischer Dienstleistungen in den genannten Sektoren steigen. Für den Schutz der IT und der Netzwerke sind sie unter anderem zum Einsatz von Incident Management Systemen, sicheren Authentifizierungsmassnahmen wie Multi-Faktor-Authentifizierung und Single Sign-on oder Notfall-Kommunikations-Systemen verpflichtet. Es muss ferner sichergestellt sein, dass auf Sicherheitsvorfälle rechtzeitig reagiert wird und die erste Benachrichtigung innerhalb von 24 Stunden an die zuständigen Behörden erfolgt. Unternehmen sollten bei alldem auch beachten, dass die Geldbussen bei Verstössen gegen die in der Richtlinie definierten Pflichten und Vorgaben drastisch sind. Der Höchstbetrag im Fall von wesentlichen Einrichtungen beträgt mindestens 10 Mio. Euro oder im Falle einer juristischen Person 2 Prozent des gesamten weltweiten Umsatzes des Vorjahres. Bei wichtigen Einrichtungen beträgt die Höchststrafe mindestens 7 Mio. Euro beziehungsweise 1,4 Prozent des Umsatzes.

Unternehmen sind schlecht vorbereitet

Die NIS2 bedeutet für viele Unternehmen, dass sie ihre aktuellen Routinen zur Erkennung und Abwehr von Cyberangriffe auf den Prüfstand stellen und sich für die neuen Vorgaben rüsten müssen. Obwohl noch einige Zeit vergehen wird, bis sie in den europäischen Mitgliedsländern verpflichtend greifen, sind Sicherheitsverantwortliche gut beraten, bereits heute entsprechende Massnahmen zu ergreifen. Ohnehin gilt: Cyberangreifer sind jetzt schon hochgerüstet.

Dabei stellt sich die Sicherheitslage in vielen Unternehmen erschreckend schlecht dar, wie das Nevis Sicherheitsbarometer zeigt. Dafür hat der Customer Identity and Access Management (CIAM)-Spezialist zusammen mit den Meinungsforschungsunternehmen Civey und mo’web research im vergangenen Sommer 500 deutsche IT-Entscheider und 1.000 deutsche Konsumenten befragt. Wie bereits 2021 stellte sich erneut heraus, dass die IT-Sicherheit von Unternehmensdaten häufig ausbaufähig ist und viele IT-Entscheider in puncto Know-how nicht auf dem neusten Stand sind. So gehören zu den meistgenannten Sicherheitsmassnahmen, vorgeschriebene Mindestlängen für Passwörter (65 Prozent) und dass regelmässige Passwortänderungen (41 Prozent) Pflicht sind. Lediglich 34 Prozent nutzen schon die Zwei-Faktor-Authentifizierung per SMS und nur 21 Prozent die sicherere biometrische Zwei-Faktor-Authentifizierung. Wie ernst die Lage ist, offenbart die Aussage von rund zehn Prozent der befragten IT-Verantwortlichen, dass sie keine Massnahmen für erhöhte IT-Sicherheit ergreifen. Mit Cybersecurity-Standards wie FIDO, OAuth oder WebAuthn, als verlässliche Datenschutz-Leitlinien, ist zudem die Hälfte (47 Prozent) der Spezialisten nicht vertraut.

Moderne Lösungen entlasten Sicherheitsteams

Des Weiteren kommt hinzu, dass in vielen Sicherheitsteams heute der Schwerpunkt auf der Wartung genutzter Technologien liegt, um die Bedrohungserkennung zu optimieren. Massnahmen für die automatisierte Reaktion auf Attacken kommen aus Zeitgründen zu kurz. Um dem Abhilfe zu schaffen und sich gleichzeitig sowohl für NIS2 als auch die unvermindert kritische Bedrohungssituation zu rüsten, sollten Unternehmen moderne Lösungen die Sicherheitsrisiken minimieren, einsetzen. Systeme zur Angriffserkennung oder CIAM, mit Multi-Faktor-Authentifizierung und Single Sign-on, unterstützen sie dabei, den Vorgaben der NIS2 zu entsprechen. Ausserdem versetzen sie Sicherheitsteams kosteneffizient in die Lage ihre Kapazitäten auf die aktive Reaktion auf Cybergefahren zu fokussieren

###

Über Nevis

Nevis entwickelt Sicherheitslösungen für die digitale Welt von morgen: Das Portfolio umfasst passwortfreie Logins, die sich intuitiv bedienen lassen und Nutzerdaten optimal schützen. In der Schweiz ist Nevis Marktführer für Identity und Access Management und sichert über 80 Prozent aller E-Banking-Transaktionen. Weltweit setzen Behörden sowie führende Dienstleistungs- und Industrieunternehmen auf Lösungen von Nevis. Der Spezialist für Authentifizierung unterhält Standorte in der Schweiz, Deutschland, UK und Ungarn.

Pressekontakt

LEWIS Communications GmbH
Mareike Funke, nevis-security@teamlewis.com