Die neue NIS 2 Richtlinie

Firmen und Behörden müssen ihre Cybersecurity-Systeme aufrüsten

Die neue Richtlinie NIS2 (ab November 2022) fordert auch mittelständische Unternehmen ab 50 Mitarbeitern auf, ihre Cybersicherheitsrichtlinien zu verschärfen. Bei Nichtbeachtung drohen hohe Strafen.

Zahlreiche Unternehmen, Organisationen und Behörden müssen in den nächsten 21 Monaten ihre IT-Sicherheit deutlich aufrüsten.

Die jüngsten Hackerangriffe zeigen: Cybersecurity wird immer wichtiger. Die EU hat daher bereits im Jahr 2016 die so genannte Netz- und Informationssicherheit Richtlinie (NIS) für jene Behörden, Organisationen oder Unternehmen erlassen, die die kritische Infrastruktur in den einzelnen Ländern sicherstellen. Nun wurde die Richtlinie auf die NIS 2 ausgeweitet. Zukünftig sollen auch kleine Unternehmen dazu verpflichtet ihre IT Sicherheit auszuweiten.

Die Cyber Security Pflichten sollen spätestens im Herbst 2024 von Unternehmen in 18 Sektoren ab 50 Mitarbeitern und 10 Mio. EUR Umsatz umgesetzt sein.

NIS vs. NIS 2

Sektoren

Die kritischen Essential Sektoren erhöhen sich auf sieben, die Sektoren von Important Entities wachsen auf elf — auf insgesamt achtzehn NIS2 Sektoren.

Betreiber

Medium und Large Enterprises ab 50 Mitarbeiter/10 Mio. EUR Umsatz sind betroffen, ohne Anlagen-Schwellenwerte o.ä. Methodik. Einige Betreiber sollen unabhängig der Größe reguliert werden – Teile der digitalen Infrastruktur und öffentliche Verwaltung

Cyber Sicherheit

Die Anforderungen an Betreiber und Mitgliedstaaten steigen, Cyber Security muss auch in Lieferketten betrachtet werden.

Kooperation

Die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern werden vertieft, europäische Jurisdiktion geschärft.

Sanktionen

Strafen und Enforcement Actions werden deutlich ausgeweitet – auf Maximalstrafen von mind. 7 oder 10 Mio. EUR, je nach Sektor.

Die Betroffenheit wird in NIS 2 nach uniformen Kriterien festgestellt — reguliert werden mittlere und große Unternehmen der achtzehn Sektoren nach Größe gem. 2003/361/EC:

Wer ist betroffen?

Mittelständische Unternehmen

50-250 Beschäftigte, <‹ 43 Mio. EUR Bilanz

Große Unternehmen

› 250 Beschäftigte, › 50 Mio. EUR Umsatz, › 43 Mio. EUR Bilanz

Unabhängig von der Größe reguliert werden:

  • Digitale infrastrukturaus kritischen Sektoren wird unabhängig der Größe reguliert: Anbieter elektronischer Kommunikation, Trust Service Provider und TLD Registries und Domain Registrare
  • Spezialfällein kritischen und wichtigen Sektoren sind unabhängig der Größe reguliert, u.a. nationale Monopole (sole provider), besonderer Wichtigkeit, grenzüberschreitende Abhängigkeiten etc.
  • Öffentliche Verwaltung, Zentralregierungund risikoorientiertRegionalregierung

Wahrscheinlich nicht betroffen sind

Kleine Unternehmen

‹ 49 Beschäftigte und ‹ 10 Mio. EUR Umsatz/Bilanz

Kleinstunternehmen

‹ 9 Beschäftigte und ‹ 2 Mio. EUR Umsatz/Bilanz

Maßnahmen für Cyber Security

Betreiber in der EU müssen mindestens folgende Cyber Security Maßnahmen umgesetzen, um die IT und Netzwerke ihrer kritischen Dienstleistungen zu schützen:

✅ Automatisch abgedeckt durch C4SAM

✔️Kann durch Implementierung mit C4SAM abgedeckt werden

➕Kann durch unsere Partner geliefert werden

Policies

Richtlinien für Risiken und Informationssicherheit

Incident Management

Prävention, Detektion und Bewältigung von Cyber Incidents

Business Continuity

BCM mit Backup Management, DR, Krisen Management

✔️

Supply Chain

Sicherheit in der Lieferkette — bis zur sicheren Entwicklung bei Zulieferern

✔️

Einkauf

Sicherheit in der Beschaffung von IT und Netzwerk-Systemen

✔️

Effektivität

Vorgaben zur Messung von Cyber und Risiko Maßnahmen

Training

Training und Cyber Security Hygiene

Kryptographie

Vorgaben für Kryptographie und wo möglich Verschlüsselung

✔️

Personal Management

Human Resources Security

✔️

Access Control

Access Control

✔️

Asset Management

Management of Assets

Authentifizierung

Einsatz von Multi Factor Authentifizierung und SSO

✔️

Kommunikation

insatz sicherer Sprach-, Video- und Text-Kommunikation

✔️

Notfall-Kommunikation

Einsatz gesicherter Notfall-Kommunikations-Systeme

✔️

Sichern Sie Ihre IT-Infrastruktur mit C4SAM mit nur einer Lösung – einfach und kostengünstig. Kontaktieren Sie uns für mehr Informationen.

*

Kritische Sektoren:

  • Energie
  • Transport
  • Banken
  • Finanzmärkte
  • Gesundheit
  • Trinkwasser
  • Abwasser
  • Digitale Infrastrukturen
  • ICT service management
  • Öffentliche Verwaltung
  • Weltraum

Wichtige Sektoren:

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemische Nahrung
  • Herstellung
  • Digitale Anbieter
  • Forschung

Sichern Sie Ihre IT-Infrastruktur mit C4SAM mit nur einer Lösung – einfach und kostengünstig. Kontaktieren Sie uns für mehr Informationen.

Weitere Blog Posts