Die NIS 2-Richtlinie (Netzwerk- und Informationssysteme) der Europäischen Union ist seit dem 16. Januar in Kraft und reagiert auf die zunehmenden Cyberangriffe in geopolitischen Krisenzeiten, die besonders gesellschaftlich relevante Einrichtungen und Organisationen bedrohen. Diese neue Richtlinie verlangt eine erhöhte technische wie organisatorische Informationssicherheit für die auf 18 ausgeweiteten Industrien, die als „kritische Infrastruktur“ eingestuft werden: darunter unter anderem Gesundheit, Energie, Informationstechnik & Telekommunikation, Finanzen & Versicherungen sowie Transport und Verkehr. Neuerdings müssen auch Unternehme bereits ab 50 Mitarbeitern oder einem Jahresumsatz von 10 Millionen Euro bestimmte Pflichten in Bezug auf Cyber-Security erfüllen, ebenso wie Anbieter digitaler Dienste und Teile der öffentlichen Verwaltung, welche unabhängig von ihrer Größe reguliert werden.
Maßnahmen, die umzusetzen sind, umfassen unter anderem den Aufbau eines ISMS wie zum Beispiel nach ISO 27001 oder IT Grundschutz sowie punktuell auch vorgegebene technische Maßnahmen. Zu den konkreten technischen Vorgaben gehört unter anderem eine stringente Mehr-Faktor-Authentifizierung sowie technisch-organisatorische Zugriffskontrollen wie SSO. Im Gleichen zuge werden die Kompetenzen der europäischen Cybersicherheitsbehörde ENISA gestärkt, die als zentrale Melde- und Registrierstelle für alle der Regelung unterworfenen Unternehmen eingesetzt wird.
Die Ausweitung der Industrien, welche als kritische Infrastruktur gelten, ist eine Sache und betrifft zunächst nur die genannten Branchen, während andere Unternehmen außerhalb dieser keinen akuten Handlungsbedarf wahrnehmen. Allerdings inkludiert Artikel 21 der neuen Verordnung eine Richtlinie, welche sich ebenso auf Branchen außerhalb der erweiterten Bereiche bezieht. Neben den notwendigen internen Cybersecurity-Maßnahmen setzt NIS 2 auch die Sicherheit in der Lieferkette der kritischen Infrastruktur voraus. Das bedeutet im Umkehrschluss, dass alle für zentrale Prozesse verantwortlichen IT-Dienstleister, Hardware-Anbieter und Systemhäuser unter NIS 2 Richtlinien fallen, um weiterhin geschäftstüchtig zu bleiben. Somit haben die neuen NIS 2 Richtlinien wesentlich mehr Auswirkungen auf Marktteilnehmer außerhalb des regulierten Bereichs als im ersten Moment erwartet, zumindest sobald diese Kunden im erweiterten KRITIS Bereich haben.
Warum Sie jetzt schon handeln sollten
Die gestiegenen Anforderungen müssen bis spätestens Oktober 2024 in nationales Recht umgesetzt sein. Eine zuverlässige Implementierung der notwendigen Maßnahmen durch adäquate Lösungen benötigt eine gewisse Zeit, erst recht, wenn die Nachfrage nach Cybersecurity-Lösungen und Dienstleistern plötzlich rasant ansteigt.
Unabhängig davon, ob Sie nun Teil der ausgeweiteten kritischen Infrastruktur oder Leistungserbringer dieser sind, eine gewisse Vorlaufzeit ist notwendig, um ausreichend zu testen, potenzielle Lücken zu schließen und zum Zeitpunkt des Inkrafttretens bestens aufgestellt zu sein, denn die Bußgelder und Haftung bei Verstößen sind nicht zu unterschätzen. Der Rahmen an Bußgeldern ist im gleichen Maße wie bei der DSGVO an die Umsätze gekoppelt. Neben der Gefahr eines erfolgreichen Cyberangriffs, was bereits eine kleine Sicherheitslücke mit sich bringen kann, werden diese auch ohne erfolgreichen Angriff zukünftig teuer bestraft.
Unterstützung benötigt?
Als Cloud IAM Anbieter mit integrierter Mehr-Faktor-Authentifizierung und Experten im Bereich Cybersecurity-Bereich unterstützen wir Sie gerne bei der Umsetzung der geforderten Security-Maßnahmen und stellen gemeinsam sicher, dass Sie dem Inkrafttreten im Oktober 2024 sorglos entgegen schauen können. Unabhängig davon, ob vorgeschrieben oder nicht, handeln wir bei Bare.ID bereits nach höchsten Security und Compliance Standards, um selbst stark regulierten Branchen gerecht zu werden.