Die NIS 2-Richtlinie (Netzwerk- und Informationssysteme) der Europäischen Union ist seit dem 16. Januar 2023 in Kraft und reagiert auf die zunehmenden Cyberangriffe in geopolitischen Krisenzeiten, die besonders gesellschaftlich relevante Einrichtungen und Organisationen bedrohen. Diese neue Richtlinie verlangt eine erhöhte technische wie organisatorische Informationssicherheit für die auf 18 ausgeweiteten Industrien, die als „kritische Infrastruktur“ eingestuft werden: darunter unter anderem Gesundheit, Energie, Informationstechnik & Telekommunikation, Finanzen & Versicherungen sowie Transport und Verkehr. Neuerdings müssen auch Unternehme bereits ab 50 Mitarbeitern oder einem Jahresumsatz von 10 Millionen Euro bestimmte Pflichten in Bezug auf Cyber-Security erfüllen, ebenso wie Anbieter digitaler Dienste und Teile der öffentlichen Verwaltung, welche unabhängig von ihrer Größe reguliert werden.
Maßnahmen, die umzusetzen sind, umfassen unter anderem den Aufbau eines ISMS (Information Security Management System) wie zum Beispiel nach ISO 27001 oder IT Grundschutz sowie punktuell auch vorgegebene technische Maßnahmen. Zu den konkreten technischen Vorgaben gehört unter anderem eine stringente Mehr-Faktor-Authentifizierung sowie technisch-organisatorische Zugriffskontrollen wie SSO. Im gleichen Zuge werden die Kompetenzen der europäischen Cybersicherheitsbehörde ENISA gestärkt, die als zentrale Melde- und Registrierstelle für alle der Regelung unterworfenen Unternehmen eingesetzt wird.
Die Ausweitung der Industrien, welche als kritische Infrastruktur gelten, ist eine Sache und betrifft zunächst nur die genannten Branchen, während andere Unternehmen außerhalb dieser keinen akuten Handlungsbedarf wahrnehmen. Allerdings inkludiert Artikel 21 der neuen Verordnung eine Richtlinie, welche sich ebenso auf Branchen außerhalb der erweiterten Bereiche bezieht. Neben den notwendigen internen Cybersecurity-Maßnahmen setzt NIS 2 auch die Sicherheit in der Lieferkette der kritischen Infrastruktur voraus. Das bedeutet im Umkehrschluss, dass alle für zentrale Prozesse verantwortlichen IT-Dienstleister, Hardware-Anbieter und Systemhäuser unter NIS 2 Richtlinien fallen, um weiterhin geschäftstüchtig zu bleiben. Somit haben die neuen NIS 2 Richtlinien wesentlich mehr Auswirkungen auf Marktteilnehmer außerhalb des regulierten Bereichs als im ersten Moment erwartet, zumindest sobald diese Kunden im erweiterten KRITIS Bereich haben.
Warum Du jetzt schon handeln solltest
Die gestiegenen Anforderungen müssen voraussichtlich bis Q2 2025 in nationales Recht umgesetzt sein. Eine zuverlässige Implementierung der notwendigen Maßnahmen durch adäquate Lösungen benötigt eine gewisse Zeit, erst recht, wenn die Nachfrage nach Cybersecurity-Lösungen und Dienstleistern plötzlich rasant ansteigt.
Unabhängig davon, ob Du nun Teil der ausgeweiteten kritischen Infrastruktur oder Leistungserbringer dieser bist, eine gewisse Vorlaufzeit ist notwendig, um ausreichend zu testen, potenzielle Lücken zu schließen und zum Zeitpunkt des Inkrafttretens bestens aufgestellt zu sein, denn die Bußgelder und Haftung bei Verstößen sind nicht zu unterschätzen. Der Rahmen an Bußgeldern ist im gleichen Maße wie bei der DSGVO an die Umsätze gekoppelt. Neben der Gefahr eines erfolgreichen Cyberangriffs, was bereits eine kleine Sicherheitslücke mit sich bringen kann, werden diese auch ohne erfolgreichen Angriff zukünftig teuer bestraft.
Unterstützung benötigt?
Als Cloud IAM Anbieter mit integrierter Mehr-Faktor-Authentifizierung und Experten im Bereich Cybersecurity-Bereich unterstützen wir Dich gerne bei der Umsetzung der geforderten Security-Maßnahmen und stellen gemeinsam sicher, dass Du dem Inkrafttreten in Q2 2025 sorglos entgegen schauen können. Unabhängig davon, ob vorgeschrieben oder nicht, handeln wir bei Bare.ID bereits nach höchsten Security und Compliance Standards, um selbst stark regulierten Branchen gerecht zu werden.