Die neue Ära der Cybersicherheit: Ein genauer Blick auf die NIS2-Richtlinie

  • AuthorCansu Aygün
  • KategorieNews
  • Zuletzt aktualisiert09/27/2024
  • Lesezeit5 Minuten

Cybersicherheit ist kein Modewort, sie ist heute wichtiger denn je. Die Zahl und Komplexität digitaler Bedrohungen wächst, deshalb brauchen wir robuste Vorschriften. Die NIS2-Richtlinie ist ein wichtiges Update der ursprünglichen NIS und stärkt die Cybersicherheit in der gesamten EU.

In diesem Artikel erläutern wir die wichtigsten Aspekte der NIS2: Was hat sich geändert, wer muss die Richtlinie einhalten und welche Massnahmen sollten Organisationen ergreifen.

Warum NIS2? War NIS1 nicht ausreichend?

Die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 legte den Grundstein für Netz- und Informationssicherheit in der EU. Mit dem technologischen Fortschritt nahmen jedoch auch Cyberbedrohungen zu, was ein Upgrade erforderlich machte. NIS2 baut auf der Vorgängerrichtlinie auf und enthält strengere und spezifischere Massnahmen, die der aktuellen Cybersicherheitslandschaft gerecht werden.

Was ist neu in NIS2?

  • Erweiterter Anwendungsbereich: Während sich NIS1 auf Schlüsselsektoren (Energie, Verkehr, Banken) konzentrierte, umfasst NIS2 zusätzliche Sektoren wie Postdienste, Abfallmanagement, Online-Marktplätze und soziale Netzwerke.
  • Erweiterte Anforderungen: NIS2 schreibt detailliertere Sicherheitspraktiken vor, wie Multi-Faktor-Authentifizierung (MFA), Verschlüsselung und kontinuierliches Monitoring – ein Wechsel von einem allgemeinen Rahmen hin zu einem gezielteren Ansatz.

Die drei Säulen der NIS2:

  • Cybersicherheitsmassnahmen: Erweiterung über die ursprünglichen 7 Sektoren hinaus.
  • Vorbereitung: Die Mitgliedstaaten müssen eine strengere Aufsicht einführen (nationale Cyberstrategien, Einrichtung eines Cybersicherheits-Incident-Response-Teams – CSIRT).
  • Zusammenarbeit: Neue Melde- und Informationsaustauschmechanismen werden eingeführt.

Wer muss die Richtlinie einhalten?

NIS2 gilt für ein breiteres Spektrum von Sektoren und unterteilt Einrichtungen in zwei Kategorien: Wesentliche und Wichtige Einrichtungen. Hier ein kurzer Vergleich:

Wesentliche Einrichtungen (EE) Wichtige Einrichtungen (IE)

Grösse: 250+ Mitarbeitende, €50M+ Umsatz oder €43M Bilanzsumme

Sektoren:

  • Energie
  • Verkehr
  • Finanzen
  • Öffentliche Verwaltung
  • Gesundheit
  • Raumfahrt
  • Wasserversorgung (Trink- und Abwasser)
  • Digitale Infrastruktur und IKT-Servicemanagement

Grösse: 50+ Mitarbeitende, €10M+ Umsatz oder €10M Bilanzsumme

Sektoren:

  • Post- und Kurierdienste
  • Abfallmanagement
  • Herstellung, Produktion und Vertrieb von Chemikalien
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Fertigung (z. B. von Medizinprodukten und verschiedenen anderen Geräten)
  • Digitale Anbieter wie Online-Marktplätze, Suchmaschinen und soziale Netzwerke
  • Forschung
  • Zusätzlich alle Sektoren unter „Wesentlich", sofern innerhalb der Grössenschwelle

Kurz gesagt: Wenn deine Organisation kritische gesellschaftliche Funktionen oder digitale Dienste erbringt, gelten die Anforderungen der NIS2 für dich. Für Unternehmen, die in mehreren EU-Ländern tätig sind, präzisiert die Richtlinie die Compliance anhand des Ortes, an dem der Grossteil der Tätigkeiten oder Cybersicherheitsentscheidungen stattfindet.

Wesentliche Pflichten unter NIS2

1. Governance (Artikel 20)

Organisationen müssen sicherstellen, dass ihr Management die Massnahmen zum Cybersicherheits-Risikomanagement genehmigt und überwacht. Leitungsorgane werden auch für Verstösse zur Verantwortung gezogen und müssen regelmässig Cybersicherheitsschulungen absolvieren, die auch auf ihre Mitarbeitenden ausgedehnt werden.

2. Cybersicherheits-Risikomanagement (Artikel 21)

Organisationen müssen verhältnismässige technische, operative und organisatorische Massnahmen implementieren, die auf ihrer Grösse, ihrer Risikoexposition und den potenziellen gesellschaftlichen Auswirkungen von Vorfällen basieren. Dazu gehört auch die Vorbereitung auf ein breites Spektrum von Bedrohungen, von Naturkatastrophen bis hin zu Cyberangriffen.

3. Meldung von Vorfällen (Artikel 23)

Erhebliche Vorfälle müssen innerhalb von 24 Stunden der zuständigen Behörde (CSIRT oder einer anderen zuständigen Stelle) gemeldet werden. In einigen Fällen müssen Organisationen betroffene Dienstleistungsempfänger über potenzielle Bedrohungen oder verfügbare Abhilfemassnahmen informieren.

4. Nutzung der europäischen Cybersicherheitszertifizierung (Artikel 24)

Organisationen müssen möglicherweise zertifizierte IKT-Produkte, -Dienste oder -Prozesse im Rahmen europäischer Cybersicherheitsschemata einsetzen, um die Sicherheitspflichten der Richtlinie zu erfüllen. Die Mitgliedstaaten werden ermutigt, qualifizierte Vertrauensdienste zu fördern.

Compliance-Pflichten

Organisationen unter NIS2 haben mehrere Verantwortlichkeiten:

  • Sorgfaltspflicht: Risikobewertungen durchführen und Massnahmen implementieren, um die Kontinuität zu gewährleisten und Daten zu schützen.
  • Meldepflicht: Erhebliche Vorfälle, einschliesslich Cybervorfälle, innerhalb von 24 Stunden den Behörden melden.
  • Aufsicht: Einrichtungen werden auf Compliance überwacht, und Aufsichtsbehörden werden die Einhaltung der Richtlinienverpflichtungen überprüfen.

Vorbereitungstipps: Wie kannst du dich vorbereiten?

Wenn du denkst, dass Cybersicherheit ausschliesslich die Aufgabe des Managements ist, solltest du einen modernen Ansatz verfolgen. Effektive Cybersicherheit erfordert die Beteiligung aller, da Social Engineering nach wie vor der häufigste Angriffsvektor ist und alle Ebenen einer Organisation betrifft.

Auch wenn die nationalen Gesetzgebungen noch nicht abgeschlossen sind, können Organisationen mit der Vorbereitung beginnen, indem sie ihre Cybersicherheitsrahmen durch folgende Massnahmen stärken:

  • Richtlinien etablieren für den Umgang mit Vorfällen, Zugangskontrolle und Lieferkettensicherheit.
  • Business-Continuity-Pläne und Backup-Strategien entwickeln.
  • Monitoring und Logging: Prozesse zur Erkennung, Reaktion und Protokollierung von Sicherheitsereignissen implementieren.
  • Mitarbeiterschulungen: Bewusstsein für Best Practices und Risiken im Bereich Cybersicherheit fördern.

NIS2-Implementierungszeitplan

Frist Massnahme
17. Oktober 2024 Die Mitgliedstaaten müssen Massnahmen zur Einhaltung der NIS2 verabschieden und veröffentlichen.
18. Oktober 2024 Die Richtlinie tritt vollständig in Kraft.
April 2026 Organisationen müssen ihre Selbstbewertungen von den jeweiligen nationalen Stellen überprüfen und genehmigen lassen.

Nationale Umsetzungen:

  • Deutschland: NIS2 wird bis Ende 2024 in nationales Recht umgesetzt (NIS2UmsuCG) und betrifft mindestens 30.000 Unternehmen.
  • Niederlande: Die Umsetzung wird bis Ende 2024 erwartet.
  • Belgien: Wesentliche und Wichtige Einrichtungen müssen sich bis Oktober 2024 beim Centre for Cybersecurity Belgium (CCB) registrieren, wobei die Selbstbewertungen bis 2026 überprüft werden.

Wie EasyLife 365 bei der NIS2-Compliance helfen kann

Während Organisationen die erheblichen Veränderungen durch NIS2 bewältigen, erweist sich EasyLife 365 als vertrauenswürdiger Lösungspartner für die Erfüllung von Cybersicherheits- und Compliance-Anforderungen. Mit ISO 27001 und ISO 27017 Zertifizierungen und Microsoft-zertifizierten Produkten bieten wir eine sichere Collaboration-Umgebung, die das Risiko von Cybervorfällen erheblich reduziert.

NIS2 betont die Wachsamkeit gegenüber Insider-Bedrohungen, die Bedeutung von Zugangskontrolle und das Mitarbeiterbewusstsein für Sicherheitsrisiken. Die Richtlinie verpflichtet Organisationen, Systeme zu implementieren, die regelmässig über Netz- und Informationssicherheit direkt an das Management berichten und sicherstellen, dass Updates und unabhängige Überprüfungen durch qualifizierte Prüfer durchgeführt werden.

Die Governance-Management-Lösungen von EasyLife 365 vereinfachen Compliance und Audit. Mit nahtlosem User-Management, vom Onboarding bis zum Cleanup, und automatisierten Richtlinien, die eine kontinuierliche Governance gewährleisten, helfen wir Organisationen, Risiken zu minimieren und dabei die höchsten Sicherheitsstandards einzuhalten.

Möchtest du mehr erfahren? Entdecke unsere Lösungen oder nimm noch heute Kontakt mit uns auf.

Quellen:

Über den authorCansu Aygün

Cansu Aygün, Marketing Specialist bei EasyLife 365, konzentriert sich auf B2B-Produktmarketing und Wachstum. Mit Erfahrung in verschiedenen Branchen und SaaS-Produkten genießt sie es, ansprechende Strategien zu entwickeln, um mit Zielgruppen in Kontakt zu treten.

Abonniere unseren Newsletter für ähnliche Inhalte:
Teilen:

Other Articles

03/16/2026

EasyLife 365 Identity: Vom Freemium-Modell zu fokussierten Governance-Editionen

Seit dem Launch von EasyLife 365 Identity im März 2025 haben wir das Produkt mit einem Freemium-Modell eingeführt. Das Ziel war einfach: Organisationen sollten unsere Herangehensweise an Application Identity Governance in Microsoft Entra ID unkompliziert kennenlernen können. In dieser Zeit haben...

03/03/2026

Compliance weiter stärken mit einem zweiten erfolgreichen ISO-Überwachungsaudit

Wir freuen uns bekanntzugeben, dass EasyLife 365 sein zweites ISO-Überwachungsaudit erfolgreich bestanden hat. Die Aufrechterhaltung der ISO 27001- und 27017-Zertifizierungen erfordert eine kontinuierliche Überwachung, stetige Verbesserungen und strenge externe Prüfungen der Sicherheitskontrollen –...