Netzwerksicherheit nach NIS2
Anforderungen und Bereiche der neuen NIS2-Richtlinie.
NIS2-Umsetzungshilfe für Unternehmen.
Was ist NIS2?
Die NIS2-Richtlinie ist die im Dezember 2022 von der Europäischen Kommission veröffentlichte Handlungsanweisung, bis zum 17. Oktober 2024 gewisse Netzwerksicherheitsmaßnahmen in nationales Recht umzusetzen.
„NIS“ steht dabei für „Netz- und Informationssicherheit“.
Die NIS2-Richtlinie umfasst die seit der NIS1 (2016) aktualisierten EU-weiten Vorschriften zur Etablierung von nationalen Standards und Institutionen sowie internationaler Kommunikation und Zusammenarbeit, um das allgemeine Cybersicherheitsniveau in der EU zu steigern.
Dienste, die für die Gesellschaft und Wirtschaft essenziell sind und somit eine 'hohe Kritikalität' aufweisen, sowie Dienste, deren Störung oder Ausfall kritische Konsequenzen hätte, sollen so besser geschützt werden.
Die Richtlinie hat daher zum Ziel, die Resilienz dieser kritischen Infrastrukturen (KRITIS) mit diversen Forderungen zum Stand der IT-Sicherheit, zu Meldepflichten, zur behördlichen Überprüfung, uvm., zu stärken.
News-Ticker zu NIS2
Alles zu den aktuellen Entwicklungen, Neuigkeiten, Diskussionsthemen, Gesetzesentwürfen und Handlungsempfehlungen rund um NIS2 im Herbst 2024.
Optimal auf NIS2 vorbereitet
Wie bereiten sich Unternehmen optimal auf NIS2 vor? Wie können Systemhauspartner ihre Kunden am besten unterstützen? Prof. Dr. Kipker von der Universität Bremen gibt als Rechtsexperte fundierte Tipps.
So bereiten Sie Ihre Kunden auf die NIS2-Richtlinie vor
So bereiten sich Unternehmen auf die NIS2-Richtlinie vor
Cybersicherheit für IT-Netzwerke unter NIS2
„NIS-2 bietet den Impuls, sich mehr um IT-Sicherheit zu kümmern und die sicherlich schon bestehenden organisatorischen und technischen Maßnahmen weiter zu entwickeln. Das Ziel von mehr Cybersicherheit ist alternativlos und ein Aufschub einer fundierten Überprüfung sowie Modernisierung ist in jedem Fall fahrlässig. Wer dabei auf europäische Player setzt, fördert direkt die digitale Souveränität und inkludiert bereits Vorteile einer DSGVO-Konformität und Backdoor-Sicherheit.“ – Cyberintelligence Institute Studie aus dem Jahr 2024
Noch mehr Tipps zu NIS2
Welche konkreten Forderungen mit NIS2 einhergehen, auf welche Anwendungsbereiche sie zutreffen und wie LANCOM Sie dabei unterstützt, diese schnell und sicher umzusetzen, lesen Sie in den folgenden Absätzen.
NIS2 kurz zusammengefasst
Ausgeweiteter Anwendungsbereich
- Neue Sektoren und Industrien betroffen
- Klare Definition von wesentlichen und kritischen Diensten (KRITIS-Zugehörigkeit)
Höhere
Einheitlichkeit
- Festgehaltene EU-weite Standards für Cybersicherheit
- Verpflichtung zur Umsetzung in nationales Recht
- Kooperationsnetzwerk für internationale Cyberkrisen
Strengere Umsetzungskontrollen
- Kontrolle der Umsetzung durch nationale Behörden
- Diverse Nachweis- und Sorgfaltspflichten
Konkretere, umfassendere Pflichten
- Definition von Risiko- und Krisenmanagementbestandteilen
- Verschärfte Meldepflichten zu Sicherheitsvorfällen innerhalb von 24 Stunden inkl. Abschlussbericht
Härtere Sanktionen bei Rechtsverstößen
- Warnungen, Handlungs- oder Unterlassungsanweisungen bei Nicht-Einhaltung
- Hohe Bußgelder bei Verstößen
Für wen gilt die NIS2-Richtlinie?
Die NIS-Richtlinien haben zum Ziel, systemrelevante private wie öffentliche Sektoren der EU-Staaten sicherheitstechnisch angemessen auszustatten und den kooperativen Informationsaustausch zum Thema Netzwerksicherheit zwischen den Mitgliedstaaten zu verbessern. NIS2 legt dabei noch klarere Identifikationskriterien für die Zugehörigkeit zu kritischen Infrastrukturen (KRITIS) fest und erweitert die Sektoren:
KRITIS-Sektoren mit NIS-Gültigkeit seit NIS1 (2016)
- Energie
- Verkehr
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Digitale Infrastruktur
- Anbieter digitaler Dienste
Zusätzliche KRITIS-Sektoren zu NIS1 seit NIS2 (2022)
- Produktion & Verarbeitung (u.a. Lebensmittel, medizin. Produkte, chem. Stoffe, KFZ, Elektronik, Maschinen)
- Anbieter öffentl. elektr. Netze und Kommunikationsdienste
- Verwalter von IKT-Diensten (Informations- und Kommunikationstechnologien, kurz IKT)
- Öffentliche Verwaltung
- Weltraum
- Post- und Kurierdienste
- Abfall- und Abwasserwirtschaft
- Forschung
Bereitsteller kritischer / wesentlicher Dienste
Wenn einem der Sektoren angehörig und mind. einer der folgenden Punkte gegeben ist:
- Sie haben eine Größe von mind. 50 Mitarbeitenden.
- Sie überschreiten einen Jahresumsatz von 10 Millionen.
- Sie sind unabhängig von ihrer Größe alleiniger Anbieter eines kritischen Dienstes.
Wer ist also von NIS2 betroffen?
Alle mittelgroßen und großen Organisationen, die in den oben aufgelisteten Sektoren tätig sind sowie Firmen, auf welche die angegebenen Kriterien zutreffen werden von der neuen NIS2-Richtlinie erfasst.
Somit sind auch sehr viele Unternehmen aus dem Mittelstand verpflichtet, die in der Richtlinie festgehaltenen Sicherheitsmaßnahmen zu ergreifen und unterliegen bestimmten Meldepflichten.
Das BSI bietet eine NIS2-Betroffenheitsprüfung an, um innerhalb weniger Minuten herauszufinden, ob Sie von der NIS2-Richtlinie erfasst werden:
NIS2 vom Experten bewertet
Was Unternehmen zu NIS2 beachten sollten
Viele Firmen werden neu von NIS2 betroffen sein.
Anbieter von öffentlichen elektronischen Netzen und Kommunikationsdiensten, Hersteller von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen sowie Verwalter von Informations- und Kommunikationstechnologien werden beispielsweise von der neuen Richtlinie genauer unter die Lupe genommen. Dazu zählen auch Systemhäuser und andere technische Ausstatter. Und nun?
Hier gibt ein Rechtsanwalt klare Antworten auf die Auswirkungen von NIS2:
Inwiefern soll NIS2 kritische Infrastrukturen besser schützen?
Die NIS2-Richtlinie geht auf aktuelle Cybersicherheitsbedrohungen ein, indem sie die Auswirkungen von kompromittierten oder nicht mehr arbeitsfähigen Unternehmen auch in weiter gefassten Bereichen anerkennt und diese für ein erforderliches Maß an Informationssicherheit zur Rechenschaft zieht. Sie schafft außerdem ein europäisches Kommunikations- und Kooperationsnetzwerk für Informations- und Netzwerksicherheit, das EU-CyCLONe.
„Ziel der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates war der unionsweite Aufbau von Cybersicherheitskapazitäten, die Eindämmung von Bedrohungen für Netz- und Informationssysteme, die zur Erbringung wesentlicher Dienste in Schlüsselsektoren verwendet werden, und die Sicherstellung der Kontinuität solcher Dienste bei Vorfällen, um so zur Sicherheit der Union und zum reibungslosen Funktionieren ihrer Wirtschaft und Gesellschaft beizutragen.“
Richtlinie (EU) 2022/2555 der Europäischen Parlaments und des Rates vom 14. Dezember 2022
Koordiniertes Risiko- und Krisenmanagement
Konkret dient die NIS2-Richtlinie als „koordinierter Rahmen für die Cybersicherheit“. Dort werden nationale Cybersicherheitsstrategien und zuständige Behörden gefordert, u.a. als sichere, zentrale Anlaufstellen, immer erreichbare (Computer-)Notfallteams (genannt CSIRT) und Risiko- und Krisenmanagementverantwortliche.
Im Vergleich zur NIS1 wird auch genauer definiert, welche Aufgaben diese Behörden haben und welche Bestandteile die Netzwerksicherheitsstrategie haben sollte, z.B. Sicherheit der Lieferkette, gesicherte Kommunikation, Einsatz von Verschlüsselungen und Zugriffskontrollen, Notfallkommunikationssysteme, uvm. (siehe Fachartikel).
Verschärfte Durchsetzung
Zusätzlich werden klare Regelungen zur Kontrolle und Berichterstattung getroffen. Die European Union Agency for Cybersecurity (ENISA) wird ein Register der von der Richtlinie erfassten Unternehmen im Bereich digitale Infrastruktur führen. Sicherheitsvorfälle müssen binnen 24 Stunden gemeldet und nach spätestens einem Monat in einem Abschlussbericht bewertet werden. Alle zwei Jahre wird Bilanz gezogen und der Stand der Cybersicherheit in der EU gemessen.
Die von NIS2 betroffenen Einrichtungen müssen mittels verschiedener Ausführungen von Sorgfaltspflicht und Umsetzungsnachweisen (mehr dazu im Fachartikel) belegen, dass sie die entsprechenden Netzwerksicherheitskonzepte erfüllen. Bei Verstößen muss mit Bußgeldern von bis zu 10 Millionen Euro bzw. 2 Prozent der jährlichen Vorjahresumsatzes gerechnet werden.
Was bedeutet NIS2 für Sie konkret?
So bereiten sich Unternehmen optimal auf NIS2 vor
Der Mittelstand sollte bei NIS2 aufhorchen: Produzierende und verarbeitende Gewerbe in diversen Branchen müssen nun ebenso für ihre Netzwerksicherheit Sorge tragen wie Großkonzerne. Ob die Nahrungsmittel- oder Automobilindustrie oder Hersteller, Verarbeiter oder Distributoren von medizinischen, elektronischen oder chemischen Produkten – viele Unternehmen müssen jetzt anfangen, ihre Netzwerksicherheit neu zu bewerten und bei Bedarf anzupassen.
Wie bereitet man sich gut auf die neuen Gesetze vor, die NIS2 umsetzen werden? Unsere Infografik zeigt Ihnen, wie Sie bereits heute damit starten können, Ihre IT-Sicherheit einem Frühjahrsputz zu unterziehen.
Hands-On-Tipps für die Umsetzung der NIS2-Richtlinie: Was Sie jetzt tun können
Die NIS2-Richtlinie sieht vor allem nationale Netzwerksicherheitsstrategien und professionelles Risikomanagement vor. Doch was heißt das konkret für Sie? Und wie gut kann ein Netzwerktechnikausstatter wie LANCOM Sie dabei unterstützen?
Zunächst einmal muss jede Regierung der EU-Mitgliedsstaaten in nationalen Gesetzen festlegen, wie der rechtliche Rahmen im eigenen Land aussieht. Doch wenn Sie folgende Punkte bedenken, sind Sie bestens auf die nationalen Richtlinien auf Basis von NIS2 vorbereitet.
Vorsorgeregelungen treffen
Am Besten starten Sie jetzt damit, Ihren aktuellen Cybersecurity-Stand zu überprüfen und kritisch zu hinterfragen. Wie sensibel und kritisch sind die Daten, mit denen Sie arbeiten und die Dienste, die Sie zur Verfügung stellen? Wie fatal wären eine Systemlahmlegung oder ein Ausfall für Ihre Tätigkeit?
Schätzen Sie beides als hoch ein, sollte Ihr Netzwerk ausreichend geschützt sein. Das fängt bei Ihrer technischen Ausrüstung mit sicheren, Backdoor-freien Gateways und Firewalls an und mündet in einem guten Risikomanagement.
Professionelles Risikomanagement betreiben
Gekonntes Risikomanagement legt klare Verantwortlichkeiten fest: Wer ist für den Schutz des Netzwerks verantwortlich und in welchem Ausmaß – die hauseigene IT, ein spezielles Security-Team oder ein externer Dienstleister? Welche Risiken sind für Sie relevant und wie sichern Sie sich dagegen ab?
Eindeutige Regelungen helfen, Sicherheitsvorfälle zu bewältigen und selbst in Krisen den Betrieb souverän aufrecht erhalten zu können. Ihre Netzwerksicherheit erstreckt sich von Mitarbeitenden-Schulungen, einer sicheren Lieferkette, geprüften Netzwerkkomponenten, -systemen und -services sowie Cyberhygiene-Verfahren, über den Einsatz von Verschlüsselung, Zugriffskontrollen und Authentifizierungen bis hin zu gesicherter Sprach-, Video- und Textkommunikation, uvm.
Hands-On-Tipp:
Sie können sofort die Sicherheit Ihrer Bestandsgeräte ohne viel Mehraufwand auf Vordermann bringen. Wie genau, zeigen wir Ihnen hier. Wir haben auch noch weitere Hands-On-Tipps im Gepäck, um für eine gute Sicherheitsbasis zu sorgen.
Lesen Sie auch gerne unser Whitepaper zu mehr Netzwerktransparenz mithilfe von Deep Packet Inspection und Verschlüsselungsproxys:
Whitepaper: Netzwerktransparenz durch DPI und Verschlüsselungsproxys
Reaktionsfähigkeit gewährleisten
Geht trotz allen Vorkehrungen doch einmal etwas schief, sorgen Notfallteams und -abläufe für Schadensbegrenzung. Ihr Netzwerksicherheit-Notfallteam sollte immer erreichbar sein, über redundante Kommunikationskanäle verfügen und an einem sicheren Standort sitzen.
Durch regelmäßige Lagebeurteilungen und proaktive Schwachstellenanalysen ist es in der Lage, Ihr Netzwerk rund um die Uhr zu überwachen, Bedrohungen frühzeitig zu erkennen und Sie bei einem Sicherheitsvorfall umgehend zu informieren.
Hands-On-Tipp:
Durch Cloud-basiertes Netzwerkmanagement erhöhen Sie Ihre Netzwerksicherheit und entlasten Ihre Sicherheitsverantwortlichen. Die Netzwerkmanagement-Cloud übernimmt wesentliche Monitoring-Aufgaben für Sie und erleichtert die Konfiguration Ihrer Firewalls und anderer Geräte. Insbesondere ein gut koordiniertes Security Information and Event Management (SIEM) ist hier Gold wert. Doch sehen Sie selbst: Cloud-managed Security!
Wiederherstellung bei Sicherheitsvorfällen sichern
Nach einem IT-Sicherheitsvorfall stehen alle Zeichen auf Krisenerholung. Dafür braucht es allerdings schon vor der Krise ein ausgereiftes Konzept zur Datensicherung und digitalen Souveränität.
Mit Daten-Backups und georedundanten Cloud-Servern lässt sich bereits Vieles schützen. Im besten Fall sind Sie selbst in der Lage, Ihre Sicherheitslücken souverän zu schließen und Ihre Systeme sicherheitstechnisch zu warten.
Hands-On-Tipp:
Testen Sie Ihre digitale Souveränität mit unserem Index und finden Sie heraus, wie es um die Datensouveränität in Deutschland steht!
Oder aber Sie beherzigen unsere Tipps für digital souveräne Unternehmen und Behörden.
Auf gute Zusammenarbeit und Unterstützung setzen
Vorfälle souverän zu verhindern, zu überwinden und sich davon zu erholen ist eine Sache, die Fachkräfte und Ressourcen dafür zu haben eine andere. NIS2 verlangt Sicherheitsmaßnahmen beim Erwerb, bei der Entwicklung und Wartung von Netz- und Informationssystemen sowie bei deren Management. Doch nicht jedes Unternehmen hat die Kapazitäten für ein eigenes Cybersicherheitsteam.
Oft müssen die hauseigene IT oder versierte Mitarbeitende die Netzwerksicherheit und Aufgaben wie Firewall-Konfigurationen nebenbei stemmen. In diesen Fällen erleichtert es die Arbeit ungemein, wenn man auf die passende Unterstützung zurückgreifen kann.
Hands-On-Tipp:
Lassen Sie den Großteil der Arbeit Ihre UTM-Firewall erledigen! Die LANCOM R&S®Unified Firewalls sorgen beispielsweise mit einem benutzerfreundlichen Web-Interface als zentrale Managementkonsole im Browser für einen umfassenden Überblick über alle Geräte und Verbindungen im Netzwerk und erleichtern so die Umsetzung von Sicherheitsvorgaben erheblich.
Zusätzlich dazu unterstützen wir Sie mit zahlreichen Support- und Schulungsangeboten sowie hilfreichen Referenzprojekten zur Orientierung und Information:
Kundenreferenz: Sichere VPN-Fernwartung bei OPTIMA
Kundenreferenz: Security-Komplett-Paket für Praxen mit Hasomed
Mit LANCOM zu NIS2-konformer Netzwerksicherheit
Fazit: Die neue NIS2-Richtlinie der EU betrifft deutlich mehr Unternehmen und Institutionen als ihre Vorgängerin NIS1. Außerdem macht sie konkretere Vorgaben, definiert die Überprüfung ihrer Umsetzung deutlicher und sanktioniert deren Nicht-Erfüllung strenger.
Gerade Industrien wie die Lebensmittelindustrie, das produzierende Gewerbe, Anbieter von öffentlichen elektronischen Netzen und Kommunikationsdiensten und Verwalter von Informations- und Kommunikationstechnologien sollten prüfen, ob die neuen Richtlinien für sie gelten und verfolgen, wie das Land, in dem sie sich befinden, die Forderungen der EU in nationales Recht umsetzt.
Idealerweise bereiten Sie sich schon jetzt darauf vor und unterziehen Ihre Netzwerksicherheit einem kritischen Check-Up. LANCOM Systems hilft Ihnen dabei – mit der passenden technischen Ausrüstung, auf Sie zugeschnittene Security-Lösungen und dem entsprechenden Know-How.
Grundlagen
der Netzwerksicherheit
Hands-on
Netzwerksicherheit
Sofortmaßnahmen
Netzwerksicherheit
Testen Sie den digitalen Assistenten (Beta)!
Sind bei Ihnen noch Fragen offen? Oder finden Sie nicht die Informationen, die Sie gerade suchen? Ab sofort beantwortet Ihnen ein KI-basierter Chatbot alle Fragen zu den Themen Netzwerksicherheit, IT-Security und den LANCOM R&S®Unified Firewalls – jederzeit, schnell und ohne Suchen! Alternativ steht Ihnen natürlich auch weiterhin das Kontaktformular zur Verfügung.
Ihre Fragen beantworten wir gerne!
Ihr direkter Draht zu uns
Die meisten Fragen lassen sich im direkten Kontakt am besten klären.
Wir freuen uns darauf, Ihre Fragen und Wünsche telefonisch oder über das Kontaktformular zu beantworten.
Vertrieb Deutschland
+49 (0)2405 49936 333 (D)
+49 (0)2405 49936 122 (AT, CH)