Die neue NIS2-Richtlinie stellt eine ganze Reihe von Anforderungen an Unternehmen und deren Cybersicherheit – von Mindestmaßnahmen für Kryptografie, Sicherheitsverfahren für den Datenzugriff bis hin zu Plänen für den Umgang mit Sicherheitsvorfällen. Wir verschaffen Ihnen einen Überblick und beantworten die wichtigsten Fragen.

Sind Sie bereit für NIS2?

Die schlechten Nachrichten zuerst: Bereits bis zum 17. Oktober 2024 muss die aktualisierte Version der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2-Richtlinie) von der Bundesregierung in nationales Recht umgesetzt sein. Spätestens ab dann sollte Ihr Unternehmen die zahlreichen Anforderungen von NIS2 erfüllen – andernfalls können heftige Geldbußen drohen, die Geschäftsführung haftet dabei persönlich.

Die guten Nachrichten: Wenn Sie bereits Security-Lösungen von Microsoft nutzen, fehlt Ihnen und Ihrem Unternehmen möglicherweise gar nicht mehr so viel zur Erfüllung der komplexen Anforderungen. Doch eins nach dem anderen.

Worum geht es bei NIS2 überhaupt?

Jährlich richten Datensicherheitsvorfälle in Deutschland massive wirtschaftliche Schäden an. Angriffe auf Unternehmen werden häufiger, komplexer und damit gefährlicher. Gleichzeitig werden Netzwerke angreifbarer, angesichts von Remotearbeit und Geschäftstätigkeit in einer zunehmend vernetzten Welt. In diesem Spannungsfeld setzt NIS2 an.

Statistik zu den Datensicherheitsvorfällen in Deutschland

Das Ziel der europäischen Richtlinie ist es, die Anforderungen an moderne Cybersicherheit und ihre Durchsetzung in den EU-Mitgliedsstatten zu harmonisieren, indem ein Maßstab für “Mindestmaßnahmen” festgelegt wird, die Unternehmen erfüllen müssen. NIS2 wird damit die umfassendste europäische Cybersicherheitsrichtlinie sein und 18 Sektoren abdecken.

Die Richtlinie muss bis Oktober 2024 von jedem Land in eigenes Recht umgesetzt werden, um Raum für nationale Besonderheiten zu geben. Dabei gibt es jedoch einige Mindestanforderungen, die in jedem Fall umgesetzt werden müssen. Da es zum aktuellen Zeitpunkt (Stand TT. April 2024) noch keinen offiziellen Gesetzesentwurf zur Umsetzung von NIS2 gibt, ist es für Unternehmen nicht gerade leicht, sich auf die neue Richtlinie vorzubereiten. Einige wichtige Fragen lassen sich jedoch jetzt schon klären.

Für wen ist NIS2 relevant?

Zunächst sollten Sie sicherstellen, dass die NIS2-Richtlinie auf Sie und Ihre Organisation angewendet wird. Diese Prüfung geschieht nicht automatisch, sondern muss von Unternehmen eigenständig durchgeführt werden. NIS2 unterteilt dabei Unternehmen in verschiedene Gruppen. Betreiber kritischer Anlagen (KRITIS-Betreiber) fallen in jedem Fall in die neue Richtlinie. Die restlichen Unternehmen werden unterteilt in „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ mit verschiedenen Kriterien, wie Größe der Organisation nach Umsatz oder Anzahl der Mitarbeitenden. Betroffen sind dabei 18 Sektoren:

Sektoren, die von der NIS2-Richtlinie betroffen sind

Wichtig: NIS2 betrifft die komplette Lieferkette eines Unternehmens. Daher kann die Richtlinie auch dann auf Sie zutreffen, wenn Sie zwar nicht die jeweiligen Kriterien erfüllen, aber Teil der Lieferkette eines Unternehmens sind, das von NIS2 betroffen ist.

Welche Anforderungen stellt NIS2?

NIS2 baut auf früheren Rechtsvorschriften wie NIS1 und DSGVO auf, ergänzt diese jedoch um zahlreiche neue Anforderungen. Im Detail werden diese neuen Anforderungen erst mit Veröffentlichung eines finalen Gesetzesentwurfs eindeutig sein, doch Unternehmen können sich schon jetzt umfassend vorbereiten.

Denn: Die NIS2-Konformität ist auf die gleichen Zero-Trust-Prinzipien abgestimmt, die von Microsoft Security-Lösungen ohnehin bereits berücksichtigt werden, um einen soliden Schutz vor Cyberangriffen auf der gesamten Angriffsfläche zu bieten.

Die Richtlinie basiert dabei auf einer Reihe von Prinzipien, deren Erfüllung entweder mit Microsoft Lösungen oder unseren Services und Produkten sichergestellt werden kann. Die wichtigsten Prinzipien haben wir Ihnen hier zusammengefasst:

NIS2-Prinzipien, die mit Microsoft-Lösungen oder unseren Produkten erfüllt werden können

Was können Unternehmen jetzt tun?

Mit Blick auf den nahenden Oktober und den noch fehlenden Gesetzesentwurf, könnte es für Unternehmen reizvoll sein, auf mögliche Schonfristen der Regierung zu spekulieren. Doch die Umstellung auf NSI2-konforme Systeme kann gerade für Organisationen, die noch mit Legacy-Lösungen arbeiten, potenziell weitreichende Folgen haben, die es gründlich zu planen gilt.

Unsere klare Empfehlung ist daher nicht mehr länger zu warten und jetzt zu handeln. Auch vor Inkrafttreten der NIS2-Richtlinie profitiert Ihr Unternehmen von einer soliden Risikomanagementstrategie, zeitnaher Meldung von Vorfällen sowie der Fähigkeit zur Überprüfung der Lieferkette und der Führung eines vollständigen Inventars aller digitalen Ressourcen.

Wir unterstützen Sie dabei nicht nur beim Management von bestehenden Microsoft Sicherheitslösungen, sondern auch beim Setup zusätzlicher Schutzmechanismen. Unser spezialisiertes Cloud Security Operations Center (CSOC), das eng mit Microsoft Security Technologien integriert ist, ermöglicht es, Alerts effizient zu überwachen und zu bewerten, echte Bedrohungen von Fehlalarmen zu unterscheiden und so einen umfassenden Schutz vor digitalen Bedrohungen zu gewährleisten. Durch die Einbindung zusätzlicher Datenquellen (non-Microsoft data sources) und den Einsatz fortschrittlicher Tools wie Microsoft Sentinel, bieten wir standardisierte Sicherheitslösungen, die präzise auf die spezifischen Bedürfnisse jedes Kunden abgestimmt sind.