Cybersecurity

NIS2: Gravierende Auflagen – nicht nur für KRITIS-Einrichtungen

02.10.2023
Anzeige  Die neue verschärfte EU-Richtlinie für Cybersicherheit NIS2 betrifft viele Unternehmen – nicht nur die KRITIS. Und für die Umsetzung bleibt nur wenig Zeit.
Im Herbst 2024 tritt die neue EU-Cybersecurity-Richtlinie NIS2 in Kraft. Betroffen sind sehr viele Unternehmen und sie hat weitreichende Folgen.
Im Herbst 2024 tritt die neue EU-Cybersecurity-Richtlinie NIS2 in Kraft. Betroffen sind sehr viele Unternehmen und sie hat weitreichende Folgen.
Foto: BCFC - shutterstock.com

Die Cyberbedrohungen nehmen weiter zu. Laut Bitkom betrugen die Cyberschäden im Jahr 2022 über 200 Milliarden Euro. Auch der aktuelle Ransomware-Report des Security-Anbieters Sophos meldet, dass 2022 66 Prozent der weltweit befragten Unternehmen von Ransomware-Angriffen betroffen waren. In 76% der Attacken wurden Daten erfolgreich verschlüsselt. Inzwischen sind die weltweiten Wiederherstellungskosten nach solchen Angriffen auf durchschnittlich 750.000 US-Dollar angestiegen. Dieser Negativtrend hält seit Jahren an und entsprechend groß sind die Bemühungen der Regulierungsbehörden die IT-Sicherheit deutlich zu verbessern.

Von KRITS zu den "wichtigen und wesentlichen" Einrichtungen

Die staatlichen Bemühungen regulieren bislang vor allem Unternehmen der sogenannten "kritischen Infrastruktur" (KRITIS), beispielsweise Strom- und Wasserversorgung sowie Krankenhäuser, Telekommunikation und vieles mehr. Am 1. Januar 2022 hat das BSI in seiner Kritis-Verordnung zehn "Sektoren" benannt, bei denen die zugehörigen Unternehmen besonders strenge Auflagen erfüllen müssen.

Inzwischen aber hat sich gezeigt, dass diese Maßnahmen bei Weitem nicht ausreichend sind. Folglich hat der europäische Gesetzgeber im Dezember vorigen Jahres die neue Network-and-Information-Security-Richtlinie 2.0 (NIS2) verabschiedet, die zum einen den Gültigkeitsbereich auf alle "wichtigen und wesentlichen Einrichtungen" ausdehnt, und zum anderen schärfere Maßnahmen verlangt.

Technologie ist zu wenig

Die Grundannahme von NIS2 ist, dass technische Maßnahmen alleine nicht mehr ausreichen, um den immer raffinierteren Cyberangriffen zu begegnen. Deshalb sieht die neue Richtlinie vor allem die stärkere Einbindung der Mitarbeiter vor - und zwar vom Top-Management bis zum Sachbearbeiter. So heißt es bei NIS2: "Wer ein Unternehmen führt, der trägt Verantwortung, und dazu gehört auch die Cybersicherheit." Das bedeutet beispielsweise, dass Führungskräfte bei Sicherheitsverstößen auch persönlich belangt werden können. Hierbei ist das Management unter anderem dafür verantwortlich, dass bei allen Mitarbeitern ein entsprechend hohes Sicherheitsbewusstsein vorhanden ist.

Doch unabhängig von den Bestrebungen, die Mitarbeiter mehr einzubeziehen, bedeutet NIS2 auch mehr Technologie und mehr Arbeit für die IT. Letzteres dürfte für viele Unternehmen ein Problem darstellen, denn die Personaldecke im Bereich Security ist jetzt schon hauchdünn und der Fachkräftemarkt ist leergefegt. Daher setzen immer mehr Unternehmen auf "Cybersecurity-as-a-Service".

In Kombination mit modernen technischen Sicherheitslösungen erlaubt ein solcher Service maximalen Schutz bei minimalem eigenem Aufwand. Der Security-Spezialist Sophos bietet beispielsweise seinen "Managed Detection and Response" Service an (MDR), der eine 24/7-Abdeckung durch ein Team an hochqualifizierten Sicherheitsexperten garantiert. Diese sind auf das Erkennen und Eliminieren von Cyberangriffen spezialisiert, sodass auch Probleme gelöst werden, bei denen reine Technologie zu kurz greift.

Welche Unternehmen und Organisationen von NIS2 betroffen sind und welche neuen Maßnahmen erforderlich werden, erklären der Rechtsanwalt und Datenschutzexperte Dr. Paul Vogel und der bekannte Sophos Cybersecurity-Experte Martin Weiß in einem kostenlosen Webcast.

Jetzt zum Webcast anmelden!

Sophos MDR: Bewährt und sicher

Wie Sophos-MDR arbeitet und wie leistungsfähig es ist, zeigt beispielsweise der Einsatz der Lösung bei der Havelbus Verkehrsgesellschaft in Nauen, ein ÖPNV-Unternehmen mit 18.000 Fahrgästen täglich. Dort sollte im Zuge der IT-Modernisierung auch ein modernes Cybersecurity-System mit neuer Firewall und Endpoint-Security eingerichtet werden. Die Wahl fiel auf MDR von Sophos, dazu IT-Chef Björn Fritzlar: "Der MDR-Service durch die Sophos-Experten ist für uns eine riesige Entlastung und die perfekte Alternative zu einem aufwändigen internen SOC-Team".

Viele, der neuen NIS2-Forderungen lassen sich problemlos mit Sophos-MDR erfüllen. Dazu gehören unter anderem:

  • Konzepterstellung in Bezug auf die Risikoanalyse und die Sicherheit für Informationssysteme

  • Bewältigung von Sicherheitsvorfällen

  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit

Fazit

Die neue Cybersecurity Richtlinie NIS2 betrifft nicht nur die KRITIS-Unternehmen, sondern alle "wesentlichen und wichtigen Einrichtungen". Mithilfe des MDR-Service von Sophos können die betroffenen Organisationen optimale Voraussetzungen zur Erfüllung der neuen Richtlinie schaffen.

Alles rund um NIS2 wird in dem kostenlosen Webcast von Sophos angesprochen. Unter anderem werden die folgenden Fragen beantwortet:

  • Welche Sektoren (Branchen) sind von NIS2 betroffen?

  • Welche Risikomanagement-Maßnahmen müssen ergriffen werden?

  • Welche Konsequenzen drohen bei Nichteinhaltung?

  • Wie helfen Sophos-Lösungen, die neuen Vorschriften zu erfüllen?

Zu den Referenten gehören der Rechtsanwalt und Datenschutzexperte Dr. Paul Vogel und der bekannte Sophos Cybersecurity-Experte Martin Weiß.

Jetzt zum Webcast anmelden

Zur Startseite