November 2024 / Lesezeit ca. 10 Minuten
Die neue EU-Richtlinie zur Cybersicherheit betrifft die Wirtschaft im EU-Raum. Die Netz- und Informationssystemsicherheitsrichtlinie (NIS 2-Richtlinie) soll das Cyber-Sicherheitsniveau erhöhen und die Cyber-Resilienz stärken. Bei Nichteinhaltung drohen hohe Geldstrafen. Unser Leitfaden unterstützt Sie dabei, Ihr Unternehmen NIS 2 fit zu machen.
Die Kernaussagen
Die Richtlinie zur Netz- und Informationssicherheit (NIS 2) Opens in a new tab der Europäischen Union ersetzt die NIS-Richtlinie von 2016 und zielt darauf ab, ein "hohes, gemeinsames Cyber-Sicherheitsniveau in den EU-Mitgliedstaaten" zu schaffen. Dies soll sichergestellt werden, indem die Anforderungen an die Cyber-Sicherheit in kritischen Sektoren und in denjenigen Branchen und Einrichtungen, die für das Funktionieren der Wirtschaft unverzichtbar sind, weiter verschärft werden.
Zu den wichtigsten Änderungen im Rahmen von NIS 2 gehören:
Die ursprüngliche NIS-Richtlinie umfasste lediglich Betreiber kritischer Dienste wie Wasserversorgung, Gesundheitswesen, Energie, Verkehr und einige Anbieter digitaler Dienste. Die NIS 2 wurde unter anderem auf Branchen wie Post- und Kurierdienste, Lebensmittelproduktion und -handel, das verarbeitende Gewerbe und Abfallbewirtschaftung ausgeweitet. Diese Branchen fallen unter die NIS 2, sofern das Unternehmen mehr als 49 Mitarbeiter beschäftigt oder einen Jahresumsatz bzw. Jahresbilanz von über EUR 10 Millionen erwirtschaftet.
Die Leitungsorgane sind persönlich dafür verantwortlich, die Risikomanagement-Maßnahmen für die Cyber-Sicherheit zu genehmigen und ihre Umsetzung zu überwachen. Bei Verstößen gegen diese Verpflichtung können sie persönlich haftbar gemacht werden. Zudem müssen die Mitglieder der Geschäftsleitung Schulungen aus dem Bereich der Cyber-Sicherheit absolvieren, damit sie über ausreichende Kenntnisse und Fähigkeiten verfügen, um Risiken zu erkennen und Risikomaßnahmen sowie deren Auswirkungen zu bewerten.
Unternehmen sollten geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergreifen, um ihre Cyber-Risiken zu kalkulieren und die Auswirkungen von Vorfällen auf Dritte zu verhindern oder zu minimieren.
Die Richtlinie enthält etliche Mindestanforderungen, die die Betroffenen umsetzen müssen. Diese reichen von der Verwendung einer Multi-Faktor-Authentifizierung über den Umgang mit Vorfällen bis hin zum Zugriffs- und Lieferkettenmanagement.
Die Maßnahmen im Bereich des Risikomanagements für Cyber-Sicherheit müssen dokumentiert werden und es müssen Konzepte und Verfahren zur Erhebung der Effektivität des Risikomanagements vorhanden sein. Insbesondere der Umgang mit Zwischenfällen muss klar definiert sein und es müssen Response- und Recovery-Pläne vorliegen.
Im Falle eines Cyber-Vorfalls müssen Unternehmen innerhalb eines engen Zeitrahmens drei konkrete Schritte einhalten:
Das Cyber-Sicherheitsrisikomanagement umfasst insbesondere auch die Lieferkette. Organisationen, die in den Anwendungsbereich der NIS 2 fallen, sollten die spezifischen Schwachstellen all ihrer wesentlichen Zulieferer und Dienstleister berücksichtigen, um die Auswirkungen von Zwischenfällen in der Lieferkette zu verhindern bzw. zu minimieren.
"Wesentliche" Einrichtungen, die gegen die NIS 2 verstoßen, müssen mit Bußgeldern in Höhe von bis zu EUR 10 Millionen oder 2 Prozent ihres weltweiten Jahresumsatzes rechnen (je nachdem, welcher Betrag höher ist). Für „wichtige" Einrichtungen sind Bußgelder von bis zu EUR 7 Millionen oder 1,4 Prozent des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) vorgesehen.
Germany
Luca Rodermund
Director of Specialties, DACH
[email protected]
+494036052643
Austria
Kerstin Keltner
Managing Director Specialty, Austria
[email protected]
+4357800337
Switzerland
Manuel Pachlatko
Head of Cyber Specialty Switzerland
[email protected]
+41582668622
Die Liste, der von der NIS 2 betroffenen Einrichtungen, findet sich in Annex 1 und 2 der Richtlinie. Die Einrichtungen werden in Sektoren mit hoher Kritikalität und „sonstige kritische Sektoren“ unterteilt. Diese Liste umfasst Energieversorger, Online-Marktplätze, Konzerne sowie zahlreiche mittelständische Unternehmen und Regierungsbehörden. Die Hauptzielgruppe der NIS 2 sind mittlere und größere Unternehmen, aber auch einige kleinere Unternehmen können unter den Anwendungsbereich fallen, wenn bestimmte Bedingungen erfüllt sind oder sie vom EU-Mitgliedsstaat als wesentliche Einrichtungen eingestuft werden.
Die Unternehmen müssen selbst beurteilen, ob sie von NIS 2 betroffen sind. Auch Unternehmen, die Teil der Lieferkette eines von der NIS 2 betroffenen Unternehmens sind, können mittelbar betroffen sein. Aon unterstützt Ihr Unternehmen bei der Analyse der NIS 2 Betroffenheit und zeigt Ihnen auf, welche nächsten Schritte Sie setzen müssen.
Bankwesen
Digitale Infrastruktur (DNS, IXP, TLD, ICT)
Energie
Finanzmarktinfrastrukturen
Gesundheitswesen
Verwaltung von IKT-Diensten
Öffentliche Verwaltung
Weltraum
Verkehr
Trink- und Abwasser
Anbieter digitaler Dienste
Verarbeitendes Gewerbe/ Herstellung von Waren (NACE Rev 2. Abschnitt C Abteilung 26, 27, 28, 29, 30)
Produktion, Herstellung und Handel mit chemischen Stoffen
Post- und Kurierdienste
Herstellung, Verarbeitung und Vertrieb von Lebensmitteln
Forschung
Abfallbewirtschaftung
Unabhängig davon, ob es sich bei Ihrem Unternehmen um eine kritische oder sonstige kritische Einrichtung handelt, sollten Sie sich mit den Anforderungen der NIS 2 befassen und Ihre Organisation umgehend NIS 2-konform machen.
Führen Sie zunächst ein Risikobewertungsverfahren durch und minimieren Sie die Risiken in einer Roadmap. Beachten Sie die Registrierungsfristen und etablieren Sie Meldeprozesse, auch wenn das Gesetz noch nicht in Kraft getreten ist.
Achten Sie auf die Schulungspflichten für Ihr Management. Aufgrund der hohen Komplexität und der zahlreichen Risikoquellen muss die Geschäftsführung in speziellen Schulungen zu Praktiken des Risikomanagements geschult werden, um die notwendige Sensibilität zu entwickeln.
Wie bei der EU-Gesetzgebung zur Datenschutz-Grundverordnung (DSGVO) lohnt es sich für Unternehmen, diesen Umsetzungsprozess so früh wie möglich zu beginnen. Mit mehr als 20 Jahren Erfahrung in der Bereitstellung von Cyber-Lösungen in verschiedenen Bereichen können wir Sie in jeder Phase der NIS-2-Umsetzung unterstützen.
Wir überprüfen die Cybersicherheit Ihres Unternehmens in einem Risiko-Assessment, das auf internationalen Standards wie ISO 27001 und NIST 800 sowie den Anforderungen der NIS-2-Richtlinie basiert. Sie erhalten Maßnahmen zum Risikomanagement und zur NIS-2-Richtlinie.
Wir besprechen mit Ihnen, welche Ihrer Unternehmen EU-weit unter die NIS 2 fallen könnten. Profitieren Sie hier von der Erfahrung unserer Berater.
Wir schulen Ihre Geschäftsführung und Leitungsorgane in den Themen Risikomanagement, Risikopraktiken und Risikobewertung. Dabei greifen wir die Unternehmenssituation auf, um möglichst personalisierte und praxisorientierte Bezüge herzustellen.
Gemeinsam mit Ihnen bereiten wir Ihre internen Meldeprozesse von der Detektion bis zur Meldung an die Behörden vor. Wir klären, welche Strukturen aufgebaut und welche Kontaktstellen benannt werden müssen.
Optimierung begrenzter Budgetinvestitionen, damit Unternehmen eine bessere maximale Rendite aus ihren Sicherheitsinvestitionen erzielen können.
Erhebung des Cyber-Resilienz-Levels, um Risiken und Lücken im Cyber-Risikomanagement zu erkennen und zu bewerten.
Strategische Unterstützung bei der Auswahl, Einführung und Bereitstellung geeigneter Lösungen für die Multi-Faktor-Authentifizierung.
Beratung und Unterstützung von Unternehmen bei der Auswahl geeigneter kryptographischer Verfahren.
Richten Sie das Cyber-Risiko in der Lieferkette an der Risikobereitschaft Ihres Unternehmens aus und entwickeln Sie einen unternehmensspezifischen Ansatz, um die Cyber-Resilienz der Lieferkette besser zu analysieren und damit zu verbessern.
Analyse der Fähigkeit zur Reaktion auf Zwischenfälle und Entwicklung umfassender Protokolle, einschließlich:
Bewertung der Fähigkeiten Ihres Unternehmens zur Meldung von Zwischenfällen sowie der Reaktionsfähigkeit. Beurteilung der Geeignetheit bzw. Anpassung bestehender Meldeprozesse von Cyber-Vorfällen, unter Berücksichtigung der neuen gesetzlichen Anforderungen.
Entwicklung oder Überprüfung geeigneter Risikomanagementprozesse im Rahmen der Cyber-Sicherheit, welche an das unternehmensinterne Risikomanagement-Rahmenwerk angepasst sind.
Systematische Evaluierung auf allgemeine und gezielte Bedrohungen innerhalb des eigenen Netzwerks, Überwachung des Deep- und Dark Webs auf Bedrohungen und durchgesickerte Daten.
Entwicklung von Rahmenwerken für Risikobewertungen auf organisatorischer Ebene in Kombination mit szenariospezifischen Stresstests, um die Reife und Stärke des Risikomanagements gesamtheitlich zu prüfen.
NIS 2: Fünf Fragen, die sich jedes Unternehmen stellen sollte
Aon unterstützt seine Kunden dabei, den gesamten Lebenszyklus ihrer Cyber-Risiken zu managen. Unser ganzheitlicher Ansatz von Cyber-Risikolösungen lässt sich nahtlos integrieren, um Effizienz und Transparenz auf Unternehmensseite zu fördern. Auf diese Weise können wir unseren Kunden mit den richtigen Informationen dabei helfen, ihre Bilanzen zu schützen und Risiken effektiv zu verwalten. Erfahren Sie hier, wie das Cyber Loop Modell von Aon Ihr Unternehmen auf dem Weg zu nachhaltiger Cyber-Resilienz unterstützen kann.
Klicken Sie hier, um eine PDF-Version dieses Inhalts herunterzuladen.
Wenn Sie daran interessiert sind, mehr darüber zu erfahren, wie Aon Ihr Unternehmen bei der Vorbereitung auf NIS 2 unterstützen kann, füllen Sie bitte das folgende Kontaktformular aus. Ein Experte unseres Teams wird sich in Kürze mit Ihnen in Verbindung setzen.
