NIS 1 und NIS 2 - Was Sie wissen müssen

NIS 1 und NIS 2 verstehen: Ein umfassender Leitfaden

Cybersicherheit ist für Regierungen und Organisationen gleichermaßen zu einer Priorität geworden. Die Richtlinie über Netz- und Informationssysteme (NIS) war ein wichtiger Schritt der Europäischen Union (EU) zur Verbesserung der Cybersicherheit in ihren Mitgliedsstaaten. Mit der Einführung von NIS 2 wurde die Richtlinie aktualisiert, um neuen Herausforderungen in der digitalen Landschaft zu begegnen. 

Dieser Blog befasst sich mit der Entwicklung, den Anforderungen und der Anwendbarkeit von NIS 1 und NIS 2 und damit, wie Organisationen die Vorschriften einhalten können. Es wird auch untersucht, wie ISO 27001 auf NIS 2 abgebildet werden kann, um den Konformitätsprozess zu rationalisieren.

NIS 1 Richtlinie

Die ursprüngliche NIS-Richtlinie, auch bekannt als NIS 1, wurde von der EU im Jahr 2016 verabschiedet. Sie zielte darauf ab, das allgemeine Niveau der Cybersicherheit in der EU zu erhöhen, indem sichergestellt wurde, dass Betreiber kritischer Infrastrukturen in Schlüsselsektoren wie Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Wasser und digitale Infrastrukturen strenge Sicherheitsmaßnahmen umsetzen. Die NIS 1 verpflichtete die Mitgliedstaaten, nationale Cybersicherheitsstrategien zu entwickeln, Computer Security Incident Response Teams (CSIRTs) einzurichten und Risikomanagementverfahren einzuführen.

Herausforderungen mit NIS 1

Die NIS 1 war zwar ein bahnbrechender Schritt, hatte aber auch ihre Grenzen. Sie konzentrierte sich in erster Linie auf eine begrenzte Anzahl von Sektoren und ließ ein einheitliches Konzept für die Cybersicherheit in der EU vermissen. Darüber hinaus erforderten neue Bedrohungen und Schwachstellen einen aktualisierten Rahmen, der diesen Herausforderungen wirksamer begegnen kann.

‍

Einführung der NIS 2 - Richtlinie

Die im Dezember 2022 verabschiedete NIS 2 baut auf der Grundlage der NIS 1 auf, enthält jedoch mehrere wesentliche Verbesserungen. Die wichtigsten Ziele der NIS 2 sind:

1. Ausweitung der Sektoren: Die NIS 2 deckt ein breiteres Spektrum von Sektoren ab, darunter die öffentliche Verwaltung, die Raumfahrt, die Herstellung kritischer Produkte und mehr. Dies spiegelt die zunehmende Abhängigkeit von digitalen Diensten in verschiedenen Branchen wider.

1. Verschärfung der Sicherheitsanforderungen: Mit der NIS 2 werden strengere Sicherheitsanforderungen eingeführt, darunter die Einführung modernster Technologien, die Sicherheit der Lieferkette und Maßnahmen zur Reaktion auf Zwischenfälle.
2. Bessere Koordinierung und Durchsetzung: Die NIS 2 schreibt eine engere Zusammenarbeit zwischen den Mitgliedstaaten vor und sieht strengere Durchsetzungsmaßnahmen vor, einschließlich höherer Strafen bei Nichteinhaltung.
3. Umgang mit Risiken in der Lieferkette: In Anerkennung der Bedeutung der Lieferketten für die Cybersicherheit verlangt die NIS 2 von den Unternehmen, die Risiken innerhalb ihrer Lieferketten zu bewerten und zu steuern.

‍

Anforderungen und Geltungsbereich von NIS 2

Wer muss sich daran halten?

Die NIS 2 gilt für ein breites Spektrum von Organisationen in verschiedenen Sektoren. Dazu gehören:

• Betreiber kritischer Infrastrukturen: Unternehmen aus den Bereichen Energie, Verkehr, Banken, Finanzmärkte, Gesundheitswesen und Wasserversorgung müssen die NIS 2 einhalten.
• Anbieter von digitalen Dienstleistungen: Dazu gehören Cloud-Service-Anbieter, Rechenzentren und Online-Marktplätze.
• Öffentliche Verwaltung: Staatliche Stellen auf allen Ebenen sind verpflichtet, NIS 2 - Maßnahmen durchzuführen.
• Hersteller von kritischen Produkten: Unternehmen, die an der Herstellung wichtiger Güter beteiligt sind, insbesondere solcher, die mit Cybersicherheit zu tun haben, sind ebenfalls erfasst.

‍

Die NIS 2 enthält 45 Artikel. Diese Artikel decken ein breites Spektrum von Themen ab, unter anderem den Anwendungsbereich und die Ziele der Richtlinie, Sicherheitsanforderungen, Meldung von Zwischenfällen, Risikomanagement, Überwachung und Durchsetzungsmaßnahmen.

‍

Nicht jedes Unternehmen muss alle Anforderungen der 45 Artikel der NIS 2 erfüllen. Die spezifischen Verpflichtungen, die für ein Unternehmen gelten, hängen unter anderem von folgenden Faktoren ab:

‍

Sektor und Art der Dienstleistung: In der NIS 2 werden Entitäten in zwei Hauptgruppen eingeteilt: wesentliche und wichtige Entitäten. Zu den wesentlichen Einrichtungen gehören kritische Infrastrukturbereiche wie Energie, Verkehr, Banken und Gesundheitswesen, während wichtige Einrichtungen Bereiche wie digitale Dienste und die öffentliche Verwaltung abdecken. Die Verpflichtungen variieren je nach der Kritikalität der erbrachten Dienstleistungen.

‍

Größe und Auswirkungen: Die Richtlinie gilt für Organisationen in Abhängigkeit von ihrer Größe und den potenziellen Auswirkungen ihrer Tätigkeit auf Wirtschaft und Gesellschaft. Größere Organisationen oder solche mit einer größeren potenziellen Auswirkung unterliegen strengeren Anforderungen.

‍

Risikobasierter Ansatz: NIS 2 legt den Schwerpunkt auf einen risikobasierten Ansatz, d. h., die spezifischen Sicherheitsmaßnahmen und die Anforderungen an die Meldung von Vorfällen können je nach Risikostufe der Organisation angepasst werden.

‍

Die meisten Organisationen, die in den Anwendungsbereich der NIS 2 fallen, müssen zwar die Kernanforderungen an die Cybersicherheit erfüllen (z. B. Risikomanagement, Meldung von Zwischenfällen und Sicherheit der Lieferkette), aber sie müssen nicht unbedingt alle Bestimmungen der einzelnen Artikel umsetzen.

Stattdessen müssen sie sich auf die Artikel konzentrieren, die für ihr Geschäft und die spezifischen Risiken, denen sie ausgesetzt sind, unmittelbar relevant sind. Die Einhaltung der Vorschriften beinhaltet in der Regel eine Kombination aus der Erfüllung der obligatorischen Anforderungen und der Anwendung bewährter Verfahren, wo dies angebracht ist.

In der Tat sind von der gesamten NIS 2-Richtlinie nur drei Artikel für Unternehmen, die sie einhalten wollen, relevant.

‍

Wichtige Anforderungen

Um die NIS 2 zu erfüllen, müssen Organisationen:

1. Umsetzung robuster Sicherheitsmaßnahmen: Dazu gehören das Risikomanagement, die Reaktion auf Zwischenfälle und die kontinuierliche Überwachung von Bedrohungen der Cybersicherheit.
2. Regelmäßige Audits durchführen: Die Organisationen sind verpflichtet, regelmäßige Audits durchzuführen, um die Einhaltung der Richtlinie zu gewährleisten.
3. Meldung von Vorfällen: Alle bedeutenden Cybersicherheitsvorfälle müssen den zuständigen Behörden innerhalb eines bestimmten Zeitrahmens gemeldet werden.
4. Sicherheit der Lieferkette: Unternehmen müssen die Cybersicherheitsrisiken innerhalb ihrer Lieferketten bewerten und verwalten und sicherstellen, dass auch Drittanbieter die Sicherheitsanforderungen erfüllen.

‍

Vorgehensweise bei Einhaltung von NIS 2

Die Einhaltung der NIS 2 erfordert einen strukturierten Prozess, der sicherstellt, dass Ihre Organisation die Anforderungen der Richtlinie effektiv erfüllt. Die 15 Schritte können als umfassender Leitfaden für die Erfüllung der Anforderungen angesehen werden. Hier finden Sie eine Aufschlüsselung der Vorgehensweise:

Wenn Sie diese 15 Schritte befolgen, kann Ihre Organisation systematisch an die Einhaltung der NIS 2 herangehen. Dieser strukturierte Ansatz gewährleistet nicht nur die Einhaltung der Richtlinie, sondern stärkt auch Ihre allgemeine Cybersicherheitslage und macht Ihr Unternehmen widerstandsfähiger gegen Cyberbedrohungen.

‍

Mapping von NIS 2 mit ISO 27001

ISO 27001 ist eine weltweit anerkannte Norm für Informationssicherheitsmanagementsysteme (ISMS). Sie bietet einen Rahmen für die Verwaltung sensibler Unternehmensdaten und gewährleistet, dass diese sicher bleiben. Viele der Anforderungen der NIS 2 lassen sich auf die in ISO 27001 beschriebenen Kontrollen und Praktiken übertragen, was es für bereits zertifizierte Organisationen einfacher macht, die NIS 2 einzuhalten.

‍

Schlüsselbereiche der Anpassung:

Risikomanagement: Sowohl NIS 2 als auch ISO 27001 betonen die Bedeutung des Risikomanagements. Unternehmen können ihre bestehenden Risikobewertungsprozesse nach ISO 27001 nutzen, um die Anforderungen der NIS 2 zu erfüllen.

Reaktion auf Vorfälle: Die Prozesse des Incident Managements nach ISO 27001 stimmen mit den Anforderungen der NIS 2 für die Meldung von und Reaktion auf Cybersicherheitsvorfälle überein.

Kontinuierliche Überwachung: Der kontinuierliche Verbesserungsprozess in ISO 27001 unterstützt die Forderung der NIS 2 nach einer laufenden Überwachung und Überprüfung der Cybersicherheitsmaßnahmen.

Sicherheit der Lieferkette: Die in ISO 27001 vorgesehenen Kontrollen für die Verwaltung von Drittanbietern können an die Sicherheitsanforderungen der NIS 2 für die Lieferkette angepasst werden.