Die Uhr tickt: Verschärfte NIS2-Richtlinien ab Oktober 2024

Autor
Markus Limacher
Veröffentlicht
18. April 2024

Im Dezember 2022 hat die EU die Cyber-Security-Richtlinie NIS2 verabschiedet. Die EU-Mitgliedsstaaten haben bis zum 17. Oktober 2024 Zeit, um ein entsprechendes nationales NIS2-Gesetz zu erlassen. Betroffene Unternehmen sind ab dem 18. Oktober 2024 verpflichtet, die neuen Regelungen einzuhalten. Dabei ist keine Übergangsfrist vorgesehen. Was es dabei zu beachten gibt, erfahren Sie in diesem Beitrag.

Angesichts der wachsenden Bedrohung durch Cyber-Angriffe auch auf kritische Infrastrukturen (KRITIS) ist es unerlässlich, dass Unternehmen ihre Cyber-Resilienz – die Fähigkeit Cyber-Vorfälle zu verhindern, ihnen standzuhalten und sich davon zu erholen – optimieren. NIS2 zielt auf ein besseres gemeinsames Cyber-Sicherheitsniveau ab.

Ab Oktober 2024 gelten für viele Unternehmen deutlich verschärfte, verpflichtende Sicherheitsmassnahmen und Meldepflichten. Auch für viele, die bisher nicht betroffen waren. Schweizer Firmen tun gut daran, sich ebenfalls an den Sicherheitsmassnahmen zu orientieren, obwohl sich NIS2 grundsätzlich an europäische Organisationen richtet.NIS2-Gap-Assessment

NIS2 – und was es bis wann zu beachten gilt

Bei dieser EU-Richtlinie handelt es sich um einen Mindeststandard. Dieser muss durch die EU-Mitgliedsstaaten als nationales Gesetz verbindlich gemacht werden. Für Schweizer Unternehmen ist die EU-Richtlinie relevant, weil sie explizit Lieferketten und Partnerunternehmen (Supply Chain) einbezieht. Aber auch sonst müssen Schweizer Unternehmen NIS2 bei ihrer Tätigkeit in der Europäischen Union berücksichtigen.

Der Umsetzungsstand in den einzelnen EU-Mitgliedsstaaten variiert zurzeit stark. Die Gesetzgebung in einigen Ländern ist bereits weit fortgeschritten und befindet sich im öffentlichen Diskurs (u.a. Belgien, Deutschland, Finnland, Frankreich, Italien, Kroatien, Niederlande, Österreich, Schweden, Tschechien). In anderen Ländern ist der Stand unklar, da nur wenige oder keine Informationen verfügbar sind.

Es gibt erhebliche Unterschiede in den nationalen Umsetzungen: Die Definitionen der Sektoren und Unternehmen sind nicht einheitlich; Pflichten werden anders ausgelegt; Nachweisprüfungen sind teils durch Behörden, teils durch Betreiber und teils gar nicht vorgesehen. Der Detailgrad an Vorgaben und umzusetzenden Anforderungen unterscheidet sich ebenfalls.

Auch KMUs sind von NIS2 betroffen

In Zukunft sind neben Kritischen Infrastrukturen (KRITIS) wie beispielsweise Betrieben der Strom- und Wasserversorgung, der Finanzbranche und dem Gesundheitswesen auch Anbieter digitaler Dienste verpflichtet, geeignete technische, operative und organisatorische Sicherheitsmassnahmen nach dem neuesten Stand der Technik umzusetzen.

Aber auch Sektoren wie Post- und Kurierdienste, die Abfallwirtschaft und Lebensmittelproduzenten müssen angemessene Massnahmen ergreifen, um sich wirksam vor Cyber-Attacken zu schützen. Die Richtlinie gilt generell für Organisationen ab 50 Mitarbeitenden und einem Jahresumsatz über 10 Millionen Euro, wodurch auch KMU betroffen sind.

Inhaltliche Schwerpunkte von NIS2

NIS2 erfordert die Implementierung von Risikoanalyse- und Sicherheitskonzepten für IT-Systeme, die Behandlung von Schwachstellen und Sicherheitsvorfällen, Backup, Notfall- und Krisenmanagement, Sensibilisierung von Mitarbeitenden, regelmässige Audits, Verfahren zur Bewertung der Wirksamkeit der eigenen Risikomanagement-Massnahmen.

Zu den zentralen Praktiken zählen u.a. Zero-Trust-Prinzipien, regelmässige Software-Updates, eine angemessene Netzwerksegmentierung. Ausreichendes Identitäts- und Zugriffsmanagement sowie Multi-Faktor-Authentifizierung sind ein Muss.

NIS2

 

Die Herausforderung liegt für Unternehmen einerseits darin, dies umzusetzen. Andererseits die Wirksamkeit regelmässig zu überprüfen, sei es mit Vulnerability Scans, Sicherheits-Assessments, Penetration Tests oder simulierten Cyber-Attacken.

Diese vier Punkte sind bei der NIS2-Umsetzung zu beachten

Unabhängig von den nationalen Umsetzungen müssen betroffene Unternehmen folgende Änderungen beachten, die ab dem 18. Oktober 2024 in Kraft treten:

  1. Registrierung bei der zuständigen nationalen Behörde. Diese ist noch durch die EU-Mitgliedsstaaten zu definieren.
  2. Vorfälle müssen den lokalen, zuständigen Behörden gemeldet werden. Dieser Punkt ist ebenfalls noch durch die EU-Mitgliedsstaaten zu definieren.
  3. Die Konformität zu den Anforderungen muss gewährleistet sein.
  4. Der Nachweis der Konformität durch eine entsprechende Zertifizierung oder einen Sicherheitsreview/Sicherheitsaudit sollte regelmässig erbracht werden. Diese Richtlinie verlangt keine explizite Zertifizierung, jedoch kann eine solche durch nationales Recht erforderlich werden.

Von NIS2 betroffene Unternehmen sollten die Anforderungen der EU-Richtlinie auf Erfüllung prüfen, sowie identifizierte Abweichungen rechtzeitig zu beheben. Damit ist sichergestellt, dass zumindest die EU-weit gültigen Mindestanforderungen erfüllt sind.

Verfügbare, länderspezifische Anforderungen sollten berücksichtigt werden, um mögliche Nichtkonformitäten so gering wie möglich zu halten. Es ist sicherzustellen, dass die Konformität dauerhaft gewährleistet ist.

Gap-Assessment zur Feststellung des NIS2-Reifegrads

Erfahren Sie, wie Ihr Unternehmen für NIS2 aufgestellt ist und was noch zu tun ist. Mit einem NIS2-Gap-Assessment erhalten Sie einen Überblick über mögliche Abweichungen von den Mindestanforderungen in Ihrer IT-Sicherheitsstrategie.

Damit noch nicht genug: Unsere Spezialist*innengeben Ihnen auch technische, organisatorische und personelle Handlungsempfehlungen sowie Vorschläge zur Umsetzung von Sofortmassnahmen mit auf den Weg.

Lassen Sie sich von uns durch ein NIS2-Gap-Assessment unterstützen und starten Sie gelassen in die Umsetzung der erforderlichen Massnahmen.

NIS2-Gap-Assessment

Umsetzung konkreter Sicherheitsmassnahmen

Bei InfoGuard stehen Ihnen über 230 Expert*innen für die Erfüllung der NIS2-Vorgaben zur Verfügung, sei es mit unseren Risk Management & Compliance Services  oder 24/7 Cyber Defence  & Incident Response Services aus unserem ISO 27001-zertifizierten Cyber Defence Center in der Schweiz.

Nehmen Sie Kontakt mit uns auf: Unsere Cyber-Fachleute unterstützen Sie gerne.

Jetzt Kontakt aufnehmen

Auf NIS2 folgt demnächst der Cyber Resilience Act (CRA)

Während mit der NIS2-Verordnung die Grund-Resilienz von Unternehmen gegen Cyber-Bedrohungen durch das Schaffen eines einheitlichen hohen Sicherheitsniveaus gestärkt werden soll, hat der Cyber Resilience Act (CRA) zum Ziel, die Sicherheit von digitalen Produkten nachhaltig zu erhöhen. 

Über die CRA-Einführungsankündigung haben wir bereits berichtet. Wir werden in den kommenden Wochen nochmals ausführlich die letzten Entwicklungen in einem separaten Blog-Beitrag zum Cyber Resilience Act (CRA)  beleuchten.

Bleiben Sie dran und abonnieren Sie unsere Blog-Updates.

Jetzt Blog-Updates abonnieren

Artikel teilen