Im Dezember 2022 hat die EU die Cyber-Security-Richtlinie NIS2 verabschiedet. Die EU-Mitgliedsstaaten haben bis zum 17. Oktober 2024 Zeit, um ein entsprechendes nationales NIS2-Gesetz zu erlassen. Betroffene Unternehmen sind ab dem 18. Oktober 2024 verpflichtet, die neuen Regelungen einzuhalten. Dabei ist keine Übergangsfrist vorgesehen. Was es dabei zu beachten gibt, erfahren Sie in diesem Beitrag.
Angesichts der wachsenden Bedrohung durch Cyber-Angriffe auch auf kritische Infrastrukturen (KRITIS) ist es unerlässlich, dass Unternehmen ihre Cyber-Resilienz – die Fähigkeit Cyber-Vorfälle zu verhindern, ihnen standzuhalten und sich davon zu erholen – optimieren. NIS2 zielt auf ein besseres gemeinsames Cyber-Sicherheitsniveau ab.
Ab Oktober 2024 gelten für viele Unternehmen deutlich verschärfte, verpflichtende Sicherheitsmassnahmen und Meldepflichten. Auch für viele, die bisher nicht betroffen waren. Schweizer Firmen tun gut daran, sich ebenfalls an den Sicherheitsmassnahmen zu orientieren, obwohl sich NIS2 grundsätzlich an europäische Organisationen richtet.
Bei dieser EU-Richtlinie handelt es sich um einen Mindeststandard. Dieser muss durch die EU-Mitgliedsstaaten als nationales Gesetz verbindlich gemacht werden. Für Schweizer Unternehmen ist die EU-Richtlinie relevant, weil sie explizit Lieferketten und Partnerunternehmen (Supply Chain) einbezieht. Aber auch sonst müssen Schweizer Unternehmen NIS2 bei ihrer Tätigkeit in der Europäischen Union berücksichtigen.
Der Umsetzungsstand in den einzelnen EU-Mitgliedsstaaten variiert zurzeit stark. Die Gesetzgebung in einigen Ländern ist bereits weit fortgeschritten und befindet sich im öffentlichen Diskurs (u.a. Belgien, Deutschland, Finnland, Frankreich, Italien, Kroatien, Niederlande, Österreich, Schweden, Tschechien). In anderen Ländern ist der Stand unklar, da nur wenige oder keine Informationen verfügbar sind.
Es gibt erhebliche Unterschiede in den nationalen Umsetzungen: Die Definitionen der Sektoren und Unternehmen sind nicht einheitlich; Pflichten werden anders ausgelegt; Nachweisprüfungen sind teils durch Behörden, teils durch Betreiber und teils gar nicht vorgesehen. Der Detailgrad an Vorgaben und umzusetzenden Anforderungen unterscheidet sich ebenfalls.
In Zukunft sind neben Kritischen Infrastrukturen (KRITIS) wie beispielsweise Betrieben der Strom- und Wasserversorgung, der Finanzbranche und dem Gesundheitswesen auch Anbieter digitaler Dienste verpflichtet, geeignete technische, operative und organisatorische Sicherheitsmassnahmen nach dem neuesten Stand der Technik umzusetzen.
Aber auch Sektoren wie Post- und Kurierdienste, die Abfallwirtschaft und Lebensmittelproduzenten müssen angemessene Massnahmen ergreifen, um sich wirksam vor Cyber-Attacken zu schützen. Die Richtlinie gilt generell für Organisationen ab 50 Mitarbeitenden und einem Jahresumsatz über 10 Millionen Euro, wodurch auch KMU betroffen sind.
NIS2 erfordert die Implementierung von Risikoanalyse- und Sicherheitskonzepten für IT-Systeme, die Behandlung von Schwachstellen und Sicherheitsvorfällen, Backup, Notfall- und Krisenmanagement, Sensibilisierung von Mitarbeitenden, regelmässige Audits, Verfahren zur Bewertung der Wirksamkeit der eigenen Risikomanagement-Massnahmen.
Zu den zentralen Praktiken zählen u.a. Zero-Trust-Prinzipien, regelmässige Software-Updates, eine angemessene Netzwerksegmentierung. Ausreichendes Identitäts- und Zugriffsmanagement sowie Multi-Faktor-Authentifizierung sind ein Muss.
Die Herausforderung liegt für Unternehmen einerseits darin, dies umzusetzen. Andererseits die Wirksamkeit regelmässig zu überprüfen, sei es mit Vulnerability Scans, Sicherheits-Assessments, Penetration Tests oder simulierten Cyber-Attacken.
Unabhängig von den nationalen Umsetzungen müssen betroffene Unternehmen folgende Änderungen beachten, die ab dem 18. Oktober 2024 in Kraft treten:
Von NIS2 betroffene Unternehmen sollten die Anforderungen der EU-Richtlinie auf Erfüllung prüfen, sowie identifizierte Abweichungen rechtzeitig zu beheben. Damit ist sichergestellt, dass zumindest die EU-weit gültigen Mindestanforderungen erfüllt sind.
Verfügbare, länderspezifische Anforderungen sollten berücksichtigt werden, um mögliche Nichtkonformitäten so gering wie möglich zu halten. Es ist sicherzustellen, dass die Konformität dauerhaft gewährleistet ist.
Erfahren Sie, wie Ihr Unternehmen für NIS2 aufgestellt ist und was noch zu tun ist. Mit einem NIS2-Gap-Assessment erhalten Sie einen Überblick über mögliche Abweichungen von den Mindestanforderungen in Ihrer IT-Sicherheitsstrategie.
Damit noch nicht genug: Unsere Spezialist*innengeben Ihnen auch technische, organisatorische und personelle Handlungsempfehlungen sowie Vorschläge zur Umsetzung von Sofortmassnahmen mit auf den Weg.
Lassen Sie sich von uns durch ein NIS2-Gap-Assessment unterstützen und starten Sie gelassen in die Umsetzung der erforderlichen Massnahmen.
Bei InfoGuard stehen Ihnen über 230 Expert*innen für die Erfüllung der NIS2-Vorgaben zur Verfügung, sei es mit unseren Risk Management & Compliance Services oder 24/7 Cyber Defence & Incident Response Services aus unserem ISO 27001-zertifizierten Cyber Defence Center in der Schweiz.
Nehmen Sie Kontakt mit uns auf: Unsere Cyber-Fachleute unterstützen Sie gerne.
Während mit der NIS2-Verordnung die Grund-Resilienz von Unternehmen gegen Cyber-Bedrohungen durch das Schaffen eines einheitlichen hohen Sicherheitsniveaus gestärkt werden soll, hat der Cyber Resilience Act (CRA) zum Ziel, die Sicherheit von digitalen Produkten nachhaltig zu erhöhen.
Über die CRA-Einführungsankündigung haben wir bereits berichtet. Wir werden in den kommenden Wochen nochmals ausführlich die letzten Entwicklungen in einem separaten Blog-Beitrag zum Cyber Resilience Act (CRA) beleuchten.
Bleiben Sie dran und abonnieren Sie unsere Blog-Updates.