Netzwerk­sicherheit nach NIS2

Anforderungen und Bereiche der neuen NIS2-Richtlinie.
NIS2-Umsetzungshilfe für Unternehmen.

Was ist NIS2?

Die NIS2-Richtlinie ist die im Dezember 2022 von der Europäischen Kommission veröffentlichte Handlungsanweisung, bis zum 17. Oktober 2024 gewisse Netzwerksicherheitsmaßnahmen in nationales Recht umzusetzen.

„NIS“ steht dabei für „Netz- und Informationssicherheit“.

Die NIS2-Richtlinie umfasst die seit der NIS1 (2016) aktualisierten EU-weiten Vorschriften zur Etablierung von nationalen Standards und Institutionen sowie internationaler Kommunikation und Zusammenarbeit, um das allgemeine Cybersicherheitsniveau in der EU zu steigern.

Dienste, die für die Gesellschaft und Wirtschaft essenziell sind und somit eine 'hohe Kritikalität' aufweisen, sowie Dienste, deren Störung oder Ausfall kritische Konsequenzen hätte, sollen so besser geschützt werden.

Die Richtlinie hat daher zum Ziel, die Resilienz dieser kritischen Infrastrukturen (KRITIS) mit diversen Forderungen zum Stand der IT-Sicherheit, zu Meldepflichten, zur behördlichen Überprüfung, uvm., zu stärken.

News-Ticker zu NIS2

Alles zu den aktuellen Entwicklungen, Neuigkeiten, Diskussionsthemen, Gesetzesentwürfen und Handlungsempfehlungen rund um NIS2 im Fühjahr 2024.

NIS2 schnell verstehen und umsetzen

Netzwerksicherheit hat einen neuen erhöhten Stellenwert in der Europäischen Union (EU) erlangt: Die europäische Richtlinie für Netzwerk- und Informationssicherheit (kurz NIS) verpflichtet die EU-Staaten, strengere, einheitliche Cybersicherheitsstandards für ihre systemrelevanten Unternehmen und Institutionen zu etablieren.

Die im Dezember 2022 veröffentlichte NIS2-Richtlinie ist die logische Antwort auf die dramatisch veränderte Bedrohungslage seit der ersten NIS-Richtlinie 2016. So schätzt das BSI in seinem jüngsten Lagebericht die Gefährdungslage so hoch ein wie noch nie. Kritische Infrastrukturen der EU sollen daher bis 2024 durch festgelegte Cybersicherheitsinstitutionen, -strategien und -kooperationen resilienter und reaktionsfähiger werden.

Welche konkreten Forderungen mit NIS2 einhergehen, auf welche Anwendungsbereiche sie zutreffen und wie LANCOM Sie dabei unterstützt, diese schnell und sicher umzusetzen, lesen Sie in den folgenden Absätzen.

Direkt zu den NIS2-Handlungsempfehlungen

Cybersicherheit für IT-Netzwerke unter NIS2

„NIS-2 bietet den Impuls, sich mehr um IT-Sicherheit zu kümmern und die sicherlich schon bestehenden organisatorischen und technischen Maßnahmen weiter zu entwickeln. Das Ziel von mehr Cybersicherheit ist alternativlos und ein Aufschub einer fundierten Überprüfung sowie Modernisierung ist in jedem Fall fahrlässig. Wer dabei auf europäische Player setzt, fördert direkt die digitale Souveränität und inkludiert bereits Vorteile einer DSGVO-Konformität und Backdoor-Sicherheit.“  – Cyberintelligence Institute Studie aus dem Jahr 2024

 

Die komplette Studie kostenlos erhalten

NIS2 kurz zusammengefasst

Ausgeweiteter Anwendungsbereich

  • Neue Sektoren und Industrien betroffen
  • Klare Definition von wesentlichen und kritischen Diensten (KRITIS-Zugehörigkeit)

Höhere
Einheitlichkeit

  • Festgehaltene EU-weite Standards für Cybersicherheit
  • Verpflichtung zur Umsetzung in nationales Recht
  • Kooperationsnetzwerk für internationale Cyberkrisen

Strengere Umsetzungs­kontrollen

  • Kontrolle der Umsetzung durch nationale Behörden
  • Diverse Nachweis- und Sorgfaltspflichten

Konkretere, umfassendere Pflichten

  • Definition von Risiko- und Krisenmanagementbestandteilen
  • Verschärfte Meldepflichten zu Sicherheitsvorfällen innerhalb von 24 Stunden inkl. Abschlussbericht

Härtere Sanktionen bei Rechtsverstößen

  • Warnungen, Handlungs- oder Unterlassungs­anweisungen bei Nicht-Einhaltung
  • Hohe Bußgelder bei Verstößen

Für wen gilt die NIS2-Richtlinie?

Die NIS-Richtlinien haben zum Ziel, systemrelevante private wie öffentliche Sektoren der EU-Staaten sicherheitstechnisch angemessen auszustatten und den kooperativen Informationsaustausch zum Thema Netzwerksicherheit zwischen den Mitgliedstaaten zu verbessern. NIS2 legt dabei noch klarere Identifikationskriterien für die Zugehörigkeit zu kritischen Infrastrukturen (KRITIS) fest und erweitert die Sektoren:

KRITIS-Sektoren mit NIS-Gültigkeit seit NIS1 (2016)

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Digitale Infrastruktur
  • Anbieter digitaler Dienste
Icon: Pluszeichen

Zusätzliche KRITIS-Sektoren zu NIS1 seit NIS2 (2022)

  • Produktion & Verarbeitung (u.a. Lebensmittel, medizin. Produkte, chem. Stoffe, KFZ, Elektronik, Maschinen)
  • Anbieter öffentl. elektr. Netze und Kommunikationsdienste
  • Verwalter von IKT-Diensten (Informations- und Kommunikationstechnologien, kurz IKT)
  • Öffentliche Verwaltung
  • Weltraum
  • Post- und Kurierdienste
  • Abfall- und Abwasserwirtschaft
  • Forschung
Icon: Ist-gleich-Zeichen

Bereitsteller kritischer / wesentlicher Dienste

Wenn einem der Sektoren angehörig und mind. einer der folgenden Punkte gegeben ist:

  •  Sie haben eine Größe von mind. 50 Mitarbeitenden.
  •  Sie überschreiten einen Jahresumsatz von 10 Millionen.
  •  Sie sind unabhängig von ihrer Größe alleiniger Anbieter eines kritischen Dienstes.

Wer ist also von NIS2 betroffen?

Alle mittelgroßen und großen Organisationen, die in den oben aufgelisteten Sektoren tätig sind sowie Firmen, auf welche die angegebenen Kriterien zutreffen werden von der neuen NIS2-Richtlinie erfasst.

Somit sind auch sehr viele Unternehmen aus dem Mittelstand verpflichtet, die in der Richtlinie festgehaltenen Sicherheitsmaßnahmen zu ergreifen und unterliegen bestimmten Meldepflichten.

NIS2 vom Experten bewertet

Rechtlicher Fachartikel vom heise-Verlag

Die gesetzlichen Regelungen rund um die NIS2-Richtlinie klingen zunächst einmal komplex und herausfordernd. Rechtsanwalt Tobias Haar mit Schwerpunkt IT-Recht bei Vogel & Partner in Karlsruhe hat die Neuerungen und Besonderheiten in einem Artikel anschaulich zusammengefasst und prognostiziert:

„Die ausdrücklichen Regelungen zur persönlichen Verantwortlichkeit der Leitungsorgane und die gleichzeitig signifikant erhöhten Bußgeldrahmen dürften für Zündstoff sorgen. […] In der EU sind nun erst einmal wieder die einzelnen EU-Staaten an der Reihe. Von der Richtlinie erfasste Unternehmen tun aber gut daran, den Gesetzgebungsprozess zu beobachten und zu begleiten. Sich früh auf anstehende Änderungen einzustellen ist für sie eine kluge Strategie.“ iX: „NIS-2-Richtlinie: Auftrag für KRITIS-Schutz“; Autor: Tobias Haar (iX, 03/23; Seiten 80-83)

Informieren Sie sich gerne vorab und tauchen Sie tiefer in die Thematik ein:
 

Vollständigen NIS2-Fachartikel lesen

Inwiefern soll NIS2 kritische Infrastrukturen besser schützen?

Die NIS2-Richtlinie geht auf aktuelle Cybersicherheitsbedrohungen ein, indem sie die Auswirkungen von kompromittierten oder nicht mehr arbeitsfähigen Unternehmen auch in weiter gefassten Bereichen anerkennt und diese für ein erforderliches Maß an Informationssicherheit zur Rechenschaft zieht. Sie schafft außerdem ein europäisches Kommunikations- und Kooperationsnetzwerk für Informations- und Netzwerksicherheit, das EU-CyCLONe.

„Ziel der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates war der unionsweite Aufbau von Cybersicherheitskapazitäten, die Eindämmung von Bedrohungen für Netz- und Informationssysteme, die zur Erbringung wesentlicher Dienste in Schlüsselsektoren verwendet werden, und die Sicherstellung der Kontinuität solcher Dienste bei Vorfällen, um so zur Sicherheit der Union und zum reibungslosen Funktionieren ihrer Wirtschaft und Gesellschaft beizutragen.“

Richtlinie (EU) 2022/2555 der Europäischen Parlaments und des Rates vom 14. Dezember 2022

Koordiniertes Risiko- und Krisenmanagement

Konkret dient die NIS2-Richtlinie als „koordinierter Rahmen für die Cybersicherheit“. Dort werden nationale Cybersicherheitsstrategien und zuständige Behörden gefordert, u.a. als sichere, zentrale Anlaufstellen, immer erreichbare (Computer-)Notfallteams (genannt CSIRT) und Risiko- und Krisenmanagementverantwortliche.

Im Vergleich zur NIS1 wird auch genauer definiert, welche Aufgaben diese Behörden haben und welche Bestandteile die Netzwerksicher­heitsstrategie haben sollte, z.B. Sicherheit der Lieferkette, gesicherte Kommunikation, Einsatz von Verschlüsselungen und Zugriffskontrollen, Notfallkommunikationssysteme, uvm. (siehe Fachartikel).

Verschärfte Durchsetzung

Zusätzlich werden klare Regelungen zur Kontrolle und Berichterstattung getroffen. Die European Union Agency for Cybersecurity (ENISA) wird ein Register der von der Richtlinie erfassten Unternehmen im Bereich digitale Infrastruktur führen. Sicherheitsvorfälle müssen binnen 24 Stunden gemeldet und nach spätestens einem Monat in einem Abschlussbericht bewertet werden. Alle zwei Jahre wird Bilanz gezogen und der Stand der Cybersicherheit in der EU gemessen.

Die von NIS2 betroffenen Einrichtungen müssen mittels verschiedener Ausführungen von Sorgfaltspflicht und Umsetzungsnachweisen (mehr dazu im Fachartikel) belegen, dass sie die entsprechenden Netzwerk­sicherheits­konzepte erfüllen. Bei Verstößen muss mit Bußgeldern von bis zu 10 Millionen Euro bzw. 2 Prozent der jährlichen Vorjahres­umsatzes gerechnet werden.

Was bedeutet NIS2 für Sie konkret?

Was Unternehmen zu NIS2 beachten sollten

Viele Firmen werden neu von NIS2 betroffen sein.

Anbieter von öffentlichen elektronischen Netzen und Kommunikationsdiensten, Hersteller von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen sowie Verwalter von Informations- und Kommunikationstechnologien werden beispielsweise von der neuen Richtlinie genauer unter die Lupe genommen. Dazu zählen auch Systemhäuser und andere technische Ausstatter. Und nun?

Hier gibt ein Rechtsanwalt klare Antworten auf die Auswirkungen von NIS2:

NIS2 Infopaper inkl. FAQ

So bereiten sich Unternehmen optimal auf NIS2 vor

Der Mittelstand sollte bei NIS2 aufhorchen: Produzierende und verarbeitende Gewerbe in diversen Branchen müssen nun ebenso für ihre Netzwerksicherheit Sorge tragen wie Großkonzerne. Ob die Nahrungsmittel- oder Automobilindustrie oder Hersteller, Verarbeiter oder Distributoren von medizinischen, elektronischen oder chemischen Produkten – viele Unternehmen müssen jetzt anfangen, ihre Netzwerksicherheit neu zu bewerten und bei Bedarf anzupassen.

Wie bereitet man sich gut auf die neuen Gesetze vor, die NIS2 umsetzen werden? Unsere Infografik zeigt Ihnen, wie Sie bereits heute damit starten können, Ihre IT-Sicherheit einem Frühjahrsputz zu unterziehen.

Infografik: In zehn Schritten zur NIS2-Konformität

Hands-On-Tipps für die Umsetzung der NIS2-Richtlinie: Was Sie jetzt tun können

Die NIS2-Richtlinie sieht vor allem nationale Netzwerksicherheitsstrategien und professionelles Risikomanagement vor. Doch was heißt das konkret für Sie? Und wie gut kann ein Netzwerktechnikausstatter wie LANCOM Sie dabei unterstützen?

Zunächst einmal muss jede Regierung der EU-Mitgliedsstaaten in nationalen Gesetzen festlegen, wie der rechtliche Rahmen im eigenen Land aussieht. Doch wenn Sie folgende Punkte bedenken, sind Sie bestens auf die nationalen Richtlinien auf Basis von NIS2 vorbereitet.

Vorsorgeregelungen treffen

Am Besten starten Sie jetzt damit, Ihren aktuellen Cybersecurity-Stand zu überprüfen und kritisch zu hinterfragen. Wie sensibel und kritisch sind die Daten, mit denen Sie arbeiten und die Dienste, die Sie zur Verfügung stellen? Wie fatal wären eine Systemlahmlegung oder ein Ausfall für Ihre Tätigkeit?

Schätzen Sie beides als hoch ein, sollte Ihr Netzwerk ausreichend geschützt sein. Das fängt bei Ihrer technischen Ausrüstung mit sicheren, Backdoor-freien Gateways und Firewalls an und mündet in einem guten Risikomanagement.

Hands-On-Tipp:

Wir haben Ihnen hier eine anschauliche Übersicht zusammengestellt, was alles zu einer professionellen Netzwerksicherheit dazugehört.

Außerdem können Sie hier einschätzen, welches Ausmaß an Sicherheitsmaßnahmen Sie in Erwägung ziehen sollten.

Professionelles Risikomanagement betreiben

Gekonntes Risikomanagement legt klare Verantwortlichkeiten fest: Wer ist für den Schutz des Netzwerks verantwortlich und in welchem Ausmaß – die hauseigene IT, ein spezielles Security-Team oder ein externer Dienstleister? Welche Risiken sind für Sie relevant und wie sichern Sie sich dagegen ab?

Eindeutige Regelungen helfen, Sicherheitsvorfälle zu bewältigen und selbst in Krisen den Betrieb souverän aufrecht erhalten zu können. Ihre Netzwerksicherheit erstreckt sich von Mitarbeitenden-Schulungen, einer sicheren Lieferkette, geprüften Netzwerkkomponenten, -systemen und -services sowie Cyberhygiene-Verfahren, über den Einsatz von Verschlüsselung, Zugriffskontrollen und Authentifizierungen bis hin zu gesicherter Sprach-, Video- und Textkommunikation, uvm.

Hands-On-Tipp:

Sie können sofort die Sicherheit Ihrer Bestandsgeräte ohne viel Mehraufwand auf Vordermann bringen. Wie genau, zeigen wir Ihnen hier. Wir haben auch noch weitere Hands-On-Tipps im Gepäck, um für eine gute Sicherheitsbasis zu sorgen.

Lesen Sie auch gerne unser Whitepaper zu mehr Netzwerktransparenz mithilfe von Deep Packet Inspection und Verschlüsselungsproxys:

Whitepaper: Netzwerktransparenz durch DPI und Verschlüsselungsproxys

Reaktionsfähigkeit gewährleisten

Geht trotz allen Vorkehrungen doch einmal etwas schief, sorgen Notfallteams und -abläufe für Schadensbegrenzung. Ihr Netzwerksicherheit-Notfallteam sollte immer erreichbar sein, über redundante Kommunikationskanäle verfügen und an einem sicheren Standort sitzen.

Durch regelmäßige Lagebeurteilungen und proaktive Schwachstellenanalysen ist es in der Lage, Ihr Netzwerk rund um die Uhr zu überwachen, Bedrohungen frühzeitig zu erkennen und Sie bei einem Sicherheitsvorfall umgehend zu informieren.

Hands-On-Tipp:

Durch Cloud-basiertes Netzwerkmanagement erhöhen Sie Ihre Netzwerksicherheit und entlasten Ihre Sicherheitsverantwortlichen. Die Netzwerkmanagement-Cloud übernimmt wesentliche Monitoring-Aufgaben für Sie und erleichtert die Konfiguration Ihrer Firewalls und anderer Geräte. Doch sehen Sie selbst: Cloud-managed Security!

Wiederherstellung bei Sicherheitsvorfällen sichern

Nach einem IT-Sicherheitsvorfall stehen alle Zeichen auf Krisenerholung. Dafür braucht es allerdings schon vor der Krise ein ausgereiftes Konzept zur Datensicherung und digitalen Souveränität.

Mit Daten-Backups und georedundanten Cloud-Servern lässt sich bereits Vieles schützen. Im besten Fall sind Sie selbst in der Lage, Ihre Sicherheitslücken souverän zu schließen und Ihre Systeme sicherheitstechnisch zu warten.

Hands-On-Tipp:

Testen Sie Ihre digitale Souveränität mit unserem Index und finden Sie heraus, wie es um die Datensouveränität in Deutschland steht!

Oder aber Sie beherzigen unsere Tipps für digital souveräne Unternehmen und Behörden.

Auf gute Zusammenarbeit und Unterstützung setzen

Vorfälle souverän zu verhindern, zu überwinden und sich davon zu erholen ist eine Sache, die Fachkräfte und Ressourcen dafür zu haben eine andere. NIS2 verlangt Sicherheitsmaßnahmen beim Erwerb, bei der Entwicklung und Wartung von Netz- und Informationssystemen sowie bei deren Management. Doch nicht jedes Unternehmen hat die Kapazitäten für ein eigenes Cybersicherheitsteam.

Oft müssen die hauseigene IT oder versierte Mitarbeitende die Netzwerksicherheit und Aufgaben wie Firewall-Konfigurationen nebenbei stemmen. In diesen Fällen erleichtert es die Arbeit ungemein, wenn man auf die passende Unterstützung zurückgreifen kann.

Hands-On-Tipp:

Lassen Sie den Großteil der Arbeit Ihre UTM-Firewall erledigen! Die LANCOM R&S®Unified Firewalls sorgen beispielsweise mit einem benutzerfreundlichen Web-Interface als zentrale Managementkonsole im Browser für einen umfassenden Überblick über alle Geräte und Verbindungen im Netzwerk und erleichtern so die Umsetzung von Sicherheitsvorgaben erheblich.

Zusätzlich dazu unterstützen wir Sie mit zahlreichen Support- und Schulungsangeboten sowie hilfreichen Referenzprojekten zur Orientierung und Information:

Kundenreferenz: Sichere VPN-Fernwartung bei OPTIMA

Kundenreferenz: Security-Komplett-Paket für Praxen mit Hasomed

Mit LANCOM zu NIS2-konformer Netzwerksicherheit

Fazit: Die neue NIS2-Richtlinie der EU betrifft deutlich mehr Unternehmen und Institutionen als ihre Vorgängerin NIS1. Außerdem macht sie konkretere Vorgaben, definiert die Überprüfung ihrer Umsetzung deutlicher und sanktioniert deren Nicht-Erfüllung strenger.

Gerade Industrien wie die Lebensmittelindustrie, das produzierende Gewerbe, Anbieter von öffentlichen elektronischen Netzen und Kommunikationsdiensten und Verwalter von Informations- und Kommunikationstechnologien sollten prüfen, ob die neuen Richtlinien für sie gelten und verfolgen, wie das Land, in dem sie sich befinden, die Forderungen der EU in nationales Recht umsetzt.

Idealerweise bereiten Sie sich schon jetzt darauf vor und unterziehen Ihre Netzwerksicherheit einem kritischen Check-Up. LANCOM Systems hilft Ihnen dabei – mit der passenden technischen Ausrüstung, auf Sie zugeschnittene Security-Lösungen und dem entsprechenden Know-How.


Mehr zum Thema

Grundlagen
der Netzwerksicherheit

Hands-on
Netzwerksicherheit

Sofortmaßnahmen
Netzwerksicherheit


Ihre Fragen beantworten wir gerne!

Ihr direkter Draht zu uns

Die meisten Fragen lassen sich im direkten Kontakt am besten klären.

Wir freuen uns darauf, Ihre Fragen und Wünsche telefonisch oder über das Kontaktformular zu beantworten.

Vertrieb Deutschland
+49 (0)2405 49936 333 (D)
+49 (0)2405 49936 122 (AT, CH)