Neue NIS2-Richtlinie: Was wird sich für die europäischen Unternehmen und Behörden ändern?

Neue NIS2-Richtlinie: Was wird sich für die europäischen Unternehmen und Behörden ändern?

22 Sep 2023 | Cybersicherheit, Grundlagen der Cybersicherheit

Diese europaweite Regelung zur Verbesserung der Cybersicherheit verfolgt einen völlig neuen Ansatz. Sie umfasst zahlreiche Anforderungen zur Steigerung des Gesamtniveaus der Cybersicherheit in den europäischen Organisationen. Die Unternehmen werden sich daran halten müssen, und zwar schnell.

Nachfolgend die wichtigsten Entwicklungen der neuen NIS2-Richtlinie: 

NIS2: Erweiterung des Aktionsbereichs von NIS1

2016 wurde die Richtlinie „Network and Information Security“ (NIS) vom Europäischen Parlament und vom Rat der Europäischen Union verabschiedet. Ihr Hauptziel war es, die Cybersicherheit wesentlicher Dienste in zehn kritischen Sektoren zu erhöhen. In Frankreich waren das etwa hundert Akteure.

Angesichts zunehmender Cyberbedrohungen in einem angespannten geopolitischen Kontext sind immer mehr Unternehmen und Institutionen von der Gefahr von IT-Sicherheitsvorfällen betroffen.

Aus diesem Grund hat Europa bereits Ende 2022 eine Erweiterung dieser NIS1-Richtlinie mit NIS2 veröffentlicht. Ziel ist es, die Anwendung der Richtlinie auf weitere Sektoren auszuweiten und die Anforderungen an die Cybersicherheit zu verschärfen.

Daher verfolgt diese neue Richtlinie einen ganzheitlichen, gefahrenübergreifenden Ansatz. Mit anderen Worten: Sie schreibt einem breiten Spektrum von Organisationen vor, ihre Netzwerke und Informationssysteme durch die Kombination verschiedener Cyberstrategien besser zu schützen. Dies beinhaltet:

  • Risikoanalyse,
  • Vorfallsmanagement,
  • Fortführung der Geschäftstätigkeit,
  • Sicherheit der Lieferkette
  • sowie die Verwendung sicherer Kommunikationssysteme für den Notfall innerhalb der Organisation.

 

Alle (oder nahezu alle) Sektoren sind betroffen

Künftig werden Tausende von Unternehmen in mehr als 18 Sektoren unter die NIS2-Richtlinie fallen. Betroffen sind alle privatwirtschaftlichen oder öffentlichen Unternehmen mit mehr als 50 Mitarbeitern oder einem Umsatz von mehr als 10 Millionen Euro. Dazu gehören Unternehmen der Digitalwirtschaft oder bestimmte Behörden oder Körperschaften, die in den vergangenen Monaten verstärkt Ziele von Cyberangriffen wurden. Diese Sektoren werden in zwei Kategorien eingestuft: hoch kritische Sektoren und kritische Sektoren.

Zu den als hoch kritisch eingestuften Sektoren zählen:

  • Energie
  • Transport
  • Bankwesen
  • Finanzmarktinfrastruktur
  • Gesundheit
  • Trinkwasser
  • Abwässer
  • Digitale Infrastruktur
  • IKT-Dienstleistungsmanagement (B2B)
  • Öffentliche Verwaltungen
  • Weltraum

 

Kritische Sektoren sind:

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Herstellung, Produktion und Vertrieb von Chemikalien
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Herstellung
  • Digitale Anbieter
  • Forschung

Zwei neue Kategorien von Unternehmen

Eine weitere Neuerung von NIS2 ist die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen. Diese Einstufung erfolgt entsprechend der Kritikalität, der Anzahl der Mitarbeiter und dem weltweiten Umsatz der betroffenen Unternehmen. Große Unternehmen haben mindestens 250 Mitarbeiter und/oder einen Jahresumsatz von mindestens 50 Millionen Euro. Mittlere Unternehmen haben mindestens 50 Mitarbeiter und/oder einen Jahresumsatz von mehr als 10 Millionen Euro.

Wesentliche Einrichtungen wären somit hauptsächlich große Unternehmen, die in den als hoch kritisch eingestuften Sektoren tätig sind. Wichtige Einrichtungen wären hauptsächlich große und mittlere Organisationen in den als kritisch eingestuften Sektoren und mittlere Organisationen in den als hoch kritisch eingestuften Sektoren.

Mithilfe dieser Unterscheidung können die Anforderungen, aber auch die Sanktionen gegenüber Organisationen proportional zu ihren Mitteln und den datenschutzrechtlichen Belangen angepasst werden.

Es sei darauf hingewiesen, dass in einigen Sektoren die hohe Kritikalität – auch unabhängig von der Größe der Organisation – eine Einstufung als wesentliche Einrichtung rechtfertigen kann. Dies gilt insbesondere für Unternehmen, die auf nationaler Ebene durch die CER-Richtlinie als kritisch eingestuft wurden.

Härtere Strafen

Mit der NIS2-Richtlinie werden auch die Sanktionen verschärft. Eine Organisation, die keine angemessenen Maßnahmen für das Risikomanagement ergreift oder einen Sicherheitsvorfall nicht schnell genug meldet, riskiert ein Bußgeld, das im Verhältnis zu ihrem Umsatz und ihrer Kritikalität steht. Unternehmen drohen somit Bußgelder zwischen 1,4 % und 2 % ihres Umsatzes, die bis zu 10 Millionen Euro erreichen können.

Darüber hinaus können die EU-Mitgliedstaaten die Durchführung von Audits oder Inspektionen bei den Unternehmen verlangen. Bei Bedarf können sie Warnungen aussprechen und Anweisungen erteilen.

Fokus auf zwei neue Verpflichtungen für Organisationen

Meldung von Sicherheitsvorfällen

Mit NIS2 hätten die Organisationen bei Auftreten eines Cybersicherheitsvorfalls 24 Stunden Zeit, um diesen an die ANSSI zu melden. Diese Frist ist noch nicht endgültig und kann vor der Umsetzung der Richtlinie in innerstaatliches Recht geändert werden. Allerdings müssen sich die von NIS2 betroffenen Unternehmen organisieren, um schnell reagieren zu können. Diese Erstmeldung gleicht einem vorläufigen Bericht, der durch einen abschließenden Bericht ergänzt werden muss. Ziel ist es, die Reaktionsfähigkeit der Behörden auf einen Vorfall zu verbessern und Cyberangriffe genauer zu verfolgen.

Cybersecurity-Schulung von Führungskräften, Managern und Mitarbeitern

Die interne Schulung ist ein Schlüsselelement dieser neuen Richtlinie und fördert eine massive Sensibilisierung für das Thema Cybersicherheit.

In der Tat zielt NIS2 hauptsächlich auf die verpflichtende Einrichtung technischer, aber vor allem auch operativer und organisatorischer Maßnahmen ab. Die gesamte Organisation muss für ihre Cybersicherheit mobilisiert werden. Diese Aufgabe darf sich nicht mehr nur auf die IT-Abteilung beschränken.

Aus diesem Grund sieht die Richtlinie eine Verpflichtung zur Cybersecurity-Schulung von Führungskräften vor, die systematisch alle Sicherheitsmaßnahmen genehmigen müssen. Dies umso mehr, als die Führungskräfte, die die Organisation vertreten, bei Zuwiderhandlung gegen die Pflichten dieser Richtlinie haftbar gemacht werden können.

Unter dem Gesichtspunkt der Ausweitung der Cybersecurity auf alle Funktionen, könnte die NIS2-Richtlinie die Tätigkeit des DPO (Datenschutzbeauftragter) neu definieren und ihm Aufgaben in Bezug auf die Anwendung dieser Richtlinie übertragen. Neue Aufgaben, die im Einklang mit denen der Datenschutz-Compliance nach DSGVO (Datenschutz-Grundverordnung) stehen. Eine Möglichkeit, die Cybersicherheit als rechtliches Risiko zu betrachten, für das nicht nur die Verantwortlichen für die Sicherheit der Informationssysteme (CISO) zuständig sind.

https://www.tixeo.com/de/wie-koennen-mitarbeiter-fuer-cybersicherheit-sensibilisiert-werden/

Ab wann müssen die Organisationen die Richtlinie einhalten? 

Zunächst wird die Richtlinie ab dem 17. September 2023 in 27 Ländern in innerstaatliches Recht umgesetzt. Danach gilt sie ab Oktober 2024 verbindlich für alle betroffenen Unternehmen und Behörden. Allerdings müssen sich die Organisationen bereits jetzt auf die neuen Cybersicherheitsstandards vorbereiten und ihr Sicherheitsniveau erhöhen. Auf diese Weise können sie den stetig steigenden Cyberbedrohungen entgegenwirken.

Wie können sich die Unternehmen vorbereiten? 

Ab sofort können sich die von der NIS2-Richtlinie betroffenen Organisationen von Experten beraten lassen, um das Sicherheitsniveau ihres Informationssystems zu bewerten und Empfehlungen zu erhalten.

Als von der ANSSI zertifizierter und qualifizierter Vertrauensdienstleister unterstützt Tixeo die Betreiber wesentlicher Dienste (OSE) und die Betreiber vitaler Bedeutung (OIV) bei der Erfüllung der NIS2-Konformität. Zu den Empfehlungen, um die Fortführung der Geschäftstätigkeit im Krisenfall zu gewährleisten, gehört die Verwendung sicherer Kommunikationssysteme. Der Schutz der Online-Kommunikation garantiert somit die Cyber-Resilienz der Unternehmen.

Testen Sie Tixeo kostenlos für 30 Tage
Wie können Mitarbeiter für Cybersicherheit sensibilisiert werden?

Wie können Mitarbeiter für Cybersicherheit sensibilisiert werden?

4 Aug 2023 | Amenazas y Vulnerabilidades, Cybersicherheit

Spearphishing, Ransomware, Malware-Download … Diese Cybersecurity-Bedrohungen betreffen die Mitarbeiter aller Unternehmen. Das gilt vor allem im Homeoffice.

Wirtschaftliche und politische Risiken

Cyberangriffe in Unternehmen und Behörden verfolgen wirtschaftliche und manchmal auch politische Interessen – je nachdem, um welche Branche es geht.

Können die Hacker folgende Ziele haben:

  • Stehlen von Geld einer Privatperson oder eines Unternehmens
  • Abgreifen der Kunden eines Unternehmens
  • Schädigen des Rufs eines Unternehmens oder eines Politikers/einer politischen Partei
  • industrielle, politische oder militärische Spionage
  • usw.

An vorderster Front angesichts dieser zunehmenden zunehmenden Cybersicherheitsrisiken stehen die Mitarbeiter einer Organisation. Sensibilisierungsmaßnahmen sind daher unerlässlich, damit sie sich der Gefahren bewusst werden und entsprechend reagieren können.

 

Maßnahmen zur Sensibilisierung für IT-Sicherheit:

Planen regelmäßiger Schulungen

Schulungen für Cybersicherheit betreffen alle Mitarbeiter des Unternehmens und müssen regelmäßig angeboten werden. Es ist besser, sie in kleinen Gruppen zu organisieren, um den Gedankenaustausch zu fördern und sie, wenn möglich, an die Berufsprofile anzupassen.

Buchhalter oder Personaler brauchen nämlich eine andere Schulung in Cybersicherheit als Entwickler oder Vertriebsleute. Bei einer Segmentierung der Schulungen nach Berufen können auch präzise und konkrete Themen angesprochen werden, die für die jeweilige Tätigkeit eine Rolle spielen (WLAN-Netze auf Geschäftsreisen, betrügerische E-Mails usw.). Idealerweise sollten die Schulungsmodule kurz sein und nicht mehr als eine Stunde in Anspruch nehmen. Bei längeren Schulungen besteht die Gefahr, dass die Konzentration nachlässt und der Inhalt der Schulung weniger gut verstanden wir.

Es kann interessant sein, jede Schulung mit einem praktischen und zusammenfassenden Dokument abzuschließen, das dem Mitarbeiter als Gedankenstütze dient. Für den unterhaltsamen Aspekt können im Anschluss an die Schulungen auch Quiz mit Belohnungen angeboten werden, um die Mitarbeiter maximal zu motivieren, sich für das Thema zu interessieren.

 

Einsatz von Gamification

Mit Gamification lassen sich bei Cybersecurity-Schulungen ebenfalls sehr gute Ergebnisse in unterhaltsamem Rahmen erzielen. Verschiedene Organisationen bieten Escape Games oder Cyber Games zum Thema IT-Sicherheit an, bei denen die Mitarbeiter zum Beispiel in die Rolle eines Hackers schlüpfen. Diese interaktiven Rollenspiele und Schulungen geben die Möglichkeit, sich der Risiken besser bewusst zu werden und gleichzeitig lassen sie das Thema weniger beängstigend wirken.

 

Einsatz namhafter Spezialisten

Bei umfassenderen Schulungen ist die Mitwirkung eines bekannten Cybersecurity-Spezialisten eine gute Möglichkeit, die Aufmerksamkeit des Publikums zu fesseln und gleichzeitig von einer umfangreichen Expertise zu profitieren. Je nach Branche und den vom Unternehmen zu bewältigenden Herausforderungen kann es sich um spezialisierte Organisationen für IT-Sicherheit, Wissenschaftlicher oder auch Experten für Cyberabwehr handeln.

 

Stärkung der internen Kommunikation

Die Mitarbeiter müssen regelmäßig über das aktuelle Geschehen zur Cybersicherheit informiert werden, unabhängig davon, ob sie direkt ihr Unternehmen betreffen oder nicht. Konkrete Beispiele für Vorfälle und deren Folgen zu nennen, ist ein gutes Mittel zur Sensibilisierung.

So nehmen z.B. derzeit Spearphishing-Attacken immer mehr zu und betreffen immer mehr Organisationen. Diese Art von Cyberangriff richtet sich gezielt gegen einen Mitarbeiter eines Unternehmens, der Zugang zu sensiblen Informationen hat. In der Regel beruht dieses Verfahren auf Identitätsdiebstahl und starkem Social Engineering. Ziel des Angreifers ist es, eine E-Mail zu senden, die der Tätigkeit der betroffenen Person oder des betroffenen Unternehmens entspricht, und dazu anzuregen, auf einen Malware-Link zu klicken oder einen infizierten Dateianhang zu öffnen. Somit können die Daten des Mitarbeiters kompromittiert sein. Die Erfolgsquote von Spearphishing ist bedenklich hoch. Es ist notwendig, den Mitarbeitern solche Informationen per E-Mail, über ein soziales Unternehmensnetzwerk oder in einem internen System zu übermitteln. Zusammen mit diesen Mitteilungen können einige konkrete Vorgehensweisen genannt werden, um nicht in die Falle zu tappen.

Außerdem müssen die Mitarbeiter bei einem Zwischenfall schnell reagieren können, insbesondere wenn ihr Rechner infiziert und somit unbrauchbar ist. Als Hilfestellung können „SOS-Merkblätter“ zu verschiedenen aufgetretenen Problemen ausgedruckt und vorbeugend verteilt werden (Beispiel: „Ich habe auf einen falschen Link geklickt. Was soll ich tun?“). Die Mitarbeiter finden dort die Kontaktdaten der Support-Abteilung und einige einfache, zu ergreifende Maßnahmen, bis der Support tätig wird. Diese Merkblätter sind besonders nützlich für Mitarbeiter im Homeoffice, die angesichts dieser Sicherheitsproblemen stärker auf sich selbst gestellt sind.

 

5 Tipps von Julien, System- und Sicherheitsadministrator @Tixeo, zur Sicherung des Arbeitens im Homeoffice

Durchführen von Testkampagnen

Um das Bewusstsein zu schärfen, gibt es nichts Besseres als einen (falschen) Cyberangriff. Cybersecurity-Testkampagnen betreffen das gesamte Unternehmen und verfolgen ein zweifaches Ziel: Sie zeigen den Mitarbeitern, dass sie von Angriffen betroffen sein können, und messen auf diese Weise ihre Wachsamkeit. In der Regel werden Phishing-Kampagnen durchgeführt, da diese Art von E-Mail-Angriffen immer noch am häufigsten ist. Nach Abschluss dieser Testkampagnen und je nach Ergebnis sollten den Mitarbeitern zusätzliche Schulungsmodule angeboten werden.

 

Drei unverzichtbare Vorkehrungen zur Sensibilisierung für Cybersicherheit

Ein vielfältiges Angebot an Aktionen

Es ist nicht immer einfach, Zeit für eine Schulung zu finden, und die meisten Arbeitnehmer kommen nur schleppend der Aufforderung zur Cybersecurity-Schulung nach. Der Schlüssel zum Erfolg liegt also darin, ein vielfältiges Schulungsprogramm anzubieten, um das Thema aus verschiedenen Blickwinkeln anzugehen und konkrete und praktische Informationen zu vermitteln. Ohne den didaktischen und unterhaltsamen Aspekt zu vergessen!

Anpassung der Sensibilisierung an die verschiedenen Berufe

Für die Mitarbeiter ist es wichtig, Techniken zu erlernen, um sich selbst zu schützen, aber auch und vor allem, um sich bewusst zu werden, dass heute jeder ein Ziel für die Hacker ist. Die globale Sensibilisierung der Belegschaft muss gleichzeitig mit der Sensibilisierung der verschiedenen Berufsprofile erfolgen.

 

Verstärkung der Schulungen für Homeworker

Benötigen alle Mitarbeiter Schulungen in IT-Sicherheit, so gilt dies noch mehr für Mitarbeiter im Homeoffice. Seit der Einführung von Homeoffice sind die Cyberangriffe sprunghaft gestiegen – und damit auch die Kosten für die Unternehmen. Diese haben ein großes Interesse daran, ein Maximum an Schulungen für Homeoffice-Mitarbeiter zu organisieren und ihren Fernsupport im Problemfall zu intensivieren.

 

Mehr bewährte Vorgehensweise für Sicherheit im Homeoffice entdecken:

Weißbuch herunterladen
Cybersicherheit sensibilisiert
Testen Sie Tixeo kostenlos für 30 Tage

Spionage: Wie erkennt man ungesicherte Videokonferenzen?

Wie kann man ein Zoombombing bei einer Videokonferenz vermeiden?