Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Kostenlos testen DEMO
Home > Sicherheits- und Compliance-Blog > Regulatorische Compliance > NIS 2-Richtlinie: Was bedeutet sie für Ihr Unternehmen?
NIS 2-Richtlinie: Was bedeutet sie für Ihr Unternehmen?

NIS 2-Richtlinie: Was bedeutet sie für Ihr Unternehmen?

von Danielle Kinsella on März 18, 2023 Regulatorische Compliance
Lesezeit: 7 Minuten

Was ist die Network and Information Systems Directive (NIS)?

Die Network and Information Systems Directive (NIS-Richtlinie) ist ein 2016 von der Europäischen Union (EU) verabschiedetes Gesetz zur Erhöhung der Cybersicherheit und zum Schutz kritischer Dienste und Infrastrukturen vor Cyberbedrohungen. Die NIS-2-Richtlinie verpflichtet die EU-Mitgliedstaaten, einen nationalen Rahmen für die Netzwerk- und Informationssicherheit zu schaffen und bestimmte Betreiber kritischer Dienste („Operators of Essential Services“, OES) und Anbieter digitaler Dienste („Digital Service Providers“, DSP) als „kritische Infrastrukturen“ zu benennen, die Cybersicherheitsstandards erfüllen müssen. Die Richtlinie schreibt auch die Meldung von Vorfällen vor und verpflichtet die Mitgliedstaaten zur Zusammenarbeit in Fragen der Cybersicherheit.

Aktualisierung der NIS 2-Richtlinie

Im November 2022 kündigte die Europäische Union ihre Absicht an, den Anwendungsbereich der Richtlinie über Netz- und Informationssysteme (NIS) zu erweitern, um Schwachstellen und Bedrohungen aus dem Internet zu bekämpfen. Diese Reformen, die nun als NIS 2 bezeichnet werden, zielen darauf ab, die Cyber-Resilienz zu stärken, indem externe IT-Dienstleister und Managed Service Provider (MSP) in den aktuellen Anwendungsbereich der Richtlinie aufgenommen werden. Wie erwartet, werden die neuen Regeln wichtige Dienstleister wie Energie-, Gesundheits-, Transport- und Wasserversorger betreffen. Sie werden zur Einhaltung der Vorschriften verpflichtet und riskieren bei Nichteinhaltung Bußgelder von bis zu 17 Millionen britische Pfund bzw. 10 Millionen Euro oder 2 % ihres weltweiten Umsatzes in der EU.

Die formelle Verabschiedung der NIS 2 fand am 10. November 2022 statt, die formelle Inkraftsetzung erfolgte am 16. Januar 2023. Das bedeutet, dass die EU-Mitgliedstaaten innerhalb von 21 Monaten nach dem Datum der offiziellen Inkraftsetzung mit der Umsetzung beginnen müssen. Spätestens am 17. Oktober 2024 muss die Implementierung abgeschlossen sein.

Was hat sich in der NIS 2-Richtlinie geändert??

Die NIS 2-Richtlinie hebt die ursprüngliche NIS-Richtlinie auf und schafft ein umfassenderes und standardisiertes Regelwerk zur Cybersicherheit für Unternehmen, die innerhalb der EU tätig sind. NIS 2 enthält einige wichtige Änderungen, darunter:

Erweiterter Geltungsbereich der NIS 2-Richtlinie

Die Zahl der Unternehmen, die unter die NIS 2-Richtlinie fallen, ist im Vergleich zur ursprünglichen NIS-Richtlinie erheblich gestiegen. In der neuen NIS 2-Richtlinie sind die Unternehmen, für die die Verpflichtungen gelten, genau definiert. Durch die Einbeziehung der Postdienste, der Abfallwirtschaft, der Herstellung und des Vertriebs von Chemikalien sowie der Agrar- und Ernährungswirtschaft erhöht sich die Zahl der unter die NIS 2-Richtlinie fallenden Sektoren von 19 auf 35.

Darüber hinaus enthält die NIS 2 genauere Angaben darüber, welche Unternehmen innerhalb dieser Sektoren den Anforderungen unterliegen. Jedes Unternehmen mit mehr als 250 Mitarbeitern und einem Jahresumsatz von mehr als 50 Millionen Euro und/oder einer Jahresbilanzsumme von mehr als 43 Millionen Euro ist betroffen. Unter bestimmten Umständen müssen auch Unternehmen unabhängig von ihrer Größe die Anforderungen erfüllen, z. B. Betreiber öffentlicher elektronischer Kommunikationsnetze.

Verschärfte Sicherheitsanforderungen

Die NIS 2-Richtlinie verschärft die Sicherheitsanforderungen für Unternehmen, indem sie einen Risikomanagementansatz vorschreibt und eine Mindestliste grundlegender Sicherheitselemente festlegt, die umgesetzt werden müssen. Darüber hinaus enthält sie genauere Bestimmungen über das Meldeverfahren, den Inhalt der Berichte und die Meldefrist (d. h. innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls).

Verstärkte Zusammenarbeit

NIS 2 zielt darauf ab, die Zusammenarbeit durch die Stärkung des Vertrauens und die Erleichterung des Informationsaustauschs zwischen den EU-Mitgliedstaaten sowie deren koordiniertes Management größerer Cybersicherheitskrisen auf EU-Ebene zu verbessern. Dies führte zur Einrichtung des European Cyber Crisis Liaison Organisation Network (EU CyCLONe), das sich speziell diesen Initiativen auf EU-Ebene widmet.

Schnellere Meldung von Ereignissen

NIS 2 schreibt vor, dass wichtige und kritische Einrichtungen ihre jeweiligen nationalen Computer Security Incident Response Teams (CSIRTs) oder, falls zutreffend, die zuständigen Behörden über alle Vorfälle informieren müssen, die erhebliche Auswirkungen auf ihre Dienste haben. Die zu ergreifenden Maßnahmen umfassen die Übermittlung einer Frühwarnung innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls, in der anzugeben ist, ob der Vorfall auf böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen hat; die Übermittlung einer Vorfallsmeldung innerhalb von 72 Stunden, die einen ersten Überblick über den Vorfall, sein Ausmaß und seine Folgen gibt; die Übermittlung eines Zwischenberichts, wenn das CSIRT oder die zuständige Behörde dies verlangen; und die Übermittlung eines Abschlussberichts spätestens einen Monat nach der Meldung des Vorfalls, in dem die wahrscheinliche Ursache des Vorfalls, die ergriffenen Abhilfemaßnahmen und die grenzüberschreitenden Auswirkungen des Vorfalls im Einzelnen aufgeführt sein müssen.

Durchsetzung

Die EU-Mitgliedstaaten werden in der Lage sein, ein strenges Durchsetzungssystem anzuwenden, einschließlich des Rechts, Inspektionen und Sicherheitsbewertungen durchzuführen und Daten und Unterlagen anzufordern. Verstöße gegen die NIS 2-Richtlinie können mit hohen Geldstrafen geahndet werden:

  • Bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes für OES (Operator of Essential Services)
  • Bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes für DSPs (Digital Service Providers)

Management von Risiken, die von Drittparteien in der Lieferkette ausgehen

Die Lieferkette steht im Mittelpunkt von Cyber-Angriffen. Mithilfe des Supply Chain Risk Management (SCRM) wird versucht, die Unterschiede zwischen bestehenden Sicherheitskontrollen, potenziellen Schwachstellen, gesetzlichen Anforderungen und Geschäftszielen zu verstehen und auszugleichen. Die NIS 2 trägt diesem Cybersicherheitsrisiko Rechnung, indem sie ein striktes Supply Chain Risk Management vorschreibt.

Verschärfte Sicherheitsanforderungen

Die neuen Sicherheitsverpflichtungen der NIS 2-Richtlinie beruhen auf einem risikobasierten Sicherheitsansatz. Dieser Ansatz steht im Einklang mit anderen Vorschriften wie der General Data Protection Regulation (GDPR/DSGVO). Incident-Response-, Krisen- und Risikomanagement-Verfahren spielen eine Schlüsselrolle bei der Einhaltung von NIS 2 und sollten die Grundlage für die Umsetzung der in der Richtlinie beschriebenen Sicherheitsmaßnahmen bilden. Zur Aufrechterhaltung eines hohen Sicherheitsniveaus bei den Anbietern kritischer Dienste verlangt NIS 2, dass die betroffenen Unternehmen strenge Anforderungen erfüllen in Bezug auf:

  • Durchführung einer Risikobewertung und Einführung angemessener Richtlinien für die Sicherheit von Informationssystemen
  • Vorbeugung, Erkennung und sofortige Reaktion auf Zwischenfälle
  • Krisenmanagement und Aufrechterhaltung des Geschäftsbetriebs im Falle eines schweren Cyber-Vorfalls
  • Gewährleistung der Lieferkettensicherheit
  • Gewährleistung der Sicherheit ihrer Netzwerke und Informationssysteme
  • Richtlinien und Prozesse, die die Wirksamkeit der Verfahren für das Management von Risiken im Bereich der Cyber-Sicherheit bewerten

Wie können Unternehmen ihre Voraussetzungen für die Umsetzung von NIS 2 verbessern?

Unternehmen können ihre Vorbereitung auf die Erfüllung von NIS 2 verbessern, indem sie z. B. folgende Maßnahmen ergreifen:

Einführung eines inhaltsbezogenen Zero-Trust-Modells

Zero-Trust-Modelle basieren auf dem Prinzip „Niemals vertrauen, immer überprüfen“ und beschränken den Zugang zum Netzwerk oder System eines Unternehmens auf autorisierte Benutzer. Authentifizierungsrichtlinien müssen implementiert werden, um sicherzustellen, dass der Zugang nur gewährt wird, wenn der Benutzer durch das System mittels Multi-Faktor-Authentifizierung oder einer anderen Verifizierungsmethode identifiziert wurde. Ein inhaltsbasierter Zero-Trust-Ansatz sollte granulare Zugriffskontroll- und Protokollierungsrichtlinien umfassen, damit Unternehmen ihre Kommunikation mit sensiblen Inhalten vor Cyber- und Compliance-Risiken schützen können.

Cybersecurity-Risikomanagement

Risikomanagement sollte ein zentraler Bestandteil der Sicherheitsstrategie jedes Unternehmens sein. Es sollten regelmäßig Risikobewertungen durchgeführt werden, um potenzielle Bedrohungen oder Schwachstellen zu ermitteln. Darüber hinaus sollten Richtlinien und Kontrollen eingeführt werden, um erkannten Bedrohungen zu begegnen. Dazu gehören sowohl technische Lösungen wie Firewalls, Intrusion-Detection-Systeme und Viren-/Anti-Malware-Schutz als auch nicht-technische Lösungen wie Sicherheitsschulungen für Mitarbeiter und Verfahren zur Verwaltung und Überwachung potenzieller Risiken.

Multi-Faktor-Authentifizierung

Multi-Faktor-Authentifizierung (MFA) kann verwendet werden, um der Benutzerauthentifizierung eine zusätzliche Sicherheitsebene hinzuzufügen. Dabei müssen Benutzer zwei oder mehr Authentifizierungsfaktoren eingeben, z. B. einen Benutzernamen und ein Kennwort, um Zugang zu einem System oder einer Ressource zu erhalten. Dies ist besonders wichtig für den Remote-Zugriff, bei dem ein zusätzlicher Verifizierungsprozess, z. B. ein einmaliger Code, der per SMS oder E-Mail verschickt wird, eine zusätzliche Sicherheitsstufe darstellt.

Ende-zu-Ende-Verschlüsselung

Die Ende-zu-Ende-Verschlüsselung ist entscheidend für den Schutz sensibler Daten, die in einem Netzwerk gespeichert oder übertragen werden. Dabei werden die Daten so verschlüsselt, dass sie nicht mehr lesbar sind, bis sie mit einem geeigneten Schlüssel entschlüsselt werden. Es gibt verschiedene Verschlüsselungsalgorithmen, die verwendet werden können, z. B. AES-256-Verschlüsselung. Verschlüsselung kann auch verwendet werden, um Daten zu anonymisieren oder um sicherzustellen, dass nur autorisierte Benutzer auf sie zugreifen können, z. B. durch einen Verschlüsselungscode.

Sichere Dateifreigabe

Dazu gehört die Implementierung einer sicheren Lösung für die gemeinsame Nutzung von Dateien, um zu verhindern, dass vertrauliche Daten an Unbefugte weitergegeben werden. Dies kann den Einsatz von Zugriffskontrollrichtlinien beinhalten, um nur befugten Mitarbeitern den Zugriff auf Daten zu ermöglichen, sowie Tools zur Überwachung von Mitarbeitern, die Dateien gemeinsam nutzen. Darüber hinaus kann die Verwaltung digitaler Rechte (Digital Rights Management, DRM) eingesetzt werden, um zu kontrollieren, wer Dateien öffnen, bearbeiten und freigeben darf, und um den Zugriff auf der Grundlage von Rollen und Benutzerprofilen einzuschränken.

Sichere E-Mail

E-Mails sind oft das erste Ziel von Social Engineering oder Phishing-Betrügereien. Daher ist es wichtig, dass E-Mails sicher sind und alle sensiblen Informationen verschlüsselt werden. Sichere E-Mail-Lösungen können zum Schutz vor unbefugtem Zugriff oder Abfangen von Nachrichten beitragen und können Verschlüsselung, digitale Signaturen und andere Sicherheitsmaßnahmen umfassen.

Sicherheitstraining und Sensibilisierungsprogramm

Es ist wichtig, dass die Mitarbeiter mit den richtigen Cybersicherheitsverfahren vertraut sind und in der Lage sind, potenzielle Bedrohungen zu erkennen und zu vermeiden. Dies kann durch Sicherheitsschulungen und Sensibilisierungsprogramme erreicht werden, die Themen wie Phishing-Betrug, Social-Engineering-Taktiken und die Erstellung sicherer Passwörter umfassen können. Darüber hinaus ist es wichtig, dass die Mitarbeiter über neue Sicherheitsmaßnahmen, Best Practices und die neuesten Bedrohungen informiert sind.

Lösungen für die Netzwerksicherheit

Firewalls, Intrusion Prevention Systeme und Antiviren-/Antimalware-Lösungen sind wichtige Bestandteile einer umfassenden Sicherheitslösung für Ihr Netzwerk. Firewalls ermöglichen die Kontrolle des ein- und ausgehenden Datenverkehrs, um unbefugten Zugriff zu verhindern. Intrusion-Detection-Systeme können sicherheitsrelevante Aktivitäten wie Malware, Datenverlust und Hacking-Versuche erkennen und die Administratoren alarmieren. Antiviren-/Anti-Malware-Lösungen können vor Schadsoftware schützen, die sich möglicherweise auf dem System befindet. Darüber hinaus sollte eine effektive Sicherheitsstrategie regelmäßige System- und Netzwerkscans, Anwendungs-Patches, Überwachung und Tests umfassen.

Wie kann Kiteworks Unternehmen dabei unterstützen, die Anforderungen von NIS 2 zu erfüllen?

Das Kiteworks Private Content Network bietet ein Maß an Transparenz und Kontrolle, das es Unternehmen ermöglicht, die Einhaltung der NIS 2-Richtlinie nachzuweisen. Die Kiteworks-Plattform erreicht dies durch:

Durchsetzung der Compliance mit Richtlinien zur Sicherheit von Informationssystemen

Kiteworks ermöglicht Kunden die Standardisierung von Sicherheitsrichtlinien für E-Mail, Dateifreigabe, mobile Geräte, MFT, SFTP und mehr mit der Möglichkeit, granulare Richtlinienkontrollen zum Schutz der Daten anzuwenden.

Administratoren können rollenbasierte Berechtigungen für externe Benutzer definieren, um die NIS 2-Konformität über alle Kommunikationskanäle hinweg konsequent durchzusetzen.

.

Unterstützung der Geschäftskontinuität

Genaue Protokollierung aller Aktivitäten und technischen Daten mit benutzerfreundlichen Nachverfolgungsanzeigen, so dass Audit-Protokolle einen doppelten Zweck erfüllen, nämlich sicherzustellen, dass eine Organisation Datenschutzverletzungen untersuchen kann, und bei Audits den Nachweis der Compliance zu erbringen. Im Falle einer Datenschutzverletzung kann ein Unternehmen genau sehen, was exfiltriert wurde, so dass es sofort mit der Wiederherstellung beginnen und seine täglichen Aktivitäten unter Einhaltung der Compliance fortsetzen kann.

Definition und Durchsetzung grundlegender Verfahren der Cyber-Hygiene

Die ISO hat Kiteworks validiert, um Ihre sensiblen Inhalte effektiv vor Cyber-Risiken zu schützen (ISO 27001), auch wenn sie als Cloud-Service bereitgestellt werden (ISO 27017), und um Ihr Unternehmen vor dem Verlust personenbezogener Daten zu schützen (ISO 27018). Darüber hinaus verfügt Kiteworks über eine Reihe von Compliance-Zertifizierungen, einschließlich SOC-2-Konformität und SOC-2-Zertifizierung. Diese Zertifizierungen, zusammen mit der Single-Tenant-Architektur und der Multi-Layer-Sicherheit, bestätigen, dass Kiteworks in der Lage ist, das Risiko in Bezug auf die Datensicherheit mit dem Content Management System zu reduzieren und Ihre grundlegenden Cyber-Hygiene-Verfahren in Übereinstimmung mit NIS 2 zu gewährleisten.

Schutz sensibler Inhalte durch Verschlüsselung

Sorgen Sie für die Verschlüsselung aller Inhalte auf Volume- und Dateiebene im Ruhezustand (mit AES-256-Verschlüsselung) und TLS-Verschlüsselung während der Übertragung, um Inhalte vor unbefugtem Zugriff, Datenbeschädigung und Malware zu schützen. Die flexible Verschlüsselung ermöglicht es Kunden, die Ende-zu-Ende-Verschlüsselung von Kiteworks zu nutzen und eine Brücke zu Partnern mit verschiedenen Standards wie OpenPGP, S/MIME und TLS zu schlagen. Kiteworks Secure E-Mail bietet Verschlüsselung und einheitliche Sicherheitskontrollen mit einem E-Mail Protection Gateway (EPG), welches sicherstellt, dass nur authentifizierte Benutzer Nachrichten lesen können.

Richtlinien für Zugangskontrolle und Asset-Verwaltung

Kiteworks-Administratoren richten granulare Kontrollen ein, um sensible Inhalte zu schützen und Compliance-Richtlinien durchzusetzen. Sie ermöglichen den Geschäftsinhabern die einfache Verwaltung von Inhalten, Ordnern, Einladungen und Zugriffskontrollen, um die NIS 2-Konformität aller Inhalte zu gewährleisten. Die Zugriffskontrolle kann zur Einhaltung von Compliance-Richtlinien mit Geofencing, Anwendungsaktivierung, Dateityp-Filterung und E-Mail-Weiterleitung erweitert werden.

Kiteworks bietet eine Reihe von Funktionen, um die Einhaltung von IT-Sicherheitsrichtlinien durchzusetzen, Vorfälle effizient zu behandeln, die Geschäftskontinuität zu unterstützen, Schwachstellen in Entwicklung und Wartung zu verwalten, grundlegende Cyber-Hygieneverfahren zu definieren und durchzusetzen, Inhalte durch Verschlüsselung zu schützen, Richtlinien für Zugriffskontrolle und Asset-Management zu implementieren und Benutzer mit Multi-Faktor-Authentifizierung zu verifizieren. Diese Funktionen ermöglichen es Unternehmen, Sicherheitsvorfälle zu erkennen und darauf zu reagieren, Schwachstellen zu verwalten und die Einhaltung der NIS 2-Anforderungen zu gewährleisten.

Unternehmen in der gesamten EU, die NIS 2 Compliance anstreben, können eine individuelle Demo vereinbaren, um mehr über die Kiteworks-Plattform zu erfahren.

Weitere Informationen

 

console.log ('hstc cookie not exist') "; } else { //echo ""; echo ""; } ?>
Teilen
Twittern
Teilen