Normen & Zertifizierungen

NIS-2 Richtlinie

Die NIS-2-Richtlinie (Netz- und Informationssicherheitsrichtlinie 2) ist eine überarbeitete Version der ersten NIS-Richtlinie, die von der Europäischen Union im Jahr 2016 eingeführt wurde. Ziel der NIS-2 ist es, den Schutz kritischer Infrastrukturen und digitaler Dienste in der gesamten EU zu verbessern, indem Sicherheitsanforderungen für eine Vielzahl von Sektoren festgelegt werden. Die NIS-2-Richtlinie wurde entwickelt, um den Herausforderungen der wachsenden Cyberbedrohungen gerecht zu werden und die Cybersicherheit innerhalb der Mitgliedstaaten zu stärken. 

Hintergrund 

Die erste NIS-Richtlinie wurde als Reaktion auf die zunehmende Abhängigkeit von Informations- und Kommunikationstechnologien verabschiedet. Angesichts der fortschreitenden Digitalisierung und der wachsenden Bedrohung durch Cyberangriffe wurde jedoch klar, dass eine erweiterte und strengere Regelung notwendig ist. Aus diesem Grund wurde die NIS-2-Richtlinie ins Leben gerufen, um Sicherheitsstandards zu harmonisieren und sicherzustellen, dass kritische Sektoren besser gegen Cybervorfälle geschützt sind. 

Hauptmerkmale der NIS-2-Richtlinie 

1. Erweiterter Anwendungsbereich

Im Vergleich zur ursprünglichen NIS-Richtlinie umfasst NIS-2 eine breitere Palette von Sektoren und Dienstleistungen. Neben den bereits abgedeckten Bereichen wie Energie, Verkehr und digitale Infrastruktur werden nun auch Gesundheitswesen, Abfall- und Wasserversorgung sowie die öffentliche Verwaltung in den Regelungsbereich aufgenommen. Selbst kleinere Unternehmen können, sofern sie als systemrelevant gelten, unter die Richtlinie fallen. 

 2. Strengere Sicherheitsanforderungen

Die NIS-2-Richtlinie verschärft die Anforderungen an das Sicherheitsmanagement von Unternehmen und Organisationen, die als kritische Infrastrukturen gelten. Sie müssen umfassende Maßnahmen zur Risikobewältigung und zur Cybersicherheitsprävention einführen. Dazu gehören technische und organisatorische Maßnahmen wie die Implementierung von Sicherheitsrichtlinien, Schulungen, die Überwachung von IT-Systemen und der Schutz vor Cyberbedrohungen. 

 3. Meldepflicht für Cybervorfälle

Eine der wesentlichen Neuerungen ist die verschärfte Meldepflicht. Unternehmen, die von einem Cybervorfall betroffen sind, müssen diesen innerhalb von 24 Stunden an die zuständigen nationalen Behörden melden. Diese Verpflichtung soll sicherstellen, dass Cyberangriffe schneller identifiziert und besser koordiniert bekämpft werden können. 

 4. Strengere Sanktionen und Durchsetzung 

Die NIS-2 sieht härtere Strafen und Sanktionen vor, falls Unternehmen die Sicherheitsanforderungen nicht einhalten. Diese Sanktionen können finanzielle Strafen umfassen, die an den Jahresumsatz der Organisation gekoppelt sind, sowie weitere Disziplinarmaßnahmen. Ziel ist es, sicherzustellen, dass Unternehmen ihren Verpflichtungen in Bezug auf Cybersicherheit nachkommen. 

 5. Stärkere Zusammenarbeit auf europäischer Ebene

Die Richtlinie fördert die Zusammenarbeit und den Informationsaustausch zwischen den EU-Mitgliedstaaten. Sie sieht die Schaffung eines Netzwerks von nationalen Computer-Sicherheitsvorfallteams (CSIRT) vor, das die gemeinsame Abwehr von Cyberbedrohungen erleichtern soll. Darüber hinaus wird ein neues Gremium zur Überwachung und Durchsetzung der Richtlinie auf europäischer Ebene eingerichtet. 

Ziel der NIS-2 Richtlinie 

Das Hauptziel der NIS-2-Richtlinie ist es, das allgemeine Sicherheitsniveau in der EU zu verbessern und die Resilienz kritischer Infrastrukturen gegenüber Cyberbedrohungen zu stärken. Durch die Ausweitung des Anwendungsbereichs und die Einführung strengerer Sicherheitsvorschriften sollen sowohl große Unternehmen als auch mittelständische und systemrelevante kleinere Organisationen besser geschützt werden. 

Umsetzung und Auswirkungen 

Die EU-Mitgliedstaaten sind verpflichtet, die NIS-2-Richtlinie in nationales Recht zu überführen. Die Umsetzung erfolgt bis 2024, und die nationalen Behörden sind dafür verantwortlich, die Einhaltung der Vorschriften zu überwachen. Unternehmen, die unter die NIS-2 fallen, müssen ihre Cybersicherheitsstrategien anpassen, um die Anforderungen zu erfüllen. Dies könnte zu erheblichen Investitionen in IT-Sicherheitslösungen und -ressourcen führen. 

Die NIS-2-Richtlinie markiert einen wichtigen Schritt in der Weiterentwicklung der Cybersicherheitslandschaft in der Europäischen Union. Durch ihre verschärften Sicherheitsanforderungen und den erweiterten Anwendungsbereich trägt sie dazu bei, die EU widerstandsfähiger gegenüber Cyberbedrohungen zu machen und die Sicherheit kritischer Sektoren zu gewährleisten. 

NIS-2 Betroffenheitsprüfung 

Unternehmen können mit einer speziellen Betroffenheitsprüfung feststellen, ob sie von den Regelungen der NIS-2-Richtlinie betroffen sind. Diese Prüfung wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) angeboten und ist hier verfügbar: Betroffenheitsprüfung zur NIS-2-Richtlinie 

Verbesserung der Sicherheit von OT- und IoT-Infrastrukturen 

Die Entwicklung der Cyber-Bedrohungen hat deutlich gemacht, dass OT- und IoT-Systeme starke Sicherheitsmaßnahmen benötigen. OT-Systeme sind ein wichtiger Bestandteil des täglichen Lebens in vielen Bereichen, einschließlich Fertigung, Energie und Transport. Da sie jedoch auf veralteter Technologie basieren und nicht über integrierte Sicherheitsfunktionen verfügen, sind diese Systeme oft leichter zu hacken. Die NIS-2-Richtlinie unterstreicht die Bedeutung der Sicherung von OT-Umgebungen und führt strenge Anforderungen für Organisationen ein, die diese Infrastrukturen verwalten. Ein erfolgreicher Cyberangriff auf eine Produktionsanlage kann die Produktion zum Stillstand bringen, Anlagen beschädigen und erhebliche finanzielle Verluste verursachen. 
 
Der Schutz der Lieferkette ist ein wichtiger Bestandteil von NIS-2. Unternehmen müssen sicherstellen, dass ihre gesamte Lieferkette sicher ist, da OT- und IoT-Systeme ihre Hardware und Software häufig von außerhalb beziehen. Die Richtlinie verlangt, dass Unternehmen die Sicherheitslage ihrer Lieferanten bewerten und Maßnahmen zur Risikominderung ergreifen, um sicherzustellen, dass Schwachstellen in einem Teil der Lieferkette nicht das gesamte System gefährden.
Eine weitere große Herausforderung für Organisationen ist die Einhaltung der strengen Meldefristen, die in der NIS-2-Richtlinie festgelegt sind. Organisationen sind verpflichtet, Cybersicherheitsvorfälle innerhalb von 24 Stunden nach ihrer Entdeckung zu melden, wobei detailliertere Berichte innerhalb von 72 Stunden folgen müssen. Dies erfordert ein hohes Maß an Bereitschaft, einschließlich kontinuierlicher Überwachung und schneller Reaktionsfähigkeit. 

NIS-2 Grundbaustein mit IEC 62443

IEC 62443-4-2 legt spezifische Anforderungen an Systeme (unter anderem Industrie PCs) fest, um sicherzustellen, dass Geräte entsprechend den Cybersicherheitsstandards entwickelt und konfiguriert werden. Eine Zertifizierung nach diesem Teil des Standards zeigt, dass das System über robuste Sicherheitsfunktionen verfügt, wie etwa sichere Authentifizierung und Verschlüsselung, und dass es regelmäßigen Sicherheitsüberprüfungen unterzogen wird.

IEC 62443-4-2 bietet eine technische Basis, um die in NIS-2 geforderten Sicherheitsanforderungen in industriellen Umgebungen zu erfüllen. NIS-2 stellt die regulatorischen Anforderungen bereit, während IEC 62443-4-2 konkrete technische Vorgaben für die Cybersicherheit in industriellen Steuerungssystemen definiert.

  • Vertrauenswürdige Hardware: Durch die Verwendung von TPM 2.0 verfügt jedes Gerät über eine eindeutige Identität, die sichere Authentifizierungs- und Verschlüsselungsmaßnahmen gewährleistet.
  • Schutz vor Manipulationen und Secure Boot: Diese Verfahren bieten ein hohes Maß an Sicherheit auf Geräteebene und schützen vor unberechtigtem Zugriff.
  • Erweiterter VPN-Fernzugriff: Diese Funktion ermöglicht eine sichere Fernüberwachung und -verwaltung von Geräten im Feld.
  • Umfassendes Device Lifecycle Management: Diese Funktion verbessert die Fähigkeit, Geräte während ihrer gesamten Lebensdauer zu verwalten.

 Cybersichere Industrie PCs entdecken

 

Paul Jensen

Paul Jensen

Paul Jensen ist Product Manager bei InoNet und verantwortet diverse Produktkategorien und Serviceleistungen.