HomeBlogNIS 2-Richtlinie: Was ist das, wen betrifft sie und wie kann man sich anpassen?
API-Grundlagen

NIS 2-Richtlinie: Was ist das, wen betrifft sie und wie kann man sich anpassen?

Cybersicherheit: Welche Organisationen sind von der neuen europäischen Richtlinie betroffen, und welche neuen Sicherheitsanforderungen sind einzuhalten?

NIS 2

Die neue Regelung, die im vergangenen Oktober in Italien umgesetzt wurde, legt neue Anforderungen für Unternehmen fest, die verpflichtet sind, ein hohes Maß an IT-Sicherheit zu gewährleisten, und weitet die Verpflichtung auf mehrere Sektoren aus, die in der NIS-Richtlinie nicht berücksichtigt wurden.

Um die NIS 2 einzuhalten, müssen Risikoanalysen, Sicherheitsrichtlinien für IT-Systeme, Verfahren zum Vorfallmanagement sowie Lösungen für Multi-Faktor-Authentifizierung und geschützte Kommunikationssysteme implementiert werden.

NIS 2: Was ist das und wozu dient sie?

Die NIS 2 (EU-Richtlinie 2022/2555) ist eine bedeutende Aktualisierung der vorherigen NIS-Richtlinie, die eine gemeinschaftliche Strategie zur Cybersicherheit etablieren soll.

Die NIS 2 ist am 17. Januar 2023 in Kraft getreten und wurde von der italienischen Regierung mit dem Gesetzesdekret Nr. 138 vom 4. September 2024 umgesetzt. Die neue Richtlinie, die darauf abzielt, die Sicherheit der europäischen technologischen Infrastruktur zu erhöhen und sie gegen immer ausgefeiltere Cyberbedrohungen zu wappnen, bringt eine Reihe wesentlicher Änderungen der vorherigen Regelung mit sich.

Die NIS 2 stärkt die Sicherheitsanforderungen, führt neue Überwachungsmaßnahmen ein und erweitert den Kreis der betroffenen Akteure erheblich. Heute gelten auch Sektoren, die in den früheren Listen der wesentlichen Dienste (OES) nicht enthalten waren, wie beispielsweise Anbieter vertrauenswürdiger Dienste und Rechenzentren, als kritisch für die sozioökonomische Funktionsfähigkeit der Europäischen Union.

NIS 2: Auf wen findet sie Anwendung?

Nach dem am 16. Oktober in Kraft getretenen Gesetzesdekret Nr. 138/2024 gilt die Verpflichtung zur Einhaltung der NIS 2-Richtlinie für hochkritische Sektoren, bestimmte Kategorien der öffentlichen Verwaltung und andere kritische Sektoren.

Zu den hochkritischen Sektoren gehören:

  • Energie (Erzeuger, Betreiber und Verteiler von Strom, Gas, Öl, Fernwärme, Wasserstoff);
  • Verkehr, einschließlich Straßenverkehr;
  • Bankensektor;
  • Finanzmarktinfrastrukturen;
  • Gesundheitswesen (einschließlich Einrichtungen, die Forschung betreiben und Medikamente produzieren);
  • Trinkwasserversorgung;
  • Abwasserentsorgung;
  • Verwaltung von IKT-Diensten;
  • Raumfahrt;
  • Digitale Infrastrukturen (einschließlich DNS-Anbieter, Top-Level-Domain-Verwaltungen, Cloud-Computing-Dienstleister, Rechenzentren, Content Delivery Networks, Anbieter vertrauenswürdiger Dienste, Anbieter öffentlicher Kommunikationsnetze und öffentlich zugänglicher elektronischer Kommunikationsdienste).

Darüber hinaus gibt es weitere als kritisch eingestufte Sektoren, darunter:

  • Post- und Kurierdienste;
  • Abfallwirtschaft;
  • Herstellung, Produktion und Vertrieb von Chemikalien;
  • Herstellung, Verarbeitung und Vertrieb von Lebensmitteln;
  • Herstellung von Medizinprodukten, Computern, Elektronik- und Optikprodukten, Maschinen und Geräten, Kraftfahrzeugen und anderen Transportmitteln;
  • Forschungseinrichtungen;
  • Anbieter digitaler Dienste, wie z. B. Anbieter von Online-Marktplätzen, Suchmaschinen, sozialen Netzwerken und Domain-Registrierungsdiensten.

Wie in Anhang III angegeben, müssen sich auch mehrere öffentliche Einrichtungen an die NIS 2 anpassen, darunter der Ministerrat, Ministerien, Steueragenturen, Regionen, Kommunen mit mehr als 100.000 Einwohnern und lokale Gesundheitsbehörden.

Anhang IV schließlich listet weitere von der Änderung der europäischen Richtlinie betroffene Akteure auf, darunter Anbieter von öffentlichen Nahverkehrsdiensten, Bildungseinrichtungen, die Forschung betreiben, Akteure mit kulturellem Interesse sowie Unternehmen in öffentlichem Besitz oder unter öffentlicher Kontrolle.

Gilt die NIS 2 auch für kleine Unternehmen?

In bestimmten Fällen gilt die Richtlinie auch für kleine Unternehmen. Dies ist der Fall, wenn die betreffende Einrichtung als kritischer Anbieter identifiziert wird, z. B. wenn sie:

  • Anbieter öffentlicher Kommunikationsnetze ist;
  • Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste ist;
  • Anbieter vertrauenswürdiger Dienste ist;
  • Verwalter von Top-Level-Domain-Registrierungen oder Anbieter von Domain-Namen-Systemdiensten ist;
  • Anbieter von Domain-Registrierungsdiensten ist;
  • der einzige nationale Anbieter eines wesentlichen Dienstes ist;
  • Anbieter eines Dienstes ist, dessen Unterbrechung ein signifikantes systemisches Risiko darstellen könnte;
  • kritisch ist, weil sie auf nationaler Ebene als bedeutend angesehen wird;
  • kritisch ist, weil sie ein systemisches Element der Lieferkette wesentlicher oder bedeutender Einrichtungen ist.

Diese Liste umfasst auch Einrichtungen, die bereits in der vorherigen NIS-Richtlinie als kritisch eingestuft wurden.

Wie man sich an NIS 2 anpasst: Der Multi-Risiko-Ansatz

Die erste wesentliche Neuerung, die von NIS 2 eingeführt wurde, betrifft die Verantwortlichkeiten für Cybersicherheitsmaßnahmen, die über die IT-Abteilung hinausgehen und zu einer zentralen Angelegenheit werden, für die auch die Leitungsgremien verantwortlich sind.

Gemäß der neuen Richtlinie obliegt es dem Verwaltungsrat des Unternehmens, nicht nur die Genehmigung der Risikomanagementmaßnahmen zu übernehmen, sondern auch deren Überwachung und Umsetzung. Die Leitungsgremien werden außerdem eingeladen, “an spezifischen Schulungen zu Cybersicherheitsthemen teilzunehmen und diese Möglichkeit ihren Mitarbeitern anzubieten, um die Wirksamkeit und Angemessenheit der ergriffenen Sicherheitsmaßnahmen zu bewerten.”

Die in NIS 2 genannten Maßnahmen basieren auf einem Multi-Risiko-Ansatz, der auch nicht-digitale Elemente wie Naturkatastrophen, Hardware-Ausfälle und fehlende Mitarbeiterschulungen in die umfassende Risikobewertung einbeziehen muss.

Darüber hinaus fordert die neue Richtlinie, dass die betroffenen Organisationen in der Lage sind, auf Vorfälle zu reagieren, und dass sie sich verpflichten, jedes Ereignis den zuständigen Behörden “ohne unangemessene Verzögerung und in jedem Fall innerhalb von 24 Stunden nach Kenntnisnahme eines Vorfalls, der wesentliche Auswirkungen auf die Erbringung ihrer Dienstleistungen hat,” zu melden.

Die Anforderungen der NIS 2-Richtlinie

Die wesentlichen Elemente des in NIS 2 beschriebenen Multi-Risiko-Ansatzes umfassen:

  • Richtlinien zur Risikoanalyse und IT-System-Sicherheit;
  • Vorfallmanagement;
  • Betriebsunterbrechungskontinuität, wie Backup-Management und Wiederherstellung im Katastrophenfall, sowie Krisenmanagement;
  • Sicherheit der Lieferkette, einschließlich Sicherheitsaspekte in den Beziehungen zwischen jeder Einheit und ihren direkten Lieferanten oder Dienstleistern;
  • Sicherheit bei der Beschaffung, Entwicklung und Wartung von IT- und Netzwerksystemen, einschließlich Schwachstellenmanagement und -offenlegung;
  • Strategien und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheits-Risikomanagementmaßnahmen;
  • Grundlegende Cyber-Hygienepraktiken und Cybersicherheits-Schulungen;
  • Richtlinien und Verfahren zur Verwendung von Kryptografie und, falls erforderlich, Verschlüsselung;
  • Sicherheit der Personalressourcen, Zugangskontrollstrategien und Vermögensverwaltung;
  • Einsatz von Multi-Faktor- oder kontinuierlichen Authentifizierungslösungen, geschützten Sprach-, Video- und Textkommunikation sowie geschützten Notfallkommunikationssystemen innerhalb der Einheit, falls zutreffend.

NIS 2: Multi-Faktor-Authentifizierung (MFA)

Die Multi-Faktor-Authentifizierung gehört zu den Anforderungen von NIS 2: Die Einführung starker Authentifizierungsmethoden wie 2FA und Multi-Faktor-Authentifizierung (MFA) trägt dazu bei, den Zugriff auf IT-Systeme zu schützen und die Authentizität von Informationen zu gewährleisten.

Eine Google-Studie aus dem Jahr 2019 über Konten ergab, dass Multi-Faktor-Authentifizierungen 100 % der automatisierten Angriffe, 96 % der Massen-Phishing-Angriffe und 76 % der gezielten Angriffe verhinderten.

In einer neueren Microsoft-Studie, die eine Liste von Benutzern mit verdächtigen Aktivitäten untersuchte, heißt es, dass “die Implementierung der MFA außergewöhnlichen Schutz bietet, mit über 99,99 % der mit MFA aktivierten Konten, die während des Untersuchungszeitraums sicher blieben.”

Die Integration dieser Authentifizierungssysteme ist nicht unbedingt schwierig: Es gibt Methoden, die auf dem physischen Besitz eines Objekts (z. B. eines Tokens) basieren, andere, die die physischen Merkmale des Benutzers wie biometrische Daten nutzen, sowie agilere Systeme, die Einmalpasscodes, QR-Codes und SMS-Verifizierung verwenden.

NIS 2-Richtlinie: Was ist das, wen betrifft sie und wie kann man sich anpassen?
Teilen auf