1. Home
  2. News
  3. NIS2: Modifizierung der Cybersecurity für Europas digitale Infrastruktur
  • Datenschutz

NIS2: Modifizierung der Cybersecurity für Europas digitale Infrastruktur

Die Wichtigkeit der Cybersecurity nimmt mit zunehmender globaler Vernetzung immer mehr an Bedeutung zu und stellt eine Herausforderung für Unternehmen, Regierungen und auch Bürger dar. Statistiken zeigen, dass rund 46 % der befragten Unternehmen in Deutschland mindestens einmal Opfer einer Cyber-Attacke geworden sind.

Die am 16. Januar 2023 in Kraft getretene NIS2 EU-Richtlinie – eine Modifizierung der in 2016 eingeführten EU-Vorschriften zur Cybersicherheit – erweitert den bestehenden Rechtsrahmen, um zum einen mehr Sektoren abzudecken und zum anderen den Schutz der kritischen Infrastruktur aufrechtzuerhalten. Mit diesem breitgefächerten Geltungsbereich soll nun das Cybersicherheitsniveau in Europa langfristig erhöht werden.

Wer ist betroffen?

Betroffen sind Unternehmen und Organisationen, die als Operatoren von Kritischen Infrastrukturen (KRITIS) eingestuft werden. In der Richtlinie werden zwei Kategorien genannt – und zwar die Betreiber wesentlicher Dienste (Operators of Essential Services OES) und die Anbieter digitaler Dienste (Digital Service Providers DSP).

Die Betreiber wesentlicher Dienste umfassen Unternehmen, die als wesentlich für das Funktionieren von Wirtschaft und Gesellschaft angesehen werden, wie Unternehmen der Energieversorgung, Gesundheitswesen, Trinkwasser- und Abwasserversorgung. Die Größe des Unternehmens ist in diesem Fall unbeachtlich.

Die Anbieter digitaler Dienste sind Unternehmen, die Online-Dienste anbieten, z.B. Cloud Computing-Anbieter und Suchmaschinen. Hierbei allerdings haben die Unternehmen die Vorgaben der Richtlinie nur dann zu erfüllen, wenn sie eine bestimmte Größe überschreiten. Während mittlere Unternehmen mit mehr als 50 MitarbeiterInnen und einem Jahresumsatz von mindestens 10 Mio. EUR den Vorgaben gerecht werden müssen, sind große Unternehmen mit mehr als 250 MitarbeiterInnen und einem Jahresumsatz von mindestens 50 Mio. EUR davon betroffen.

Was ist zu tun?

Zunächst müssen die betroffenen Unternehmen prüfen, ob sie als Netz- und Informationssystemdienst eingestuft werden und dann ihre Security-Maßnahmen überprüfen, ggf. anpassen. Ein großer Fokus liegt nun bei einer Risikobewertung zur Ermittlung und Bewertung von potenziellen Angriffen und möglichen IT-Sicherheitsrisiken. Außerdem bedarf es der Implementierung eines Sicherheitsmanagementsystems, um die Sicherheitsmaßnahmen effektiv und regelmäßig zu überprüfen. Für eine adäquate Umsetzung der Sicherheitsmaßnahmen, müssen die Unternehmen ihr Personal über die Richtlinie informieren. Des Weiteren müssen Sicherheitsvorfälle bei der zuständigen Behörde gemeldet werden. Ein weiterer Fokus ist auf die Sicherheit von Lieferketten (Supply Chain Security) gerichtet – die Unternehmen sollen ihre Lieferketten prüfen und dafür sorgen, dass sich auch ihre Zulieferer ausreichend vor Cyberbedrohungen schützen.

Wie hilft nun die NIS2 EU-Richtlinie die Risiken vor Cyberangriffen zu minimieren?

Die Umsetzung der Richtlinie trägt dazu bei, dass das Risiko vor Cyberangriffen und Datenlecks enorm verringert wird. Somit werden zum einen durch die Vorfälle verursachten Kosten minimiert und zum anderen mögliche Bußgelder vermieden.

Einen weiteren Vorteil bringt die Richtlinie im Rahmen der Aufrechterhaltung des Betriebs – die Unternehmen sind nun verpflichtet, ihre Backup- und Wiederherstellungspläne zu überprüfen und diese auf einem aktuellen Stand zu halten. Das heißt auch, dass die angemessenen technischen und organisatorischen Maßnahmen zu treffen sind, um die Risiken eines Netzwerks- und Informationssystems zu bewältigen.

Die NIS2 EU-Richtlinie ist ein wichtiger Schritt für die Cybersicherheit in Europa. Indem sie klare Verpflichtungen und Mindestsicherheitsanforderungen vorschreibt, trägt sie dazu bei, die Widerstandsfähigkeit der digitalen Infrastruktur zu stärken und die Auswirkungen von Cyberangriffen zu minimieren. Zur Umsetzung wurde eine Frist von 21 Monaten vorgesehen – bis Oktober 2024 müssen die EU-Mitgliedstaaten die Richtlinie in nationales Recht überführen.

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

Name Zweck Ablauf Typ Anbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im Bereich myGINDAT anmelden. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo