November 2024 / Lesezeit ca. 10 Minuten

Ist Ihr Unternehmen bereit für NIS 2?

 

Die neue EU-Richtlinie zur Cyber-Sicherheit führt zu einer weiten Betroffenheit der Wirtschaft im EU-Raum. Die Netz- und Informationssystemsicherheits-Richtlinie (= NIS 2-Richtlinie) dient dazu, das Cyber-Sicherheitsniveau innerhalb der EU zu erhöhen und die Cyber-Resilienz zu stärken; bei Nichteinhaltung drohen hohe Geldstrafen. Mit unserem Leitfaden wollen wir Sie dabei unterstützen, Ihr Unternehmen NIS 2 fit zu machen.

Diese Seite wird laufend mit relevanten Informationen und Unterlagen im Zusammenhang mit NIS 2 aktualisiert.

Die Kernaussagen

  1. Die Richtlinie zur Netz- und Informationssicherheit (NIS 2) der Europäischen Union ist am 16.01.2023 in Kraft getreten. Die erforderlichen nationalen Vorschriften sollten bis zum 17.10.2024 umgesetzt werden. In Österreich und Deutschland wurde dieses Datum (leider) nicht eingehalten. Aus diesem Grund rechnet man mit der Anwendung der nationalen Vorschriften frühestens Mitte 2025.
  2. Immer mehr Unternehmen aus unterschiedlichen Branchen sind im Rahmen dieser Gesetzgebung dazu verpflichtet, ihre Cyber-Sicherheitsvorkehrungen zu verstärken.
  3. Um hohe Geldstrafen zu vermeiden, sind die Unternehmen dazu angehalten, die Anforderungen der NIS 2-Richtlinie zu überprüfen und geeignete und verhältnismäßige Risikomanagement-Maßnahmen für die Cyber-Sicherheit einzuführen.

Was verbirgt sich hinter der NIS 2-Richtlinie?

Die Richtlinie zur Netz- und Informationssicherheit (NIS 2) Opens in a new tab der Europäischen Union ersetzt die NIS-Richtlinie von 2016 und zielt darauf ab, ein "hohes, gemeinsames Cyber-Sicherheitsniveau in den EU-Mitgliedstaaten" zu schaffen. Dies soll sichergestellt werden, indem die Anforderungen an die Cyber-Sicherheit in kritischen Sektoren und in denjenigen Branchen und Einrichtungen, die für das Funktionieren der Wirtschaft unverzichtbar sind, weiter verschärft werden.

Was sind die wichtigsten Änderungen?

Zu den wichtigsten Änderungen im Rahmen von NIS 2 gehören:

Ausweitung der Wirtschaftszweige und Unternehmen, die in den Anwendungsbereich der NIS 2 fallen.

Die ursprüngliche NIS-Richtlinie umfasste lediglich Betreiber kritischer Dienste wie Wasserversorgung, Gesundheitswesen, Energie, Verkehr und einige Anbieter digitaler Dienste. Die NIS 2 wurde unter anderem auf Branchen wie Post- und Kurierdienste, Lebensmittelproduktion und -handel, das verarbeitende Gewerbe und Abfallbewirtschaftung ausgeweitet. Diese Branchen fallen unter die NIS 2, sofern das Unternehmen mehr als 49 Mitarbeiter beschäftigt oder einen Jahresumsatz bzw. Jahresbilanz von über EUR 10 Millionen erwirtschaftet.

Verantwortlichkeiten des Managements

Die Leitungsorgane sind persönlich dafür verantwortlich, die Risikomanagement-Maßnahmen für die Cyber-Sicherheit zu genehmigen und ihre Umsetzung zu überwachen. Bei Verstößen gegen diese Verpflichtung können sie persönlich haftbar gemacht werden. Zudem müssen die Mitglieder der Geschäftsleitung Schulungen aus dem Bereich der Cyber-Sicherheit absolvieren, damit sie über ausreichende Kenntnisse und Fähigkeiten verfügen, um Risiken zu erkennen und Risikomaßnahmen sowie deren Auswirkungen zu bewerten.

Einführung eines Cybersicherheits­risikomanagements

Unternehmen sollten geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergreifen, um ihre Cyber-Risiken zu kalkulieren und die Auswirkungen von Vorfällen auf Dritte zu verhindern oder zu minimieren.

Die Richtlinie enthält etliche Mindestanforderungen, die die Betroffenen umsetzen müssen. Diese reichen von der Verwendung einer Multi-Faktor-Authentifizierung über den Umgang mit Vorfällen bis hin zum Zugriffs- und Lieferkettenmanagement.

Die Maßnahmen im Bereich des Risikomanagements für Cyber-Sicherheit müssen dokumentiert werden und es müssen Konzepte und Verfahren zur Erhebung der Effektivität des Risikomanagements vorhanden sein. Insbesondere der Umgang mit Zwischenfällen muss klar definiert sein und es müssen Response- und Recovery-Pläne vorliegen.

Im Falle eines Cyber-Vorfalls müssen Unternehmen innerhalb eines engen Zeitrahmens drei konkrete Schritte einhalten:

  • Innerhalb von 24 Stunden nach einem Cyber-Angriffs muss eine Frühwarnung an die zuständige Behörde gesendet werden.
  • Innerhalb von 72 Stunden muss eine detaillierte Meldung über den Vorfall übermittelt werden.
  • Innerhalb eines Monats muss ein Abschlussbericht über den Vorfall bzw. ein Zwischenbericht übermittelt werden.
Sicherheit der Lieferkette

Das Cyber-Sicherheitsrisikomanagement umfasst insbesondere auch die Lieferkette. Organisationen, die in den Anwendungsbereich der NIS 2 fallen, sollten die spezifischen Schwachstellen all ihrer wesentlichen Zulieferer und Dienstleister berücksichtigen, um die Auswirkungen von Zwischenfällen in der Lieferkette zu verhindern bzw. zu minimieren.

Hohe Geldstrafen

"Wesentliche" Einrichtungen, die gegen die NIS 2 verstoßen, müssen mit Bußgeldern in Höhe von bis zu EUR 10 Millionen oder 2 Prozent ihres weltweiten Jahresumsatzes rechnen (je nachdem, welcher Betrag höher ist). Für „wichtige" Einrichtungen sind Bußgelder von bis zu EUR 7 Millionen oder 1,4 Prozent des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) vorgesehen.

Welche Unternehmen sind von der NIS 2-Richtlinie betroffen?

Die Liste, der von der NIS 2 betroffenen Einrichtungen, findet sich in Annex 1 und 2 der Richtlinie. Die Einrichtungen werden in Sektoren mit hoher Kritikalität und „sonstige kritische Sektoren“ unterteilt. Diese Liste umfasst Energieversorger, Online-Marktplätze, Konzerne sowie zahlreiche mittelständische Unternehmen und Regierungsbehörden. Die Hauptzielgruppe der NIS 2 sind mittlere und größere Unternehmen, aber auch einige kleinere Unternehmen können unter den Anwendungsbereich fallen, wenn bestimmte Bedingungen erfüllt sind oder sie vom EU-Mitgliedsstaat als wesentliche Einrichtungen eingestuft werden.

Die Unternehmen müssen selbst beurteilen, ob sie von NIS 2 betroffen sind. Auch Unternehmen, die Teil der Lieferkette eines von der NIS 2 betroffenen Unternehmens sind, können mittelbar betroffen sein. Aon unterstützt Ihr Unternehmen bei der Analyse der NIS 2 Betroffenheit und zeigt Ihnen auf, welche nächsten Schritte Sie setzen müssen.

 

Kritische Einrichtungen

Bankwesen

Digitale Infrastruktur (DNS, IXP, TLD, ICT)

Energie

Finanzmarktinfrastrukturen

Gesundheitswesen

Verwaltung von IKT-Diensten

Öffentliche Verwaltung

Weltraum

Verkehr

Trink- und Abwasser

Sonstige kritische Einrichtungen

Anbieter digitaler Dienste

Verarbeitendes Gewerbe/ Herstellung von Waren (NACE Rev 2. Abschnitt C Abteilung 26, 27, 28, 29, 30)

Produktion, Herstellung und Handel mit chemischen Stoffen

Post- und Kurierdienste

Herstellung, Verarbeitung und Vertrieb von Lebensmitteln

Forschung

Abfallbewirtschaftung

Was müssen Unternehmen jetzt tun?

Unabhängig davon, ob es sich bei Ihrem Unternehmen um eine kritische oder sonstige kritische Einrichtung handelt, sollten Sie sich mit den Anforderungen der NIS 2 befassen und Ihre Organisation umgehend NIS 2-konform machen. Sie sollten insbesondere Maßnahmen zum betrieblichen Cyber-Risikomanagement, zur Cyber-Hygiene, zur Reaktion und Meldung auf bzw. von Vorfällen und zur Sicherheit der eigenen Lieferkette implementieren.

Wie auch bei der EU-Gesetzgebung zur Datenschutzgrundverordnung (DSGVO) lohnt es sich für Unternehmen, diesen Umsetzungsprozess so früh wie möglich zu beginnen. Mit mehr als 20 Jahren Erfahrung in der Bereitstellung von Cyber-Lösungen in verschiedenen Bereichen können wir Ihnen in jeder Phase der NIS 2-Umsetzung Unterstützung anbieten.

NIS 2: Anforderungen

Wie Aon helfen kann

Bewertung der Wirksamkeit von Maßnahmen im Bereich des Cybersicherheits- risikomanagements.

Optimierung begrenzter Budgetinvestitionen, damit Unternehmen eine bessere maximale Rendite aus ihren Sicherheitsinvestitionen erzielen können.

Basic-Cyber-Hygiene

Erhebung des Cyber-Resilienz-Levels, um Risiken und Lücken im Cyber-Risikomanagement zu erkennen und zu bewerten.

Multi-Faktor- Authentifizierung (MFA)

Strategische Unterstützung bei der Auswahl, Einführung und Bereitstellung geeigneter Lösungen für die Multi-Faktor-Authentifizierung.

Konzepte und Verfahren für den Einsatz von Kryptographie und ggf. Verschlüsselung

Beratung und Unterstützung von Unternehmen bei der Auswahl geeigneter kryptographischer Verfahren.

Sicherheit in der Lieferkette

Richten Sie das Cyber-Risiko in der Lieferkette an der Risikobereitschaft Ihres Unternehmens aus und entwickeln Sie einen unternehmensspezifischen Ansatz, um die Cyber-Resilienz der Lieferkette besser zu analysieren und damit zu verbessern.

Umgang mit Cyber-Vorfällen

Analyse der Fähigkeit zur Reaktion auf Zwischenfälle und Entwicklung umfassender Protokolle, einschließlich:

  • Bewertung der Incident Readiness
  • Erstellung eines Krisenreaktionsplans (IRP)
  • Weltweite Incident Response Dienstleistungen
  • Cyber Business Continuity Management
  • Cyber Insurance Claims Protocol Development
Meldung von Cyber-Vorfällen

Bewertung der Fähigkeiten Ihres Unternehmens zur Meldung von Zwischenfällen sowie der Reaktionsfähigkeit. Beurteilung der Geeignetheit bzw. Anpassung bestehender Meldeprozesse von Cyber-Vorfällen, unter Berücksichtigung der neuen gesetzlichen Anforderungen.

Vorgaben für die Risikoanalyse und die Sicherheit von Informationssystemen

Entwicklung oder Überprüfung geeigneter Risikomanagementprozesse im Rahmen der Cyber-Sicherheit, welche an das unternehmensinterne Risikomanagement-Rahmenwerk angepasst sind.

Sicherheit in Netzwerken und Informationssystemen

Systematische Evaluierung auf allgemeine und gezielte Bedrohungen innerhalb des eigenen Netzwerks, Überwachung des Deep- und Dark Webs auf Bedrohungen und durchgesickerte Daten.

Richtlinien und Verfahren zur Bewertung der Wirksamkeit des Risikomanagements

Entwicklung von Rahmenwerken für Risikobewertungen auf organisatorischer Ebene in Kombination mit szenariospezifischen Stresstests, um die Reife und Stärke des Risikomanagements gesamtheitlich zu prüfen.

NIS 2: Vier Fragen, die sich jedes Unternehmen stellen sollte

 

 

  1. Ist mein Unternehmen von NIS 2 betroffen?
  2. Ist unser Risikomanagement NIS 2-konform?
  3. Kann mein Unternehmen Cyber-Sicherheitsvorfälle ordnungsgemäß melden?
  4. Wie steht es um das Risikomanagement in der Lieferkette meines Unternehmens, wenn es um Cyber-Sicherheit geht?

Aon unterstützt seine Kunden dabei, den gesamten Lebenszyklus ihrer Cyber-Risiken zu managen. Unser ganzheitlicher Ansatz von Cyber-Risikolösungen lässt sich nahtlos integrieren, um Effizienz und Transparenz auf Unternehmensseite zu fördern. Auf diese Weise können wir unseren Kunden mit den richtigen Informationen dabei helfen, ihre Bilanzen zu schützen und Risiken effektiv zu verwalten. Erfahren Sie hier, wie das Cyber Loop Modell von Aon Ihr Unternehmen auf dem Weg zu nachhaltiger Cyber-Resilienz unterstützen kann.

Klicken Sie hier, um eine PDF-Version dieses Inhalts herunterzuladen.

 

Kontaktieren Sie uns

Wenn Sie daran interessiert sind, mehr darüber zu erfahren, wie Aon Ihr Unternehmen bei der Vorbereitung auf NIS 2 unterstützen kann, füllen Sie bitte das folgende Kontaktformular aus. Ein Experte unseres Teams wird sich in Kürze mit Ihnen in Verbindung setzen.