NIS-2-Richtlinie: Die Rolle sicherer Kommunikationssysteme und betroffene Unternehmen

Mit der neuen NIS-2-Richtlinie, die von den Mitgliedsstaaten bis 17. Oktober in nationales Recht umgesetzt werden soll, stärkt die EU die Cybersicherheit in ganz Europa und stellt Unternehmen und Organisationen aus dem KRITIS-Sektor vor neue Herausforderungen. Unser Blogartikel beleuchtet die wesentlichen Anforderungen der Richtlinie, erklärt, welche Branchen betroffen sind und zeigt auf, warum sichere Kommunikationssysteme unerlässlich sind, um den neuen Standards gerecht zu werden. Erfahren Sie, wie Sie Ihr Unternehmen auf die NIS-2-Compliance vorbereiten können und welche Rolle ein zuverlässiger Business Messenger dabei spielt.

Teamwire, Sep 18 2024

Ein Überblick über die Richtlinie NIS-2 der EU zur Stärkung der Cybersicherheit

Was ist die NIS-2 Richtlinie?

Mit der zunehmenden Digitalisierung und den stetig wachsenden Cyberangriffe hat die Europäische Union die Notwendigkeit erkannt, ihre Cybersicherheitsstrategie zu stärken. Die NIS-2-Richtlinie (Network and Information Systems Directive) ist eine entscheidende Weiterentwicklung der ursprünglichen NIS-Richtlinie aus dem Jahr 2016 und zielt darauf ab, die Cybersicherheit in der gesamten EU zu verbessern. Sie fordert Unternehmen und Organisationen, die als Betreiber kritischer Infrastrukturen gelten, dazu auf, umfassendere Sicherheitsmaßnahmen zu implementieren, um die Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen.

 

NIS-2 erweitert den Anwendungsbereich der Regelungen auf eine größere Anzahl von Sektoren und verschärft die Anforderungen an die Informationssicherheit, einschließlich der Einführung sicherer Kommunikationssysteme.

Welche Unternehmen sind von der Richtlinie NIS-2 betroffen?

Die NIS-2-Richtlinie weitet den Geltungsbereich erheblich aus und erfasst sowohl staatliche Stellen als auch private Unternehmen. Betroffen sind Unternehmen und Behörden ab 50 Beschäftigten und einem Jahresumsatz ab zehn Millionen Euro. 

 

Besonders betroffen sind Betreiber kritischer Infrastrukturen, die in Bereichen tätig sind, die als essenziell für das Funktionieren der Gesellschaft und Wirtschaft angesehen werden. Dazu zählen Sektoren wie:

  • Energie und Wasserwirtschaft
  • Verkehr und Transport
  • Gesundheitswesen
  • Finanzen
  • öffentliche Verwaltung
  • Sicherheitsbehörden
  • digitale Infrastruktur (z. B. Anbieter von Cloud-Diensten, Rechenzentren, usw.)
  • Lebensmittelversorgung
  • chemische Industrie
  • Post- und Kurierdienste

Auch die vorgelagerten Lieferketten, insbesondere die Anbieter von Informations- und Kommunikationstechnologien (IKT), fallen unter die neuen Regelungen. Dies bedeutet, dass sowohl mittlere als auch große Unternehmen, die in diesen kritischen Sektoren tätig sind, unter die Aufsicht der NIS-2-Richtlinie fallen und entsprechende Maßnahmen ergreifen müssen, um die neuen Anforderungen zu erfüllen.

Wesentliche Anforderungen der NIS-2-Richtlinie für Unternehmen

Betroffene Unternehmen müssen strenge Cybersicherheits-Anforderungen erfüllen, darunter die Implementierung robuster Sicherheitsstrategien, die Nutzung sicherer Kommunikationssysteme sowie die Meldung von Sicherheitsvorfällen an die zuständigen Behörden. Dabei geht es primär darum, geeignete technische, operative und organisatorische Maßnahmen zu ergreifen, um die Risiken durch potenzielle Sicherheitsvorfälle für Netz- und Informationssysteme zu minimieren.

 

Die offizielle NIS-2 Richtlinie beinhaltet insbesondere die folgenden Anforderungen:

 

  1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
  2. Bewältigung von Sicherheitsvorfällen
  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
  4. Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
  7. Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
  8. Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

 

Zudem müssen Unternehmen Sicherheitsvorfälle unverzüglich an die zuständigen Behörden melden: Innerhalb von 24 Stunden nach Bekanntwerden einer Störung bzw. eines Cyber-Angriffs auf ihre Systeme müssen Unternehmen eine Frühwarnung an die zuständige nationale Behörde senden. Unternehmen sollten auch darauf vorbereitet sein, den Vorfall innerhalb von 72 Stunden genauer zu analysieren und zu bewerten – insbesondere um den Vorfall einzugrenzen und weitere Angriffe zu verhindern.

Die Wichtigkeit sicherer Kommunikationssysteme unter der NIS-2-Richtlinie

Ein zentrales Element der NIS-2-Richtlinie ist die Sicherstellung einer durchgängigen, sicheren Kommunikation. Angesichts der zunehmenden Bedrohungen durch Cyberangriffe müssen Unternehmen fortschrittliche Kommunikationssysteme wie einen sicheren Business Messenger implementieren, die sowohl den Schutz sensibler Daten als auch die Integrität der Informationsübertragung gewährleisten.

 

Gleichzeitig müssen Unternehmen in der Lage sein, auch während einer Cyberattacke betriebsfähig zu bleiben. Cyberresiliente Unternehmen sind darauf vorbereitet, sich gegen Angriffe zu wehren und den Betrieb aufrechtzuerhalten, ohne ganze Geschäftsbereiche stilllegen zu müssen. Da während einer Attacke oft herkömmliche IT-Systeme und Kommunikationskanäle wie E-Mail oder Kollaborationstools kompromittiert oder nicht verfügbar sind, kommt einem unabhängigen Kommunikationskanal besondere Bedeutung zu. Ein sogenanntes „Out-of-Band-Kommunikationstool“ ermöglicht es, die Kommunikation zwischen Experten, Geschäftsführung und externen Akteuren aufrechtzuerhalten – fernab von potenziell betroffenen IT-Infrastrukturen. 

 

Die Anforderungen der NIS-2-Richtlinie in Bezug auf sichere Kommunikation umfassen mehrere zentrale Aspekte.

 

Gesicherte Sprach-, Video- und Textkommunikation

Von Unternehmen wird verlangt, nicht nur ihre IT-Systeme abzusichern, sondern auch die Kommunikationskanäle für Sprach-, Video- und Textnachrichten vor Cyberangriffen umfassend zu schützen. Gesicherte Kommunikation bedeutet hier, dass alle Informationen und Daten, die während eines Gesprächs, einer Videokonferenz oder eines Textchats ausgetauscht werden, vor unbefugtem Zugriff und Manipulation geschützt sind. D. h. man muss sicherzustellen, dass nur autorisierte Gesprächspartner auf Inhalte zugreifen können.

 

Herkömmliche Consumer-Messenger wie WhatsApp, Signal, usw. erfüllen die damit verbundene Anforderung einer zentralen Steuerung und Administration des Kommunikationssystems nicht.

 

Vor allem in Bereichen, in denen sensible oder geschäftskritische Informationen ausgetauscht werden, wie z. B. im Gesundheitswesen oder in der Finanzbranche, ist es entscheidend, dass Kommunikationsplattformen wie VoIP-Dienste, Videokonferenzsysteme und Messaging-Dienste den höchsten Sicherheits- und Compliance-Standards entsprechen.

 

Wie eine sichere Kommunikationsalternative aussieht, erfahren Sie in unserem Whitepaper “Zu 100 % auf der sicheren Seite”.

Starke Verschlüsselung der Kommunikation

Unternehmen sind verpflichtet, sichere Systeme zur Verschlüsselung ihrer Kommunikation einzusetzen und Vertraulichkeit zu gewährleisten. Dies betrifft sowohl interne Kommunikationsprozesse als auch die Interaktion mit externen Partnern, Kunden und Behörden. Ein sicheres Kommunikationssystem muss vor Abhörversuchen schützen und gewährleisten, dass die Integrität der übermittelten Informationen erhalten bleibt. Zudem müssen ausgetauschte Informationen und dazugehörige Daten auf den Endgeräten und in der Infrastruktur vor unbefugtem Zugriff durch starke Verschlüsselung geschützt werden.

 

Ausfallsicheres Kommunikationssystem

Die Kommunikationsinfrastruktur soll auch bei technischen Störungen, Cyberangriffen oder Notfällen uneingeschränkt funktionsfähig bleiben. Unternehmen müssen sicherstellen, dass ihre Kommunikationssysteme durch Redundanzen und Backup-Mechanismen geschützt sind.

 

Hierzu gehört die Einrichtung alternativer Kommunikationswege, die im Falle eines Ausfalls aktiviert werden können. Sichere Business Messenger wie Teamwire mit Alarmierungs- und Notfallfunktionen eignen sich hervorragend für solche Fälle. Sie können auch schnell und einfach als Alternative oder Ergänzung zu US-Cloud Anbietern genutzt werden, falls Lösungen wie z. B. Microsoft Teams oder Zoom ausfallen.

 

Ein stabiles und resilientes Kommunikationssystem ist essenziell, um den kontinuierlichen Betrieb kritischer Infrastrukturen auch in Krisenzeiten zu gewährleisten und die Verfügbarkeit der Kommunikation jederzeit aufrechtzuerhalten.

Signifikante Sanktionen und Haftung von Führungskräften

Bei Verstößen gegen die Anforderungen von NIS-2 sind potenzielle Sanktionen nicht zu unterschätzen. Die Geldbußen können bis zu einer Höhe von 10 Mio. Euro oder 2 Prozent des weltweiten Umsatzes gehen. Neu ist zudem die persönliche Haftung von Führungskräften, die bei Verstößen gegen die Richtlinie verantwortlich gemacht werden können.

Fazit

Die NIS-2-Richtlinie markiert einen bedeutenden Schritt in Richtung eines sichereren digitalen Europas. Mit der Erweiterung auf weitere Sektoren und strengeren Anforderungen stellt sie Unternehmen vor neue Herausforderungen, bietet jedoch gleichzeitig die Gelegenheit, Cybersicherheit auf ein neues Niveau zu heben. Sichere Kommunikationssysteme spielen hierbei eine zentrale Rolle: Sie schützen nicht nur sensible Daten, sondern gewährleisten auch die Integrität und Verfügbarkeit der Informationen. 

 

Die Umsetzung der NIS-2-Vorgaben erfordert eine präzise Planung und Implementierung technischer, organisatorischer und operativer Maßnahmen. Unternehmen müssen sich darauf einstellen, nicht nur ihre IT-Infrastruktur zu sichern, sondern auch robuste Kommunikationslösungen zu verwenden, die den höchsten Sicherheitsstandards entsprechen. 

 

Angesichts der potenziellen Sanktionen und der persönlichen Haftung von Führungskräften ist eine schnelle und umfassende Anpassung unumgänglich. Teamwire steht Ihnen als verlässlicher Partner zur Seite, um diese Herausforderungen effizient zu meistern und Ihre Kommunikation nachhaltig abzusichern.

Ähnliche Artikel