Neue NIS2-Richtlinie für erhöhten Schutz in der Cyber-Sicherheit

14.12.2023
#
Cybersicherheit
#
Informationssicherheit
#
Trends aus Praxis und Forschung
Die überarbeitete NIS2-Richtlinie regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen in der EU.

Zum Schutz der Cyberlandschaft erliess die Europäische Union 2016 die EU-weite NIS-Gesetzgebung. Die NIS2-Richtlinie wurde 2023 überarbeitet, um die Cyber-Sicherheit weiter zu verbessern und der sich ständig verändernden Bedrohungslandschaft Rechnung zu tragen.

Was bedeutet die NIS2-Richtlinie für Unternehmen? Und sind nur Unternehmen in der EU oder auch ausserhalb betroffen?

Die neue NIS2-Richtlinie («The Network and Information Security (NIS) Directive ») verlangt von Unternehmen und Organisationen aus dem Bereich der kritischen Infrastrukturen und bestimmter digitale Dienstleister ein Mindestmass an Sicherheit, um die gesamte Infrastruktur widerstandsfähiger zu machen. Die Richtlinie gilt für Unternehmen in neu 16 Bereichen (Abfallbewirtschaftung, Abwasser, Bankwesen, Chemie, digitale Infrastruktur, Energie, Finanzmarktinfrastrukturen, Gesundheitswesen, ICT-Service Management B2B, Lebensmittel, öffentliche Verwaltung, Post- und Kurierdienste, Trinkwasser, verarbeitendes/herstellendes Gewerbe, Verkehr und Weltraum). Gefordert werden unter anderem ein verbessertes Risikomanagement sowie die Berücksichtigung von Lieferketten und Abhängigkeiten von Partnerunternehmen.

Auch Unternehmen mit Sitz ausserhalb der EU können von der Richtlinie betroffen sein, da sie bestimmte Anforderungen erfüllen müssen, damit Unternehmen mit Sitz in der EU mit ihnen zusammenarbeiten können.

Konkret bedeutet die neue NIS2-Richtlinie strengere Aufsichtsmassnahmen für die nationalen Behörden und Anforderungen an die Durchsetzung.

  • Sichere Lieferketten: Alle Unternehmen aus den 16 Bereichen werden dazu verpflichtet, sich mit Cyber-Sicherheitsrisiken in der Lieferkette auseinanderzusetzen.
  • Risikomanagement: Zudem muss ein Risikomanagementkonzept vorhanden sein, das die wichtigsten Sicherheitselemente enthält.  
  • Sicherheitsvorfälle: Es gibt klare Regeln für die Meldung von Sicherheitsvorfällen, dem Inhalt der Meldung und der Meldefrist. So gilt bei NIS2, dass bedeutende Sicherheitsvorfälle innerhalb von 24 Stunden gemeldet werden müssen und innerhalb von 72 Stunden eine Einschätzung an die Behörde erfolgen muss.

Verstösst man gegen die NIS2-Richtlinie, drohen den Unternehmen hohe Bussgelder. Deshalb sollten Sie entsprechende Massnahmen in Ihrem Unternehmen ergreifen.

Wobei können wir Sie bei der Umsetzung der NIS2-Richtlinie unterstützen?

Schulung und Sensibilisierung der Mitarbeitenden

Das Thema Schulung wird sehr wichtig, und es wird verlangt, dass Mitarbeitende regelmässig an Schulungen teilnehmen. Es gibt viele neue und klare Bestimmungen, zu denen Ihre Mitarbeitende geschult werden müssen. Z. B. zu den neuen Risiko- und Informationssicherheitsrichtlinien. Oder dass Sicherheitsvorfälle innerhalb einer bestimmten Frist gemeldet werden müssen.

Damit sich Ihre Mitarbeitenden korrekt und sicher verhalten, d. h. im Sinne der NIS2-Richtlinie, ist es wichtig, dass Sie Ihre Mitarbeitenden schulen und das Bewusstsein für Cyberbedrohungen, wie z. B. Phishing oder Social-Engineering-Techniken, schärfen. Gerne unterstützen wir Sie dabei mit unseren E-Learnings aus 18 Themenbereichen der Informationssicherheit oder erstellen Ihnen Ihr eigenes E-Learning nach Ihren Wünschen.

Sicherheitskultur messen

Doch bevor Sie überhaupt Massnahmen wie Schulungen ergreifen, ist es wichtig, den Stand Ihrer Sicherheitskultur zu kennen und basierend darauf eine langfristige Strategie zu entwickeln. An dieser Stelle empfehlen wir Ihnen unseren Security Awareness Radar®, welcher das Sicherheitsbewusstsein, Verhalten und die Kultur in Bezug auf Informationssicherheit misst. Eine solche Messung zeigt Schwächen und Verbesserungspotential auf, z. B. wenn Mitarbeitende die Richtlinien im Ablagesystem nicht gut finden oder wichtige Sicherheitsprozesse nicht kennen.

Mit unserem Security Awareness Radar® erhalten Sie eine detaillierte Analyse Ihrer Situation und können gezielter Massnahmen ergreifen und Ihr Unternehmen somit fit für die neue NIS2-Richtlinie und die Zukunft machen.

Benötigen Sie unsere Unterstützung oder haben Sie Frage? Zögern Sie nicht, uns zu kontaktieren.

Abonnieren Sie jetzt unseren Newsletter und verpassen Sie keine Neuigkeiten und Blogs mehr zum Thema Informationssicherheit und Security Awareness. Anmeldung über das untenstehende Formular.

Newsletter

Bleiben Sie auf dem Laufenden mit unserem Newsletter und Blog-Abonnement:

Vielen Dank für Ihre Newsletter Anmeldung.
Beim Absenden des Formulars ist etwas schief gelaufen.
RSS Feed
Suchen

Verwandte Artikel