Passwortmanager gehören zu den hilfreichsten Sicherheitstools auf dem Markt und bieten eine starke Passwortgenerierung und die Speicherung verschlüsselter Zugangsdaten. Allerdings nehmen Angreifer mittlerweile zunehmend ...
Die NIS2-Richtlinie ist der aktualisierte Cybersicherheitsrahmen der Europäischen Union, der die Cyberresilienz in kritischen Sektoren verbessern soll. Aufbauend auf der Richtlinie seines Vorgängers, der Richtlinie über Netz- und Informationssysteme (NIS), erweitert NIS2 seinen Anwendungsbereich erheblich auf Branchen wie Gesundheitswesen, Fertigung, Energie, Transport und Managed Services. Mit NIS2 werden zudem strengere Anforderungen an die Cybersicherheit, eine direkte Rechenschaftspflicht der Geschäftsleitung sowie festgelegte Fristen für die Meldung von Vorfällen eingeführt. Unternehmen, die innerhalb der EU tätig sind, müssen diese Verpflichtungen nicht nur verstehen, sondern auch konkrete Sicherheitsmaßnahmen umsetzen, um die Compliance-Anforderungen zu erfüllen.
Wichtige Erkenntnisse
- NIS2 ist der aktualisierte Cybersicherheitsrahmen der EU, mit dem strengere Anforderungen, eine breitere Branchenabdeckung und eine erhöhte Verantwortlichkeit der Führungskräfte für in der EU tätige Unternehmen eingeführt wird.
- NIS2 löst das ursprüngliche NIS ab, da das ursprüngliche Framework mit modernen Ransomware-Angriffen, Lieferkettenangriffen und fortgeschrittenen Cyberbedrohungen, die auf kritische Infrastrukturen abzielen, nicht mithalten konnte.
- NIS2 gilt in erster Linie für mittlere und große Unternehmen, die in den genannten Sektoren tätig sind; einige Einrichtungen müssen die Vorschriften jedoch aufgrund der kritischen Bedeutung ihrer Dienste unabhängig von ihrer Größe einhalten.
- Artikel 21 beschreibt die sieben zentralen Sicherheitsmaßnahmen, die Unternehmen umsetzen müssen – von Risikomanagement über Vorfallreaktion bis hin zur Sicherheit der Lieferkette.
- Zu den häufigsten NIS2-Compliancelücken gehören eine uneinheitliche MFA-Durchsetzung, eine mangelhafte Transparenz der Lieferanten und ein schwaches Privileged Access Management (PAM).
- Die Folgen der Nichteinhaltung können Geldbußen von bis zu 10.000.000 € oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für wesentliche Einrichtungen sowie die Pflicht zur Meldung eines schwerwiegenden Vorfalls innerhalb von 24 Stunden, 72 Stunden und eines Monats umfassen.
Warum die NIS2-Richtlinie die ursprüngliche NIS-Richtlinie abgelöst hat
Die ursprüngliche NIS-Richtlinie betraf hauptsächlich traditionelle kritische Infrastrukturen und konzentrierte sich auf die Sicherheit der Perimeter. Es fehlte an klaren Berichtspflichten, und die Umsetzung erfolgte in den einzelnen EU-Mitgliedstaaten uneinheitlich, was die Wirksamkeit der Regelung einschränkte. NIS2 erweitert die Abdeckung der in den Anhängen I und II definierten Sektoren, führt strengere Fristen für die Meldung von Vorfällen ein und überträgt der Geschäftsführung eine größere Verantwortung, einschließlich persönlicher Haftung in einigen nationalen Implementierungen der Mitgliedstaaten. Diese Umstellung stellt einen Übergang von Mindestsicherheitsanforderungen hin zu einem proaktiveren Ansatz für Cyber-Resilienz dar.
Wer ist verpflichtet, NIS2 einzuhalten?
NIS2 unterteilt Organisationen in zwei Hauptgruppen: wesentliche Einrichtungen und wichtige Einrichtungen. Beide müssen die Cybersicherheits- und Meldepflichten von NIS2 erfüllen, wobei für wesentliche Einrichtungen eine strengere Überwachung und möglicherweise härtere Strafen drohen.
Im Allgemeinen gilt die NIS2-Richtlinie für mittlere und große Unternehmen, die in den betroffenen Sektoren tätig sind. Nach der EU-Definition sind mittlere Unternehmen solche mit 50 oder mehr Mitarbeitern und einem Jahresumsatz von über 10.000.000 € – beide Kriterien werden zusammen betrachtet und nicht als Alternativen. Die von NIS2 abgedeckten Sektoren umfassen diverse Branchen, darunter Gesundheitswesen, Herstellung, Finanzdienstleistungen, Energie, Transport, Wasser, digitale Infrastruktur, Raumfahrt und Abfallwirtschaft.
Die Größe eines Unternehmens bestimmt nicht den Umfang von NIS2. Bestimmte Einrichtungen fallen in den Geltungsbereich, wenn ihre Dienstleistungen als entscheidend für die gesellschaftliche oder wirtschaftliche Stabilität angesehen werden. Für Unternehmen, die in mehreren EU-Mitgliedstaaten tätig sind, gilt NIS2 auf nationaler Ebene, sodass die Compliance-Anforderungen je nach Umsetzung von NIS2 in nationales Recht durch die einzelnen Länder variieren können.
7 Sicherheitsmaßnahmen, die Unternehmen für die NIS2-Compliance benötigen
Artikel 21 von NIS2 legt die Cybersicherheitsmaßnahmen fest, die von Unternehmen erwartet werden. Die Sicherheitsmaßnahmen spiegeln im Großen und Ganzen wider, wie ein gut geführtes Sicherheitsprogramm aussehen sollte, doch viele Unternehmen haben Schwierigkeiten mit der Umsetzung aufgrund des umfangreichen Rechtsjargons der Richtlinie. Hier sind die sieben Hauptbereiche, auf die sich das Framework bezieht.
1. Risikomanagement
Gemäß NIS2 müssen Unternehmen einen kontinuierlichen Risikomanagementprozess einrichten, anstatt sich auf einmalige Bewertungen zu verlassen. Unternehmen müssen kontinuierlich erkennen, wo ihre Sicherheitslücken liegen, den potenziellen Schaden dieser Risiken bewerten und sie regelmäßig analysieren. Das bedeutet, regelmäßige Risikoanalysen durchzuführen, dokumentierte Risikominderungspläne zu führen und die Aktivitäten kontinuierlich zu überwachen, um neue Bedrohungen zu erkennen. Letztlich muss jemand in einem Unternehmen für jedes identifizierte Risiko zur Rechenschaft gezogen und für dessen Risikominderung verantwortlich sein.
2. Fähigkeit zur Reaktion auf Vorfälle
NIS2 verlangt von Unternehmen, dass sie formelle Vorfallreaktionsverfahren einführen, bevor ein Sicherheitsvorfall eintritt, um Chaos während eines solchen zu verhindern. Das bedeutet, einen dokumentierten Vorfallreaktionsplan mit definierten Aufgaben zu haben und Unklarheiten darüber zu vermeiden, wer bestimmte Aufgaben übernehmen soll. Genauso wichtig wie das Erstellen klarer Pläne ist es, sie zu testen. Wird beispielsweise mitten in der Nacht in einem Teil des Netzwerks eines Unternehmens Ransomware entdeckt, kann der Unterschied zwischen der Eindämmung des Vorfalls und einem größeren Ausfall davon abhängen, ob ein Team den Ablauf geübt hat.
3. Geschäftskontinuität
NIS2 erwartet von Unternehmen, dass sie während und nach Cybervorfällen Resilienz aufrechterhalten, indem sie Backup- und Wiederherstellungsprozesse, zugängliche Datenspeicherung im Falle einer Systemkompromittierung und die Fähigkeit abdecken, Systeme innerhalb festgelegter Zeitrahmen wiederherzustellen. Die Planung der Notfallwiederherstellung sollte klare Wiederherstellungszeitziele definieren sowie berücksichtigen, wie lange ein Unternehmen realistischerweise eine betriebliche Unterbrechung hinnehmen kann. Regelmäßige Resilienztests stellen sicher, dass diese Pläne in der Praxis funktionieren und, wo operationell angemessen, fügt Redundanz über kritische Systeme und Infrastruktur eine weitere Schutzebene hinzu. Im Zentrum der Geschäftskontinuität steht die Notwendigkeit, Zugangsdaten und Zugriffsrechte für kritische Systeme zu schützen. Denn die Wiederherstellung wird deutlich schwieriger, wenn die Schlüssel zur Infrastruktur selbst zu den kompromittierten Ressourcen gehören.
4. Sicherheit der Lieferkette
NIS2 legt großen Wert auf das Risikomanagement von Drittanbietern. NIS2 stellt klar, dass Unternehmen für das Management der von Anbietern, Dienstleistern und Lieferanten ausgehenden Risiken verantwortlich sind. Da Transparenz oberste Priorität hat, müssen Unternehmen wissen, welche Dritten Zugriff auf ihre Systeme haben, welche Zugriffsrechte diese besitzen und ob die Lieferanten angemessene Sicherheit gewährleisten. Risikobewertungen von Anbietern, Zugriffsüberprüfungen und die laufende Überwachung sollten zu Standardprozessen werden. Moderne Angriffe auf Lieferketten haben gezeigt, dass die Gefährdung durch Dritte schnell zu einem gravierenden organisatorischen Risiko werden kann.
5. Zugriffskontrolle und Identitätsmanagement
Unternehmen müssen in der Lage sein, zu kontrollieren, wer Zugriff auf ihre Systeme hat und was mit diesem Zugriff geschehen darf, um die Angriffsoberfläche zu verringern. Als Teil der Kernanforderungen von NIS2 sollte das Prinzip der geringsten Rechte (Principle of Least Privilege, PoLP) die Art und Weise der Zugriffsgewährung regeln, wobei Benutzer und Systeme nur Zugriff auf das erhalten, was sie benötigen. Rollenbasierte Zugriffskontrollen (Role-Based Access Controls, RBAC) bieten die Struktur, um dies konsequent in großem Umfang durchzusetzen, und das Benutzerlebenszyklus-Management hilft, ruhende oder verwaiste Konten zu adressieren, die in Zukunft zu ausnutzbaren Sicherheitslücken werden können. Dies ist besonders wichtig für privilegierte Konten, vor allem da Administratoren und Dienstkonten mit privilegiertem Zugriff wertvolle Ziele sind. PAM, kombiniert mit einer starken Sicherheit der Zugangsdaten im gesamten Unternehmen, trägt dazu bei, dass diese Konten gesichert, überwacht und geprüft werden.
6. Verschlüsselung und Kryptographie
Selbst die am besten vorbereiteten Unternehmen können von einer Datenschutzverletzung betroffen sein, und die Verschlüsselung spielt eine Rolle bei der Bestimmung des tatsächlichen Schadensausmaßes. NIS2 erwartet von Unternehmen, dass sie Daten sowohl im Ruhezustand als auch während der Übertragung verschlüsseln, Zugangsdaten und vertrauliche Informationen schützen und sichere kryptografische Standards anwenden. Obwohl NIS2 keine spezifische Verschlüsselungsarchitektur vorschreibt, geht Zero-Knowledge-Verschlüsselung über die Grundanforderungen hinaus und kann Unternehmen beim Umgang mit vertraulichen Anmeldeinformation und Daten einen bedeutenden zusätzlichen Schutz bieten. In einer Zero-Knowledge-Umgebung werden Daten auf Geräteebene ver- und entschlüsselt, sodass nicht einmal der Dienstanbieter darauf zugreifen kann.
7. MFA und sichere Authentifizierung
Da kompromittierte Zugangsdaten einer der häufigsten Einfallstore für Cyberkriminelle sind, verpflichtet NIS2 Unternehmen zur Implementierung starker Authentifizierungskontrollen für alle Systeme und Benutzer. Dazu gehört die Durchsetzung der Multi-Faktor-Authentifizierung (MFA), wodurch eine zusätzliche Verifizierungsebene geschaffen wird, die die Auswirkungen gestohlener Zugangsdaten begrenzt. Wo immer möglich, sollten Unternehmen phishingresistente passwortlose Authentifizierungsmethoden einsetzen, um das Risiko zu vermeiden, dass Benutzer dazu manipuliert werden, Zugangsdaten zu teilen oder Aufforderungen zu genehmigen. Diese Kontrollmechanismen erschweren es Cyberkriminellen erheblich, sich unberechtigten Zugriff zu verschaffen, und verringern die Auswirkungen kompromittierter Zugangsdaten deutlich.
Unternehmen, die nach praktischen nächsten Schritten suchen, können unseren Leitfaden zur effektiven Vorbereitung auf NIS2 nutzen.
Häufige NIS2-Compliancelücken, mit denen Unternehmen konfrontiert sind
Die meisten Unternehmen haben bereits einige Sicherheitsmaßnahmen implementiert, doch operative Schwächen verhindern oft die vollständige Compliance, insbesondere mit der NIS2-Richtlinie. Sowohl ein mangelndes Verständnis der Richtlinie als auch eine mangelnde Umsetzung ihrer Anforderungen können für Unternehmen Konsequenzen nach sich ziehen.
Unvollständige MFA-Durchsetzung
Viele Unternehmen setzen MFA uneinheitlich ein. Obwohl Benutzerkonten geschützt sein können, könnten Lücken in Altsystemen oder bei VPN-Zugängen bestehen, die weiterhin ausschließlich auf traditionelle Passwörter angewiesen sind. Eine unvollständige MFA-Abdeckung schafft ausnutzbare Eintrittspunkte für Cyberkriminelle und untergräbt umfassendere Sicherheitsbemühungen durch ungesicherten privilegierten oder Fernzugriff.
Mangelnde Lieferantentransparenz
Die Anforderungen von NIS2 an die Lieferkette offenbaren eine bedauerliche Wahrheit für viele Unternehmen: Sie wissen nicht, wer Zugang zu ihren Umgebungen hat oder welche Risiken Dritte mit sich bringen. Externe Anbieter verfügen häufig über übermäßig weitreichende Zugriffsrechte, die nur selten überprüft werden. Ohne vollständige Transparenz können Unternehmen Drittanbieterrisiken unter NIS2 nicht effektiv verwalten.
Schwache privilegierte Zugriffskontrollen
Privilegierte Konten zählen zu den kritischsten Ressourcen eines Unternehmens, doch die Kontrollen zu ihrem Schutz sind häufig unzureichend. Gemeinsam genutzte Administratorzugangsdaten und dauerhafte Zugriffsrechte sind nach wie vor weit verbreitet, erhöhen jedoch die Angriffsoberfläche und das Risiko des Missbrauchs von Zugangsdaten. NIS2 erwartet eine stärkere Steuerung rund um privilegierten Zugriff, Sitzungsüberwachung und Prüfung.
Fristen für die Meldung von NIS2-Vorfällen
Mit NIS2 werden strukturierte Meldepflichten nach schwerwiegenden Cybersicherheitsvorfällen eingeführt. Von Unternehmen wird erwartet, dass sie ab dem Zeitpunkt, an dem sie von einem schwerwiegenden Vorfall erfahren, einen festgelegten, mehrstufigen Prozess befolgen:
- Innerhalb von 24 Stunden: Übermittlung einer Frühwarnung an die zuständigen nationalen Behörden zur Meldung eines erheblichen Sicherheitsvorfalls.
- Innerhalb von 72 Stunden: Bereitstellung eines umfassenderen Lagebilds des Sicherheitsvorfalls, einschließlich der bekannten Informationen zu Art und Auswirkungen.
- Innerhalb eines Monats: Vorlage eines Abschlussberichts mit einer vollständigen Darstellung des Vorfalls, der Reaktion darauf und der geplanten Präventionsmaßnahmen.
Um diese Fristen einzuhalten, müssen Unternehmen Sicherheitsvorfälle überwachen und protokollieren, sobald sie auftreten, anstatt im Nachhinein mühsam eine genaue Chronologie der Ereignisse erstellen zu müssen. Letztlich erfordert die NIS2-Compliance, dass Unternehmen ausgereifte Cybersicherheitspraktiken einführen, die betriebliche Widerstandsfähigkeit verbessern und einen vollständigen Überblick über Benutzer und Systeme aufrechterhalten, um Sicherheitsrisiken zu reduzieren.
Wie Keeper Sie bei der NIS2-Compliance unterstützt
Die Erfüllung der NIS2-Konformitätsstandards erfordert eine zuverlässige Sicherheitsinfrastruktur, die granulare Zugriffskontrollen durchsetzt, Zugangsdaten schützt und volle Transparenz bietet, um Risiken im großen Maßstab zu managen. Die Zero-Knowledge-Identitätssicherheitsplattform von Keeper unterstützt Unternehmen durch die Konsolidierung mehrerer Sicherheitslösungen, darunter PAM, Passwortverwaltung, Geheimnismanagement, Endpoint Privilege Management und sicherer Fernzugriff. Um einigen der anspruchsvollsten Anforderungen von NIS2 gerecht zu werden, bietet Keeper erweiterte Funktionen wie RBAC, MFA-Durchsetzung, Zugangsdatenprüfung, Sitzungsüberwachung und Zero-Trust-Sicherheit. Ob Sie erst am Anfang der Umsetzung der NIS2-Anforderungen stehen oder Ihr bestehendes Sicherheitsniveau weiter verbessern möchten: Keeper ermöglicht es Ihrem Unternehmen, die NIS2-Anforderungen sicher und zuverlässig zu erfüllen.
Starten Sie noch heute Ihre kostenlose Keeper-Testversion und stärken Sie die Bereitschaft Ihres Unternehmens zur Einhaltung der NIS2-Anforderungen.
Häufig gestellte fragen
Gilt NIS2 für Unternehmen außerhalb der EU?
NIS2 kann auch für Unternehmen mit Hauptsitz außerhalb der EU gelten, wenn sie Dienstleistungen für Kunden oder Einrichtungen innerhalb der EU erbringen. Dies betrifft hauptsächlich Cloud-Anbieter, SaaS-Unternehmen und Serviceanbieter, die unter den Geltungsbereich von NIS2 fallen. Wenn Ihr Unternehmen EU-Kunden oder -Infrastruktur betreut, sollten Sie prüfen, ob die NIS2-Verpflichtungen für Sie gelten.
Was passiert, wenn ein Unternehmen die NIS2-Vorgaben nicht einhält?
Die Nichteinhaltung von NIS2 hat erhebliche finanzielle, rechtliche und reputationsbezogene Konsequenzen. Unter NIS2 können wesentliche Einrichtungen mit Geldstrafen von bis zu 10.000.000 € oder 2 % des globalen Jahresumsatzes (je nachdem, welcher Betrag höher ist) belegt werden, und wichtige Einrichtungen können mit Geldstrafen von bis zu 7.000.000 € oder 1,4 % des globalen Jahresumsatzes (je nachdem, welcher Betrag höher ist) belegt werden. Die Behörden können auch Prüfungen anordnen und den Betrieb sogar vorübergehend einstellen.
Ist ISO 27001 für die NIS2-Konformität ausreichend?
Die Zertifizierung nach ISO 27001 belegt zwar ein hohes Engagement für die Informationssicherheit, deckt jedoch nicht alle Anforderungen ab, die für die Einhaltung der NIS2-Richtlinie erforderlich sind. Mit der NIS2-Richtlinie gelten konkrete Anforderungen an Meldefristen für Sicherheitsvorfälle, die Sicherheit der Lieferkette und die Verantwortung der Geschäftsführung. ISO 27001 unterstützt Unternehmen bei der Vorbereitung auf NIS2. Für eine vollständige NIS2-Compliance sind jedoch in der Regel weitere Governance-Maßnahmen notwendig.