Fernwartung

NUR NOCH 2 TAGE BIS ZUR VERSCHÄRFUNG DER CYBERSECURITY-RICHTLINIEN!

von Markus Liebeg | 15.10.2024

Was es genau mit dem neuen NIS2-Gesetz auf sich hat und was Sie jetzt tun sollten, erfahren Sie hier!

Mit der wachsenden Bedrohung durch Cyberangriffe nimmt der Schutz von Unternehmensdaten einen immer höheren Stellenwert ein. Die neue NIS2-Richtlinie, die ab Oktober 2024 in Kraft tritt, soll die Sicherheit von Netz- und Informationssystemen in der gesamten EU stärken. Sie bringt striktere Anforderungen und umfassendere Meldepflichten mit sich, um das Risiko von Cyberangriffen zu minimieren. In diesem Beitrag erklären wir, welche Unternehmen betroffen sind, was konkret zu tun ist und wie Sie Ihr Unternehmen zukunftssicher aufstellen können.

 

 

Was ist der Zweck der NIS2-Richtlinie?

NIS2 (Network and Information Systems Directive 2) zielt auf ein verbessertes, EU-weites Cybersicherheitsniveau ab. Sie baut auf früheren Rechtsvorschriften wie NIS1 und der DSGVO auf, ergänzt diese jedoch durch neue, höhere Anforderungen. Dazu gehören unter anderem Risikobewertungen, Richtlinien und Verfahren für Kryptografie, Sicherheitsmaßnahmen für Mitarbeitende mit Zugang zu sensiblen Daten, mehrstufige Authentifizierung und Schulungen zur Cybersicherheit. Ein besonderer Fokus von NIS2 liegt auf Sicherheit und Geschäftskontinuität, einschließlich der Sicherheit von Lieferketten.

 

 

Für welche Unternehmen gilt NIS2?

Die NIS2-Richtlinie gilt für Unternehmen und Organisationen, die als Betreiber oder Anbieter von essenziellen und wichtigen Diensten in der EU eingestuft werden. Direkt betroffen sind große und mittlere Unternehmen aus den folgenden Branchen/Sektoren:

  • Kritische Sektoren bzw. „wichtige Einrichtungen“ Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes bzw. herstellendes Gewerbe, Anbieter digitaler Dienste, Forschung (fakultativ).

  • Sektoren mit hoher Kritikalität bzw. „wesentliche Einrichtungen“ Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung, Weltraum.

  • Kleine Unternehmen sind betroffen, wenn sie folgenden Bereichen zuzuordnen sind: Vertrauensdienstanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste, TLD-Namenregister und DNS-Diensteanbieter (ausgenommen Betreiber von Root-Namenservern) sowie Unternehmen, die der alleinige Anbieter eines Dienstes in einem Mitgliedstaat sind, der essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.

 

Sie sind von NIS2 betroffen? Wir unterstützen Sie gerne bei der Implementierung der vorgeschriebenen IT Sicherheitsmaßnahmen. Vereinbaren Sie >>hier ein kostenfreies Beratungsgespräch<<. 

 

Ab Oktober 2024 gelten für Unternehmen somit deutlich verschärfte, verpflichtende Sicherheitsmaßnahmen und Meldepflichten. Was ist nun im Detail zu tun?

 

 

Wann gilt ein Unternehmen als mittelständisch oder groß?

Die Einstufung eines Unternehmens als „groß“ oder „mittelständisch“ hängt in der Regel von zwei Faktoren ab: der Anzahl der Mitarbeiter und dem Jahresumsatz. Im Folgenden die Abgrenzung der EU anhand dieser Kriterien:

 

Mittelständische Unternehmen (medium):

50-250 Beschäftigte; 10-50 Mio. Euro Umsatz; weniger als 43 Mio. Euro Bilanzsumme.

 

Große Unternehmen (large):

Mehr als 250 Beschäftigte; mehr als 50 Mio. Euro Umsatz; mehr als 43 Mio. Euro Bilanzsumme.

Dadurch wird der Anwendungsbereich auch in Österreich erheblich ausgeweitet!

 

 

Folgende Maßnahmen müssen Sie ergreifen:

Vorrangig gilt es, die Risiken für die Sicherheit Ihrer Netz- und Informationssysteme zu senken und zugleich die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Sämtliche IT-Systeme und deren physische Umgebung sollen geschützt werden. Laut NIS2 sind die nachfolgend genannten Cybersecurity-Maßnahmen umzusetzen:

 

    • Policies: Konzepte für Risikoanalyse und Sicherheit von Informationssystemen

    • Vorfallsbewältigung: Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle

    • Business Continuity: Backup-Management, Wiederherstellung und Krisenmanagement

    • Sicherheit der Lieferkette

    • Einkauf: Sicherheit beim Erwerb, der Entwicklung und Wartung der IT-Systeme, einschließlich Management und Offenlegung von Schwachstellen

    • Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen

    • Cyberhygiene & Schulung: Cyberhygiene (z.B. Updates) und Schulungen in Cybersecurity

    • Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung

    • Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management

    • Authentifizierung: Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung

    • Kommunikation: Sichere Sprach-, Video- und Textkommunikation, ggf. auch im Notfall

 

Kostenfreie Beratung vereinbaren
Es gilt die Berichtspflicht!

Die EU-NIS2-Richtlinie schreibt vor, dass erhebliche Sicherheitsvorfälle der nationalen Behörde und gegebenenfalls den Empfängern der eigenen Dienste gemeldet werden müssen. Folgende Fristen sind vorgesehen, um Vorfälle der Behörde zu melden:

 

  • Frühwarnung innerhalb von 24 Stunden ab Kenntnis: Verdacht, ob der Vorfall auf rechtswidriger oder böswilliger Handlung beruht und ob er grenzüberschreitend ist.

  • Ausführlicher Bericht innerhalb von 72 Stunden ab Kenntnis: Erste Bewertung des Sicherheitsvorfalls, einschließlich Schweregrad, Auswirkungen und gegebenenfalls Hinweise, die darauf hindeuten, dass ein System oder Netzwerk Opfer eines Cyberangriffs war.

  • Fortschritts-/Abschlussbericht einen Monat nach Meldung: Ausführliche Beschreibung, Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen und gegebenenfalls die grenzüberschreitenden Auswirkungen.

Daneben sind bestimmte Inhalte, beispielsweise bei Fortschritts- oder Abschlussberichten, einzuhalten. Dazu gehören detaillierte Informationen zur Natur der Bedrohung und den ergriffenen Maßnahmen etc.

 

 

Sanktionen bei Nichteinhaltung der Richtlinien

Handelt es sich um eine „wesentliche Einrichtung“, können bei Nichteinhaltung der NIS2-Regelungen Sanktionen von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes der jeweiligen Einrichtung verhängt werden – je nachdem, welcher Betrag höher ist. Für „wichtige Einrichtungen“ können Bußgelder von bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes verhängt werden – auch hier gilt: Je nachdem, welcher Betrag höher ist. Darüber hinaus wird in Zukunft regelmäßig und gezielt geprüft, nicht nur bei begründetem Verdacht durch die Behörde.“

 

 

Wir unterstützen Ihr Unternehmen!

Aufgrund der neuen NIS2-Richtlinie und der wachsenden Bedrohung durch Cyberangriffe auf kritische Infrastrukturen (KRITIS) ist es unerlässlich, die Cyber-Resilienz Ihres Unternehmens zu optimieren. Wir bieten Ihnen folgende Dienstleistungen an:

 

    • Analyse der aktuellen Situation: Bewertung Ihrer bestehenden IT-Infrastruktur und Identifizierung von Schwachstellen.
    • Strategieentwicklung: Erstellung einer maßgeschneiderten Cybersecurity-Strategie für Ihr Unternehmen.
    • Umsetzung von Sicherheitsmaßnahmen: Unterstützung bei der Implementierung fortschrittlicher Sicherheitslösungen.
    • Monitoring und Reporting: Kontinuierliches Monitoring Ihrer IT-Systeme und regelmäßige Berichterstattung zur Einhaltung der NIS2-Richtlinie.
    • Notfallmanagement: Entwicklung und Implementierung von Plänen zur Reaktion auf Sicherheitsvorfälle.

 

Wir unterstützen Sie gerne! Vereinbaren Sie ein kostenfreies Beratungsgespräch mit unseren IT Security Spezialisten.

Wir beantworten gerne alle Fragen.

Kontaktieren Sie uns über das untenstehende Formular.

DI Markus Liebeg, BSc.

Experte für IT-Sicherheit und Digitalsierung

Liebeg innovateIT e.U.

+43 316 72 01 65    

office@liebeg.at     

Karlauer Gürtel 1

8020 Graz    

Sie haben eine Frage an uns? 

Wir sind gerne für Sie persönlich erreichbar: 

Kontakt aufnehmen