In der EU trat sie am 27. Juni in Kraft. Dezember 2022 in Kraft getreten ist, wird sie nun in das tschechische Rechtssystem umgesetzt – sie wird voraussichtlich Mitte Oktober verabschiedet und tritt 2024 in Kraft. Dies wird eine erhebliche Ausweitung und Verschärfung der älteren Richtlinie (NIS) von 2016 sein. Die Richtlinie wird nun bis zu 6.000 tschechische Unternehmen betreffen, ursprünglich waren es etwa 400. Und es wird nicht einfach sein, diese Bedingungen zu erfüllen.
Was genau ist das?
Den vollständigen Text der Richtlinie (auf deutsch) können Sie HIER lesen.
Kurz gesagt besagt die Richtlinie, dass die EU-Mitgliedstaaten verpflichtet sind, alle Einrichtungen zu identifizieren, die Backbone-Dienste anbieten, und dass diese Einrichtungen dann bestimmte Maßnahmen zur Verhinderung von Cyberangriffen umsetzen müssen. Dies ist eine Möglichkeit, nationale Strategien, Verfahren oder Kriterien und Risikobewertungen zu vereinheitlichen, da die Länder in der Vergangenheit unterschiedliche Ansätze für die Cybersicherheit hatten. Jeder Mitgliedstaat muss außerdem ein nationales Team für die Reaktion auf Cybersicherheitsvorfälle einrichten.
Die Richtlinie nennt die von der Maßnahme betroffenen öffentlichen und privaten Sektoren. Gleichzeitig unterteilt sie die Unternehmen in Einheiten von grundlegender und wichtiger Bedeutung.
| Themen von großer Bedeutung (höhere Bedeutung) | Themen von großer Bedeutung (geringere Bedeutung) |
| Energie | Post- und Kurierdienste |
| transportieren | Abfallwirtschaft |
| Finanzmärkte | chemische Industrie |
| Gesundheitswesen | Lebensmittelindustrie |
| Wasserwirtschaft | Fertigungsindustrie |
| digitale Infrastruktur und Dienstleistungen | |
| öffentliche Verwaltung | |
| Raumfahrtindustrie |
Eine Unterbrechung der Dienste in einer kritischen Einrichtung hätte schwerwiegende oder kritische Auswirkungen auf die Wirtschaft des Landes oder das Funktionieren der Gesellschaft, so dass die Bedingungen für diese Unternehmen strenger sind.
Ein Unternehmen von grundlegender Bedeutung
- übernimmt den vollständigen Wortlaut aller Anforderungen der Richtlinie,
- muss alle Sicherheitsvorfälle melden,
- müssen die Warnungen der NKS befolgen und auf Bedrohungen mit proaktiven Maßnahmen reagieren,
- steht unter der Kontrolle der NKS,
- Die Daten und Informationen müssen auf einem Server in der Region verarbeitet werden,
- müssen auch ihre kritischen Lieferanten überprüfen.
Ein Unternehmen von großer Bedeutung
- übernimmt die reduzierten Anforderungen der Richtlinie,
- ist nur verpflichtet, Sicherheitsvorfälle mit erheblichen Auswirkungen zu melden,
- müssen die Warnungen des NCIS nicht befolgen,
- steht unter der Kontrolle eines zertifizierten Inspektors der NUCIB,
- Daten und Informationen dürfen nicht auf einem Server in der Region verarbeitet werden,
- sie müssen ihre Lieferanten nicht überprüfen.
Welche Änderungen wird NIS2 in der Praxis bringen?
Mit der neuen Richtlinie werden Maßnahmen organisatorischer und technischer Art eingeführt.
Im organisatorischen Bereich müssen sich die Manager auf die Risikobewertung und das Risikomanagement konzentrieren, umfassende Sicherheitsrichtlinien mit Schwerpunkt auf der Nachhaltigkeit des Dienstbetriebs umsetzen und die Schulung des Personals sicherstellen. Der Schwerpunkt liegt auch auf der Sicherheit der Lieferkette.
Im Bereich der technischen Maßnahmen betrifft dies vor allem die Sicherheit der IT-Infrastruktur. Dazu gehören:
- Schutz von Telekommunikationsnetzen und ordnungsgemäß verteilten Systemen, einschließlich solcher mit Hochverfügbarkeitsarchitekturen.
- Identitätsmanagement und Authentifizierung, einschließlich externer Nutzer und Lieferanten.
- Kontrolle der Zugriffsberechtigungen im gesamten Unternehmen.
- Kryptographie und Schutz sensibler Daten, mit Schwerpunkt auf Sicherung und Wiederherstellung.
- Schutz aller Geräte mit Netzzugang.
Neu ist die Verpflichtung, die Behebung von Schwachstellen und Vorfällen zu dokumentieren und zu melden. Der erste Bericht muss innerhalb von 24 Stunden nach Entdeckung eines Sicherheitsproblems eingereicht werden, ein zweiter, detaillierterer Bericht muss innerhalb eines Monats erfolgen.
Ziel der ersten Meldung ist es, die potenzielle Ausbreitung von Zwischenfällen zu begrenzen und die Betreiber in die Lage zu versetzen, eine potenzielle Gefahr so schnell wie möglich zu beseitigen. Der zweite Bericht soll sicherstellen, dass aus früheren Vorfällen Lehren gezogen werden.
Die Meldepflicht stellt für die Unternehmen die größte Herausforderung dar, da sie Vorfälle rund um die Uhr und 365 Tage die Woche überwachen und auf sie reagieren müssen. Gleichzeitig herrscht auf dem Markt ein Mangel an qualifizierten IT-Fachkräften, so dass es schwierig sein wird, interne Mitarbeiter für den Dauerbetrieb zu finden. Der Schwerpunkt sollte auf intelligenten Lösungen mit maximaler Nutzung fortschrittlicher Technologien liegen.
Die Richtlinie wird spätestens am 31. Dezember in Kraft treten. Dezember 2024, und die Kontrollbehörde kann bei Nichteinhaltung ab dem folgenden Monat Sanktionen verhängen.
Mit NIS2 können wir Ihnen helfen
Als Reaktion auf die Einführung von NIS2 bietet unser Unternehmen System4u Managed Detection & Response an – ein Paket, das alle Anforderungen der Richtlinie abdeckt. Dieser Dienst umfasst:
- Ein Sicherheitsaudit Ihrer IT-Infrastruktur und eine detaillierte Analyse ihres Zustands mit Hilfe moderner Techniken und Penetrationstests (On-Premise- und Cloud-Hosting, Netzwerke, Anwendungsschicht, Identitätsmanagement, Endpunkte, Datenspeicherung, Datensicherheit, Backup, Wiederherstellung usw.).
- Fachkundige Beratung einschließlich architektonischer Gestaltung und anschließender Umsetzung der empfohlenen Änderungen.
- Security Support Service (SOC365), einschließlich der Bearbeitung von Vorfällen und der Berichterstattung.
Mit Managed Detection & Response können Sie sicher sein, dass Sie NIS2 und andere Vorschriften wie GDPR oder ISO 27001 einhalten. Wenn Sie mehr darüber sprechen möchten, lassen Sie es uns wissen.
