Aktuelles | Cybersicherheit | Compliance | NIS-Richtlinie
Cyberattacken und die damit verbundenen Folgen wie Betriebsunterbrechungen gehören seit Jahren zu den größten Risiken für Unternehmen – und das weltweit.
Auch Unternehmen in Europa müssen sich zunehmend gegen Bedrohungen aus dem Internet wappnen. In Deutschland berichten mittlerweile 9 von 10 Unternehmen von Datenpannen, Sabotageversuchen oder Spionageangriffen. Die deutsche Wirtschaft erleidet jährlich dadurch Schäden in dreistelliger Milliardenhöhe. Versicherungsunternehmen können das Risiko nicht mehr allein tragen. Anbieter von Cyberversicherungen machten 2022 erstmals Verluste in diesem Segment. Daher müssen die Versicherungsnehmer stärker in die Pflicht genommen werden.
Um Cyberkriminellen entgegenwirken zu können, hat die Europäische Union im Jahr 2016 eine Richtlinie zur Gewährleistung der Netz- und Informationssicherheit – kurz NIS – verabschiedet. Ziel dieser Richtlinie (EU) 2016/1148 war der Aufbau von Cyberresilienz in der gesamten EU. Bedrohungen für Netz- und Informationssysteme wesentlicher Dienste sollten eingedämmt werden. Damit sollte die Kontinuität der Dienstleistungen – insbesondere in den Schlüsselsektoren – sichergestellt werden, um die Wirtschaft und die Gesellschaft nicht zu schädigen.
Erste Erfolge sind bereits zu verzeichnen. Untersuchungen haben gezeigt, dass bei der Stärkung der Cyberresilienz erhebliche Fortschritte erzielt wurden. Allerdings wurde auch deutlich, dass die Umsetzung der Anforderungen der Richtlinie (EU) 2016/1148 in den einzelnen EU-Mitgliedstaaten sehr unterschiedlich ausfällt, was letztlich dazu führt, dass das Risiko eines Angriffs für bestimmte Mitgliedstaaten höher ist als für andere. Dieser Zustand kann aber im schlimmsten Fall negative Konsequenzen für die gesamte Europäische Union haben. Daher wurde entschieden, Mindestanforderungen für alle Mitgliedstaaten verpflichtend zu machen. Diese wurden nun in einer aktualisierten Richtlinie über die Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (Kurz NIS2 – (EU) 2022/2555) zusammengefasst (Amtsblatt der Europäischen Union).
Perseus als Anbieter eines 365° Grad-Ansatzes im Bereich Cybersicherheit kann vor allem kleinen und mittelständischen Unternehmen bei der Umsetzung der NIS 2-Richtlinie und den darin enthaltenen Maßnahmen beratend zur Seite stehen und aktiv bei der Umsetzung unterstützen.
Die NIS 2-Richtlinie weitet das Feld der Unternehmen aus, die den festgelegten Mindestanforderungen entsprechen müssen. Neben “wesentlichen” Sektoren, wie bspw. Energieversorger oder Unternehmen des Gesundheitswesen, werden zudem auch “wichtige” Sektoren herangezogen. Hierzu zählen bspw. die Abfallwirtschaft oder Post-Dienstleister.
Hier die komplette Liste:
Wesentlich:
Wichtig:
Neu ist ebenfalls, dass nicht nur Konzerne und Großunternehmen Konzepte zur Netz- und IT-Sicherheit vorweisen müssen. Es wird die sogenannte “size-cap rule” eingeführt. Dadurch werden nun auch Unternehmen, die mehr als 50 Mitarbeitende beschäftigen, einen Jahresumsatz oder eine Jahresbilanz von mehr als 10 Millionen Euro haben, sowie in einem kritischen oder wichtigen Sektor agieren, den Forderungen nachkommen müssen (Infoguard.ch). Dies stellt eine Änderung zu vorhergehenden Richtlinien dar.
Der Grund für diese Erweiterung ist, dass kleine und mittlere Unternehmen in allen EU-Mitgliedstaaten einen erheblichen Anteil an der Wirtschaft ausmachen. Erschwerend kommt hinzu, dass gerade diese Unternehmen Schwierigkeiten haben, sich an eine stärker vernetzte und zunehmend digitalisierte Welt anzupassen. Jüngste Entwicklungen, wie die Covid-19-Pandemie, und die daraus resultierende Verlagerung der Arbeit nach Hause sowie die häufigere Nutzung von Dienstleistungen im Internet haben die Lage weiter verschärft.
Geringes Cyberbewusstsein, mangelnde IT-Sicherheit und hohe Kosten für Cybersicherheitslösungen sind nur einige der Herausforderungen, denen sich kleine und mittlere Unternehmen stellen müssen.
Diese Themen zu vernachlässigen, zu verzögern oder gar zu ignorieren ist nun keine Option mehr. Die NIS2-Richtlinie muss durch die Mitgliedstaaten bis zum 17. Oktober 2024 umgesetzt werden. Anschließend muss die Kommission in regelmäßigen Abständen das Funktionieren der Richtlinie überprüfen – erstmals bis zum 17.10.2027.
Um die geforderten Mindestanforderungen umzusetzen, gibt die EU einen Maßnahmenkatalog vor, den Unternehmen befolgen müssen und die durch nationale Behörden überwacht werden. Dieser Maßnahmen werden im Artikel 21 der NSI 2 definiert. Ziel ist es hier vor allem, die Risiken für die IT-Sicherheit nachhaltig zu reduzieren und die Auswirkungen so minimal wie möglich zu halten. Die Umsetzung und Verhältnismäßigkeit der Maßnahmen hängt von bestimmten Parametern der Organisation ab: Risikoexposition des Unternehmens, die Größe des Unternehmens und die Wahrscheinlichkeit, dass ein Sicherheitsvorfall eintritt – und letztlich wie gravierend das Ausmaß eines Cybervorfalls auf Gesellschaft und Wirtschaft wäre.
Die wichtigsten Inhalte finden Sie hier einmal zusammengefasst:
Laut Handelsblatt sieht Hisolution-Gründer Tino Kob als erste Herausforderung, dass viele Unternehmen gar nicht wissen, dass sie von der NIS 2 Richtlinie betroffen sind. Laut seiner Schätzung werden nun 40.000 Unternehmen zusätzlich in die Verantwortung genommen.
Experten sehen bei größeren Unternehmen und Organisationen, die bereits von der NIS-Richtlinie aus 2016 betroffen waren, keine größeren Stolpersteine. Auch meinen sie, dass sich Unternehmen durch Auflagen der Sorgfaltspflicht bereits vor der Verabschiedung der NIS 2-Richtlinie mit den Themen IT-Sicherheits und Cybersicherheit auseinandergesetzt haben. Anders ist es nun, dass dies durch systematisch aufgesetzte Prozesse nachgewiesen werden muss (Handelsblatt).
Probleme bei der Integration der Mindestanforderungen sehen die Experten von Perseus vor allem bei Kleinst-, kleinen und mittleren Unternehmen. Vor allem der Mangel an IT-Fachkräften kann dazu führen, dass es an beratenden Instanzen mangelt, die die Entwicklung und Umsetzung der geforderten Maßnahmen unterstützen und diese Unternehmen auf sich allein gestellt sind. Sind viele der geforderten Aspekte neu oder bisher in der Organisation noch nicht relevant, besteht die Gefahr, dass diese Unternehmen überfordert sind.
Andere Hindernisse wie fehlende finanzielle und personelle Ressourcen können die Umsetzung der NIS-2-Richtlinie ebenfalls beeinträchtigen.
Und genau hier kann Perseus Unternehmen helfen. Das Cybersicherheits-Produktportfolio von Perseus beinhaltet viele der geforderten Maßnahmen. So kann die Perseus-Präventionslösung bei der Schulung und Sensibilisierung der Mitarbeitenden helfen. Ausgearbeitete Richtlinien zu Themen wie Datensicherheitskonzepte, Berechtigungsmanagement, Patch Management und mobiles Arbeiten tragen zur Umsetzung der Vorgaben zur Cyberhygiene bei.
Mit dem Security Baseline Check können Unternehmen standardisiert das grundlegende Sicherheitskonzept überprüfen. Vertiefende Einblicke gewährt der Cyber Risiko Dialog.
Und auch im Bereich des Notfallmanagements kann Perseus die Unternehmen unterstützen. Ein individualisierbarer Notfallplan verschafft einen Überblick über alle Prozesse und Anwendungen, die im Notfall beachtet bzw. die vor einem Vorfall gesondert geschützt werden müssen. Auch hilft der Plan dabei, den Geschäftsbetrieb – im möglichen Schadenfall – zügig wieder anlaufen zu lassen. Im Cybernotfall hilft darüber hinaus das Perseus Notfallteam bei der Bewältigung der Schäden. Hier steht das Team seinen Kunden rund um die Uhr zur Verfügung und berät auch im Verdachtsfall.
News | Cybersecurity | Compliance | NIS Directive
Cyber attacks and the associated consequences, such as business interruptions, have been among the greatest risks for companies worldwide for years.
Companies in Europe are also increasingly having to arm themselves against threats from the Internet. In Germany, 9 out of 10 companies now report data breaches, sabotage attempts or espionage attacks. This causes the German economy to suffer losses in the hundreds of billions every year. Insurance companies can no longer bear the risk alone. Cyber insurance providers made losses in this segment for the first time in 2022. Policyholders must therefore be made to take greater responsibility.
In order to counter cybercriminals, the European Union adopted a directive on network and information security (NIS) in 2016. The aim of this Directive (EU) 2016/1148 was to build cyber resilience across the EU. Threats to network and information systems of essential services were to be mitigated. This was intended to ensure the continuity of services, particularly in key sectors, so as not to harm the economy and society.
Initial successes have already been achieved. Studies have shown that significant progress has been made in strengthening cyber resilience. However, it has also become clear that the implementation of the requirements of Directive (EU) 2016/1148 varies greatly between EU Member States, which ultimately means that the risk of an attack is higher for some Member States than for others. In the worst case, this situation could have negative consequences for the entire European Union. It was therefore decided to make minimum requirements mandatory for all Member States. These have now been summarised in an updated Directive on measures for a high common level of cybersecurity (NIS2 – (EU) 2022/2555) (Official Journal of the European Union).
As a provider of a 365° approach to cybersecurity, Perseus can advise small and medium-sized enterprises in particular on the implementation of the NIS 2 Directive and the measures it contains, and actively support them in its implementation.
The NIS 2 Directive expands the field of companies that must comply with the specified minimum requirements. In addition to ‘essential’ sectors, such as energy suppliers and healthcare companies, ‘important’ sectors are also included. These include, for example, waste management and postal service providers.
Here is the complete list:
Essential:
Important:
Another new feature is that it is not only corporations and large companies that must demonstrate network and IT security concepts. The so-called ‘size cap rule’ is being introduced. This means that companies with more than 50 employees, an annual turnover or annual balance sheet total of more than €10 million, and operating in a critical or important sector must now also comply with the requirements (Infoguard.ch). This represents a change from previous guidelines.
The reason for this extension is that small and medium-sized enterprises account for a significant share of the economy in all EU member states. This is compounded by the fact that these companies in particular are finding it difficult to adapt to a more networked and increasingly digitalised world. Recent developments, such as the COVID-19 pandemic and the resulting shift to working from home and the more frequent use of online services, have further exacerbated the situation.
Low cyber awareness, inadequate IT security and high costs for cybersecurity solutions are just some of the challenges facing small and medium-sized enterprises.
Neglecting, delaying or even ignoring these issues is no longer an option. The NIS2 Directive must be implemented by Member States by 17 October 2024. The Commission must then review the functioning of the Directive at regular intervals, starting on 17 October 2027.
In order to implement the minimum requirements, the EU has issued a catalogue of measures that companies must follow and that are monitored by national authorities. These measures are defined in Article 21 of NSI 2. The main aim here is to reduce IT security risks in the long term and keep the impact to a minimum. The implementation and proportionality of the measures depend on certain parameters of the organisation: the company’s risk exposure, its size and the likelihood of a security incident occurring – and ultimately how serious the impact of a cyber incident would be on society and the economy.
The most important content is summarised here:
According to Handelsblatt, Hisolution founder Tino Kob sees the first challenge as being that many companies are unaware that they are affected by the NIS 2 Directive. He estimates that 40,000 additional companies will now be held accountable.
Experts do not see any major stumbling blocks for larger companies and organisations that were already affected by the NIS Directive from 2016. They also believe that companies have already addressed IT security and cyber security issues through due diligence requirements prior to the adoption of the NIS 2 Directive.
The difference now is that this must be demonstrated through systematically established processes (Handelsblatt). Experts at Perseus see problems with the integration of the minimum requirements, particularly for micro, small and medium-sized enterprises. Above all, the lack of IT specialists can lead to a shortage of advisory bodies to support the development and implementation of the required measures, leaving these companies to fend for themselves.
If many of the required aspects are new or not yet relevant in the organisation, there is a risk that these companies will be overwhelmed.
Other obstacles, such as a lack of financial and human resources, can also hinder the implementation of the NIS 2 Directive.
And this is exactly where Perseus can help companies. Perseus‘ cybersecurity product portfolio includes many of the required measures. For example, the Perseus prevention solution can help with employee training and awareness. Detailed guidelines on topics such as data security concepts, authorisation management, patch management and mobile working contribute to the implementation of cyber hygiene requirements.