Nach dem Stichtag 17. Oktober 2024 beschäftigt die Umsetzung der NIS2-Richtlinie die ANSSI weiterhin. Wesentliche und wichtige Einrichtungen müssen sich bereits an die Artikel 20 und 21 anpassen, die eine strukturierte IT-Sicherheitssteuerung, robuste technische Maßnahmen und ein Vorfallsmanagement vorschreiben.
Die NIS2-Richtlinie stellt einen großen Fortschritt für die europäische Cybersicherheit dar und ersetzt und verstärkt die erste Version aus dem Jahr 2016. Sie erweitert den Kreis der betroffenen Organisationen erheblich und schreibt strengere Sicherheitsmaßnahmen vor: verstärkte Governance, robuster technischer Schutz und Vorfallsmanagement.
Ziel ist es, ein hohes und harmonisiertes Niveau der Cybersicherheit in der Europäischen Union zu etablieren.
| DIE PILIERE | WELCHE AUSWIRKUNGEN? |
|---|---|
| Governance der Sicherheit | Die Steuerung der Informationssicherheit erfordert mehrere Baustellen bereichsübergreifend: Definition von Rollen mit einem Sicherheitsbeauftragten, Einrichtung eines ISSP, Kartierung des IS und der Dienstleister, Risikomanagement mit regelmäßige Analysen, Durchführung von Compliance-Audits und Integration der Sicherheit im Personalmanagement, insbesondere durch Mitarbeiterschulungen. |
| Technische Schutzmaßnahmen | Technische Schutzmaßnahmen ergänzen den organisatorischen Aspekt durch die Aufrechterhaltung eines sicheren Zustands, die physische Zugangskontrolle, die Sicherung der IS-Architektur und des Fernzugriffs, Einsatz von Anti-Malware-Lösungen, die Härtung von Konfigurationen, die strenge Verwaltung Identitäten und die Einrichtung von Vorkehrungen zur Aufrechterhaltung der Geschäftstätigkeit. |
| Umgang mit Vorfällen | Da Sicherheitsvorfälle unvermeidbar sind, muss die Organisation einen ein umfassendes Antwortsystem. Diese besteht aus drei Säulen: einem System von SIEM-Erkennung, die von einem SOC überwacht wird, Reaktionsfähigkeit über ein CERT dedizierte oder ausgelagerte, und bewährte Verfahren zur Krisenbewältigung durch regelmäßige Übungen. |
Die NIS-2-Richtlinie bekräftigt die geopolitischen Ambitionen Europas im Bereich der Cybersicherheit. Durch die Erweiterung des Geltungsbereichs und die Harmonisierung der Anforderungen zwischen den Mitgliedstaaten stärkt Europa seine kollektive Widerstandsfähigkeit gegenüber Cyberbedrohungen. Dieses Regelwerk setzt anspruchsvolle Standards, die es dem Kontinent ermöglichen, strategische Autonomie in einem Bereich zu entwickeln, der bislang von den Mächten USA und China dominiert wurde.
Die NIS2-Richtlinie gilt für ein breites Spektrum von Organisationen, die in zwei Kategorien eingeteilt werden:
wesentliche (Energie, Verkehr, Gesundheit, digitale Infrastruktur) und wichtige Einheiten (Lebensmittelindustrie, Abfallwirtschaft, Postdienste, verarbeitendes Gewerbe).
Sie betrifft Tausende von Einrichtungen in mehr als achtzehn Sektoren, von öffentlichen Verwaltungen bis zu Privatunternehmen, von KMU bis zu großen Konzernen.