NIS-2-Richtlinie für Unternehmen:Tipps zur erfolgreichen Umsetzung

12. August 2024

Cyber-Angriffe auf Unternehmen nehmen im Jahr 2024 weiter zu. Doch die zweite Richtlinie zur Network and Information Security (NIS 2) der Europäischen Union (EU) soll hier helfen, doch sie stellt betroffene Unternehmen vor große Herausforderungen: Ab dem 17. Oktober 2024 sind höhere Cyber-Sicherheitsanforderungen erfüllen.

Aufsehenerregende Ransomware-Kampagnen sorgen nach wie vor für Schlagzeilen. Außerdem ist die Zahl der Unique-Malware-Angriffe pro Minute laut dem jüngsten Global Threat Intelligence Report von BlackBerry im Zeitraum von Januar bis März 2024 im Vergleich zum Zeitraum von September bis Dezember 2023 weltweit um mehr als 40 Prozent gestiegen.

Besonders betroffen sind kritische Infrastrukturen wie der Finanzsektor, das Gesundheitswesen und Behörden, auf die 60 Prozent aller Angriffe entfallen. Nach Angaben der Agentur der Europäischen Union für Cyber-Sicherheit (ENISA) richtete sich 2022 die überwiegende Mehrheit der Angriffe in Europa gegen die öffentliche Verwaltung und Regierungen, Anbieter digitaler Dienste und kritische Infrastrukturen.

Zum Schutz der gefährdeten Bereiche und zur Bekämpfung der weltweiten Kriminalitätswelle wurde die NIS-2-Richtlinie verabschiedet. Um die NIS-2-Richtlinie einzuhalten und das Cyber-Risiko zu verringern, müssen Unternehmen neue Verfahren einführen, die es ihnen ermöglichen, Angriffe schneller zu melden. Zudem müssen Entscheider und Mitarbeiter im Thema Cyber-Sicherheit regelmäßig geschult werden.

Eine weitere Anforderung besteht darin, einen Geschäftskontinuitätsplan für größere Cyber-Vorfälle zu erstellen. Dieser Plan muss zentrale Richtlinien, Verfahren und wichtige Kontakte – auch von Drittanbietern – enthalten, um erfolgreiche Angriffe schnell eindämmen und kontrollieren zu können. Hohe Strafen sollen die Einhaltung der NIS-2-Richtlinie gewährleisten: Es drohen Bußgelder von bis zu zehn Millionen Euro beziehungsweise zwei Prozent des weltweiten Jahresumsatzes des Unternehmens – je nachdem, welcher Betrag höher ist.

Vorbereitung frühzeitig beginnen

Generell eignen sich sechs hilfreiche Maßnahmen für die Umsetzung der NIS-2-Richtlinie. Sie helfen Unternehmen, sich auf den Stichtag im Oktober 2024 vorzubereiten.

  • Cyber-Angriffe vorhersehen und verhindern: Erforderlich ist die Implementierung von KI-gesteuerten Tools für die Cyber-Sicherheit, um Bedrohungen zu erkennen und zu verhindern, bevor sie Schaden anrichten.
  • Zero-Trust-Ansatz beim Management des Benutzerzugriffs auf Anwendungen und Daten wählen: Dieser Ansatz verringert das Risiko von Sicherheitsverletzungen durch eine granulare Zugriffskontrolle und ermöglicht sicheres Arbeiten von überall.
  • Schnelle Meldung von und Reaktion auf Cyber-Vorfälle: Moderne Services für Managed Detection and Response (MDR) zu nutzen, erhöht die Qualität des Schutzes und die Reaktionsgeschwindigkeit von Unternehmen enorm. Viele Unternehmen können erst mit dem richtigen MDR-Partner die Vorgaben einhalten.
  • Schutz von unternehmenseigenen und persönlichen Geräten: In Unternehmen kommt es darauf an, Kontrollen von Richtlinien einzuführen und die für die Sicherung aller Endgeräte erforderliche Transparenz zu gewährleisten – sowohl auf den eigenen Geräten als auch auf den privaten Geräten von Mitarbeitern, die diese für die Arbeit nutzen dürfen.
  • Verschlüsselung der Kommunikation: Die NIS-2-Richtlinie fordert eine mehrstufige Authentifizierung und eine sichere Verschlüsselung im Bereich der Text-, Video- und Sprachkommunikation. Daher müssen Unternehmen sichere Messaging- und Telefonie-Anwendungen einführen, die den höchsten Sicherheitsstandards entsprechen und vor den besonders ausgefeilten Bedrohungen schützen.
  • Einen Geschäftskontinuitätsplan erstellen: Unternehmen sollten in der Lage sein, bei einem größeren Cyber-Vorfall schnell Reaktionsteams zu aktivieren und sicher mit Mitarbeitern und anderen wichtigen Stakeholdern zu kommunizieren. Aus diesem Grund müssen Unternehmen über eine sichere Kommunikationsplattform mit mehreren Kanälen verfügen. Diese Grundlage ermöglicht es, die richtigen Personen mit den richtigen Informationen zu versorgen, damit sie auf kritische Ereignisse reagieren und Angriffe abwehren können.

Ulf Baltin ist Managing Director DACH bei BlackBerry.

BlackBerry

Lesen Sie auch