NIS2-Richtlinie: ein kleiner Schritt für den Menschen, ein großer Schritt für die Cybersicherheit

Die Risiken im Bereich der Cybersicherheit nehmen zu (Phishing ist nach wie vor die am weitesten verbreitete Bedrohung : Es wurden rund 562,4 Millionen Phishing-E-Mails registriert), weshalb es notwendig wird, die Sicherheitsstandards zu verschärfen. Innerhalb von Organisationen muss die Sicherheit sowohl auf technischer als auch auf organisatorischer Ebene gestärkt werden. In diesem Zusammenhang war die NIS-Richtlinie (Network and Information Systems Directive) ein wichtiger Meilenstein in den Bemühungen der Europäischen Union der letzten Jahre, die Cybersicherheit und die Widerstandsfähigkeit kritischer Infrastrukturen zu stärken. Nun ist es an NIS2, die Cybersicherheitsstandards der EU zu revolutionieren.

Die erste Fassung dieser Richtlinie, allgemein als NIS1 bekannt, wurde 2016 verabschiedet und trat im Mai 2018 in Kraft. Ihr Hauptziel bestand darin, einen gemeinsamen Rechtsrahmen für die Sicherheit von Netzwerken und Informationssystemen innerhalb der Europäischen Union zu schaffen.

Diese Richtlinie wurde vor dem Hintergrund der zunehmenden Bedrohung durch Cyberangriffe und Cyberkriminalität ausgearbeitet. Diese können schwerwiegende Folgen für die nationale Sicherheit, die Wirtschaft und die öffentlichen Dienste haben. In Anerkennung der entscheidenden Bedeutung kritischer Infrastrukturen zielte die Richtlinie darauf ab, ein sicheres und widerstandsfähiges Umfeld für Netzwerke und Informationssysteme innerhalb der EU zu schaffen.

Wie sieht es mit der „großen Schwester“ NIS 2 aus? Was ist neu im Vergleich zu NIS 1? Wen betrifft das? Schauen wir uns das einmal an.

NIS2-Richtlinie: ein kleiner Schritt für den Menschen, ein großer Schritt für die Cybersicherheit

Die NIS-2-Richtlinie zielt ebenso wie ihre Vorgängerin NIS-1 darauf ab, die Cybersicherheitsstandards in der gesamten Europäischen Union zu vereinheitlichen und zu konsolidieren, mit dem nicht unerheblichen Unterschied, dass ihr Anwendungsbereich diesmal erheblich erweitert wird.

Das Hauptziel von NIS2

Ziel dieser neuen Fassung der Richtlinie ist es, ihren Anwendungsbereich auf neue Sektoren auszuweiten. Zur Erinnerung: NIS 1 betraf nur Einrichtungen, die von den Mitgliedstaaten als kritische Infrastrukturen eingestuft wurden, d. h. Betreiber kritischer Infrastrukturen (Operators of Essential Services, OSE).
Nachdem nun die wichtigste Änderung von NIS 2 gegenüber NIS 1 bekannt ist, stellt sich die Frage: Wer ist betroffen?

Wer ist von der NIS2-Richtlinie betroffen?

Die NIS-2-Richtlinie umfasst verschiedene kritische Sektoren wie Energie, Verkehr, Gesundheitswesen, Bank- und Finanzdienstleistungen sowie digitale Dienste. Ursprünglich deckte NIS 1 19 Sektoren ab; durch die Ausweitung ihres Anwendungsbereichs richtet sich die NIS-2-Richtlinie nun an eine größere Anzahl von Unternehmen. Etwa 160.000 sind davon betroffen. Dieser neue Anwendungsbereich umfasst 16 zusätzliche Sektoren, also insgesamt 35. Dies betrifft Tausende von Unternehmen mit mehr als 50 Mitarbeitern und einem Umsatz von über einer Million Euro.

Wichtigste Aspekte der Richtlinie

• Erweiterung des Anwendungsbereichs. Wie bereits erwähnt, erweitert NIS2 den Anwendungsbereich der Richtlinie auf neue Sektoren und digitale Dienste. Dazu gehören Online-Plattformen, Suchmaschinen und Online-Marktplätze, die in der digitalen Wirtschaft eine immer wichtigere Rolle spielen.
• Verschärfung der Sicherheitsanforderungen.Wie schon die Vorgängervorschrift erlegt auch NIS2 den Anbietern digitaler Dienste und den Betreibern kritischer Infrastrukturen strengere Sicherheitsanforderungen auf.
• Verstärkte internationale Zusammenarbeit. Angesichts des grenzüberschreitenden Charakters von Cyberbedrohungen stärkt NIS2 die internationale Zusammenarbeit zwischen den EU-Mitgliedstaaten sowie mit anderen Partnern.
• Vorfall- und Risikomanagement.Die Richtlinie enthielt verschärfte Bestimmungen zum Vorfall- und Risikomanagement, darunter strengere Anforderungen hinsichtlich der Meldung von Vorfällen und der Zusammenarbeit mit den zuständigen Behörden.
• Fokus auf neue Technologien. Angesichts der rasanten technologischen Entwicklung lag der Schwerpunkt von NIS 2 wahrscheinlich auf der Bewältigung der Herausforderungen im Zusammenhang mit KI, dem Internet der Dinge (IoT) und anderen technologischen Innovationen.
• Sanktionen und Abhilfemaßnahmen. NIS2 sieht strengere Sanktionen bei Nichteinhaltung vor und legt spezifische Abhilfemaßnahmen fest, um eine wirksame Umsetzung der Cybersicherheitsmaßnahmen zu gewährleisten.

Wie kann man diese Vorschriften einhalten?

Was muss getan werden, um dieser neuen Richtlinie nachzukommen?

Es gibt zahlreiche Möglichkeiten, diese neue Richtlinie einzuhalten, doch sind mindestens folgende Maßnahmen erforderlich:

• Den Reifegrad des eigenen Informationssystems kennen. Es ist wichtig, sich bewusst zu machen, dass das Bewusstsein für die eigenen Risiken von entscheidender Bedeutung ist. Je mehr Sie über Ihr System wissen – sei es organisatorischer oder technischer Natur –, desto besser sind Sie in der Lage, einen Aktionsplan zu erarbeiten, um eventuelle Schwachstellen zu beheben.
• Sensibilisieren und vorbereiten. Sensibilisierung und Prävention sind Ihre beiden besten Verbündeten bei der Umsetzung dieser Compliance-Maßnahmen. Durch die Einführung organisatorischer Maßnahmen wie das Programm „Avant de Cliquer“ verpflichten Sie sich, die Cyber-Hygiene Ihrer Mitarbeiter zu verbessern und somit Ihr Unternehmen vor Cyberangriffen zu schützen.
• Bewährte Verfahren anwenden. Es gibt zahlreiche bewährte Verfahren, die Sie in Ihrem Unternehmen umsetzen können, um dessen Cybersicherheit zu verbessern. Multi-Faktor-Authentifizierung (MFA), sichere Passwortmanager, die Verwendung von Verschlüsselungsprotokollen für den Datenaustausch zwischen Benutzern und Servern…
• Erstellen Sie einen Notfallplan.Um auf unvorhergesehene Ereignisse vorbereitet zu sein, wird dringend empfohlen, einen Notfallplan zu erstellen, um den Schaden im Falle eines Cyberangriffs zu begrenzen.

Wann tritt NIS2 in Frankreich in Kraft?

Die NIS2-Richtlinie wurde am 10. November 2022 vom Europäischen Parlament verabschiedet und am 27. Dezember 2022 veröffentlicht. Sie wird derzeit in der Europäischen Union umgesetzt und soll in Frankreich spätestens im Oktober 2024 in Kraft treten.

Wie kann „Avant de Cliquer“ diese Richtlinie einhalten?

Schulen Sie Ihre Mitarbeiter in Sachen Phishing, bevor sie auf Links klicken. Dieses SaaS-Tool zur Sensibilisierung für Cybersicherheit sorgt dafür, dass Ihr Unternehmen die Anforderungen dieser Richtlinie erfüllt.
Zur Erinnerung: „Avant de Cliquer“ gliedert sich in drei wesentliche Phasen:

 

Lernen durch Handeln	Automatisierte Phishing-Kampagnen, die auf den Wissensstand jedes Einzelnen zugeschnitten sind. Sofortiges Training im Anschluss an die Rollenspielübung. Kein Benutzer erhält dieselbe E-Mail zur gleichen Zeit. Über 1000 verschiedene Vorlagen.
Theoretische Ausbildung	Videomodule, die in kurze Videos von 2 bis 4 Minuten Länge unterteilt sind. Verschiedene Themen rund um die Cybersicherheit; Quiz zum Absolvieren und Teilnahmebescheinigungen.
Begleitung	Betreuung durch einen Kundenbetreuer. Erstellung gruppen- oder abteilungsspezifischer Aktionspläne. Individuell angepasste Vorlagen, Kauf von Domainnamen, die Ihrem ähnlich sind…

 

Bevor Sie klicken: Diese Richtlinie entspricht den geltenden Vorschriften und ermöglicht unter anderem Folgendes:

• • Sensibilisieren Sie Ihre Nutzer für das Thema Cybersicherheit. Informieren Sie sie auch über die verschiedenen Techniken von Hackern und die bewährten Vorgehensweisen, mit denen sich das Risiko von Angriffen minimieren lässt.
  • Bewerten Sie die Reife Ihrer Mitarbeiter in Echtzeit über einen eigens dafür eingerichteten Bereich
  • Die Kompetenzen Ihrer Nutzer zu stärken und sie in die Lage zu versetzen, jede Situation selbstständig zu meistern
  • Schaffen Sie in Ihrem Unternehmen ein Klima der Cyber-Wachsamkeit.

Erstellen Sie jetzt eine Risikokarte

„Avant de Cliquer“ erstellt eine Bestandsaufnahme Ihrer Organisation. Über einen Zeitraum von 5 Tagen führen wir eine erste Phishing-Kampagne durch, bei der wir zwischen 50 und 100 verschiedene E-Mail-Vorlagen verwenden und pro Benutzer 1 bis 4 E-Mails versenden.

Ziel dieses Audits ist es, das Sicherheitsbewusstsein Ihrer Nutzer unter Berücksichtigung von drei Hauptkriterien zu bewerten:

• Die Anzahl der empfangenen E-Mails;
• Die Öffnungsrate von E-Mails;
• Die Klickrate bei E-Mails.

Im Anschluss an dieses Audit legt Ihnen ein Experte einen umfassenden Bericht vor, der alle Daten enthält, die während der fünftägigen Videokonferenz erhoben wurden. Dieser Bericht wird Ihnen anschließend zusammen mit einer Infografik übermittelt, die Ihnen die Vermittlung der Ergebnisse an alle Ihre Mitarbeiter erleichtert.

Worauf warten Sie also noch, um eine Risikokartierung für Ihr Unternehmen durchzuführen?

DSI, RSSI, DPO, fordern Sie eine kostenlose Demonstration der vollständig automatisierten Lösung zur Sensibilisierung für Phishing und QRiching an: