NIS2 Artikelserie – CyberCompare

Einführung in NIS2

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die neue europäische Verordnung zur Stärkung der Cybersicherheit in für das öffentliche Leben relevanten und kritischen Infrastrukturen. Die Richtlinie wird als Weiterentwicklung der ursprünglichen NIS1-Richtlinie eingeführt, um den gestiegenen Bedrohungen in der digitalen Welt vorzubeugen. Mit NIS2 wird der Anwendungsbereich der betroffenen Unternehmen erheblich ausgeweitet: Es sind nicht mehr nur Betreiber kritischer Infrastrukturen betroffen, sondern auch eine Vielzahl von Unternehmen, die Dienstleistungen erbringen oder Produkte anbieten, die für das Funktionieren des Binnenmarktes von wesentlicher Bedeutung sind – ergo: Lieferanten, die kritische Infrastrukturen bedienen, oder Unternehmen, die für das öffentliche Leben wichtige Produkte herstellen.

Herausforderungen in Bezug auf NIS2

Deutschland muss die NIS2-Richtlinie bis Oktober 2024 in nationales Recht umsetzen, was bedeutet, dass betroffene Unternehmen sich nun intensiv mit den neuen organisatorischen und technischen Anforderungen auseinandersetzen müssen.

Die Richtlinie verlangt von Unternehmen, dass sie umfangreiche Maßnahmen ergreifen, um ihre IT-Systeme, -Infrastruktur und -Netzwerke abzusichern. Diese Maßnahmen umfassen nicht nur technische Lösungen, sondern auch organisatorische und prozessuale Änderungen (Stand: deutscher Referentenentwurf vom 23.07.2024).

Abbildung 1: Tabellarische Übersicht zu notwendigen Maßnahmen nach NIS2 (Stand: Referentenentwurf 24.06.2024)

Wir haben eine praktische Umsetzung der NIS2-Anforderungen beispielhaft für ein Unternehmen aufgezeigt – dabei trennen wir in die Bereiche Risikomanagement, Prävention, 24×7 Detektion und Reaktion und die Disaster Recovery. Was dabei schnell klar wird: Die NIS2-Anforderungen sind sehr vielschichtig und umfassen den gesamten Cybersecurity-Prozess eines Unternehmens. Sie geben in der Gänze so eine Art Basisschutz für Unternehmen vor.

Abbildung 2: Übersicht zu beispielhaften Maßnahmen für die Erfüllung der NIS2-Anforderungen

In der Praxis stellt die Vielschichtigkeit der NIS2-Anforderungen allerdings eine der größten Herausforderungen für Anwender dar. Es gibt kein einzelnes Tool oder eine Software, die alle Anforderungen der NIS2 vollständig abdeckt. Stattdessen müssen Unternehmen eine Vielzahl von Lösungen kombinieren, die jeweils spezifische Aspekte der Cybersicherheit adressieren.

Die richtige Auswahl und Integration dieser Werkzeuge in die bestehende IT-Landschaft stellt viele Unternehmen vor große Herausforderungen, insbesondere wenn es darum geht, den Überblick zu behalten und sicherzustellen, dass alle gesetzlichen Anforderungen erfüllt werden.

Hier setzen wir von CyberCompare mit der Artikelserie „NIS2 für die Praxis“ an, um Ihnen die praktische Umsetzung der NIS2-Anforderungen zu erleichtern. In dieser Serie werden wir spezifische Anforderungen der NIS2-Richtlinie analysieren und diese in praxisnahe Tool-Landschaften übersetzen. Darüber hinaus stellen wir Ihnen verschiedene Tools vor, die maßgeblich zur Einhaltung der NIS2-Richtlinie beitragen können. Ziel ist es, Ihnen eine fundierte Orientierungshilfe zu bieten, damit Sie die für Ihr Unternehmen passenden Lösungen effizient auswählen und implementieren können. Und wenn Sie bereits vorab tiefer in die Materie einsteigen möchten, können wir Ihnen unser CyberInsights NIS2 oder unsere NIS2 Diagnostik ans Herz legen.