NIS2-Richtlinie: Wenn IT-Sicherheit nicht mehr optional ist

In einer zunehmend vernetzten Welt stellt die Cybersicherheit eine zentrale Herausforderung dar. Die neue NIS2-Richtlinie der Europäischen Union zielt darauf ab, die Sicherheitsstandards für Unternehmen mit definierten Kennzahlen und Tätigkeitsfeldern in kritischen Sektoren zu erhöhen. Da die Richtlinie im Oktober 2024 in Kraft tritt, sollten Unternehmen zeitnah prüfen, ob sie davon betroffen sind und die notwendigen Sicherheitsmassnahmen umsetzen.

Was ist NIS2?

Die NIS2-Richtlinie (Network and Information Security Directive) ist die aktualisierte Version der 2016 eingeführten NIS-Richtlinie. Ihr Ziel ist es, die Cybersicherheitsstandards innerhalb der Europäischen Union zu verbessern und die Resilienz kritischer Infrastrukturen gegen Cyberangriffe zu erhöhen. Die NIS2-Richtlinie umfasst strengere Anforderungen in den Bereichen Sicherheitsvorkehrungen, Risikoanalysen, Meldepflichten und Reaktionspläne auf Sicherheitsvorfälle. Sie fordert Unternehmen auf, robuste Sicherheitsmassnahmen zu implementieren, um die Vertraulichkeit, Integrität und Verfügbarkeit von Netzwerken und Informationssystemen sicherzustellen. Sollte die Geschäftsleitung der Überwachungspflicht der Vorgaben nicht nachkommen, kann diese dafür haftbar gemacht werden. Ebenso können, ähnlich wie bei der Datenschutzgrundverordnung, Strafzahlungen verhängt werden, wenn die NIS2 Vorgaben nicht umgesetzt werden.

Die NIS2-Richtlinie richtet sich an eine Vielzahl von Unternehmen, die in bestimmten kritischen Sektoren tätig sind. Dazu gehören beispielsweise:

• Energie: Strom-, Gas- und Ölversorgung.
• Verkehr: Luftfahrt, Schienenverkehr, Schifffahrt und Strassenverkehr.
• Gesundheitswesen: Krankenhäuser, Kliniken und andere Gesundheitseinrichtungen.
• Finanzwesen: Banken, Versicherungen und Finanzmarktinfrastrukturen.
• Digitale Infrastruktur: Datenzentren, Cloud-Dienste, Internet-Austauschplattformen und Suchmaschinen.

Neu an der NIS2-Richtlinie ist, dass sie nicht nur grosse Unternehmen betrifft, sondern auch kleinere Organisationen, die wesentliche Dienstleistungen erbringen und deren Ausfall erhebliche Auswirkungen auf die Gesellschaft haben könnten. Dies bedeutet, dass eine breitere Gruppe von Unternehmen die Anforderungen erfüllen muss. Betroffen sind dabei Unternehmen, die auf dem EU-Markt tätig sind und mindestens 50 Mitarbeitende oder einem Jahresumsatz von 10 Mio EUR haben.

Obwohl die Schweiz nicht Mitglied der Europäischen Union ist, können auch Schweizer Unternehmen von NIS2 betroffen sein, insbesondere wenn sie in der EU tätig sind oder Geschäftsbeziehungen mit EU-Unternehmen pflegen. Schweizer Unternehmen, die Dienstleistungen oder Produkte für EU-Kunden anbieten oder mit EU-Kritischen Infrastrukturen interagieren, sollten die Richtlinie sorgfältig prüfen und sicherstellen, dass sie den Anforderungen entsprechen. Bei den zuvor genannten Schwellwerten von 50 Mitarbeitenden und 10 Mio EUR Umsatz werden ausserdem Mutter- und Tochtergesellschaften mit einberechnet. Sollte ein Schweizer Unternehmen Beteiligungen an EU Unternehmen haben, werden diese in einer Gesamtberechnung mit einbezogen. Bei einem Überschreiten der Schwellwerte müssen alle beteiligte Unternehmen die NIS2 Vorgaben umsetzen.

• Registrierung: Unternehmen müssen sich bei den zuständigen nationalen Behörden registrieren
• Risikobewertung: Führen Sie eine umfassende Risikoanalyse durch, um Schwachstellen in Ihren Informationssystemen zu identifizieren. Dies umfasst die Bewertung potenzieller Bedrohungen, Schwachstellen und die möglichen Auswirkungen eines Sicherheitsvorfalls auf Ihr Unternehmen. Dabei sollten auch anerkannte Normen und Standards für Informationssicherheit angewendet werden.
• Sicherheitsmassnahmen: Implementieren Sie technische und organisatorische Massnahmen, um identifizierte Risiken zu mindern. Dazu gehören starke Zugriffskontrollen, Verschlüsselung, regelmässige Sicherheitsupdates und Notfallpläne.
• Meldepflichten: Richten Sie ein Verfahren zur schnellen Meldung von Sicherheitsvorfällen ein. Nach NIS2 müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden gemeldet werden.
• Schulungen: Schulen Sie Ihre Mitarbeitenden regelmässig in Bezug auf Cybersicherheit, um das Bewusstsein zu schärfen und sicherzustellen, dass alle Mitarbeiter die Sicherheitsrichtlinien kennen und befolgen.

Es ist daher entscheidend, dass betroffene Unternehmen proaktive Massnahmen ergreifen, um die NIS2-Anforderungen zu erfüllen und sich somit gegen mögliche Risiken und Konsequenzen abzusichern. Gerne unterstützen wir sie bei der Betroffenheitsanalyse und bei der Umsetzung der Vorgaben der NIS2.

So können wir sie unterstützen

• Assessment und Gap-Analyse: 
  Wir untersuchen Ihr Informationssicherheits-Managementsystem (ISMS) beziehungsweise führen eine Analyse durch, um Handlunsgbedarfe zu erkennen, bei denen Ihr Unternehmen die NIS2-Richtlinien noch nicht vollständig erfüllt.
• Risiko-Management:
  Wir helfen Ihnen, ein Risiko-Managementsystem in Ihrem Unternehmen zu etablieren bzw. vorhandenes Risikomanagement zu optimieren. Dies umfasst bspw. die Durchführung von Risikoanalysen sowie der Identifikation von Massnahmen, um Ihr Unternehmen zukünftig vor Cyber Risiken zu schützen.
• Notfall- und Krisenmanagement:
  Es ist wichtig, dass Ihr Unternehmen Strategien entwickelt, um die Geschäftskontinuität im Falle eines grösseren Cybervorfalls aufrechtzuerhalten. Dazu zählen unter anderem die Wiederherstellung von IT-Systemen, das Erstellen von Notfallplänen sowie der Aufbau einer Krisenmanagementorganisation.
• Schulung und Awareness:
  In Zusammenarbeit mit unserem renommierten Partner KnowBe4 bieten wir umfassende Schulungen und Phishing-Simulationen an. Die NIS2-Richtlinie verlangt zudem, dass sich die Geschäftsleitung regelmässig zu IT-Sicherheitsthemen fortbildet. Deshalb stellen wir massgeschneiderte Schulungen für verschiedene Zielgruppen bereit: Security Awareness Training

Besuchen Sie unsere Security-Website und entdecken Sie, wie wir mit massgeschneiderten Lösungen Ihr Unternehmen dabei unterstützen, die NIS2-Anforderungen zu erfüllen und Ihre digitale Sicherheit nachhaltig zu stärken!