Intelligente Software für mehr Qualität im Gesundheitswesen.
NIS... was? Die neue europäische NIS2-Richtlinie ist der Nachfolger der NIS (Network and Information Security Directive) und wird am 17. Oktober 2024 in Kraft treten. Haben Sie eine Organisation im Vereinigten Königreich mit Partnerschaften in Europa? Dann ist dieser Artikel auch für Sie interessant. Der 17. Oktober 2024 mag weit weg erscheinen, aber die neue Richtlinie deckt viel mehr Bereiche ab, als es bei der alten NIS-Richtlinie der Fall war. Fallen Sie unter die wichtigen und wesentlichen Sektoren? Wenn ja, müssen Sie strengere Maßnahmen zur Informationssicherheit, zur Prüfung von Lieferanten und zur Meldung von Vorfällen ergreifen. Wir erläutern Ihnen, was die NIS2-Richtlinie bedeutet, für welche Sektoren der neue Standard gilt und wie sich Ihr Unternehmen dank eines guten Risiko- und Auditmanagementsystems schon jetzt vorbereiten kann.
Vielleicht haben Sie als Organisation Ihre Cybersicherheit vollständig in Ordnung. Das wäre ziemlich einzigartig, wenn man bedenkt, dass die Zahl der Berichte über Vorfälle im Bereich der Cybersicherheit weiterhin rasant ansteigt. Laut einer Studie von Positive Technologies können externe Cyberkriminelle in 93 % der Unternehmensnetzwerke eindringen.
Was dann passiert, kann dramatische Folgen haben. Man denke nur an die Unterbrechung des Produktionsprozesses oder der Dienstleistungen, die (Un-)Möglichkeit, Lösegeld zu zahlen, und die Preisgabe sensibler Informationen. Die Cyberkriminalität richtet sich nicht mehr nur gegen große Organisationen, sondern auch gegen die "Kleinen": 43 % der Cyberangriffe richten sich gegen kleine Unternehmen.
Das Cybersecurity Magazine nennt weitere beunruhigende Zahlen:
Die Organisationen wissen also oft, dass es Bedrohungen gibt, aber der Schritt, sie tatsächlich zu bewältigen, ist oft zu groß. Glücklicherweise wird die Gesetzgebung zu diesem Thema immer strenger.
Die Cybersicherheit ist für den Schutz unserer Gesellschaft von enormer Bedeutung. Aus diesem Grund hat die Europäische Union im Jahr 2016 die Richtlinie zur Netz- und Informationssicherheit eingeführt. Nun wird es also eine neue Richtlinie geben - die NIS2-Richtlinie -, um die Cybersicherheit und -resilienz von wichtigen Unternehmen und Diensten in der EU zu schützen und zu verbessern.
Der Grund dafür ist nicht schwer zu erraten: In den letzten Jahren wurde deutlich, dass mehrere globale Entwicklungen unsere Gesellschaft und Wirtschaft bedrohen. Dazu gehören nicht nur Cyber-Bedrohungen, sondern beispielsweise auch Bedrohungen wie COVID-19, der Krieg in der Ukraine, der jüngst wieder aufgeflammte Konflikt im Gaza-Streifen und der Klimawandel.
Die NIS2-Richtlinie zielt darauf ab, die digitale und wirtschaftliche Widerstandsfähigkeit der EU-Mitgliedstaaten zu verbessern und wird derzeit in nationales Recht umgesetzt. Inzwischen ist der offizielle Termin für die Umsetzung der NIS2-Richtlinie bekannt: am 17. Oktober 2024 wird die Richtlinie in Kraft treten. Bis dahin haben die Mitgliedsstaaten Zeit, alles in ihrer eigenen Gesetzgebung zu regeln.
Okay, aber was genau bedeutet die neue Richtlinie für Sie als britische Organisation, die in der EU tätig ist? Eine Umfrage von Intrakoop (Einkaufsgenossenschaft im Gesundheitswesen) aus dem Jahr 2023 ergab, dass 60 % der befragten Fachkräfte im Gesundheitswesen noch nie von der NIS2-Richtlinie gehört hatten....
Es ist wichtig, dass Sie vorbereitet sind und wissen, was von Ihnen erwartet wird. Schließlich ist das, was dort steht, nicht nichts. Deshalb fassen wir für Sie die wichtigsten Dinge zusammen, die Sie über die NIS2 wissen müssen.
Die alte NIS-Leitlinie von 2016 konzentrierte sich nur auf für die Gesellschaft wichtige Bereiche wie das Gesundheitswesen und den Energiesektor. Die neue NIS2-Leitlinie ist viel umfassender und schließt Unternehmen ein, die für die Gesellschaft wichtig sind. Denken Sie an Internetdienstleister und Anbieter digitaler Dienste, aber auch an staatliche Stellen.
Alle Organisationen, die unter die NIS2-Leitlinie fallen, werden somit in die Kategorien"wesentlich" oder"wichtig" eingeteilt. Der Unterschied zwischen den beiden Kategorien besteht darin, wie sie durchgesetzt werden. Wenn Sie also eine Organisation in einem wesentlichen Sektor sind und die Vorschriften nicht einhalten, werden Sie härter bestraft, als wenn Ihre Organisation in die Kategorie "wichtig" fällt. Ein weiterer Unterschied besteht darin, dass wesentliche Einrichtungen auch einer vorherigen Aufsicht unterliegen.
Fallen Sie unter einen der oben genannten Bereiche? Dann müssen Sie eine Sorgfaltspflicht und eine Meldepflicht einhalten. Nebenbei bemerkt: Ausgenommen sind Unternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz und einer Bilanzsumme von weniger als 10 Millionen Euro.
Wenn Sie unter die NIS2-Richtlinie fallen, werden Sie zusätzlich einer Aufsicht unterstellt. Eine unabhängige Aufsichtsbehörde sorgt dafür, dass Ihre Organisation die Sorgfalts- und Meldepflicht einhält.
NIS2 zielt darauf ab, die Cybersicherheit der europäischen Mitgliedstaaten sowie der in der EU tätigen Organisationen aus anderen Ländern auf verschiedene Weise zu verbessern: durch Verschärfung der Sicherheitsanforderungen, Verbesserung der Sicherheit in der Lieferkette, Vereinfachung der Berichterstattungsanforderungen und so weiter.
Das Risikomanagement ist ein wichtiger Bestandteil der NIS2. Das Wort wird in der endgültigen Fassung der NIS2 nicht weniger als 144 Mal (!) erwähnt. Bei den in der NIS2 beschriebenen Risiken handelt es sich größtenteils um digitale Bedrohungen, aber sie geht weit darüber hinaus. In der neuen Leitlinie werden auch Risiken wie natürliche und vom Menschen verursachte Risiken genannt. Denken Sie an Naturkatastrophen, Terroranschläge und Notfälle wie Pandemien.
Werkzeuge wie Zenya RISK helfen dabei, diese Risiken abzubilden. Dank der Software erhalten Sie Einblick in die wichtigsten Risiken und können diese leicht identifizieren, kontrollieren, überwachen und nachweisen. Da Ihre Mitarbeiter verstehen müssen, welche Rolle sie bei der Einhaltung der NIS2 spielen, kann ein aktuelles Risikomanagementsystem dazu beitragen, das Risikobewusstsein in Ihrer Organisation zu stärken. Auf diese Weise wird das Risikomanagement zu einer Aufgabe, die nicht nur von denjenigen getragen wird, die letztlich für die Sicherheit verantwortlich sind, sondern von allen Mitarbeitern des Unternehmens.
Wenn NIS2 in Kraft tritt, wird es für Ihre Organisation nicht mehr ausreichen, die Vorschriften einzuhalten. Sie müssen sich auch mit den Sicherheitsrisiken in Ihren Lieferketten und Lieferantenbeziehungen befassen. Denn selbst wenn Sie selbst vollkommen sicher wären, könnte ein Fehler bei einem Ihrer wichtigen Lieferanten dazu führen, dass Ihre Dienste zum Erliegen kommen. Dies könnte genauso große Auswirkungen haben, wie wenn Sie den Fehler selbst machen würden.
Angenommen, Sie als Stromerzeuger kaufen neue Windturbinen von einem Lieferanten, um Ihre Kapazität zu erweitern, und dieser Lieferant wird von einem Ransomware-Angriff getroffen. Dann können Sie als Anbieter einer wichtigen Dienstleistung Ihre Kapazität nicht erweitern. Sie müssen also auch festlegen, was Sie von Ihren Lieferanten erwarten. Verlangen Sie einfach nur jährlich das ISO 27001-Zertifikat, und sind sie gut? Schicken Sie ihnen einen Fragebogen, in dem Sie sie über ihre Sicherheitsmaßnahmen befragen? Oder besuchen Sie sie selbst, um ein Audit durchzuführen? Darüber müssen Sie sorgfältig nachdenken und es dokumentieren, wenn Ihre Organisation bald unter NIS2 fällt.
Erfreulicherweise stellen wir bei Infoland fest, dass das Bewusstsein für die Bedeutung von Lieferanten für das Kerngeschäft in den Unternehmen wächst. Unternehmen auditieren zunehmend ihre Lieferanten, und wir erwarten, dass dies aufgrund der NIS2-Richtlinie noch weiter zunehmen wird. Das Ausmaß, in dem Lieferanten geprüft werden, hängt von der Bedeutung Ihres Unternehmens ab. Je wichtiger sie sind, desto intensiver und häufiger müssen Sie sie auditieren. Obwohl es bei der NIS2-Richtlinie hauptsächlich um Sicherheit geht, ist die Richtlinie natürlich viel umfassender, und Sie werden daher auch in dieser Hinsicht Audits durchführen müssen.
Mit einem intelligenten Audit-Management-System wie Zenya CHECK sichern Sie diesen Prozess ab. Sie werden durch klare Zeitpläne, automatische Aufgabenpläne inklusive Benachrichtigungen und übersichtliche Berichte unterstützt. Mit diesem Auditmanagementsystem können Sie sich auf einen bestimmten Standard - wie z.B. die NIS2-Richtlinie - fokussieren und optimal konform sein.
In den meisten Organisationen gibt es noch viel zu tun. Selbst wenn Sie über eine gute Sicherheitssoftware verfügen, selbst wenn Sie die größten Risiken erkannt haben und selbst wenn Sie Ihre Lieferanten regelmäßig überprüfen - um das neue Gesetz einzuhalten, müssen Siemehr tun. So muss zum Beispiel das Bewusstsein der Mitarbeiter für die neuen Vorschriften geschärft werden.
Sie wissen vielleicht, was es bedeutet, aber ein großer Teil Ihrer Kollegen hat noch nie etwas von der NIS2 gehört oder ist der Meinung, dass sie nicht für Ihre Organisation gilt. Sie können das Bewusstsein Ihrer Mitarbeiter schärfen, indem Sie Schulungen und Informationsveranstaltungen organisieren. Auf diese Weise bleibt das Lernen unterhaltsam und Ihre Kollegen werden nicht mit Informationen überhäuft.
NIS2-Einhaltung. (2023, 10. Oktober). NIS2-Richtlinie Cybersicherheitsrichtlinie - Digital Government https://www.dataguard.co.uk/nis2-compliance/
Business.gov.co.uk (2023, 18. Oktober). Welche Sektoren und Organisationen werden von der NIS2-Richtlinie erfasst? h ttps://business.gov.nl/amendment/nis2-directive-protects-network-information-systems/
NIS 2-Richtlinie. Was ist NIS2? https://www.nis-2-directive.com/
Nomios Belgien. (2023). Was ist NIS2 und was bedeutet es für Ihre Organisation? https://www.nomios.be/en/resources/what-is-nis2/
Fordern Sie die Broschüre an, um alle Informationen bequem zur Hand zu haben.
Möchten Sie sehen, was Zenya für Ihre Organisation tun kann? Fordern Sie eine kostenlose Demo an.
Kontaktieren Sie unsere Experten unverbindlich! Wir freuen uns auf ein Brainstorming mit Ihnen.
