NIS-2-Richtlinie – Ist ihr Unternehmen bereit ?

ohoess Knowledge, News, , , , , , , , , , , , , , , , , ,

Artikel auf LinkedIn, X/Twitter, Facebookgerne liken / teilen!

NIS-2-Richtlinie
NIS-2-Richtlinie

UPDATE: Cubbit arbeitet auch mit Partnern zusammen !

Ab 18. Oktober 2024 gilt die neue NIS-2-Richtlinie (Network and Information Security Directive) über Maß­nahmen für ein hohes gemein­­sames Cyber­sicherheits­niveau in der Euro­päischen Union mit einem er­weiterten Geltungs­bereich und hohen Straf­androhungen.

Ist ihr Unternehmen darauf vorbereitet?

Die Technologie-Anbieter, wie z.B. der Distributed-Cloud-Storage-Anbieter Cubbit, bieten Unterstützung bei der technischen Umsetzung von NIS-2 (siehe auch unten).

Die NIS-2-Richtline

Die aktuelle NIS-2-Richtlinie ist eine Weiterentwicklung der (ersten) NIS-Richtlinie aus dem Jahr 2016 („EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“). U.a. gibt es erhöhte Anforderungen sowie einen erweiterten Geltungsbereich.

Dies trägt den immer größer werdenden Bedrohungen durch Cyberangriffe Rechnung und ist daher auch im Interesse der betroffenen Unternehmen bzw. Organisationen sowie deren Kunden (siehe auch Seite des BSI).

Die nationale Umsetzung für Deutschland ist zum Zeitpunkt der Erstellung des Artikels kurz vor der Verabschiedung.

Eine schöne Übersicht zu verschiedenen Aspekten von NIS-2 gibt es auch auf OpenKRITIS.

Anwendungsbereich

Der Anwendungsbereich ist sehr weit gefasst und umfasst wichtige und besonders wichtige Unternehmen und Organisationen, die beispielsweise wichtige Infrastrukturen betreiben bzw. kritische gesellschaftliche oder wirtschaftliche Tätigkeiten durchführen bzw. Leistungen erbringen, die sich wesentlich auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken können, wenn ihr Betrieb gestört ist.

Dies kann Unternehmen und Organisationen aus einer Vielzahl von Branchen umfassen, z.B. Energie, Verkehr, Bank­wesen, Gesund­heits­wesen, Trink­wasser, Abwasser, Digitale Infra­struktur, öffentliche Verwaltung uvm. Jedes Unternehmen bzw. jede Organisation sollte individuell prüfen, ob es bzw. sie von der Regelung betroffen ist.

Hohe Strafandrohungen

Bei Nicht-Einhaltung der Richtlinie drohen – wie bei der DSGVO – hohe Strafen.

Unternehmen und Organisationen, die als „wichtig“ eingestuft werden, riskieren Geldbußen von bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes, während für besonders wichtige Akteure Geldbußen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzesmöglich sind.

Die Geschäftsleitungen sind persönlich in der Pflicht, die NIS-2-Richtlinie umzusetzen.

Maßnahmen zur Herstellung der NIS-2-Konformität

Die Maßnahmen sollen den Stand der Technik einhalten und müssen mindestens die folgenden Themen umfassen (Ausschnitt, siehe OpenKRITIS):

  • Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung und Meldung von Sicherheitsvorfällen
  • Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisen-Management
  • Management von Schwachstellen
  • Schulungen Cybersicherheit und Cyberhygiene
  • Kryptografie und Verschlüsselung
  • Personalsicherheit, Zugriffskontrolle und Anlagen-Management
  • Multi-Faktor Authentisierung und kontinuierliche Authentisierung
  • Sichere Kommunikation (Sprach, Video- und Text)
  • uvm. die Liste ist nur ein unvollständiger Ausschnitt

Betreiber kritischer Systeme haben erhöhte Anforderungen … am Besten in den Originalquellen nachlesen.

Unterstützung durch IT-Anbieter, z.B. Cubbit

Ein Teil der Anforderungen muss organisatorisch umgesetzt werden, aber auch geeignete technische Lösungen sind gefragt.

Eine wichtige Anforderung im Kontext der NIS2-Konformität ist der Einsatz von sicheren Cloud-Lösungen. Cubbit, ein in Bologna ansässiges italienisches Start-up-Unternehmen, definiert Cloud-Storage mit seinem geo-distributiven Ansatz neu und bietet eine hochmoderne Lösung für Unternehmen, die auf die neuen Vorschriften vorbereitet sein wollen.

Im Gegensatz zu herkömmlichen Cloud-Anbietern, die ihre Daten in einer begrenzten Anzahl von Rechenzentren konzentrieren, verfolgt Cubbit ein geo-verteiltes Modell. Die Daten werden fragmentiert, verschlüsselt und auf mehrere Knotenpunkte verteilt, die sich in einem einzigen, vom Nutzer ausgewählten Land befinden (siehe Abbildung). Dadurch wird das Risiko ausgeschlossen, dass der Ausfall eines einzelnen Knotens die Datenverfügbarkeit beeinträchtigt, was die Widerstandsfähigkeit und Sicherheit des Systems erheblich verbessert (siehe auch dieser frühere Artikel). Durch diesen innovativen Ansatz können Verfügbarkeiten von 15 9ern erreicht werden (99,9999999999999%), was deutlich besser ist, als es mit traditionellen Ansätzen möglich ist.

Cubbit Funktionsweise
Cubbit Funktionsweise

Cubbit bietet nicht nur eine sichere Cloud-Infrastruktur, sondern integriert auch modernste Ransomware-Schutztechnologien wie Dateiversionierung und Objektsperre. Diese Tools verhindern, dass Daten verändert oder gelöscht werden und schützen Unternehmen sowohl vor bösartigen Angriffen als auch vor menschlichem Versagen. Im Falle von Angriffen können Unternehmen problemlos unversehrte Dateiversionen wiederherstellen und so die Geschäftskontinuität und Datensicherheit gewährleisten.

Cubbit Zertifizierungen (Stand: März 2024)
Cubbit Zertifizierungen (Stand: März 2024)

Cubbit Zertifizierungen

Cubbit ist bestrebt, seinen Kunden ein Höchstmaß an Sicherheit zu bieten, indem es sich strengen Audits unterzieht und hochrangige internationale Zertifizierungen erhält, darunter:

  • ISO 9001:2015 für Qualitätsmanagementsysteme
  • ISO/IEC 27001:2013 für Informationssicherheit
  • ISO/IEC 27017:2015 für die Sicherheit in der Cloud
  • ISO/IEC 27018:2019 für Privatsphäre und Datenschutz in der Cloud
  • ACN-Qualifikation (ehemals AgID)
  • Cybersecurity Made in Europe Label, eine Garantie für europäische Qualität und Zuverlässigkeit

Außerdem deckt Cubbit direkt eine Reihe von NIS-2 Anforderungen aus technischr Sicht ab (siehe Abbildung).

Fazit

Es ist allerhöchste Zeit für Unternehmen und Organisationen, sich mit dem Thema NIS-2 zu beschäftigen (die meisten werden das wahrscheinlich bzw. hoffentlich bereits gemacht haben).

Neben organisatorischen Maßnahmen sollte man auch auf entsprechende Technologie-Anbieter setzen, die das Thema NIS-2 bereits geeignet berücksichtigen (z.B. Cubbit).

Oliver Höß

Um keine News mehr zu verpassen, am Besten dem Blog per Mail folgen (siehe unten) oder den monatlichen Newsletter abonnieren.

DWX 2026
WeAreDevelopers World Congress 2026 in Berlin
DATAGOVKON 2026
EAMKON 2026
Infinite AI Conference 2026
TDWI 2026
Java Forum Stuttgart 2026
Software-QS-Tag 2026
CMCX 2026
Master DPT
WeAreDevelopers World Congress 2026 in Berlin
DATAGOVKON 2026
EAMKON 2026
Futuromundo 2026
All About Process Management 2026
DWX 2026

Blog per E-Mail abonnieren

Gib deine E-Mail-Adresse an, um diesen Blog zu abonnieren und Benachrichtigungen über neue Beiträge via E-Mail zu erhalten.

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.