Wir verwenden Cookies, um Ihnen auf unserer Website ein optimales Erlebnis zu bieten. Sie können im Folgenden auswählen, welche Cookies Sie zulassen möchten. Nähere Details finden Sie in unserer Datenschutzerklärung.
Zweck | Damit deine Cookie-Präferenzen berücksichtigt werden können, werden diese in den Cookies abgelegt. |
Daten | Akzeptierte bzw. abgelehnte Cookie-Kategorien |
Gesetzt von | Lywand Software GmbH |
Privacy Policy |
Zweck | Durch dieses Webanalyse-Tool ist es uns möglich, Nutzerstatistiken über deine Websiteaktivitäten zu erstellen und unserer Website bestmöglich an deine Interessen anzupassen. |
Daten | anonymisierte IP-Adresse, pseudonymisierte Benutzer-Identifikation, Datum und Uhrzeit der Anfrage, übertragene Datenmenge inkl. Meldung, ob die Anfrage erfolgreich war, verwendeter Browser, verwendetes Betriebssystem, Website, von der der Zugriff erfolgte. |
Gesetzt von | Google Ireland Limited |
Privacy Policy |
Zweck | Darstellung des Unternehmensstandorts mithilfe des Kartendienstes von Google. |
Daten | Datum und Uhrzeit des Besuchs, Standortinformationen, IP-Adresse, URL, Nutzungsdaten, Suchbegriffe, geografischer Standort |
Gesetzt von | Google Ireland Limited |
Privacy Policy |
Zweck | Komfortable Terminfindung über Calendly direkt auf der Website. |
Daten | Termininformationen, Kalenderinformation, Informationen von Software Drittanbietern, Zahlungsinformationen, Chatbot Daten, Marketing Informationen, Log & Geräte Daten, Cookie Daten, Nutzungsdaten |
Gesetzt von | Calendly LLC |
Privacy Policy |
Zweck | Diese Datenverarbeitung wird von YouTube durchgeführt, um die Funktionalität des Players zu gewährleisten. |
Daten | Geräteinformationen, IP-Adresse, Referrer-URL, angesehene Videos |
Gesetzt von | Google Ireland Limited |
Privacy Policy |
Erfahren Sie alles Wichtige zur NIS2-Richtlinie in unserem Artikel: Wann ist sie in Kraft getreten, welche Unternehmen betrifft sie und welche konkreten Anforderungen müssen erfüllt werden?
Die NIS2-Richtlinie, auch bekannt als Richtlinie über Netz- und Informationssicherheit, handelt von Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union.
Die NIS2-Richtlinie ist eine Überarbeitung der ursprünglichen NIS-Richtlinie (NIS1) und wurde entwickelt, um auf die sich verändernde Bedrohungslandschaft und die neuen Herausforderungen im Bereich der Cybersicherheit zu reagieren.
Sie zielt darauf ab, die Cybersicherheit in Europa weiter zu stärken, indem sie Unternehmen und Organisationen strengere Anforderungen auferlegt, insbesondere in Bezug auf die Meldung von Sicherheitsvorfällen und die Einhaltung von Sicherheitsmaßnahmen.
Verbesserung der Zusammenarbeit zwischen den Mitgliedstaaten
Förderung eines kohärenten Cybersicherheitsansatzes in der gesamten EU
Gewährleistung eines angemessenen Schutzniveaus für kritische Infrastrukturen und Anbieter digitaler Dienste
Die NIS2-Richtlinie ist am 16. Januar 2023 in Kraft getreten und muss von den EU-Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden.
Energie: Unternehmen, die Strom- und Gasversorgung, einschließlich Stromnetze und Gaspipelines, betreiben
Verkehr: Unternehmen im Luftverkehr, Schienenverkehr, Straßenverkehr, Seeverkehr und Binnenschifffahrt
Banken: Finanzinstitute, einschließlich Banken, Börsen und Zahlungsdienstleister
Gesundheitswesen: Krankenhäuser, medizinische Einrichtungen und Dienstleister im Gesundheitswesen
Wasser: Wasserversorger und Unternehmen im Bereich der Wasseraufbereitung
Digitale Dienste: Plattformen, Marktplätze, Cloud-Service-Anbieter und sonstige digitale Dienstleister
Verwaltung von IKT (Informations- und Kommunikationstechnik) Diensten im B2B Bereich
Öffentliche Verwaltung
Weltraum
Post- und Kurierdienste
Abfallbewirtschaftung
Chemie
Lebensmittel
Verarbeitendes/herstellendes Gewerbe
Anbieter digitaler Dienste und Forschung
Größenklasse | Beschäftigte (VZÄ) | Jahresumsatz | Jahresbilanzsumme |
---|---|---|---|
Kleines Unternehmen (KU) | < 50 und | ≤ 10 Mio. Euro oder | ≤ 10 Mio. Euro |
Mittleres Unternehmen (MU) | < 250 und | ≤ 50 Mio. Euro oder | ≤ 43 Mio. Euro |
Großes Unternehmen (GU) | ≥ 250 oder | > 50 Mio. Euro und | > 43 Mio. Euro |
Kleine Unternehmen sind grundsätzlich nicht von der NIS2 betroffen. Es gibt jedoch folgende Ausnahmen:
Vertrauensdienstanbieter
Anbieter öffentlicher elektronischer Kommunikationsnetze
TLD Namenregister und DNS Dienstanbieter
Wesentliche Einrichtungen | Wichtige Einrichtungen |
Große Unternehmen aus Sektoren mit hoher Kritikalität | Mittlere Unternehmen aus Sektoren mit hoher Kritikalität |
Große und mittlere Unternehmen aus sonstigen kritischen Sektoren |
Bei der Umsetzung der NIS2-Richtlinie gibt es aus sicherheitstechnischer Sicht keine gravierenden Unterschiede. Lediglich bei der Überwachung und den Sanktionen gibt es Abweichungen. Diese sehen wie folgt aus:
Wesentliche Einrichtungen | Wichtige Einrichtungen |
Regelmäßige und gezielte Sicherheitsprüfungen („ex-ante“) | Überprüfungen nur bei begründetem Verdacht („ex-post“) |
Stichprobenkontrollen | Vor-Ort-Kontrollen und externe nachträgliche Aufsichtsmaßnahmen |
Bußgeldrahmen 10 Mio. Euro oder 2% des weltweiten Umsatzes (je nachdem, welcher Betrag höher ist) | Bußgeldrahmen 7 Mio. Euro oder 1,4% des weltweiten Umsatzes |
Ist ein Unternehmen von NIS2 betroffen, ergeben sich neben der Registrierung bei der zuständigen Behörde folgende Anforderungsbereiche, in denen Maßnahmen zur Verbesserung der Cybersicherheit umgesetzt werden müssen:
Implementierung eines umfassenden Risikomanagements
Sicherheit in der Lieferkette, sprich im Umgang mit Geschäftspartnern, Zulieferern etc.
Vorfalls- und Krisenmanagement
Grundlegende Cyberhygiene
Melde- und Berichtspflichten
Betroffene Unternehmen sind durch die NIS2 Richtlinie dahingehend verpflichtet, “geeignete und verhältnismäßige technische operative und organisatorische Maßnahmen [zu] ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme […] zu beherrschen und die Auswirkungen von Sicherheitsvorfällen […] zu verhindern oder möglichst gering zu halten.”
Amtsblatt der Europäischen Union L, 2022/2555, 14. Dezember 2022
Gemäß NIS2 sind Unternehmen verpflichtet, ihre Sicherheitsmaßnahmen dem aktuellen Stand der Technik und den individuellen Bedrohungsszenarien anzupassen. Diese Schutzmaßnahmen müssen einem ganzheitlichen Ansatz folgen, der nicht nur Cyberangriffe, sondern auch andere potenzielle Vorfälle berücksichtigt, die die eigene IT-Infrastruktur und damit die Bereitstellung wesentlicher Dienstleistungen beeinträchtigen könnten.
Beschreibung | Gelöst durch lywand |
Regelmäßige Überprüfung der IT Infrastruktur auf Schwachstellen | Ja |
Bewertung der Schwachstellen | Ja |
Beschreibung | Gelöst durch lywand |
Behebung des Vorfalls | Teilweise |
Aufrechterhaltung des Betriebs | Nein |
Wiederherstellung nach einem Vorfall | Nein |
Backup Management | Nein |
Beschreibung | Gelöst durch lywand |
Partnerübergreifende Informationssysteme | Nein |
Umgang mit Geschäftspartnern | Nein |
Schnittstellen mit Partnern | Teilweise |
Beschreibung | Gelöst durch lywand |
Monitoring der Schwachstellen | Ja |
Behandlung der Schwachstellen | Ja |
Überprüfung auf Schwachstellen | Ja |
Beschreibung | Gelöst durch lywand |
Dauerhafte Überprüfung der Cybersicherheit | Ja |
Prüfung auf Umsetzung und Wirksamkeit von Maßnahmen | Ja |
Beschreibung | Gelöst durch lywand |
Zero-Trust Grundsätze | Nein |
Softwareupdates | Ja |
Gerätekonfigurationen | Ja |
Netzwerksegmentierung | Nein |
Beschreibung | Gelöst durch lywand |
Prüfung, ob Kommunikationskanäle verschlüsselt sind | Ja |
Prüfung der verwendeten Verschlüsselungsalgorithmen und Technologien | Nein |
Verschlüsselung von unternehmenswichtigen Daten | Nein |
Beschreibung | Gelöst durch lywand |
Least Privilege Ansatz | Nein |
Überwachung der Zugriffe | Nein |
Beschreibung | Gelöst durch lywand |
Meldepflichten an staatliche Institution - CERT/CSIRT | Nein |
Prüfung auf aktivierte Multi-Faktor Authentifizierungen | Teilweise |
Weitere Informationen finden Sie im Amtsblatt der Europäischen Union.
Ratgeber
Finden Sie heraus, wie sich die Security Audit Plattform von lywand von traditionellen Schwachstellenscannern unterscheidet und welche Lösung am besten zu Ihrem MSP-Geschäft passt.