NIS2 – was Sie wissen müssen

Wie wir bereits berichtet haben, wird der Bereich der Cybersicherheit zunehmend stärker reguliert. Nirgendwo wird dies deutlicher als in der Europäischen Union, wo eine Reihe von Richtlinien zum Umgang mit Daten, zur Ausfallsicherheit und mehr in Kraft getreten sind. Dazu gehört auch die NIS2-Richtlinie, eine Reihe von Vorschriften über die Meldepflicht und das Risikomanagement im Bereich der Cybersicherheit. Werfen wir einen Blick darauf, was die Richtlinie tatsächlich vorschreibt und was dies für Ihr Unternehmen bedeutet:

Was ist die NIS2-Richtlinie?

Im Jahr 2016 verabschiedete die Europäische Union die sogenannte Richtlinie über die Sicherheit von Netz- und Informationssystemen – die NIS-Richtlinie. Die ursprüngliche NIS-Richtlinie betraf wichtige Bereiche: Energie (Strom, Öl und Gas), Verkehr (Luft, Schiene, Wasser und Straße) sowie die Trinkwasserversorgung und -verteilung. Alle diese Bereiche wurden als kritisch eingestuft und durch die Richtlinie dazu angehalten, einen höheren Grad an digitaler Resilienz zu erreichen.

Die NIS2-Richtlinie, die als die bisher umfassendste europäische Cybersicherheitsrichtlinie bezeichnet wird, baut auf dieser ursprünglichen NIS-Richtlinie auf. Sie erweitert den Kreis der erfassten Sektoren auf insgesamt fünfzehn und nimmt die Bereiche Gesundheit, Finanzen, digitale Infrastruktur, öffentliche Verwaltung, digitale Anbieter, Postdienste und weitere in die Liste auf.

Wie zuvor zielt die NIS2 darauf ab, die Widerstandsfähigkeit Europas gegen aktuelle und künftige Cyber-Bedrohungen zu verbessern. Die Anforderungen der Richtlinie lassen sich in die folgenden Kategorien unterteilen:

Risikomanagement

Organisationen müssen Maßnahmen ergreifen, um Risiken zu minimieren; dies kann Systeme für das Management von Zwischenfällen oder eine bessere Zugangskontrolle zu ihren internen Daten umfassen. Es müssen Schritte unternommen werden, um sicherzustellen, dass die Risiken so weit wie möglich minimiert werden.

Berichtspflichten

Unternehmen, die unter die Richtlinie fallen, müssen Verfahren einrichten, um Sicherheitsvorfälle – entweder tatsächliche Cyberangriffe oder entdeckte Schwachstellen -, die sich auf ihre Fähigkeit zur weiteren Erbringung von Dienstleistungen auswirken, unverzüglich zu melden. Die NIS2 legt bestimmte Meldefristen fest, von denen die kürzeste vierundzwanzig Stunden beträgt, um eine Frühwarnung auszusprechen.

Geschäftskontinuität

Organisationen, die unter die Richtlinie fallen, müssen einen Notfallplan vorweisen, der es ihnen ermöglicht, im Falle eines größeren Vorfalls wieder auf die Beine zu kommen. Dieser sollte die Systemwiederherstellung und Standard-Notfallverfahren sowie die Einrichtung spezieller Krisenreaktionsteams berücksichtigen.

Warum gerade jetzt?

Diese Maßnahmen sind vor allem deshalb erforderlich, weil es in der Europäischen Union an standardisierten Sicherheitsmaßnahmen mangelt und der Stand der Dinge in diesem Bereich insgesamt noch unklar ist. Generell ist der Stand der Cybersicherheit rückständig, was einer der Gründe für die beispiellose finanzielle Unterstützung und die Aufmerksamkeit des Gesetzgebers in den letzten Jahrzehnten ist.

Generell ist die rasche Digitalisierung in fast allen Branchen und Sektoren zumindest teilweise für die Probleme verantwortlich: Organisationen, die nicht an ein digitales Umfeld gewöhnt waren, haben dennoch einen wachsenden digitalen Fußabdruck, der Lücken in den Cybersicherheitsmaßnahmen offenbart.

Was bedeutet das für Ihr Unternehmen?

Für Unternehmen, die in Sektoren tätig sind, die unter die NIS2 fallen, gibt es nun eine harte Frist, die sie einhalten müssen. Während die Richtlinie selbst verabschiedet wurde, läuft die Frist für die EU-Mitgliedstaaten, die NIS2-Richtlinie in nationales Recht umzusetzen, am 17. Oktober 2024 ab. Dieses Datum ist für Unternehmen und Organisationen in der EU von entscheidender Bedeutung, da sie bis dahin die Anforderungen der Richtlinie erfüllen müssen – aber es eröffnet ihnen auch ein Zeitfenster, um die Richtlinie umzusetzen.

Dies bedeutet unter anderem, dass Sie sicherstellen müssen, dass Ihr Unternehmen über einen Plan für die Wiederherstellung im Katastrophenfall und die Kontinuität des Geschäftsbetriebs verfügt, der den in der Richtlinie enthaltenen Richtlinien entspricht. Dies bedeutet, dass Sie feststellen müssen, wer auf Ihre Daten zugegriffen hat und wie Sie den Zugriff auf diese Daten ohne Unterbrechung aufrechterhalten können.

Archivieren mit contentACCESS

Da die Kontinuität des Dienstes ein wichtiger Aspekt ist, müssen sich Organisationen mit Datenmanagement- und Sicherungssystemen befassen. Eine Vielzahl der gebräuchlichsten Datensicherungslösungen ermöglicht es den Unternehmen, ihre Daten wiederherzustellen, vorausgesetzt, sie sind korrekt eingerichtet und werden von einem hohen Ausbildungsniveau der Mitarbeiter begleitet. Diese Wiederherstellung erfolgt jedoch in Form eines langwierigen Wiederherstellungszyklus, während dessen das Unternehmen praktisch außer Betrieb ist.

Um dies zu vermeiden, können Sie den Wiederherstellungszyklus mit dem contentACCESS-Archiv und -Backup vollständig abschaffen. Mit contentACCESS können die Mitarbeiter ständig auf ihre im Archiv gespeicherten Dateien zugreifen. Im Falle eines Cyberangriffs oder einer anderen Unterbrechung des Dienstes für das Live-System gibt es keine Unterbrechung des Dienstes; Sie können weiterhin auf Ihre benötigten Daten zugreifen und arbeiten, während der Rest des Wiederherstellungsprozesses im Hintergrund abläuft.

Neben der Aufrechterhaltung Ihrer Geschäftskontinuität erfüllt unser contentACCESS-Archiv und -Backup auch alle anderen Kriterien der NIS2-Richtlinie sowie andere gesetzliche Anforderungen wie GDPR oder DORA. Einfacher Zugriff auf Ihre Dateien kombiniert mit Zugriffsüberprüfbarkeit, eDiscovery-Funktionen und mehr!

Interessieren Sie sich für die Möglichkeiten unserer Lösung? Wenn ja, kontaktieren Sie uns! Nutzen Sie die jahrzehntelange Erfahrung unseres Expertenteams im Bereich der Archivierung und heben Sie die Sicherheit Ihres Unternehmens auf die nächste Stufe. Archivieren Sie intelligenter – mit TECH-ARROW.

 

Archivieren Sie Ihre Daten mit contentACCESS

by Matúš Koronthály