Die NIS-2-Richtlinie (Network and Information System Security) hat zum Ziel, die Cybersicherheit der Wirtschafts- und Verwaltungssektoren der EU-Mitgliedstaaten zu erhöhen. Am Freitag, 11. Oktober 2024, stand das Thema Cybersicherheit auf der Tagesordnung des Deutschen Bundestages. Die Abgeordneten berieten über einen aktuellen Gesetzentwurf der Bundesregierung. Dieser sieht vor, dass die NIS-2-Richtlinie umgesetzt wird und grundlegende Anforderungen an das Management der Informationssicherheit in der Bundesverwaltung festgelegt werden. Nach der ersten Lesung wurde der Entwurf, bekannt als „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (Drucksache 20/13184), zur weiteren Beratung an den Innenausschuss überwiesen. Mehr dazu auf der Website des Bundestages.
In Frankreich hat die ANSSI, die französische Behörde für Informationssicherheit, bereits angekündigt, dass Organisationen ab der Umsetzung im Oktober 2024 drei Jahre Zeit haben, die neuen Anforderungen vollständig zu erfüllen. Gute Nachricht für Sie: BlueMind Digital Crisis stärkt Ihre Widerstandsfähigkeit. Es ermöglicht Ihnen, mehrere Häkchen zu setzen, wenn es um die Einhaltung der Vorschriften geht.
Aber von Anfang an: Was ist die NIS-2-Richtlinie überhaupt?
NIS-2 – eine Weiterentwicklung der ersten NIS-Richtlinie – ist eine EU-Richtlinie, die einen Rechtsrahmen für Unternehmen und Behörden einführt, damit diese besser auf die wachsenden Bedrohungen aus dem Internet reagieren können. Die Richtlinie führt eine Reihe von rechtlichen, technischen und organisatorischen Maßnahmen ein, die betroffene Organisationen (Entitäten) abhängig von ihrem eigenen Risiko umsetzen müssen. Ziel ist es, ihre allgemeine Cybersicherheit zu erhöhen und ihre Widerstandsfähigkeit zu verbessern.
In Deutschland hat das Gesetz zur Umsetzung der NIS-2-Richtlinie am 24. Juli 2024 das Bundeskabinett passiert. Eine endgültige Entscheidung des Deutschen Bundestages steht noch aus, deshalb wird das Inkrafttreten des Gesetzes erst in einigen Monaten erwartet. Weitere Informationen und Hinweise, was Sie konkret tun können, finden Sie auf der Website des BSI.
In Frankreich ist die ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information) dafür zuständig, diese Richtlinie in nationales Recht umzusetzen und für ihre Anwendung zu sorgen. Am 5. September 2024 fand die Sommeruniversität für Cybersicherheit und Trusted Cloud statt, an der auch BlueMind teilnahm. Die ANSSI kündigte bei der Gelegenheit an, dass Organisationen (Entitäten) ab der Umsetzung im Oktober 2024 drei Jahre Zeit haben, die vollständige Konformität herzustellen.
Wer ist davon betroffen?
Die NIS-2-Richtlinie gilt weiterhin für die bereits von NIS-1 abgedeckten Bereiche, zum Beispiel für Krankenhäuser, Banken und Verkehrsbetriebe. Sie wird aber auf neue Bereiche ausgeweitet, etwa auf öffentliche Verwaltungen, Telekommunikation, soziale Netzwerke, Energie und Raumfahrt. Insgesamt gilt NIS-2 für 18 Branchen. Um herauszufinden, ob Ihre Organisation betroffen ist, können Sie die NIS-2-Betroffenheitsprüfung durchführen.
Eine weitere bemerkenswerte Änderung: Die Regelung trifft auch Privatunternehmen. Tausende von Unternehmen, von KMU bis hin zu den großen DAX-Unternehmen, müssen die neuen Vorschriften einhalten. Meist sind dies Unternehmen mit mehr als 50 Beschäftigten und einem bestimmten Umsatz in den betroffenen Sektoren.
NIS-2 führt auch einen Proportionalitätsmechanismus ein. Dieser unterscheidet zwei Kategorien von Organisationen (Entitäten), abhängig vom Kritikalitätsgrad: wesentliche und wichtige. Die ANSSI wird diese Klassifizierung nutzen, um spezifische Anforderungen zu erstellen, die auf jede Art von Entität zugeschnitten sind.
In Deutschland können Sie sich am Entscheidungsbaum der NIS-2-Betroffenheitsprüfung orientieren.
NIS-2 und die Verpflichtung zur Aufrechterhaltung der Geschäftskontinuität
Die NIS-2-Richtlinie verlangt von den Entitäten, ihre Fähigkeit zu verbessern, bei größeren Vorfällen die Kontinuität kritischer Geschäftsabläufe sicherzustellen. Denn: Ist die Krise erst einmal da, können die gewohnten Werkzeuge kompromittiert oder lahmgelegt sein.
BlueMind Digital Crisis (DC) ist eine Lösung für die Kommunikation und das Krisenmanagement im Falle eines Cyberangriffs. Die Lösung erlaubt dem Management und auch den Fachbereichen, die Kommunikation im Krisenstab direkt von jedem Endgerät mit Internetanschluss aus zu aktivieren. E-Mails und Videokonferenzen sind sofort verfügbar. Sie können sich unabhängig vom Zustand Ihres IS austauschen.
Im Fokus: BlueMind Digital Crisis
BlueMind Digital Crisis ist mehr als ein Hilfsmittel zur Einhaltung von Vorschriften. Es ist ein wesentlicher Bestandteil der Widerstandsfähigkeit Ihres IS gegen die stark steigende Anzahl von Cyberangriffen. Wenn es zu einem Angriff kommt, ist die erste Konsequenz für die Opfer eine Störung der Ordnung ihrer Teams und ihrer Aktivitäten. Kommunikationsmittel, die nicht oder schlecht verfügbar sich, verschärfen diese Krise.
Wenn Sie im Notfall nicht zu Papier und Bleistift greifen wollen, müssen Sie ein Krisenteam einrichten, das die Rückkehr zum Normalbetrieb koordiniert und dringende Entscheidungen trifft. Aber wie kann dieses Team Informationen austauschen, wenn das gesamte IT-System ausgefallen ist? Wie können Sie mit Mitarbeitern und Mitarbeiterinnen kommunizieren, die manchmal weit entfernt sind, ohne Chat, ohne Videokonferenzen und – ohne E-Mail?
Während der Krise müssen Sie außerdem nach außen kommunizieren: mit den Dienstleistern, die Ihnen helfen, das IS wieder in Gang zu bringen, und mit den Behörden. Letzteres ist auch eine Verpflichtung aus NIS-2: „Entitäten müssen der benannten nationalen Behörde ihre Sicherheitsvorfälle mit erheblichen Auswirkungen melden und Berichte über die Entwicklung der Situation vorlegen.“
Wenn Sie Anforderungen wie diese erfüllen müssen, brauchen Sie ein einfaches und universelles Werkzeug: E-Mail. Die gute Nachricht: BlueMind Digital Crisis ist für Sie da.
BlueMind Digital Crisis bietet ein intuitives, sicheres und souveränes Messaging-System, das sofort einsatzbereit und jederzeit verfügbar ist. Es läuft unabhängig von Ihrem IS und ist von diesem abgekoppelt, unterliegt also nicht dem Risiko einer Kontaminierung. Es kann schnell und einfach vom Management und von den Fachabteilungen aktiviert werden. So können Sie mit BlueMind Digital Crisis die Kontinuität der Kommunikation in aller Sicherheit gewährleisten und möglichst schnell zur Normalität zurückkehren.
FAZIT
BlueMind Digital Crisis hilft, die Anforderungen der NIS-2-Richtlinie zu erfüllen. Es stärkt die Kontinuität der Kommunikation während eines Cyberangriffs und unterstützt so die allgemeine Widerstandsfähigkeit und das Krisenmanagement von Organisationen.
