Cybersicherheit akut bedroht
Die Cybersicherheitsbedrohungen für Unternehmen und Organisationen steigen kontinuierlich, nicht zuletzt auch aufgrund der aktuellen geopolitischen Entwicklungen. Besonders bedroht sind kritische Infrastruktureinrichtungen, also Dienstleistungs- und Versorgungssysteme, die essenziell für die Wirtschaft bzw. die Lebensgrundlagen der Bevölkerung sind. Dazu zählen Bereiche wie Stromversorgung, medizinische Versorgung und Telekommunikation, inklusive der zugehörigen IT-Systeme und Netzwerke.
Die Network and Information Security (NIS) Richtlinien der Europäischen Union stellen den Schutz kritischer Infrastrukturen ins Zentrum, mit dem Ziel, deren Resilienz (Widerstands-, Anpassungs- und Regenerationsfähigkeit) zu verbessern, damit gravierende Ausfälle möglichst verhindert oder deren Auswirkungen reduziert werden können.
Was bedeutet NIS 2 und wen betrifft es?
Im Dezember 2022 führte die EU die NIS-2-Richtlinie ein, um eine einheitliche Cybersicherheitskultur in den Mitgliedstaaten zu schaffen. Bis Oktober 2024 muss die Richtlinie in nationales Recht umgesetzt werden, sodass ab diesem Zeitpunkt betroffene Unternehmen gesetzliche Vorgaben einhalten müssen. Die Europäische Union hat sich dabei verpflichtet, ihre Bemühungen im Bereich der Cybersicherheit über die kritischen Infrastrukturen hinaus auszudehnen. Deshalb geht NIS 2 weit über grosse Konzerne hinaus und betrifft nun auch kleinere Unternehmen, die essenzielle Dienstleistungen erbringen und deren Ausfälle erhebliche gesellschaftliche Auswirkungen hätten. Besonders Unternehmen mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz von mindestens 10 Millionen Euro sind verpflichtet, die Sicherheitsanforderungen zu erfüllen.
Die Anforderungen der NIS-2-Richtlinie
Die Richtlinie verpflichtet Unternehmen zu umfangreichen Sicherheitsmassnahmen, um Cyberbedrohungen frühzeitig zu erkennen und abzuwehren. Dazu gehören:
- Registrierung bei der zuständigen nationalen Behörde
- Risikobewertungen und Schwachstellenmanagement
- Sicherheitsmanagement in der gesamten Lieferkette
- Schulungen in grundlegender Cybersicherheit und sichere Authentifizierung
- Meldung schwerwiegender Sicherheitsvorfälle an die zuständigen Behörden
- Nachweis der Konformität durch Sicherheitsreviews oder Audits
Im Wesentlichen fordert NIS 2 ein Informationssicherheitsmanagementsystem (ISMS), das moderne Sicherheitspraktiken wie Verschlüsselung, Zugangskontrollen und eine sichere Kommunikation umfasst.
Die Umsetzung der NIS-2-Richtlinie
Ab Oktober 2024 müssen alle betroffenen Unternehmen ihre Sicherheitsvorkehrungen den Anforderungen der NIS 2 anpassen und diese regelmässig dokumentieren. Die Umsetzung erfolgt auf nationaler Ebene und variiert von Mitgliedsstaat zu Mitgliedsstaat. So können einzelne Staaten zusätzliche Vorschriften einführen oder bestimmte Sektoren unterschiedlich definieren.
Bedeutung für die Schweiz
Auch in der Schweiz wächst der Druck, sich gegen Cyberangriffe zu wappnen. Obwohl die Schweiz nicht Mitglied der EU ist, können auch Schweizer Unternehmen von der NIS-2-Richtlinie betroffen sein. Insbesondere jene, die Produkte oder Dienstleistungen für den EU-Markt anbieten oder an EU-Lieferketten beteiligt sind, müssen sicherstellen, dass sie die Vorgaben der NIS-2-Richtlinie erfüllen. Dies betrifft auch Tochterunternehmen oder Muttergesellschaften in der EU, denn bei den zuvor genannten Schwellwerten von 50 Mitarbeitenden und 10 Millionen Euro Umsatz werden diese mit einberechnet. Aufgrund des Einbezugs der Lieferkette könnte die EU in Zukunft auch von Schweizer Lieferanten die Einhaltung der NIS-2-Anforderungen fordern.
Die Schweiz hat mit dem Informationssicherheitsgesetz (ISG), das 2024 in Kraft trat, eigene Cybersicherheitsmassnahmen eingeführt. Eine geplante Revision für 2025 könnte sich an NIS 2 orientieren, um den Schutz kritischer Infrastrukturen weiter zu stärken.
Handlungsempfehlungen für Schweizer Unternehmen
Schweizer Unternehmen, die in der EU tätig sind oder mit EU-Kunden zusammenarbeiten, sollten sich mit folgenden Massnahmen umfassend auf die NIS-2-Richtlinie vorbereiten:
- Einführung eines ISMS: Die Implementierung eines ISMS, etwa nach ISO 27001 (inklusive Zertifizierung), erleichtert die Einhaltung der NIS-2-Vorgaben.
- Risikoanalyse und Sicherheitskonzept: Regelmässige Risikoanalysen und die Entwicklung eines umfassenden Sicherheitskonzepts helfen, Schwachstellen zu identifizieren und frühzeitig zu adressieren.
- Sicherstellung der Konformität: Unternehmen sollten regelmässig Sicherheitsreviews durchführen, um die Einhaltung der NIS-2-Richtlinie zu dokumentieren.
- Einbeziehung von Experten: Für die Umsetzung der NIS-2-Vorgaben und zur Sicherstellung der Compliance ist die Zusammenarbeit mit spezialisierten Beratern und Juristen ratsam.
Zusätzlich zu NIS 2 müssen Schweizer Unternehmen im Finanzsektor auch die Anforderungen der EU-DORA-Verordnung (Digital Operational Resilience Act) beachten, die spezifische Cybersicherheitsvorgaben für Finanzdienstleister vorsieht.
BullWall und DataStore unterstützen Sie gerne
Die NIS-2-Richtlinie stellt hohe Anforderungen an Unternehmen, die in der EU tätig sind. Für Schweizer Unternehmen ist es entscheidend, sich frühzeitig auf die neuen Vorgaben vorzubereiten und sicherzustellen, dass ihre Cybersicherheitsmassnahmen den EU-Standards entsprechen. Unser Hersteller BullWall unterstützt Sie dabei, Sicherheits- und Compliance-Anforderungen effizient zu erfüllen.
BullWall bietet umfassenden Schutz vor Ransomware und integriert sich nahtlos über eine REST-API mit gängigen Sicherheitssystemen wie Security Information and Event Management (SIEM) und Network Access Control (NAC), um Vorfälle schnell zu melden und zu bewältigen. Die Lösung unterstützt Unternehmen bei der Einhaltung gesetzlicher Berichtspflichten, etwa durch automatisierte Compliance-Berichte nach Standards wie der General Data Protection Regulation (GDPR) und dem National Institute of Standards and Technology (NIST). BullWall hilft zudem bei der Entwicklung von Reaktionsplänen für Ransomware-Angriffe und sorgt durch Mehrfaktor-Authentifizierung (MFA) für zusätzlichen Schutz kritischer Infrastruktur, um Cyber-Versicherungsvorgaben zu erfüllen. Die Lösung ist einfach zu installieren, minimiert Betriebsunterbrechungen und erleichtert Unternehmen die NIS-2-Konformität durch Echtzeitüberwachung und proaktive Eindämmung. Mit dänischen Wurzeln und umfassender europäischer Expertise bietet BullWall massgeschneiderte Sicherheitslösungen für den europäischen Markt.