Mit der NIS-2-Richtlinie beginnt eine neue Ära der Cybersicherheit in der EU für Finanzdienstleister. Sind Sie bereit?
Die NIS-2-Richtlinie (The Network and Information Security (NIS) Directive), welche am 16. Januar 2023 in Kraft getreten ist, regelt die Mindestanforderungen der Cyber- und Informationssicherheit von Unternehmen und Institutionen in der EU. Um das Sicherheitsniveau in den Mitgliedstaaten zu verbessern, erweitert sie die bestehenden Cybersicherheitsanforderungen mit einem besonderen Fokus auf das Risikomanagement der betroffenen Unternehmen als auch die erstmalige Registrierungs- und Meldepflicht. Bis Oktober 2024 müssen die EU-Mitgliedsstaaten NIS-2 in nationales Recht überführen. In unseren Beratungsprojekten stellen wir allerdings häufig fest, dass die signifikante Erweiterung des Anwendungsbereichs in den überall laufenden Umsetzungsprojekten unterschätzt wird. Sind Sie bereit?
Was ist der Hintergrund und die Besonderheit?
Im Zuge der fortschreitendenden Digitalisierung und steigender Komplexität der IT-Landschaften von Organisationen wie Unternehmen oder Behörden, erfolgt eine ständige Anpassung und Erweiterung der Regularien. Dies betrifft erst recht das Thema IT- und Informationssicherheit.
In einer immer weiter zunehmend vernetzten Welt wird es daher eines der Kernelemente sein, wie persönliche Daten, Geschäftsgeheimnisse, kritische Infrastrukturen und die Gesellschaft insgesamt geschützt werden können. Eine der großen Herausforderungen ist das Thema der unternehmensweiten Cybersicherheit.
Was sind wichtige Aspekte der Cybersicherheit? Diese umfassen u.a. Themen wie die Authentifizierung und Zugriffskontrolle, Verschlüsselung, Firewalls & Netzwerksegmentierung, Malware-Schutz, interne Sicherheitsrichtlinien, das Patch- und Incident-Management sowie Überwachung & Audit.
Dazu wurde die bestehende NIS-Richtlinie Anfang 2023 angepasst. Die Umsetzung in nationales Recht muss bis zum 18. Oktober 2024 erfolgen. Diese neue Directive, bekannt als NIS-2 (2022/2555), zielt darauf ab, die Sicherheitsanforderungen zu stärken, die Sicherheit von Lieferketten zu berücksichtigen, Meldepflichten zu vereinfachen und strengere Aufsichtsmaßnahmen sowie harmonisierte Sanktionen in der gesamten EU einzuführen.
Abweichend von den bisherigen nationalen Regulierungen (BSIG) gilt die NIS-2 unabhängig davon, ob das Unternehmen in der EU tatsächlich ansässig ist. Vielmehr fällt jedes Unternehmen unter diese Richtlinie, welches in der EU geschäftstätig ist und einen Schwellwert von 50 Beschäftigten und 10 Millionen Euro Umsatz (oder Bilanzsumme) aufweist. Grundsätzlich wird differenziert zwischen Essential Entities und Important Entities. Für Finanzdienstleister bedeutet diese Unterscheidung wesentliche Unternehmen (direkter Einfluss auf Finanzmarktstabilität) und wichtige Unternehmen (kein kritischer, aber großer Einfluss auf Finanzmarktstabilität).
Für beide Kategorien von Unternehmen gilt es Anforderungen hinsichtlich eines dezidierten Cyber-Risikomanagements einzuführen und umzusetzen. Die Richtlinie verpflichtet betroffene Institutionen dazu, sich vorab bei der “European Union Agency for Cybersecurity” zu registrieren und die nationale Cyber-Security-Behörde unverzüglich über mögliche signifikante Störungen und Cyber-Threats (cybersicherheitsrelevante Vorfälle im Rahmen des eigenen Incident-Managements) ihrer kritischen Dienstleistungen zu unterrichten sowie den Stand der Technik hinsichtlich der IT-Sicherheit zu überprüfen und ggf. dahingehend anzupassen.
Es ist davon auszugehen, das bestehende Standards wie der IT-Grundschutz, die ISO/IEC 27001 und der Kriterienkatalog Cloud Computing C5 wahrscheinlich nur einen Teil der Anforderungen aus NIS-2 abdecken werden und weitere technische und organisatorische Maßnahmen zur Umsetzung der Richtlinie ergriffen werden müssen.
Im Vorteil sind die Unternehmen, welche bereits ein umfassendes und wirksames Informations-sicherheitsmanagementsystem (ISMS) eingeführt haben und hier nur einen kleineren Anpassungs-bedarf haben. Andernfalls empfiehlt es sich dieses gleich zusammen mit der NIS-2 im Rahmen eines Umsetzungsprojektes im Unternehmen einzuführen.
FAZIT: Sind Sie davon betroffen? Und wenn ja, was bedeutet das konkret? Können wir Ihnen helfen?
Mit der Umsetzung der NIS-2 in nationales Recht werden ab Oktober 2024 nicht nur große Unternehmen der kritischen Infrastruktur betroffen sein, sondern auch kleinere KMUs und vermutlich zusätzlich weitere entlang der gesamten Lieferkette.
Be Shaping the Future – Performance, Transformation, Digital GmbH als ein europäisches Beratungsunternehmen für Finanzdienstleister und Teil der Engineering Group steht für die digitale Transformation und Informationssicherheit und unterstützt Sie gerne mit unserem Expertenteam.
Wir helfen Ihnen bei der Umsetzung nach unserem bewährten Verfahren für das Risikomanagement in der NIS-Richtlinie.
Darüber hinaus unterstützen wir Sie bei der Einrichtung effektiver Reporting- und Meldeprozesse für Cyber-Bedrohungen oder der Einführung eines ISMS und der Zertifizierung nach ISO27001.
Unser Ziel ist es, Ihnen dabei zu helfen, die Anforderungen der NIS-2-Richtlinie zu erfüllen und Ihre Informationssicherheit auf dem neuesten Stand der Technik zu halten.
Kontaktieren Sie uns:
André Köhler
Managing Partner Consulting Services, Informationssicherheit
Mesut Arslan
Senior Consultant, Informationssicherheit