Neue NIS-2-Richtlinie für Unternehmen

Aufsehenerregende Ransomware-Kampagnen sorgen immer häufiger für Schlagzeilen. Außerdem ist die Zahl der Unique-Malware-Angriffe pro Minute laut dem jüngsten Global Threat Intelligence Report von BlackBerry im Zeitraum von Januar bis März 2024 im Vergleich zum Zeitraum von September bis Dezember 2023 weltweit um mehr als 40 Prozent gestiegen. Besonders betroffen sind kritische Infrastrukturen wie der Finanzsektor, das Gesundheitswesen und Behörden, auf die 60 Prozent aller Angriffe entfallen. Nach Angaben der Agentur der Europäischen Union für Cybersicherheit (ENISA) richtete sich 2022 die überwiegende Mehrheit der Angriffe in Europa gegen die öffentliche Verwaltung und Regierungen, Anbieter digitaler Dienste und kritische Infrastrukturen.

Zum Schutz der gefährdeten Bereiche und zur Bekämpfung der weltweiten Kriminalitätswelle wurde die NIS-2-Richtlinie verabschiedet. Um die NIS-2-Richtlinie einzuhalten und das Cyberrisiko zu verringern, müssen Unternehmen neue Verfahren einführen, die es ihnen ermöglichen, Angriffe schneller zu melden. Zudem müssen Entscheider und Mitarbeiter im Thema Cybersicherheit regelmäßig geschult werden. Eine weitere Anforderung besteht darin, einen Geschäftskontinuitätsplan für größere Cybervorfälle zu erstellen. Dieser Plan muss zentrale Richtlinien, Verfahren und wichtige Kontakte – auch von Drittanbietern – enthalten, um erfolgreiche Angriffe schnell eindämmen und kontrollieren zu können. Hohe Strafen sollen die Einhaltung der NIS-2-Richtlinie gewährleisten: Es drohen Bußgelder von bis zu zehn Millionen Euro beziehungsweise zwei Prozent des weltweiten Jahresumsatzes des Unternehmens – je nachdem, welcher Betrag höher ist.

Vorbereitung frühzeitig beginnen

Ulf Baltin, Managing Director DACH bei BlackBerry, fasst nachfolgend sechs hilfreiche Maßnahmen für die Umsetzung der NIS-2-Richtlinie zusammen. Sie helfen Unternehmen, sich auf den Stichtag im Oktober 2024 vorzubereiten.

1. Cyberangriffe vorhersehen und verhindern: Erforderlich ist die Implementierung von KI-gesteuerten Tools für die Cybersicherheit, um Bedrohungen zu erkennen und zu verhindern, bevor sie Schaden anrichten.
2. Zero-Trust-Ansatz beim Management des Benutzerzugriffs auf Anwendungen und Daten wählen: Dieser Ansatz verringert das Risiko von Sicherheitsverletzungen durch eine granulare Zugriffskontrolle und ermöglicht sicheres Arbeiten von überall.
3. Schnelle Meldung von und Reaktion auf Cybervorfälle: Moderne Services für Managed Detection and Response (MDR) zu nutzen, erhöht die Qualität des Schutzes und die Reaktionsgeschwindigkeit von Unternehmen enorm. Viele Unternehmen können erst mit dem richtigen MDR-Partner die Vorgaben einhalten.
4. Schutz von unternehmenseigenen und persönlichen Geräten: In Unternehmen kommt es darauf an, Kontrollen von Richtlinien einzuführen und die für die Sicherung aller Endgeräte erforderliche Transparenz zu gewährleisten – sowohl auf den eigenen Geräten als auch auf den privaten Geräten von Mitarbeitern, die diese für die Arbeit nutzen dürfen.
5. Verschlüsselung der Kommunikation: Die NIS-2-Richtlinie fordert eine mehrstufige Authentifizierung und eine sichere Verschlüsselung im Bereich der Text-, Video- und Sprachkommunikation. Daher müssen Unternehmen sichere Messaging- und Telefonie-Anwendungen einführen, die den höchsten Sicherheitsstandards entsprechen und vor den besonders ausgefeilten Bedrohungen schützen.
6. Einen Geschäftskontinuitätsplan erstellen: Unternehmen sollten in der Lage sein, bei einem größeren Cybervorfall schnell Reaktionsteams zu aktivieren und sicher mit Mitarbeitern und anderen wichtigen Stakeholdern zu kommunizieren. Aus diesem Grund müssen Unternehmen über eine sichere Kommunikationsplattform mit mehreren Kanälen verfügen. Diese Grundlage ermöglicht es, die richtigen Personen mit den richtigen Informationen zu versorgen, damit sie auf kritische Ereignisse reagieren und Angriffe abwehren können.