HOME
NIS2

NIS2: Die neue Richtlinie für Cybersicherheit

Die neuen EU-Standards für Cybersicherheit sollen mit strengeren Protokollen und solideren Governance-Rahmenwerken auf die zunehmenden digitalen Bedrohungen reagieren.

Die Einzelheiten der Richtlinie

Im Dezember 2022 verabschiedeten der Rat der Europäischen Union und das Europäische Parlament die Richtlinie über Netz- und Informationssicherheit (NIS2) oder Richtlinie 2022/2555 über die Sicherheit von Netzwerken und Informationssystemen mit dem Ziel, die Sicherheitssysteme zu verbessern, um den immer häufiger auftretenden Cyberangriffen zu begegnen, und neue, umfassendere Anforderungen an die Cybersicherheit für alle EU-Mitgliedstaaten festzulegen.

‍In Italien wurde die Richtlinie am 1. Oktober 2024 durch das Gesetzesdekret Nr. 138/2024 umgesetzt. Ab diesem Datum müssen Unternehmen mit der Anpassung an die neuen Anforderungen beginnen. Die Richtlinie wird am 1. Januar 2026 vollständig in Kraft treten.

Leviahub, das stets darauf bedacht ist, die maximale Sicherheit seiner Lösungen zu gewährleisten, hat bereits daran gearbeitet, die neuen Richtlinien bestmöglich zu erfüllen, um seinen Kunden sichere Umgebungen zu bieten und sie zu einem risikofreien Geschäft zu führen.

Hardware hält nicht ewig, und es ist unerlässlich, die Rechenzentren zu aktualisieren, um mit einem sich ständig weiterentwickelnden Markt Schritt zu halten. Prävention, Überwachung und Wiederherstellung sind die drei Schlüsselkonzepte, um Vorschriften einzuhalten und wettbewerbsfähig zu bleiben, und Leviahub ist bereit, Sie mit den besten Dienstleistungen für Ihr Unternehmen zu unterstützen.

NIS2-Richtlinie: Was ändert sich gegenüber NIS?

NIS2 ist eine wichtige Weiterentwicklung der vorherigen Richtlinie über Netz- und Informationssysteme (NIS), die die Strategie der EU im Bereich der Cybersicherheit erweitert, um die Cybersicherheit der wesentlichen Einrichtungen innerhalb der Organisation zu stärken, auf die zunehmenden digitalen Bedrohungen zu reagieren und den Binnenmarkt durch strengere Protokolle und solidere Governance-Rahmen zu schützen.

Im Vergleich zu NIS1 sieht die neue Richtlinie insbesondere Folgendes vor:
GARANTIE FÜR GESCHÄFTSKONTINUITÄT

Das Ziel der neuen Maßnahmen ist es, die Betriebskontinuität der Unternehmen auch im Falle schwerwiegender Schäden an der technologischen Infrastruktur zu gewährleisten, um Unterbrechungen des Arbeitsablaufs und den Verlust wichtiger Daten zu vermeiden.

ZUSAMMENARBEIT ZWISCHEN DEN MITGLIEDSTAATEN

Die Richtlinie zielt darauf ab, ein europaweites Kooperationsnetzwerk aufzubauen und zu stärken, um den Informationsaustausch zwischen den Mitgliedstaaten zu fördern. Dies ermöglicht den Austausch bewährter Verfahren und eine koordinierte Reaktion auf Cybervorfälle auf transnationaler Ebene.

ERWEITERUNG DER BETEILIGTEN SEKTOREN

Die Richtlinie gilt für mehr mittelständische und große Unternehmen als die vorherige NIS. Die betroffenen Sektoren steigen von 6 auf 18.

MEHR VERANTWORTUNG FÜR DIE FÜHRUNGSKRÄFTE

Die Richtlinie führt strengere Sanktionen für wiederholte Verstöße ein und übernimmt Verantwortung für die Sicherheit, indem sie Führungskräfte für Verstöße haftbar macht.

STRENGERE MASSNAHMEN FÜR DAS RISIKOMANAGEMENT

Alle beteiligten Stellen müssen spezifische technische und organisatorische Maßnahmen zur Meldung von Vorfällen und zum Management/zur Behebung von IT-Risiken ergreifen.

EINBEZIEHUNG DER LIEFERKETTE

Es ist erforderlich, den Schwachstellen im Zusammenhang mit Drittanbietern mehr Aufmerksamkeit zu schenken. Auf diese Weise wird die gesamte Lieferkette einbezogen.

FESTLEGUNG DER HÖCHSTSTRAFEN

Die Sanktionen für Verstöße gegen die NIS2-Vorschriften sind streng und stehen im Verhältnis zur Schwere des Verstoßes. Sie variieren je nach Art des betroffenen Unternehmens (wesentlich oder wichtig) und können sich auf das Versäumnis der Risikobewältigung, die Nichteinhaltung der Meldepflichten bei Vorfällen oder die Nichtregistrierung bei den zuständigen Behörden beziehen.

Die Sanktionen müssen von den Mitgliedstaaten festgelegt werden, müssen jedoch mindestens betragen:

-       1,4 % des Gesamtumsatzes oder 7 Millionen Euro für wichtige Einrichtungen;

-       2 % des Gesamtumsatzes oder 10 Millionen Euro für wesentliche Einrichtungen.

Anwendungsbereiche der NIS2

Die NIS2-Richtlinie unterteilt die betroffenen Organisationen in zwei Hauptkategorien:

1. Wesentliche Einheiten

- Kritische Sektoren wie Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur.
- Höhere Strafen bei Nichteinhaltung.
- Aktive Überwachung und strenge Sicherheitsanforderungen erforderlich.

2. Wichtige Einrichtungen

- Weniger kritische, aber dennoch relevante Bereiche.
- Geringere, aber dennoch verbindliche Sicherheitsanforderungen.
Die Zugehörigkeit zu einer der beiden Kategorien wird anhand der Größe des Unternehmens und der Kritikalität des jeweiligen Sektors bestimmt.

Darüber hinaus erweitert die Richtlinie die Anwendungsbereiche: Die betroffenen Sektoren umfassen nun 18, davon 11 hochkritische und 7 kritische, und betreffen über 80 Arten von Unternehmen.

Risikomanagementverfahren

Gemäß der neuen NIS2-Richtlinie müssen die Verantwortlichen angemessene und verhältnismäßige Maßnahmen in technischer, operativer und organisatorischer Hinsicht ergreifen, um die Risiken für die Sicherheit des Netzwerks und der IT-Systeme, die zur Ausübung ihrer Tätigkeiten oder zur Erbringung ihrer Dienstleistungen genutzt werden, zu bewältigen und die Auswirkungen etwaiger Vorfälle auf die Empfänger der Dienstleistungen und auf andere Dienstleistungen zu verhindern und zu begrenzen.

Die Unternehmen müssen die zu ergreifenden Maßnahmen in zwei operativen Schritten festlegen:
ANALYSEPHASE

In dieser Phase müssen die Unternehmen die Umstände des Einzelfalls analysieren und dabei den Faktor Mensch und den Grad der Abhängigkeit vom Netzwerk und von den Informationssystemen berücksichtigen, um Maßnahmen festzulegen, die in einem angemessenen Verhältnis zu den potenziellen sozioökonomischen Auswirkungen möglicher Cybervorfälle stehen.

Je schwerwiegender der mögliche Schaden ist, desto größer muss das Engagement sein, das der Verantwortliche in die Umsetzung der Risikomanagementmaßnahmen investieren muss.

VERABSCHIEDUNG SPEZIFISCHER MASSNAHMEN

Das Unternehmen muss spezifische Richtlinien für die Risikoanalyse und Sicherheit sowie für das Backup- und Disaster-Recovery-Management und das Krisenmanagement festlegen. Darüber hinaus müssen Maßnahmen für das Incident Management, die Wartung der IT- und Netzwerksysteme und die Sicherheit der Lieferkette definiert werden.

Die verantwortliche Stelle muss Verfahren zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen einführen. In diesem Zusammenhang könnten im Rahmen der Lieferkette auch Unternehmen indirekt betroffen sein, die nicht direkt in den Anwendungsbereich der Richtlinie fallen, selbst wenn sie ihren Sitz nicht in der EU haben, aber dort für die Lieferkette tätig sind.

Standardisierung und Zertifizierungen

Gemäß der NIS2-Richtlinie können die Mitgliedstaaten von den verantwortlichen Stellen den Erwerb von Zertifizierungen und/oder die Verwendung von zertifizierten Produkten verlangen.

Die Produktzertifizierung basiert auf den europäischen Programmen für Cybersicherheitszertifizierungen gemäß der EU-Verordnung 2019/881 über Cybersicherheit. Darüber hinaus kann die Europäische Kommission gemäß der Richtlinie delegierte Rechtsakte erlassen, um von bestimmten Kategorien von Verantwortlichen zu verlangen, dass sie zertifizierte technische Lösungen einsetzen oder ein entsprechendes Zertifikat erwerben; diese können jedoch nur erlassen werden, wenn die Kommission zuvor unzureichende Cybersicherheitsniveaus festgestellt und eine Frist für die Umsetzung festgelegt hat.

Verpflichtung zur Registrierung auf dem ACN-Portal

In Italien müssen Unternehmen, die unter die NIS2-Richtlinie fallen, zwischen dem 1. Dezember 2024 und dem 28. Februar 2025 die Registrierung auf dem Portal der ACN (Autorità per la Cybersicurezza Nazionale, Nationale Behörde für Cybersicherheit) abschließen, um den europäischen Vorschriften zu entsprechen und keine hohen Strafen zu riskieren.

Die Registrierung auf dem Portal der Behörde für nationale Cybersicherheit ermöglicht es Unternehmen:

  • die Umsetzung wirksamer Maßnahmen gegen Cyberbedrohungen nachzuweisen;
  • ihre Bereitschaft zur Zusammenarbeit mit den zuständigen Behörden zu demonstrieren;
  • ein Aktualisierungsinstrument zu nutzen, das über neue Vorschriften und zu ergreifende Maßnahmen informiert.

Wenn sich ein Unternehmen bis zum 28. Februar 2025 nicht auf dem Portal registriert, riskiert es:

  • Sanktionen und Geldstrafen wegen Nichteinhaltung der gesetzlichen Verpflichtungen und Nichtkonformität mit NIS2;
  • Ausschluss von Ressourcen und Instrumenten der Cybersicherheit, wodurch das Unternehmen größeren Risiken und Cyberangriffen ausgesetzt ist;
  • Reputations- und Betriebsrisiken.

DIE LÖSUNGEN VON LEVIAHUB ZUR ERFÜLLUNG DER NIS2-VORSCHRIFTEN

Leviahub ist Ihr zuverlässiger Partner, der Sie auch bei der Umsetzung der neuen NIS2-Richtlinie begleitet.

Leviahub achtet seit jeher auf gesetzliche und marktbezogene Entwicklungen, um seinen Kunden maximale Effizienz zu garantieren, und bietet alle Instrumente, um ein hohes Maß an Sicherheit für Ihre IT-Systeme und Daten zu gewährleisten. In einer Welt, in der sich digitale Bedrohungen ständig weiterentwickeln, ist es von höchster Priorität, die eigenen Systeme zu schützen und die richtigen Vorsichtsmaßnahmen zu treffen, um mögliche Risiken vorherzusehen. Aus diesem Grund arbeiten wir seit langem an den ausgefeiltesten Sicherheitsmaßnahmen und passen uns stets den neuesten Entwicklungen an, um mit den fortschrittlichsten Präventionssystemen Schritt zu halten.

Dank unserer Cyber-Sicherheitsdienste steht Ihnen ein Team von Experten zur Verfügung, das Ihnen die besten IT-Sicherheitslösungen für Ihr Unternehmen empfiehlt, um es vor unerwünschten Bedrohungen und Angriffen zu schützen.

Unsere Erfahrung ermöglicht es uns, präzise zu handeln und maßgeschneiderte Lösungen anzubieten, die die Stabilität der Systeme gewährleisten, das Risiko von Unterbrechungen minimieren und sicherstellen, dass jede Maßnahme zur Stärkung der Widerstandsfähigkeit des Unternehmens beiträgt.

Schützen Sie Ihre Unternehmensinformationen und sensiblen Daten: Dank unserer technologisch fortschrittlichen Cybersicherheitsdienste, die exklusiv für die Welt der Lieferkette entwickelt wurden, können Sie sich auf eine sichere und zuverlässige digitale Umgebung verlassen.

Unsere Cybersicherheitsdienste umfassen:

  • Risikobewertung
  • Schwachstellenbewertung
  • Penetrationstests
  • Sicherheitsbewusstsein (Social Engineering)
  • Markenreputation (Dark & Deep Web Scouting)
  • Cyber-Bedrohungsinformationen
  • SOC (Security Operations Center)
  • SIEM (Security Information and Event Management)
  • NDR (Network Detection & Response)
  • MDR (Managed Detection & Response)
  • SOAR (Security Orchestration automation and Response)
  • WAF (Web Application Firewall)
  • E-Mail-Sicherheit Advanced
  • Kontinuierliche Überwachung zur Erkennung verdächtiger Aktivitäten
  • Backup und Disaster Recovery zum Schutz Ihrer Daten
  • Multi-Faktor-Authentifizierung für zusätzliche Sicherheit

Jeder dieser Dienste spielt eine wichtige Rolle beim Aufbau einer sicheren IT-Umgebung.

Mit Leviahub können Sie sich mit Zuversicht und Gelassenheit in die digitale Welt begeben, denn Sie wissen, dass Sie einen vertrauenswürdigen Partner an Ihrer Seite haben. Vertrauen Sie uns und erfüllen Sie sofort alle Anforderungen der NIS2, um Strafen und Cyberrisiken zu vermeiden!

Das könnte Sie auch interessieren

Holen Sie sich Ihre kostenlose Demo

Leviahub Spa

Sitz: Foro Buonaparte, 71 - 20121 Mailand (MI)

Betriebs- und Verwaltungssitz: Via Adige, 10, Spresiano (TV)

Tel. +39 02 611133 | info@leviahub.com

Gesellschaftskapital Euro 5.057.400,00i.v.

Umsatzsteuer-Identifikationsnummer und Steuernummer 01233220324 | REA MI-2503338

SDI: 1YY4LRX

Privacy policy

Cookies policy