NIS 2 Phase 2 - Zweite Umsetzungsphase gestartet

Der Ausschuss zur Umsetzung der NIS2-Richtlinie hat sich am 10. April versammelt, um die zweite Phase dieses strukturierten und schrittweisen Prozesses zur Umsetzung der EU-Richtlinie 2022/2555 (NIS2) einzuleiten. Ziel ist es, das Cybersicherheitsniveau der Produktionslandschaft und der öffentlichen Verwaltungen des Landes zu erhöhen.

Die Nationale Agentur für Cybersicherheit (ACN) hat in Übereinstimmung mit dem Nationalen Rahmenwerk für Cybersicherheit und Datenschutz präzise Maßnahmen definiert, die von den betroffenen Akteuren (Behörden, Organisationen und Unternehmen, die in kritischen Bereichen für Wirtschaft und Gesellschaft tätig sind) einzuhalten sind.

Die 16 von der Richtlinie geforderten Bereiche

Für wesentliche Einrichtungen sind insgesamt 116 Anforderungen vorgesehen, für wichtige Einrichtungen "nur" 87. In beiden Fällen lassen sich diese auf die folgenden Bereiche aufteilen:

1. Risikomanagement: Identifikation, Bewertung und Behandlung von Cybersicherheitsrisiken, deren Integration in organisatorische Prozesse und regelmäßige Aktualisierung im Hinblick auf neue Bedrohungen
2. Rollen und Verantwortlichkeiten: Müssen formell definiert, von der Leitung genehmigt und regelmäßig aktualisiert werden, um Verantwortlichkeit und Effizienz in der Cybersicherheit zu gewährleisten
3. Verlässlichkeit des Personals: Auswahl des Personals basierend auf Erfahrung, Fähigkeiten und Vertrauenswürdigkeit, mit vertraglichen Sicherheitsverpflichtungen auch nach Beendigung des Arbeitsverhältnisses
4. Compliance und Sicherheits-Audits: Sicherheitsrichtlinien und -maßnahmen müssen regelmäßig überprüft und auditiert werden, um deren Übereinstimmung mit geltenden Vorschriften sicherzustellen
5. Risikomanagement in der Lieferkette: Sicherheitsanforderungen sind in Lieferverträge zu integrieren, Einhaltung ist zu überwachen und Risiken entlang der gesamten Lieferkette zu bewerten
6. Asset-Management: Alle relevanten Vermögenswerte müssen identifiziert, inventarisiert und gemäß ihrer Bedeutung für Geschäftsziele und Risikostrategien verwaltet werden
7. Schwachstellenmanagement: Strukturierte Prozesse zur Identifizierung, Behebung und Überwachung von Schwachstellen, einschließlich zeitnaher Korrekturmaßnahmen, müssen implementiert werden
8. Betriebskontinuität: Katastrophenwiederherstellung und Krisenmanagement. Dokumentierte Pläne zur Sicherstellung der operativen Resilienz und zur schnellen Wiederherstellung müssen vorbereitet, gepflegt und getestet werden
9. Authentifizierungs-, Identitäts- und Zugriffskontrollmanagement: Identitäten und Zugriffe müssen gemäß dem Prinzip minimaler Rechte, Aufgabentrennung und Multi-Faktor-Authentifizierung verwaltet werden
10. Physische Sicherheit: Einrichtungen müssen durch angemessene Kontrollen gegen unbefugten Zugriff geschützt werden, die mit dem Risikoniveau übereinstimmen
11. Schulung und Sensibilisierung des Personals: Alle Mitarbeitenden, einschließlich der Verwaltung, müssen kontinuierlich geschult werden, um das Bewusstsein für Cyberrisiken und Sicherheitsmaßnahmen zu erhöhen
12. Datensicherheit: Schutz von Daten im Ruhezustand und bei der Übertragung durch sichere Verschlüsselung und geeignete Backup-Maßnahmen
13. Entwicklung, Konfiguration, Wartung und Außerbetriebnahme von IT- und Netzwerksystemen: Aktivitäten müssen sichere Praktiken über den gesamten Lebenszyklus der Systeme hinweg befolgen, mit rechtzeitigen Updates und sicherer Entfernung veralteter Technologien
14. Netzwerk- und Kommunikationssicherheit: Netzwerke und Infrastrukturen müssen mit geeigneten Perimeterschutzmaßnahmen und strengen Remote-Zugriffskontrollen geschützt werden
15. Sicherheitsereignis-Monitoring: Es müssen Systeme zur kontinuierlichen Überwachung implementiert werden, um Anomalien und Vorfälle frühzeitig zu erkennen
16. Vorfallreaktion und Wiederherstellung: Ein Vorfallsmanagementplan mit klaren Verfahren zur Meldung, Reaktion und Wiederherstellung muss einsatzbereit sein

Die Breite und Vielfalt der betrachteten Bereiche wird sofort deutlich. Dies gewährleistet eine umfassende Abdeckung aller sicherheitsrelevanten Aspekte – wie es auch sein sollte. Gleichzeitig entsteht jedoch eine erhebliche Komplexität, die eine Vielfalt an Kompetenzen erfordert: Die Anforderungen betreffen nicht nur technologische, sondern auch organisatorisch-prozedurale, Governance- und Compliance-Aspekte.

Betroffene Akteure identifiziert

Die ACN hat bereits die Behörden, Unternehmen und Organisationen identifiziert, die als „NIS2-Akteure“ gelten und sich daher an die Richtlinie anpassen müssen. Die Behörde hat mit der Mitteilung dieses neuen „Status als ausgewählt“ begonnen.

Es sind über 20.000 betroffene Akteure bekannt, davon rund 5.000 als „Wesentlich“ klassifiziert, d.h. sie gehören zu hochkritischen Sektoren und erbringen grundlegende Dienste für Gesellschaft und Wirtschaft. Die übrigen 15.000 sind als „Wichtig“ eingestuft – Organisationen in kritischen Sektoren, die zwar nicht wesentlich sind, aber bedeutende Aufgaben für Sicherheit und Resilienz wahrnehmen.

Darüber hinaus, wie bereits in der ersten Phase der NIS2-Umsetzung deutlich wurde, sind auch Unternehmen betroffen, die Teil der Lieferkette eines NIS-Akteurs sind – ob wichtig oder wesentlich. Diese Unternehmen sind laut ACN nicht verpflichtet, die Richtlinie einzuhalten, und unterliegen keinen Sanktionen.

Dennoch sind die wichtigen und wesentlichen Akteure verpflichtet (es gibt 7 Anforderungen), Risiken aus der Lieferkette zu managen und Sicherheitsanforderungen an Lieferanten zu definieren, die mit ihren eigenen Maßnahmen übereinstimmen. Lieferantenunternehmen sind somit direkt in den Risikomanagementprozess eingebunden und müssen regelmäßig die Einhaltung der vereinbarten Sicherheitsmaßnahmen nachweisen.

Das Inkrafttreten der NIS2-Richtlinie wird voraussichtlich einen starken Impuls zur Absicherung von Unternehmen jeder Größe geben. Es wird insbesondere mittlere und große Unternehmen betreffen, die den Großteil der wichtigen und wesentlichen Akteure stellen, aber auch kleinere Unternehmen, da sie Teil von Lieferketten sind.
Laut dem CYBER INDEX PMI 2024 BERICHT „[...] geben 48% der italienischen KMU an, Teil strategischer Wertschöpfungsketten zu sein - d.h. mit kritischen Infrastrukturen, multinationalen Unternehmen oder öffentlichen Verwaltungen verbunden zu sein oder in instabilen geopolitischen Regionen tätig zu sein“.

Was also tun? Zeitplan und Verantwortlichkeiten

Die NIS-Akteure müssen die Maßnahmen und Anforderungen bis Oktober 2026 umgesetzt haben. Es bleiben etwa eineinhalb Jahre, um alle Verfahren und technischen Komponenten zur Sicherstellung der Organisation umzusetzen, zu definieren und einsatzbereit zu machen.
Daher ist eine sorgfältige Planung der Aktivitäten erforderlich, einschließlich der Identifikation von Verbesserungsbereichen zur vollständigen Einhaltung der Anforderungen. Eine umfassende Analyse muss sowohl organisatorische und Governance-Aspekte als auch technologische Anforderungen berücksichtigen, die für eine wirksame Implementierung von Schutz-, Abwehr- und Überwachungsmechanismen unerlässlich sind. Für alle anderen Unternehmen gilt: Investitionen in Cybersicherheit sind keine Option mehr, sondern eine notwendige Bedingung zur Wahrung der Wettbewerbsfähigkeit. In einem Markt, in dem mittlere und große Unternehmen (insbesondere wenn sie NIS2-unterliegen) zunehmend hohe Sicherheits- und Datenschutzstandards verlangen, riskieren Unternehmen – insbesondere KMU –, die ihre Verteidigung nicht anpassen, vom Geschäft ausgeschlossen zu werden und strategische Partnerschaften zu verlieren.

Wie Retelit Unternehmen auf dem Weg zur NIS2 unterstützt

Die Auseinandersetzung mit der NIS2 bedeutet nicht nur die Einhaltung einer EU-Richtlinie: s ist eine Chance, die eigene Sicherheitsstrategie modern und strukturiert neu zu denken. Retelit versteht sich als echtes Kompetenzzentrum und bietet Unternehmen und Behörden kontinuierliche Unterstützung bei der Bewältigung der NIS2-Komplexität durch integrierte Dienstleistungen. Dabei kombiniert es internes Know-how mit dem seiner strategischen Partner – insbesondere im Bereich Compliance und Governance – sowie mit Produkten führender, gezielt ausgewählter Technologiepartner.
Wir können unsere Kunden sowohl in der vorbereitenden Phase mit einer Gap-Analyse zur Definition des effizientesten Weges zur Einhaltung der Richtlinie als auch in der Umsetzungsphase unterstützen, um die notwendigen Aktivitäten für die Abdeckung der oben genannten 16 Bereiche umzusetzen.

Vertiefung von Andrea Priviero – Product Marketing Retelit