Foto: QBS Software
Seit Oktober 2024 ist die NIS2-Richtlinie (Network and Information Security Directive) in Kraft. Ziel der Richtlinie ist eine allgemeine Verbesserung der Cybersicherheit in der gesamten Europäischen Union. Doch für Unternehmen bedeutet dies eine erhebliche Verschärfung ihrer IT-Sicherheit. So müssen Firmen fortan eine systematische Risikobewertung ihrer Software wie auch IT-Infrastruktur durchführen. Zugleich müssen auf Basis der Ergebnisse geeignete Sicherheitsmaßnahmen eingeführt werden.
Eine wesentliche Besonderheit der NIS2-Richtlinie betrifft das Management. Dieses wird nun mehr zur Verantwortung gezogen. Denn die Richtlinie fordert, das Top-Management aktiv in die Überwachung und Umsetzung der Security Controls einzubinden. Die Richtlinie geht sogar noch einen Schritt weiter. Führungskräfte dürfen nun bei Sicherheitsverstößen persönlich haftbar gemacht werden. Somit wird das Thema Cybersecurity zur zentralen Aufgabe für die Unternehmensführung.
Die NIS2-Richtlinie im Detail
Die NIS2-Richtlinie ist nicht vollkommen neu. Vielmehr handelt es sich um eine Weiterentwicklung der ursprünglichen NIS-Richtlinie aus dem Jahr 2016. Zu den wesentlichen Veränderungen, besser gesagt Erweiterungen, gehört die Ausweitung des Anwendungsbereichs auf mehr Sektoren und Unternehmen:
Während die alte NIS-Richtlinie kritische Infrastrukturen wie Energie-, Transport-, Gesundheitswesen und Finanzdienste betraf, sind in der NIS2-Richtlinie nun auch digitale Dienstleisterwie Cloud-Service-Anbieter oder Online-Marktplätze, Post- und Kurierdienste, öffentliche Verwaltungenund das Abfallmanagement enthalten?.
Außerdem werden die betroffenen Unternehmen in "wesentliche" und "wichtige" Unternehmen kategorisiert.
Zu den "wesentlichen Unternehmen" gehören all diejenigen, die kritische Dienste anbieten. Kritisch in dem Sinne, dass deren Ausfall erhebliche gesellschaftliche oder wirtschaftliche Folgen hätten.
"Wichtige Unternehmen" hingegen sind all die, deren Ausfall weniger kritische Folgen hätte.
Unabhängig von der Kategorie müssen nun aber alle betroffenen Unternehmen detaillierte Cybersicherheitsmaßnahmen umsetzen.
Auch sind alle Firmen verpflichtet, Cyberattacken oder Hackerangriffe nach Bekanntwerden binnen 24 Stunden zu melden und zusätzlich innerhalb 72 Stunden einen genauen Bericht dazu vorzulegen?.
Diese Unternehmen sind von der NIS 2-Richtline betroffen
In Deutschland sind diese Unternehmen direkt von NIS2 betroffen:
Betreiber kritischer Anlagen (KRITIS)
Besonders wichtige Einrichtungen
Wichtige Einrichtungen
Bundeseinrichtungen
Zu den Betreibern kritischer Anlagen gehören:
Alle Energieversorger, die Strom, Gas oder Öl bereitstellen und mindestens 500.000 Personen versorgen.
Alle Gesundheitsdienstleister, Krankenhäuser und andere Einrichtungen des Gesundheitswesens.
Transportdienste, darunter Betreiber von Flughäfen, Eisenbahnen und Häfen.
Unternehmen im Bereich der Wasserwirtschaft, die für die Versorgung mit Trinkwasser und die Entsorgung von Abwasser verantwortlich sind.
Besonders wichtige Einrichtungen sind:
Große Unternehmen mit mehr als 250 Mitarbeitern oder einem Jahresumsatz von mehr als 50 Millionen Euro und einer Bilanzsumme über 43 Millionen Euro.
Sonderfälle wie Anbieter von Vertrauensdiensten, Top-Level-Domain-Registrare (TLD), Domain-Name-System-Anbieter (DNS) und Telekommunikationsanbieter, die besondere Dienstleistungen erbringen.
Einrichtungen sind:
Mittlere Unternehmen mit mehr als 50 Beschäftigten oder einem Jahresumsatz über 10 Millionen Euro sowie einer Bilanzsumme von mehr als 10 Millionen Euro.
Anbieter von Diensten, die Vertrauen in digitale Transaktionen geben, wie beispielsweise elektronische Signaturen.
Bundeseinrichtungen
Dazu gehören bestimmte staatliche Einrichtungen, die für die Erbringung wesentlicher staatlicher Dienstleistungen zuständig sind.
Im Zweifel bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) für Unternehmen eine Betroffenheitsprüfung zu NIS2 an.
Die Umsetzung von NIS2
Um die Anforderungen von NIS2 zu erfüllen, müssen die betroffenen Unternehmen:
Zunächst ihre IT-Systeme und Daten einer gründlichen Risikobewertung unterziehen. Das soll helfen, potenzielle Bedrohungen und Schwachstellen zu identifizieren. Dafür muss die Risikobewertung aber regelmäßig aktualisiert werden.
Basierend auf den Ergebnissen der Risikobewertung sind die Unternehmen außerdem verpflichtet, spezifische Sicherheitsrichtlinien auszuarbeiten. In den Richtlinien sollten technische Maßnahmen wie Verschlüsselungstechnologien zur Sicherung sensibler Daten und die Einführung von Multi-Faktor-Authentifizierung (MFA) enthalten sein, um einen Zugriff unbefugter Dritter zu verhindern.
Zur Einrichtung der technischen Maßnahmen gehören außerdem:
Datenverschlüsselung
Multi-Faktor-Authentifizierung
Regelmäßige Sicherheitsupdates
4. Zu den Organisatorische Maßnahmen gehören:
Schulung der Mitarbeiter und Sensibilisierung in regelmäßigen Abständen.
Protokolle für das Incident Management
Damit Sicherheitsvorfälle schnell erkannt, gemeldet und behoben werden können, muss ein Incident-Management-System eingerichtet werden. Dazu zählt auch die Pflicht, Vorfälle innerhalb bestimmter Fristen an die zuständigen Behörden zu melden.
Für Betreiber kritischer Anlagen oder Infrastrukturen (KRITIS) besteht fortan eine dreijährige Prüfpflicht. Andere Einrichtungen unterliegen einer Dokumentationspflicht und können stichprobenartig von den Behörden überprüft werden.
Erweiterung der staatlichen Aufsicht
Außerdem legt die NIS2-Richtlinie verstärkt einen Fokus auf die verstärkte staatliche Aufsicht - speziell bei kritischen Infrastrukturen. Diese Aufsicht ist für die Kontrolle der Umsetzung der Direktive zuständig. Dafür müssen sich alle betroffenen Unternehmen bei den zuständigen Behörden registrieren lassen. In Deutschland ist dies das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Ebenfalls ein zentraler Aspekt der Ausweitung der staatlichen Aufsicht ist die Nachweispflicht über die Einhaltung der Sicherheitsvorgaben der Unternehmen im Rahmen von NIS2. Die Nachweise können durch interne und externe Audits, Prüfberichte und andere Dokumentationen erfolgen.
Außerdem hat das BSI fortan die Befugnis, unangekündigte Inspektionen durchzuführen, Nachweise und Informationen anzufordern sowie Sicherheitsvorfälle zu untersuchen. Das Inspektionsrecht obliegt auch anderen zuständigen Behörden.
Zusätzlich dazu fördert die NIS2-Richtlinie die Zusammenarbeit innerhalb der EU zwischen den verschiedenen nationalen Behörden. Mit dieser Kooperation erhofft man sich eine einheitliche Durchsetzung der Richtlinie und eine grenzübergreifende Bekämpfung der Cybergefahr.
Auf der folgenden Seite erfahren Sie, worauf Unternehmen aufgrund der NIS2-Richtlinien achten müssen, wenn Sie TeamViewer für den Remote-Zugriff einsetzen.
Bedeutung der NIS2-Richtlinie für Unternehmen mit TeamViewer
Die NIS2-Richtlinie stellt alle Unternehmen, die mit Software und persönlichen Daten arbeiten, vor eine Herausforderung. Doch auch die Softwarehersteller sind davon betroffen. Schließlich sollen die Unternehmen ihre Softwareentwicklung und -nutzung zur Einhaltung der Direktive stärker auf Sicherheitsaspekte ausrichten. Doch was bedeutet das für Softwareprodukte, die per Remote einen Zugriff auf fremde Rechner gewähren? Auch diese müssen fortan sicherstellen, dass die Nutzung ihrer Produkte die NIS 2-Richtlinie erfüllt.
Dies bedeutet:
Auf kritische Systeme dürfen nur autorisierte Benutzer zugreifen.
Dafür müssen Multi-Faktor-Authentifizierung (MFA) und verschlüsselte Sitzungen eingerichtet werden.
Es muss über alle Zugriffe und Remote-Sitzungen genau Protokoll geführt werden.
Es muss ein Incident Management System eingerichtet werden, damit Sicherheitsvorfälle schnell aufgedeckt und gemeldet werden können.
Wie TeamViewer bei der Einhaltung von NIS2 hilft
Deswegen hat der Softwarehersteller TeamViewer schon vorgesorgt. Seine Software enthält bereits zahlreiche Funktionen, die auf die Einhaltung der NIS 2-Richtlinie ausgerichtet sind:
Erhöhte Sicherheit und Compliance
TeamViewer kann so konfiguriert werden, dass die Sicherheitsanforderungen von NIS 2 erfüllt sind. Das sind Funktionen wie Multi-Faktor-Authentifizierung (MFA), verschlüsselte Sitzungen und granulare Zugriffskontrollen. Damit können nur noch autorisierte Personen auf kritische Systeme zugreifen.
Alle Remote-Sitzungen werden nicht nur aufgezeichnet, sondern auch mitprotokolliert.
Incident Response and Management
Im Falle einer Cyberattacke können Anwender mit TeamViewer aus der Ferne reagieren. Das IT-Team kann auf das betroffene Systeme zugreifen, Schäden diagnostizieren, Korrekturen vornehmen und Sicherheitsmaßnahmen durchführen.
Außerdem können mehrere Experten zeitgleich und in Echtzeit an einem Problem arbeiten (Kollaborationsfunktion).
Resilienz und Kontinuität
Mit TeamViewer können außerdem kritische Dienste aufrechterhalten werden.
TeamViewer stellt im Rahmen einer umfassenderen Strategie zur Geschäftskontinuität sicher, dass Remote-Arbeiten und -Support nahtlos ablaufen, während der Geschäftsbetrieb weiterlaufen kann. Ein weiterer wichtiger Punkt der NIS 2 Compliance.
Training und Awareness
Die Funktionen von TeamViewer können auch für Remote-Schulungen der Mitarbeiter genutzt werden. Vor allem wenn es darum geht, die Inhalte der neuen NIS 2 zu schulen.
Diese Funktionen sind es, die die Fernzugriffssoftware von TeamViewer zu einem nützlichen Werkzeug für Unternehmen machen, um die IT-Sicherheit im Einklang mit der NIS2-Richtlinie zu bringen. Und die außerdem dafür sorgen möchten, dass ihre Remote-Zugriffe auch in Zukunft sicher und kontrolliert ablaufen werden.
Distributor für die NIS2-sichere Fernzugriffssoftware ist seit etlichen Jahren in der DACH-Region die QBS Software GmbH in Unterhaching. Zusammen mit TeamViewer unterstützt das Produktmanagement von QBS hunderte von Resellern und Systemhäuser in der DACH-Region im Pre-Sales Prozess, während der Implementierung und im After-Sales Support. So wird sichergestellt, dass die Produkte von TeamViewer maximal nutzbringend bei den Anwendern zum Einsatz kommen.