Kontakt & Service
Jetzt Beratung vereinbaren

In wenigen Schritten einen Beratungs­termin mit unseren Experten buchen.

Anwender Helpdesk

Hilfestellung bei Problemen in Ihren SAP-Systemen.

Webinare

Unser Webinarangebot. Jetzt informieren!

Newsletter

Jetzt Newsletter abonnieren!

News & Wissen Die neue NIS-2-Richtlinie macht IT-Sicherheit zur Pflicht: Was auf Ihr Unternehmen zukommt

Die NIS-2 (Network and Information Security), auch bekannt als die zweite Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union, ist ein rechtlicher Rahmen, der darauf abzielt, die Cybersicherheit in der EU zu stärken. Im Folgenden wollen wir Ihnen einen kurzen Überblick über die NIS-2-Richtlinie geben.

Mit der NIS-2-Richtlinie, die in Deutschland ab Oktober 2024 gilt und hier durch das Deutsche IT-Sicherheitsgesetz 3.0 umgesetzt wird, kommen auf viele Unternehmen und Organisationen in den 18 kritischen Sektoren Sicherheitsmaßnahmen und Meldepflichten zu, die verpflichtend sind. Mit der NIS-2-Richtlinie erweitert sich auch das Feld der Unternehmen, die von dieser betroffen sind. Im Vergleich zur vorherigen NIS-Richtlinie werden vor allem die Pflichten und die behördliche Aufsicht stark erweitert und die drohenden Geldstrafen deutlich angehoben.

Die NIS-2-Richtlinie ist 2023 auf EU-Ebene in Kraft getreten. Sie ist in der vorliegenden EU-Form als Richtlinie nicht direkt anwendbar, sondern muss erst in nationales Recht umgesetzt werden (IT-Sicherheitsgesetz 3.0). Die Richtlinie gibt einen Mindeststandard vor, was bedeutet, dass die EU-Staaten strengere Vorschriften erlassen. Es wird also ein Fakt sein, dass in den EU-Staaten die Richtlinie auch in verschiedenen Formen und Anforderungen umgesetzt wird.

In den Anhängen I und II sind die 18 Sektoren und die dazugehörigen Einrichtungen aufgeführt und näher beschrieben.

Anhang I

Anhang II

Sollten Sie nach einer Prüfung feststellen, dass Sie mit Ihrem Unternehmen unter die NIS-2-Richtlinie fallen, müssen Sie mindestens die folgenden Cybersecurity-Maßnahmen nach einem risikobasierten Ansatz umsetzen. Das Ziel ist, die Auswirkungen von Sicherheitsfällen komplett zu verhindern aber zumindest gering zu halten:

Policies

Um alle Punkte sauber zu prüfen und umzusetzen, muss es ein Konzept für die Sicherheitssysteme und die Risikoanalyse geben.

Vorfallsbewältigung

Ein Vorfall kann immer vorkommen, hier geht es um dessen Erkennung, Reaktion, Eindämmung und Analyse.

Einkauf

Dieser Punkt bezieht sich auf die Sicherheitsaspekte beim Erwerb, der Entwicklung und der entsprechenden Wartung der IT-Systeme.

Wirksamkeit

Nach einem Vorfall müssen die Risikomanagementmaßnahmen auf ihre Wirksamkeit bewertet werden, hierfür sollte ein entsprechender Prozess bestehen.

Personal, Zugriffe, Assets

Hier werden die Themen Asset Management, Zugriffskontrolle und Personalsicherheit betrachtet.

Authentifizierung

Die Stichpunkte sind Multi-Faktor-Authentifizierung oder auch kontinuierliche Authentifizierung. In diesem Punkt und vor allem im Bereich „Personal, Zugriffe, Assets“ sind IAM-Systeme ein möglicher Lösungsansatz.

Kommunikation

Zum Risikomanagement gehört auch die Betrachtung der Kommunikation (Video und Textkommunikation), die im eingetretenen Notfall funktionieren sollte.

Business Continuity

In der Maßnahme „Business Continuity” geht es neben dem Krisenmanagement auch um die Wiederherstellung und das Backup-Management.

Schulungen und Cyberhygiene

Hier sind Schulungen zum Thema Security und der Cyberhygiene inkludiert. Unter Cyberhygiene sind hier z.B. die Updates der IT-Systeme gemeint.

Kryptografie

Ganz zentrale Themen sind die Verschlüsselung und der Einsatz von Kryptografie.

Supply Chain

Immer häufiger werden auch die Lieferketten der Lieferanten bedroht. Wenn Ihre Firma davon betroffen ist, müssen Sie auch verschiedene Prüfungen bei Ihren Lieferanten durchführen.

Was resultiert aus der NIS-2-Richtlinie?

Unternehmen, die unter die NIS-2-Richtlinie fallen, müssen sich bei der nationalen Behörde registrieren lassen, wobei zurzeit noch nicht ganz feststeht, wie genau das geschehen soll. Sicherheitsvorfälle, die in dem entsprechenden Unternehmen auftreten, müssen der dann Behörde nach bestimmten Fristen gemeldet werden. Sollten noch Empfänger von z.B. Diensten betroffen sein, müssen diese ebenfalls informiert werden.

Die Haftung und die Verantwortung der Geschäftsführung ist in der NIS-2-Richtlinie nochmals etwas angezogen worden.

Was muss ich tun, wenn ich ein SAP-System im Einsatz habe?

Wenn Sie ein SAP-System in Ihrem Unternehmen einsetzen, sollten Sie zur Berücksichtigung der NIS-2-Richtlinie folgende Punkte beachten:

  • Identifizieren Sie kritische Infrastrukturen: Überprüfen Sie, ob Ihr SAP-System als kritische Infrastruktur eingestuft wird. Die NIS2-Richtlinie gilt insbesondere für Unternehmen aus den Sektoren Energie, Verkehr, Banken, Gesundheitswesen und digitale Dienste.
  • Implementieren Sie Sicherheitsmaßnahmen: Ergreifen Sie angemessene Sicherheitsmaßnahmen, um Ihr SAP-System vor Cyberangriffen zu schützen. Dies kann die Implementierung von Firewalls, Intrusion Detection Systems, Zugriffskontrollen und Verschlüsselungen umfassen.
  • Überprüfen Sie die Sicherheitsrichtlinien von SAP: Stellen Sie sicher, dass Sie die Sicherheitsrichtlinien und - empfehlungen von SAP befolgen. SAP bietet umfangreiche Informationen und Best Practices zur Sicherheit von SAP-Systemen.
  • Regelmäßige Überprüfung der Sicherheitsmaßnahmen: Führen Sie regelmäßige Sicherheitsaudits und -überprüfungen durch, um sicherzustellen, dass Ihre Sicherheitsmaßnahmen den aktuellen Bedrohungen entsprechen. Dies kann die Durchführung von Penetrationstests, Schwachstellenanalysen und Sicherheitsbewertungen beinhalten.
  • Melden von Sicherheitsvorfällen: Stellen Sie sicher, dass Sie Sicherheitsvorfälle, die Ihr SAP-System betreffen, gemäß den Meldepflichten der NIS-2-Richtlinie melden. Dies kann die Meldung an nationale Behörden oder Computer Security Incident Response Teams (CSIRTs) umfassen.
  • Schulung der Mitarbeiter: Sensibilisieren Sie Ihre Mitarbeiter für die Bedeutung der Cybersicherheit und nehmen Sie Schulungen in den besten Sicherheitspraktiken für die Nutzung des SAP-Systems vor. Dazu können Schulungen zur Erkennung von Phishing-E-Mails, zur sicheren Passwortverwaltung und zur Vermeidung von Malware-Infektionen zählen.

Um Zugang zu dem Thema zu finden, schlagen wir folgende Tipps in der dargestellten Reihenfolge vor:

Fazit

Schon aus Eigeninteresse sollten sich Unternehmen aktiver und weitreichender gegen Cyberkriminalität schützen, aber wie hier die NIS-Richtlinien bezeugen, steigt auch der Druck durch den Gesetzgeber immer weiter.

Viele Unternehmen, die vielleicht nicht unter die NIS-1-Richtlinie (IT-Sicherheitsgesetz 2.0) gefallen sind, können ab Ende 2024 von der NIS-2 (IT-Sicherheitsgesetz 3.0) betroffen sein, auch wenn die Anforderungen und Meldepflichten nur unwesentlich über die NIS-2 hinausgehen. Daher sollte alle Unternehmen prüfen, ob sie unter die NIS-2-Richtlinie fallen.

Die angedrohten Bußgelder bei Verstößen gegen die Richtlinie sind teilweise  deutlich angehoben worden und können bis zu zehn Millionen Euro betragen.

 

Stand: 17. August 2023
Newsletter Setzen Sie auf fundiertes Wissen aus allen Bereichen unserer Branche. Regelmäßig und stets aktuell.
Beratende Person
Kontakt Haben Sie Fragen oder wünschen weitere Informationen? Unsere Experten beraten Sie gerne.