Alert icon Keyboard navigation enabled.
Alert icon TAB or Shift+TAB to navigate across. Down ↓ to open menu. ESC to close menu.
Alert icon Down ↓ to select section. Right → to activate. Up ↑ / Down ↓ / Tab to traverse all. ESC to exit.
BeyondTrust
Skip to content Use space or enter to skip.

Wie können wir Ihnen heute weiterhelfen?

Sofortige Ergebnisse
  • Website-Ergebnisse
  • Technische Dokumentation

Filteroptionen

Suche eingrenzen

Gefiltert nach

Ihre letzten Suchanfragen:

  • English
  • Deutsch
  • français
  • español
  • 한국어
  • português
  • Home
  • Ressourcen
  • Blog
  • Fragenkatalog zur NIS2-Direktive der Europäischen Union current page
Link copied

Fragenkatalog zur NIS2-Direktive der Europäischen Union

02.02.2024
Author:
Mari Still Headshot
Mari Still
Marketing Manager, EMEA
Blog banner default
Fragenkatalog zur NIS2-Direktive der Europäischen Union
Mari Still Headshot
Mari Still
Marketing Manager, EMEA

Bis zum 17. Oktober 2024 haben die Mitgliedstaaten der EU noch Zeit, die reformierte Gesetzgebung zur Netz- und Informationssicherheit NIS2 umzusetzen. Verabschiedet wurde die EU- Richtline 2016/1148 des Europäischen Parlaments und des Rates bereits am 6. Juli 2016. In diesem Blogbeitrag beantworten wir die wichtigsten Fragen zu NIS2, damit Sie Ihr Unternehmen auf den bevorstehenden Stichtag vorbereiten können.

Was ist die NIS2-Richtlinie?

White chain icon to symbolize the ability to copy a link
Link copied
Check mark to visually show text has been copied

Als Meilenstein der europäischen Cybersicherheitsgesetzgebung sieht die Richtlinie über Netz- und Informationssicherheit (NIS2) rechtliche Maßnahmen zur Verbesserung des allgemeinen Cybersicherheitsniveaus in der Europäischen Union (EU) vor. Sie legt strenge Maßnahmen zur Gewährleistung einer hohen Cybersicherheit fest, die Unternehmen und Organisationen einhalten müssen.

Für wen gilt NIS2?

White chain icon to symbolize the ability to copy a link
Link copied
Check mark to visually show text has been copied

Die EU-Direktive richtet sich an Unternehmen, die von den Mitgliedstaaten als „Betreiber wesentlicher Dienste“ eingestuft werden. Die meisten Organisationen, die unter die schärferen Vorgaben von NIS2 fallen, betreiben kritische nationale Infrastrukturen (CNI), Netzwerke für Operational Technology (OT) und industrielle Systeme.

Die NIS2-Vorschriften gelten jedoch nicht nur für „wesentliche und wichtige Einrichtungen“, sondern auch für Verstöße in deren Lieferkette. Das bedeutet, dass sich Subunternehmer und Lieferanten ebenfalls an den NIS2-Anforderungen orientieren müssen — wo auch immer sie ansässig sind.

Unterschiede zwischen NIS und NIS2

White chain icon to symbolize the ability to copy a link
Link copied
Check mark to visually show text has been copied

NIS2 aktualisiert und verschärft die ursprünglich 2016 eingeführten EU-Cybersicherheitsvorschriften, um den bestehenden Rechtsrahmen zu modernisieren und die steigende Digitalisierung und daraus resultierende Bedrohungen für die Cybersicherheit zu berücksichtigen. Die wichtigsten Unterschiede im Überblick:

  • Weitere Industriesektoren — der Geltungsbereich der Cybersicherheitsvorschriften hat sich auf neue Sektoren und Einrichtungen ausgeweitet, insbesondere auf die verarbeitende Industrie und andere OT-Branchen. Auch die Kritikalität und Größe eines Unternehmens werden berücksichtigt.
  • Neue Anforderungen an die Berichterstattung und Krisenreaktion — NIS2 erfordert eine Verbesserung der Kapazitäten zur Reaktion auf Sicherheitsvorfälle, inklusive verstärkter Meldepflichten, präziserer Meldeprozesse und Zeitpläne.
  • Erweiterte Sicherheitsanforderungen und -kontrollen — Sicherheitsanforderungen werden insgesamt verschärft, wobei der Schwerpunkt auf einer gezielten Behandlung und Offenlegung von Schwachstellen sowie auf Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Risikomanagement-Sicherheitsmaßnahmen liegt. Das Maßnahmenpaket sieht ferner eine grundlegende IT-Hygiene und Cybersicherheitsschulungen sowie den effektiven Einsatz von Kryptografie, Personalsicherheit, Zugriffskontrollrichtlinien und Asset-Management vor.
  • Höhere Strafen — NIS2 führt höhere Strafen für Compliance-Verstöße ein. Die Bußgelder variieren je nach Status des Unternehmens:
    • Die Geldbußen für Anbieter „wesentlicher“ Dienste können bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen (je nachdem, welcher Betrag höher ist).
    • Für „wichtige“ Einrichtungen liegt das maximale Bußgeld bei sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).
  • Erhöhte Haftung — Führungskräfte, die für Risk Governance einer IT-Infrastruktur verantwortlich sind, können für Sicherheitsverstöße persönlich haftbar gemacht und ihres Postens enthoben werden.

Wann tritt NIS2 in Kraft?

White chain icon to symbolize the ability to copy a link
Link copied
Check mark to visually show text has been copied

Die Frist für die Mitgliedstaaten zur Umsetzung der NIS2-Richtlinie in geltendes, nationales Recht läuft am 17. Oktober 2024 ab. Unternehmen müssen die aktualisierten Anforderungen der EU-Direktive vor diesem Datum vollständig erfüllen, da sie sonst mit schwerwiegenden Konsequenzen rechnen müssen, einschließlich Geldstrafen und Reputationsschäden.

Warum liegt ein Schwerpunkt von NIS2 auf Operational Technology (OT)?

White chain icon to symbolize the ability to copy a link
Link copied
Check mark to visually show text has been copied

Die OT-Sicherheit ist aufgrund der jüngsten Flut von hochkarätigen Angriffen viel wichtiger geworden. Sie ist auch in den Fokus zunehmender Compliance-Frameworks gerückt. In puncto Sicherheit holt die OT gegenüber der IT auf. In IT-Netzwerken wurden die meisten Sicherheitsgrundlagen eingeführt, aber in der OT werden Kontrollen wie Änderungsmanagement, Zugriffskontrolle und Schwachstellenmanagement immer noch nicht angewendet.

Was sind die Herausforderungen bei der Verwaltung und Sicherung von OT-Umgebungen?

White chain icon to symbolize the ability to copy a link
Link copied
Check mark to visually show text has been copied

Erstens kommt es auf den Schwerpunkt einer OT-Umgebung an. Handelt es sich bei den Umgebungen um Produktionsanlagen oder Fabriken, ist Verfügbarkeit das oberste Gebot. Jeder Produktionsausfall kostet. Bei kritischen nationalen Infrastrukturen (CNI) ist die Verfügbarkeit noch wichtiger, da sich jede Ausfallzeit nachteilig auf ganze Sparten auswirken kann. Falls Sie der Meinung sind, dass die IT datenzentrierter ist und daher die Integrität mehr im Fokus steht, sollten Sie bedenken, dass sich Daten zwar sichern lassen, aber ein Ausfall der Gas- oder Ölförderung deutlich schwerer wiegt…

Zweitens verfügen OT-Umgebungen über veraltete und mitunter nicht mehr unterstützte Geräte. Aktualisierungszyklen könnten Jahrzehnte betragen und nicht wie in der IT üblich drei bis sechs Jahre. Das gefährdet den Betrieb technischer Systeme, die nie gegen neue Cyberbedrohungen gehärtet wurden.

Drittens setzen viele Unternehmen die gleichen Authentifizierungs- und Sicherheitsdienste in der IT-Welt und ihrer OT-Umgebung ein. Ein anschauliches Beispiel ist die Verwendung von Active Directory, um die Kontenauthentifizierung und -autorisierung für OT-Benutzer zu verwalten. IT- und OT-Umgebungen sollten jedoch getrennt werden, um die Auswirkungen einer Sicherheitsverletzung begrenzen zu können.

Was sind die nächsten Schritte aus Unternehmenssicht?

White chain icon to symbolize the ability to copy a link
Link copied
Check mark to visually show text has been copied

Dies hängt vom Governance, Risk & Compliance (GRC)-Team eines Unternehmens ab. Verantwortliche müssen die neuen Anforderungen studieren und prüfen, ob ihre bestehenden Kontrollen ausreichen oder ob es Nachholbedarf gibt. Sie müssen auch bedenken, dass unabhängige Prüfer sicherstellen werden, dass alle Kontrollen vorhanden sind und den Anforderungen entsprechen. Falls nicht, werden sie Pläne und strafbewehrte Fristen durchsetzen, um die Einhaltung zu gewährleisten.

NIS2 fördert „die Verwendung europäischer und internationaler Normen und technischer Spezifikationen, die für die Sicherheit von Netz- und Informationssystemen relevant sind“, wie z. B. ISO27001. Die grundlegenden Anforderungen wie Endpunktsicherheit oder Antivirenschutz sollten über NIS oder andere Sicherheits-Frameworks bereits abgedeckt sein. Den größten Nachholbedarf gibt es erfahrungsgemäß bei der Abwehr von Phishing-Angriffen, bei der Durchsetzung einer Least-Privilege-Strategie und beim Identitätsmanagement insgesamt.

Was sind die Herausforderungen bei der Einbindung von Drittanbietern in Ihrer Sicherheitsstrategie?

White chain icon to symbolize the ability to copy a link
Link copied
Check mark to visually show text has been copied

Drittanbieter und IT-Dienstleister können das schwächste Glied einer Cyberabwehrkette sein. Jedes Unternehmen verlässt sich beim Betrieb geschäftlicher Dienste auf externe Anbieter, aber die Unternehmenssicherheit insgesamt ist nur so gut wie die Sicherheit des anfälligsten Drittanbieters. Beispiel Target: Als einer der größten Einzelhändler der USA war das Unternehmen 2013 von einem mittlerweile gut dokumentierten Cyberangriff betroffen. Beim Hack der Einzelhandelskette verschafften sich die Angreifer unbefugten Zugang zum HLK-System (Heizungs-, Lüftungs- und Klimatechnik). Von dort aus gab es zu den Target-Filialen einen VPN-Zugang, der eigentlich nur der Überwachung und Wartung von Klimaanlagen diente. Auf diese Weise erhielten die Bedrohungsakteure Zugriff auf die Finanzsysteme der Kette, raubten über 40 Millionen Kreditkartendaten und verursachten einen Schaden von 420 Millionen US-Dollar.

Mit den Aktualisierungen in NIS2 ist die Einbeziehung von Drittanbietern in Ihre Sicherheitsstrategie jetzt von zentraler Bedeutung. Unternehmen müssen Lieferanten einen Mindestreifegrad für die Cybersicherheit auferlegen und sind für die Prüfung der Lieferantensicherheit verantwortlich.

Was sind die technologischen Herausforderungen beim Vendor Privileged Access Management (VPAM)?

White chain icon to symbolize the ability to copy a link
Link copied
Check mark to visually show text has been copied

Die Kontrolle des Zugriffs von Drittanbietern auf interne Systeme ist für die Sicherheit der Lieferkette ein entscheidender Faktor. Viele Remote-Access-Technologien, die aktuell von Unternehmen eingesetzt werden, sind jedoch veraltet und bieten nicht die notwendigen Kontrollmöglichkeiten für einen sicheren Fernzugriff. Der Blick in eine beliebige CVE-Datenbank zeigt, wie anfällig VPNs beispielsweise für Schwachstellen sind. Die britische Devisengesellschaft Travelex versäumte 2020 das rechtzeitige Patchen des VPNs und wurde über CVE -2019-11510 gehackt. Der Angriff kostete das Unternehmen 2,3 Millionen US-Dollar an Lösegeld, den die Hacker einforderten. Folge: Das Unternehmen musste letztendlich Insolvenz anmelden.

Die Bedeutung von Vendor Privileged Access Management (VPAM) zeigt auch der Fall Toyota im Februar 2022, als der Automobilriese seine 14 Fabriken in Japan schließen musste — ein geschätzter Schaden von 375 Millionen US-Dollar. Grund war damals eine Cyberattacke auf den Zulieferer Kojima Industries — einem kleinen, außerhalb Japans wenig bekannten Unternehmen, das Getränkehalter, USB-Buchsen und Türtaschen für den Autoinnenraum herstellt. Seine vergleichsweise kleine Rolle in der Automobillieferkette wirkte sich jedoch auf die gesamte Produktionslinie von Toyota aus. Der Vorfall zeigt deutlich, wie stark solche Infrastrukturen im digitalen Zeitalter gefährdet sind.

Wie kann die Verwaltung von Drittanbietern optimiert werden?

White chain icon to symbolize the ability to copy a link
Link copied
Check mark to visually show text has been copied

Die Verwaltung von Drittanbietern ist eine Kombination aus Richtlinien, Verfahren und Technologie. Die Bereitstellung eines der Elemente ohne die anderen ist wenig sinnvoll.

Die Verwaltung der Benutzer von Lieferanten kann herausfordernd sein: Wo legen Sie ihre Konten an? Woher wissen Sie, ob jemand, der das Unternehmen verlassen hat, seine Zugangsdaten an seinen Nachfolger weitergegeben hat, oder sogar an mehrere Personen, die nun auf Ihre Infrastruktur zugreifen? Moderne Lösungen ermöglichen es Anbietern, ihre eigenen Fernzugriffskonten zu verwalten und die notwendigen Kontrollen einzurichten.

Lösungen für den Zugriff von Administratoren und Drittanbietern sollten einen clientlosen Zugriff mit flexiblen Authentifizierungsmethoden, Genehmigungsworkflows, zeitlich begrenzten Zugriffsfenstern sowie Transparenz und Auditing bieten. Letzteres ist nicht nur aus Sicherheitsgründen wichtig, sondern auch, um sicherzustellen, dass sich die Anbieter an die vereinbarten Verträge und Prozesse halten. Darüber hinaus wäre eine Integration mit Änderungsverfahren und die Verwendung der Änderungsnummer als zusätzliche Überprüfung sinnvoll.

Rechtliche Risiken und Kosten — warum lohnt sich NIS2-Konformität?

White chain icon to symbolize the ability to copy a link
Link copied
Check mark to visually show text has been copied

Vertrauen ist gut, aber Kontrolle ist besser. Die realen Chancen, dass alles glatt läuft, werden meistens überschätzt, während andererseits die Wahrscheinlichkeit unterschätzt wird, dass es zu negativen Folgen kommen kann. Es wirkt sich fatal für Unternehmen aus, wenn die Unternehmensleitung davon ausgeht, niemals ins Visier von Bedrohungsakteuren geraten zu können.

Der Ransomware-Angriff auf Colonial Pipeline im Jahr 2021 kostete das Unternehmen insgesamt 4,4 Milliarden US-Dollar, um die Bedrohungsakteure von Darkside auszuzahlen. Außerdem gab es eine sechstägige Unterbrechung der Treibstoffversorgung, die Flughäfen und Tankstellen so stark beeinträchtigte, dass der Notstand ausgerufen wurde. Das Interessante an diesem Angriff ist, dass er die OT-Ausrüstung gar nicht direkt betraf. Die Abrechnungssysteme des Unternehmens wurden abgeschaltet, aber da das Ausmaß des Verstoßes unbekannt war, wurde die Produktion vorsorglich ebenfalls heruntergefahren.

Gutes Risikomanagement besteht darin, Risiken so weit wie möglich zu minimieren. Behördliche Strafgelder sind dabei nur ein Teil der Kosten. Die Attacke betraf zwar nur die USA, aber sie ist ein anschauliches Beispiel dafür, dass eine Sicherheitsverletzung zu finanziellen Aufwendungen für Zahlungen an Hacker führen kann. Vergleichbar teuer kann sich auch der Reputationsschaden auf betroffene Organisationen auswirken. Zusätzlich zu den Finanz- und Reputationsrisiken können Führungskräfte, die für Governance, Risk & Compliance (GRC) verantwortlich sind, aufgrund von NIS2 sanktioniert und möglicherweise aus ihren Positionen entfernt werden — in Zeiten von Fachkräftemangel ein nicht zu unterschätzendes Risiko.

Die nächsten Schritte

White chain icon to symbolize the ability to copy a link
Link copied
Check mark to visually show text has been copied

BeyondTrusts innovative Lösungen sind speziell auf die Herausforderungen beim Schutz von kritischen Infrastrukturen und OT-Umgebungen zugeschnitten und unterstützen Unternehmen bei der Absicherung digitaler Identitäten. Kontaktieren Sie uns direkt, um mehr zu erfahren, und laden Sie hier unser Whitepaper zum richtigen Umgang mit der NIS2-Richtlinie herunter.



Aktuelle Blogbeiträge
  • OT-Sicherheit: Warum intelligente Fernzugriffe oberste Priorität haben sollten
    März 19, 2026 OT-Sicherheit: Warum intelligente Fernzugriffe oberste Priorität haben sollten
    Blog
    6m
  • IT-Servicedesk-Exploits gefährden Organisationen
    Feb. 5, 2026 IT-Servicedesk-Exploits gefährden Organisationen
    Blog
    7m
  • Die Bedeutung von Identity Threat Detection & Response (ITDR)
    Jan. 23, 2026 Die Bedeutung von Identity Threat Detection & Response (ITDR)
    Blog
    8m
  • KI-Sicherheit: Wie man Identitäten von KI-Agenten steuert, bevor Angreifer sie ausnutzen
    Jan. 16, 2026 KI-Sicherheit: Wie man Identitäten von KI-Agenten steuert, bevor Angreifer sie ausnutzen
    Blog
    8m
  • BeyondTrusts Cybersicherheitsvorhersagen für 2026
    Jan. 9, 2026 BeyondTrusts Cybersicherheitsvorhersagen für 2026
    Blog
    9m
Verwandt
  • IT-Sicherheit: Die wichtigsten Trends im BeyondTrust Microsoft Vulnerabilities Report 2025
    Mai 9, 2025 IT-Sicherheit: Die wichtigsten Trends im BeyondTrust Microsoft Vulnerabilities Report 2025
    Blog
    4m
  • Neuer Microsoft Vulnerabilities Report zeigt jährliche Zunahme an Schwachstellen um 48 Prozent
    März 18, 2021 Neuer Microsoft Vulnerabilities Report zeigt jährliche Zunahme an Schwachstellen um 48 Prozent
    Blog
    1m
Blogbeitrag teilen
  • Link
Auf dem Laufenden bleiben
Erhalten Sie alle Neuigkeiten und Informationen von BeyondTrust. Sie können sich jederzeit abmelden.

Auf dem Laufenden bleiben

Kunden-Support Kontakt Sales
  • LinkedIn
  • X
  • Facebook
  • Instagram
  • Add BeyondTrust as a preferred source on Google
  • Datenschutz
  • Security
  • Cookie-Einstellungen verwalten
  • Do Not Sell My Data
  • WEEE Compliance

Copyright © 2003 — 2023 BeyondTrust Corporation. All rights reserved. Other trademarks identified on this page are owned by their respective owners. BeyondTrust Corporation is not a chartered bank or trust company, or depository institution. It is not authorized to accept deposits or trust accounts and is not licensed or regulated by any state or federal banking authority.

Prefers reduced motion setting detected. Animations will now be reduced as a result.