CommunityDEENDEENProdukteCore ServicesRoadmapRelease NotesLeistungsbeschreibungZertifikate und TestatePrivate CloudManaged ServicesVorteileSicherheit/DSGVONachhaltigkeitOpenStackMarktführerPreisePreismodelleComputing & ContainerSpeicherNetzwerkDatenbank & AnalyseSicherheitManagement & ApplikationPreisrechnerLösungenBranchenGesundheitswesenÖffentlicher SektorWissenschaft & ForschungAutomotiveMedienunternehmenEinzelhandelAnwendungsfälleKünstliche IntelligenzHigh Performance ComputingBig Data & AnalyticsInternet of ThingsDisaster RecoveryData StorageKomplettlösungenCloud-Lösungen TelekomCloud-Lösungen PartnerSwiss Open Telekom CloudReferenzkundenPartnerCIRCLE PartnerTECH PartnerPartner werdenAcademyTrainings & ZertifizierungenEssentials TrainingFundamentals TrainingPractitioner Online-TrainingArchitect TrainingZertifizierungenCommunityCommunity BlogsCommunity EventsBibliothekStudien und WhitepaperWebinareBusiness NavigatorSupportExperten-SupportKI-ChatbotShared ResponsibilityRichtlinien für Sicherheitstests (Penetrationstests)Open Telekom Cloud AppTools zur SelbsthilfeErste SchritteTutorialStatus DashboardFAQTechnische DokumentationNewsBlogMessen & EventsFachartikelPresseanfragenCommunity

0800 3304477 24 Stunden am Tag, 7 Tage die Woche

E-Mail schreiben

Jetzt starten und 250 € Startguthaben sichern
ProdukteCore ServicesPrivate CloudManaged ServicesVorteilePreisePreismodellePreisrechnerLösungenBranchenAnwendungsfälleKomplettlösungenSwiss Open Telekom CloudReferenzkundenPartnerCIRCLE PartnerTECH PartnerPartner werdenAcademyTrainings & ZertifizierungenCommunityBibliothekBusiness NavigatorSupportExperten-SupportTools zur SelbsthilfeTechnische DokumentationNewsBlogMessen & EventsFachartikelPresseanfragen
  • 0800 330447724 Stunden am Tag, 7 Tage die Woche
  • E-Mail schreiben
Jetzt starten und 250 € Startguthaben sichern

Sind Sie „kritisch“? Dann müssen Sie auf NIS2 reagieren

von Redaktion
Flagge mit Silhouette Europas, Europa-Logo und Aufschrift "NIS2"
NIS2 tritt im Oktober 2024 in Kraft und bringt eine neue Definition „kritischer“ Unternehmen.
 

In diesem Artikel lesen Sie,

  • warum sich Unternehmen jetzt mit der europäischen Sicherheitsrichtlinie NIS2 auseinandersetzen müssen,
  • wie der Cloud-Trick hilft, die NIS2-Anforderungen einfach zu erfüllen
  • und warum Sie sich mit der Open Telekom Cloud keine Gedanken um NIS2 und andere sicherheitsrelevante Richtlinien machen müssen. 


Das Inkrafttreten einer weiteren europäischen Compliance-Richtline steht vor der Tür: NIS2 für Netzwerk- und Informationssicherheit („Cyberresilienz“). NIS2 strebt ein höheres gemeinsames Cybersicherheitsniveau in der EU an – durch erweiterte Anforderungen an Unternehmen und Organisationen in kritischen Sektoren. Als „kritisch“ werden sehr viel mehr Unternehmen eingestuft als bislang (beispielsweise durch die Kritis-VO des Bundes). Unternehmen, die neu als kritisch eingestuft werden, sollten jetzt handeln.

Bessere Cyberresilienz für europäische Digitalisierung

„Zu gering ausgeprägte Cyberresilienz“ – mit dieser Aussage begründen EU-Gremien häufig die Entwicklung neuer Richtlinien, die dann von den einzelnen Mitgliedsstaaten in nationales Recht umgewandelt werden müssen. Das war zuletzt bei der EU-Verordnung DORA (Digital Operational Resilience Act) der Fall, die 2023 in Kraft trat und im Januar 2025 angewendet wird. Aber auch die aktuelle Initiative NIS2 (für Netzwerk- und Informationssicherheit) gründet auf einer „schwach ausgeprägten Cyberresilienz“ von Unternehmen. NIS2 ist eine Art „DORA für alle“, die eine Vielzahl von kritischen Industrien/Unternehmen anspricht.  

NIS2 deutet an, dass es eine Vorgeschichte gibt: Bereits 2016 verabschiedete die EU die Vorläuferrichtlinie, die dazu dienen sollte, ein höheres Niveau der Netzwerk- und Informationssystemsicherheit für Unternehmen in der gesamten EU zu schaffen. Die NIS-Richtlinie war das erste EU-weite und einheitliche Rahmenwerk für Cybersicherheit. Mit NIS2 wird die Situation nun erneut bewertet und geregelt. Das zu erwartende Resultat: strengere Anforderungen, erweiterte Sanktionsmöglichkeiten. 

Einführung und Beleg von Security Best Practices und IT-Risikomanagement

Dabei verlangt NIS2 nicht unbedingt Neues. Vielmehr werden Regularien und Anforderungen an kritische Infrastrukturen (KRITIS) ausgeweitet – sowohl auf neue Sektoren als auch auf kleinere Unternehmen. NIS2 fordert von Unternehmen, dass sie aktuelle Best Practices der IT-Sicherheit einsetzen, Konzepte für Zugriffskontrollen und das Management von Anlagen und Resilienz des Betriebs von Services haben, professionell mit Sicherheitsvorfällen umgehen, ihre Lieferketten absichern und Verschlüsselung einsetzen – kurzum ein aktives IT-Risikomanagement betreiben.

Was ist neu an NIS2?

Neben neuen Sanktionen (die sich wie bei der EU-DSGVO am Jahresumsatz orientieren können) und einer persönlichen Haftungsverpflichtung für Manager ändert sich vor allem die Bewertung, welche Sektoren als kritisch – und damit von NIS2 betroffen – eingeordnet werden. Insgesamt 18 Sektoren hat die EU nun als wichtig („important“) oder besonders wichtig („essential“) eingestuft. Neu ist die Aufnahme von Forschung, öffentlicher Verwaltung und ICT-Dienstleistern. 

Damit Unternehmen dieser Branchen unter die NIS-Ägide fallen, müssen sie mehr als 50 Mitarbeiter oder 10 Millionen Euro Jahresumsatz ausweisen. Das zumindest ist die Daumenregel. Doch eine kleinere Unternehmensgröße oder ein geringerer Umsatz ist nicht per se ein „Schutz“ vor NIS2: Sobald ein Unternehmen „kritische“ Tätigkeiten wahrnimmt, bei deren Ausfall „substanzielle“ Auswirkungen entstehen können, fällt es ebenfalls unter die Regulatorik. Hier galt bislang als Faustregel, dass etwa eine halbe Million Menschen vom Ausfall einer Leistung betroffen sind. Das könnte bei einem Top Level Domain Registrar oder einem Trust Provider ziemlich schnell der Fall sein. Unter dem Strich bedeutet das, dass NIS2 deutlich mehr Unternehmen adressiert als zuvor die Kritis-VO. Das BSI bietet auf seinen Seiten eine unverbindliche NIS2-Betroffenheitsprüfung an.

NIS2 tritt im Oktober 2024 in Kraft?

Geplant war, dass NIS2 in Deutschland am 18. Oktober 2024 in Kraft treten soll, auch wenn über das entsprechende Umsetzungsgesetz (NIS2UmsuCG) noch diskutiert wurde. Das Inkrafttreten wird sich nach aktuellen Angaben jedoch voraussichtlich auf Anfang 2025 verzögern. Das gibt Unternehmen noch länger die Möglichkeit zu eruieren, ob sie unter die entsprechende Richtlinie fallen – und wie sie die umfangreichen Anforderungen erfüllen. Denn die Einstufung als „NIS2-Unternehmen“ bringt umfassende Pflichten und Verantwortungen mit sich. Wenn ein Unternehmen neu als NIS2-relevant eingestuft wird, bedeutet das, dass es ein zusätzliches Arbeitspaket schultern muss, um seine Dienste weiterhin anbieten zu können.

Wie können Sie die Anforderungen erfüllen?

Experten empfehlen als Lösung für eine NIS2-Compliance u.a. eine Zertifizierung wie die ISO 27001. Aber eine ISO-Zertifizierung bindet umfassende Ressourcen und dauert seine Zeit – das lässt sich auch bis Anfang 2025 kaum machen. Eine Alternative könnte es sein, einen Teil der Nachweise und Verpflichtungen an einen Dienstleister auszulagern, indem IT-Services auf eine Plattform umziehen, die die Compliance-Anforderungen erfüllt. 

Der Cloud-Trick für NIS2

Hier kommen auch Clouds wie die Open Telekom Cloud ins Spiel. Die Open Telekom Cloud erfüllt die wichtigsten Sicherheitsanforderungen schon seit vielen Jahren. Wer Workloads in sie umzieht, profitiert von umfassenden Zertifizierungen sowie einem ausgefeilten Informationssicherheits- und Risikomanagement über die ISO 27001 hinaus. Dazu zählt auch die KRITIS-Zertifizierung der Open Telekom Cloud.  

Der Sprung in eine sichere, europäische Cloud wird zu einem cleveren Trick, um zügig mit geringen Aufwänden NIS2-Compliance herzustellen – oder zumindest substanzielle Beiträge für die Erfüllung der NIS2-Anforderungen zu erzielen.


Diese Inhalte könnten Sie auch interessieren
 

Hände eines Mannes auf einer Laptop Tastatur, im Vordergrund des Bildes ein digitales Schloss in einer Cloud

Goldstandard in der Cloud-Branche: Open Telekom Cloud nach BSI C5:2020 und SOC 1, SOC 2, SOC 3  testiert

Die Open Telekom Cloud erfüllt die strengen Voraussetzungen der Cloud-Testate BSI C5:2020 sowie den SOC 1-, SOC 2- und SOC 3-Anforderungskatalog nach Typ II.

 
Eine Frau und eine Mann halten gemeinsam ein Tablet auf dem eine Auswertung angezeigt wird

Sichere Cloud für Sozialleistungsträger

Sozialleistungsträger können in der Open Telekom Cloud standardmäßig Daten hosten, die unter das Sozialgeheimnis fallen.

 
Eine Frau und ein Mann zeigen mit den Fingern auf ein digitales Schloss auf einer Glaswand

Sichere Cloud für Berufsgeheimnisträger

Berufsgeheimnisträger können die Open Telekom Cloud im Sinne des § 203 Strafgesetzbuch (StGB) bedenkenlos für die Ablage und Verarbeitung von Daten nutzen.

Die Open Telekom Cloud Community

Hier treffen sich Nutzer, Entwickler und Product Owner um sich zu helfen, auszutauschen und zu diskutieren.

Jetzt entdecken  

Kostenfreie Experten-Hotline

Unsere zertifizierten Cloud-Experten stehen Ihnen mit persönlichem Service zur Seite.

 0800 3304477 (aus Deutschland)

 +800 33044770 (aus dem Ausland)

 24 Stunden am Tag, 7 Tage die Woche

E-Mail schreiben

Unser Kunden-Service steht Ihnen per E-Mail-Support kostenlos zur Verfügung.

E-Mail schreiben 

AIssistant

Unsere KI-gestützte Suche hilft bei Ihrem Cloud-Anliegen.