Update zur NIS2-Richtlinie

NIS2 – Neue Cybersecurity-Richtlinie ist Herausforderung & Chance für Domain-Inhaber

NIS steht für Network and Information Security und bezeichnet eine EU-Richtlinie zur Erhöhung der Cybersicherheit, welche aktuell mit NIS 2.0 in ihre zweite Runde geht. Am 17. Oktober 2024 läuft für alle 27 EU-Mitgliedsstaaten die Frist für eine Umsetzung ins nationale Recht aus. Doch über das “Wie?“ dieser Umsetzung gibt es noch zahlreiche Fragezeichen und Unsicherheiten. Grund genug für uns, das Thema ein wenig näher zu betrachten.

Hintergrund

Die ursprüngliche Network and Information Security Directive (NIS) wurde bereits 2016 ins Leben gerufen. Das Ziel dieser ersten umfassenden europäischen Gesetzgebung zur Cybersicherheit was es insbesondere, ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen innerhalb der EU sicherzustellen.

Doch mit der rapiden Entwicklung der digitalen Technologien und der steten Zunahme von Cyberangriffen wurde schnell die Notwendigkeit einer Überarbeitung evident. NIS 2.0 ist nun der nächste Meilenstein, welcher die Lücken der ursprünglichen Richtlinie schließen und die Resilienz gegenüber modernen Cyberbedrohungen verstärken soll.

Aktueller Stand

Die NIS2-Richtlinie ist am 16. Januar 2023 in Kraft getreten. Bis zum 17. Oktober 2024 muss diese nun von allen EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Doch schon jetzt ist absehbar, dass es in einigen Ländern zu Verzögerungen kommen wird, die eine konforme Umsetzung kompliziert machen.

Die Crux: Der fehlende Rechtsrahmen auf nationaler Ebene bedeutet insbesondere für Unternehmen unzureichende Planungssicherheit. Zwar müssen sich diese idealerweise schon jetzt auf NIS 2.0 vorbereiten, können jedoch die tatsächlichen Anforderungen nur beeinträchtigt ausloten. Sie tappen also vielmehr im Dunkeln.

Wichtige NIS2-Änderungen und ihre Auswirkungen

Die wesentlichen Neuerungen der NIS 2.0 umfassen strengere Sicherheitsanforderungen zur Risikobewertung und dem Schutz von kritischen Infrastrukturen. Dies soll die Resilienz gegenüber neuen und bestehenden Cyberbedrohungen erhöhen. Außerdem soll die Zusammenarbeit zwischen den Mitgliedstaaten verbessert werden. Durch eine strukturiertere Zusammenarbeit zwischen den nationalen Behörden, erhoffen sich die Regulationsbehörden einen stärkeren Informationsaustausch und koordinierte Reaktionen auf Sicherheitsvorfälle.

Dabei legt die NIS2-Richtlinie eine Vielzahl an Mindestanforderungen fest, welche von allen Organisationen befolgt werden müssen, die aufgrund ihrer Größe oder Ausrichtung als “wichtige oder wesentliche Einrichtungen“ kategorisiert werden.

Die erforderlichen konkreten Maßnahmen werden im Artikel 21 der Richtlinie gelistet und umfassen:

  • Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs (Backup-Management, Wiederherstellung nach Notfall, Krisenmanagement)
  • Sicherheit der Lieferkette (einschließlich unmittelbare Anbieter oder Diensteanbieter)
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
  • Cyberhygiene und Schulungen im Bereich der Cybersicherheit
  • Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie ggf. gesicherte Notfallkommunikationssysteme

Spezielle Herausforderungen für die Domain-Branche

Durch die Erweiterung der Liste von NIS2-relevanten Sektoren und Dienstleistungen, sind zusätzliche Unternehmen betroffen – darunter Anbieter von digitalen Infrastrukturen, der öffentliche Sektor und das Gesundheitswesen. Als wesentliche Einrichtung eingestuft ist auch die Domain-Branche von den spezifischen Herausforderungen von NIS 2.0 betroffen.

Vor allem Artikel 28 (Datenbank der Domänennamen-Registrierungsdaten) bringt neue Verpflichtungen zur Verifizierung von Inhaberdaten mit sich, die direkte Auswirkungen auf Domain-Registries und Registrare und haben. Diese werden verpflichtet, eine genaue und vollständige Datenbank aller ihrer Domainnamen-Registrierungsdaten (WHOIS-Daten) zu verarbeiten, um die Transparenz und Nachverfolgbarkeit der Domain-Inhaberschaft erhöhen. Dabei muss jedoch gleichzeitig den EU-Datenschutzrichtlinien für personenbezogene Daten entsprochen werden. Da bisher der nationale Rechtsrahmen in den einzelnen EU-Ländern nicht steht, liegt hier eine nahezu unlösbare Herausforderung.

Unklarheit herrscht aktuell ebenso rund um die Verifizierung von Domain-Inhaberdaten. Bisher ist nicht klar, welche Inhaberdaten über welche Verfahren validiert werden müssen. Fest steht jedoch, dass für Domain-Registraren und Hosting-Providern ein nicht unerheblicher Aufwand für die Anpassung ihrer Systeme und Prozesse bevorsteht.

Empfehlungen für Domain-Inhaber

Die Dringlichkeit, sich mit der neuen Richtlinie auseinanderzusetzen, wird wahrscheinlich deutlich, wenn man betrachtet, welche Konsequenzen mit einem Ignorieren und Nichtstun einhergehen. NIS2-Verstöße werden je nach Sektor mit Geldstrafen von bis zu 10 Mio. Euro bzw. 2 Prozent des weltweiten Umsatzes einer Organisation geahndet.

Daher empfehlen wir allen, die Domains besitzen oder für ihre Organisation verwalten:

  1. Prüfe, ob Deine Organisation als wesentliche oder wichtige Einrichtung in den Anwendungsbereich von NIS-2 fällt.
  2. Bereite Dich frühzeitig und bestmöglich auf die neuen Regulierungen vor, indem Du alle bisherigen NIS-Prozesse dokumentierst und aktualisierst. Prüfe insbesondere die Infrastruktur Deiner Informationssicherheit sowie Deine Risikomanagement-Prozesse.
  3. Folge den Kommunikationskanälen von Regulierungsbehörden, Registries und Registraren, oder engagiere Dich aktiv im Dialog mit diesen, um zeitnah über Neuerung informiert zu bleiben und Compliance zu gewährleisten. Hier publiziert das Bundesamt für Sicherheit in der Informationstechnik aktuelle Informationen zum Stand von NIS-2.
  4. Investiere in Fortbildung und Beratung für Deine Organisation, um als Team alle technischen und regulatorischen Anforderungen effektiv erfüllen zu können.

NIS 2 als Chance

Zweifelsohne stellt NIS 2.0 eine Herausforderung für viele Unternehmen und Sektoren einschließlich der Domain-Branche dar. Andererseits bringt die neue EU-Richtlinie eine hervorragende Gelegenheit, die eigenen Sicherheitsmaßnahmen zu stärken. Insbesondere Unternehmen, die sich proaktiv mit den Änderungen auseinandersetzen und ihre Strategien anpassen, erleichtern nicht nur den Anpassungsprozess an die neuen Bedingungen. Auch verbessern sie ihre Cyber-Resilienz und stärken das Vertrauen von Nutzern.

Wir bleiben für Dich am Ball und halten Dich an dieser Stelle weiter auf dem Laufenden rund um alle Neuerungen zur Network and Information Security Richtlinie. Bei konkreten Fragen steht Dir selbstverständlich jederzeit unser Service-Team zur Verfügung.

Suche

Jetzt registrieren und regelmäßig Neuigkeiten, Tipps & Know-how sichern!

Anmeldung Newsletter

Du erhältst:
• News zu Domains & Hosting
• Tipps rund um Deine Website
• attraktive Rabatt-Aktionen
• und vieles mehr

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hier ist Dein Gutscheincode:

DE-LIFETIME