Jul 21, 2023 •
NIS-2 Richtlinie: Das kommt auf Banken und Versicherungen zu
NIS-2 ist eine EU-Richtlinie, die auf dem ersten Network and Information Security Directive (NIS-1) aufbaut und die bis spätestens 17. Oktober 2024 in nationales Recht umgesetzt werden muss. Mit der Einführung von NIS-2 durch die EU wurden die Sicherheitsanforderungen für Betreiber kritischer Infrastrukturen (wie Banken und Versicherungen) und digitale Diensteanbieter erheblich verschärft. Diese neuen Vorschriften haben nicht nur direkte Auswirkungen auf die betroffenen Unternehmen selbst, sondern auch auf die von ihnen beauftragten Lieferanten und Dienstleister. NIS-2 zielt darauf ab, die EU und ihre Mitgliedstaaten widerstandsfähiger gegen Cyberangriffe und digitale Bedrohungen zu machen und so das Vertrauen in digitale Dienste und den Online-Bereich insgesamt zu stärken. In diesem Blogartikel werden wir uns genauer mit den Konsequenzen von NIS-2 für Gini als Partner für Banken und Versicherungen auseinandersetzen.
Was bedeutet die Einführung von NIS-2 für Banken und Versicherungen?
Die NIS-2 gilt für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste, worunter zweifelsohne auch Banken und Versicherungen fallen (siehe Anhang I, NIS-2). Die Richtlinie legt dabei Anforderungen fest, die grundsätzlich die Sicherheit der Netzwerk- und Informationssysteme betreffen. Es sind Maßnahmen zur Vorbeugung von Sicherheitsvorfällen, der Umsetzung von Sicherheitsrichtlinien, dem Betreiben eines wirksamen Risikomanagements (Identifizieren von Risiken, die Bewertung dieser nach ihren Auswirkungen, das Implementieren und Überwachen von Risiko-mindernden Maßnahmen) und der Einführung von regelmäßigen Sicherheitskontrollen inkludiert. Wesentlich für NIS-2 ist auch die Pflicht zur Meldung von erheblichen Sicherheitsverletzungen innerhalb von 24 Stunden und damit einhergehend die Verpflichtung zur Zusammenarbeit mit den nationalen Behörden zur Bewältigung von bedeutenden Sicherheitsvorfällen. Im Detail geht es neben der Meldepflicht und das Zurverfügungstellen von Informationen sowie die Unterstützung bei der Aufklärung.
Die nationalen Behörden wiederum sind dafür verantwortlich, dass die NIS-2-Vorgaben von den betroffenen Organisationen eingehalten werden. Sie haben somit eine Überwachungs- und Sanktionspflicht bei Verstößen.
Von NIS-2 betroffene Unternehmen sind gut beraten, sich frühzeitig mit den Anforderungen auseinanderzusetzen und ein auditierbares Managementsystem zu implementieren.
Was bedeutet die Einführung von NIS-2 für Gini?
1. Erweiterte Sicherheitsanforderungen
Mit NIS-2 werden die Sicherheitsanforderungen für betroffene Unternehmen erheblich erhöht. Dies bedeutet, dass auch ihre Lieferanten und Dienstleister, wie zum Beispiel Gini, nun verstärkt in die Pflicht genommen werden, um sicherzustellen, dass ihre Produkte und Dienstleistungen den neusten Standards zur Sicherheit der Datenverarbeitung entsprechen. Zulieferer müssen zum Beispiel ihre eigenen Sicherheitsmaßnahmen beim Netzwerk und der Server-Infrastruktur überprüfen und dauerhaft sicherstellen, dass sie angemessene technische und organisatorische Maßnahmen implementiert sind, um die Sicherheit der bereitgestellten Produkte und Dienstleistungen nachhaltig zu gewährleisten.
2. Vertragsbedingungen und Anpassungen
Mit NIS-2 werden betroffene Unternehmen ihre Verträge mit Lieferanten und Dienstleistern überarbeiten müssen, um den neuen Sicherheitsanforderungen gerecht zu werden. Lieferanten und Dienstleister müssen zusätzliche Klauseln in ihre Verträge aufnehmen, die sie dazu verpflichten, bestimmte Sicherheitsstandards einzuhalten und regelmäßige Sicherheitsaudits durchzuführen. Dies kann dazu führen, dass Lieferanten und Dienstleister ihre Geschäftspraktiken und internen Prozesse anpassen müssen, um den Anforderungen gerecht zu werden.
3. Prüfung der Lieferkette
Im Rahmen von NIS-2 werden betroffene Unternehmen verpflichtet, die Sicherheit ihrer gesamten Lieferkette zu bewerten und zu überwachen. Das bedeutet, dass sie nicht nur ihre eigene Netzwerksicherheit verbessern müssen, sondern auch sicherstellen müssen, dass ihre Lieferanten und Dienstleister angemessene Sicherheitsmaßnahmen implementiert haben und diese regelmäßig hinsichtlich ihrer Wirksamkeit überprüfen. Das führt dazu, dass Unternehmen ihre Lieferanten und Dienstleister genauer überprüfen und von ihnen verlangen müssen, ihre Sicherheitsmaßnahmen offenzulegen oder entsprechende Zertifizierungen nachzuweisen.
4. Risikominderung und Zusammenarbeit
Lieferanten und Dienstleister sollten sich bewusst sein, dass die von NIS-2 betroffenen Kunden verlangen können, Risikominderungspläne zu entwickeln und vorzulegen. Dies könnte beispielsweise Maßnahmen zur Stärkung der Netzwerksicherheit und der Aufrechterhaltung des Geschäftsbetriebs, regelmäßige Sicherheitsüberprüfungen oder Schulungen für Mitarbeiter umfassen. Eine enge Zusammenarbeit zwischen betroffenen Unternehmen und ihren Lieferanten und Zulieferern ist entscheidend, um die Sicherheit entlang der gesamten Lieferkette zu gewährleisten.
5. Mitwirkungen bei Meldepflichten
Unternehmen und Organisationen, die von NIS-2 betroffen sind, werden verpflichtet, bedeutende Sicherheitsvorfälle und Störungen bei ihren Diensten an die zuständige nationale Behörde zu melden. Die Meldepflichten sind an streng festgelegte Zeiträume, die auch an den Wochenenden oder Feiertagen einzuhalten sind, gebunden. So muss bei bedeutenden Sicherheitsvorfällen eine Frühwarnung innerhalb von 24 Stunden und eine ausführliche Meldung innerhalb von 72 Stunden nach Bekanntwerden erfolgen. Ein abschließender Bericht über einen Sicherheitsvorfall ist innerhalb von einem Monat vorzulegen. Sind Unternehmen hier von Diensten, beziehungsweise der Unterstützung ihrer Lieferanten und Dienstleistern abhängig, sollten sie Ihre Lieferanten und Dienstleister vertraglich auf die Maßnahmen zur Sicherstellung der Meldepflichten verpflichten.
Dieses Fazit ziehen wir aus der neuen NIS-2 Richtlinie
NIS-2 hat nicht nur direkte Auswirkungen auf unsere Partner aus dem Banken- und Versicherungsumfeld, sondern auch auf uns als Gini. Wir müssen sicherstellen, dass wir den erhöhten Sicherheitsstandards gerecht werden, um die Sicherheit entlang des gesamten Netzwerks und der Liefer- und Dienstleistungskette zu gewährleisten. Glücklicherweise sichert Gini bereits von Beginn an seinen Kunden und Partner zu, ein sehr hohes Maß an Sicherheit für Systeme und Daten zu gewährleisten. Mit der Zertifizierung nach ISO 27001 und insbesondere durch die Anpassung der Prozesse und Dokumentationen an die neue Version der ISO 27001:2022, die die Cybersicherheit noch mehr in den Vordergrund stellt, sieht sich Gini bereits jetzt in der Lage, die strengen Sicherheitsvorgaben der NIS-2 zu erfüllen. Durch ständige Weiterentwicklung und Verbesserungen der internen Prozesse und Sicherheitseinrichtungen ist Gini weiterhin und in Zukunft ein verlässlicher Partner, wenn es um Cybersicherheit geht.
Wir bei Gini möchten mit unseren Beiträgen, Artikeln, Leitfäden, Whitepaper und Pressemitteilungen alle Menschen erreichen. Deshalb betonen wir, dass sowohl weibliche, männliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich angesprochen werden. Sämtliche Personenbezeichnungen beziehen sich auf alle Geschlechter, auch dann, wenn in Inhalten das generische Maskulinum genutzt wird.
