Im Oktober 2024 ist die europäische NIS2-Richtlinie in Kraft getreten, um kritische Infrastrukturen besser vor Cyberangriffen zu schützen.
Mit einem erweiterten Anwendungsbereich und strengeren Anforderungen als die NIS-Richtlinie von 2016 verlangt sie eine konsequente Einhaltung zum Schutz kritischer Informationssysteme, einschließlich mobiler Geräte und Dienste, die über Anwendungen bereitgestellt werden.
Das Ziel? Die Kontinuität essenzieller Dienste zu sichern und Unternehmen für digitale Risiken zur Rechenschaft zu ziehen.
Welche Organisationen sind von der NIS2-Richtlinie betroffen?
Thierry Breton, Kommissar für den Binnenmarkt, erklärt: „Cyber-Bedrohungen sind aggressiver und komplexer geworden. Es war notwendig, unseren Sicherheitsrahmen an die aktuelle Situation anzupassen und sicherzustellen, dass unsere Bürger und Infrastrukturen geschützt sind. [...] Mit der Einigung auf NIS2 aktualisieren wir die Richtlinien, um mehr kritische Dienste für die Gesellschaft und die Wirtschaft abzusichern.“
Die NIS2-Richtlinie betrifft eine breite Palette von Einrichtungen, die als essenziell oder wichtig angesehen werden, darunter die folgenden besonders kritischen Sektoren:
- Öffentliche Verwaltung
- Trinkwasser
- Abwasser
- Energie
- Raumfahrt
- IT-Dienstleistungen (B2B)
- Finanzmarktinfrastrukturen
- Digitale Infrastrukturen
- Gesundheitswesen
- Banken
- Verkehr
Zusätzlich deckt sie andere wichtige Sektoren ab:
- Chemische Produktion und Distribution
- Anbieter digitaler Dienstleistungen
- Abfallwirtschaft
- Fertigungsindustrie
- Lebensmittelproduktion, -verarbeitung und -vertrieb
- Forschung
- Post- und Kurierdienste
Die NIS2-Richtlinie gilt für alle Unternehmen in diesen Sektoren, die innerhalb der EU tätig sind oder Dienstleistungen für EU-Bürger anbieten, unabhängig davon, ob sie in der EU ansässig sind oder nicht.
Mobile Dienste erstmals im Fokus
Eine entscheidende Neuerung dieser aktualisierten Richtlinie ist die explizite Einbeziehung mobiler Dienste im Kontext von Online-Diensten. In der Präambel von NIS2 heißt es: „Cloud-Computing-Dienste sollten digitale Dienste umfassen, die ein On-Demand-Management und einen breiten Fernzugriff ermöglichen [...], einschließlich solcher, die auf Mobiltelefonen, Tablets, Laptops und Desktops bereitgestellt werden.“
Dies spiegelt die heutige Realität wider, in der mobile Geräte sowohl im beruflichen als auch im privaten Bereich eine zentrale Rolle spielen. Mit der Einbeziehung dieser Geräte verpflichtet das Europäische Parlament die Organisationen dazu, mobile Endgeräte als wesentlichen Bestandteil ihrer Cybersicherheitsstrategie zu behandeln.
Artikel 21: Ein „All-Risk“-Ansatz
Artikel 21 der NIS2-Richtlinie beschreibt Maßnahmen zum Management von Cybersicherheitsrisiken. Ein zentraler Aspekt ist das Management von Risiken, die mit Partnern und Subunternehmern verbunden sind. Die Organisationen müssen die Schwachstellen von Lieferanten, die Produktqualität, die Cybersicherheitspraktiken und die sicheren Entwicklungsverfahren bewerten.
Zur Einhaltung der Vorschriften müssen Unternehmen einen proaktiven, umfassenden Ansatz verfolgen. Dazu gehören regelmäßige Risikoanalysen, das Erkennen von Schwachstellen und präventive Maßnahmen wie Sicherheitsüberprüfungen, Penetrationstests und Mitarbeiterschulungen. Im Falle eines Sicherheitsvorfalls müssen Unternehmen den Angriff innerhalb von 24 Stunden den zuständigen Behörden melden und innerhalb von 72 Stunden einen vollständigen Bericht vorlegen.
Wie Pradeo die Einhaltung der NIS2-Richtlinie sicherstellt
Um die Anforderungen von NIS2 zu erfüllen, bietet Pradeo Lösungen zur Absicherung mobiler Geräte und Anwendungen, die in sensiblen Sektoren bevorzugte Angriffsziele sind:
Anwendungssicherheit
Die Sicherheits-Suite von Pradeo schützt den gesamten Lebenszyklus von Anwendungen. Sie umfasst eine Lösung zur Quellcodeanalyse (SAST), die den Code von Web- und mobilen Anwendungen prüft und Schwachstellen behebt. Zusätzlich stärkt das Shielding den Schutz mobiler Anwendungen gegen Manipulationen, und Runtime Application Self-Protection (RASP) bietet Echtzeitschutz gegen Eindringlinge.
Darüber hinaus ermöglicht unsere bewährte Compliance-Audit-Lösung die Überprüfung der Sicherheit von extern entwickelten mobilen Anwendungen oder solcher, die auf externe Bibliotheken zurückgreifen, um deren Sicherheit vor der Markteinführung zu validieren.
Schutz von Smartphones und Tablets
Pradeos Mobile Threat Defense (MTD)-Lösung identifiziert, analysiert und blockiert mobile Cyberbedrohungen in Echtzeit und gewährleistet so einen proaktiven Schutz der Geräte. Sie sichert sensible Daten und berufliche Kommunikation, auch in hochriskanten Szenarien.
Die NIS2-Richtlinie markiert einen wesentlichen Wandel für europäische Unternehmen im Bereich der Cybersicherheit. Sie bietet einen Rahmen zur Stärkung der digitalen Verteidigung und fordert Unternehmen dazu auf, ihre Risikomanagementpraktiken neu zu überdenken.
"Cybersicherheit war schon immer entscheidend, um unsere Wirtschaft und Gesellschaft vor Cyberbedrohungen zu schützen, aber sie wird zunehmend wichtiger, je weiter wir in den digitalen Wandel voranschreiten. [...] Mit der Vereinbarung über diese weiter verstärkten Regeln erfüllen wir unser Engagement, die Cybersicherheitsstandards in der EU zu verbessern. Heute zeigt die EU ihre klare Entschlossenheit, sich auf die Bereitschaft und Widerstandsfähigkeit gegen Cyberbedrohungen zu konzentrieren."— Margaritis Schinas, Vizepräsident zur Förderung der europäischen Lebensweise
Möchten Sie mehr darüber erfahren, wie Pradeo Sie unterstützen kann? Kontaktieren Sie uns für eine individuelle Beratung.
