Die EU-Sicherheitsrichtlinie NIS-2 erhöht die Anforderungen an Monitoring & Reporting, sagt Sven Bagemihl, Regional Director CEMEA bei Logpoint.

The EU Security Directive NIS-2 increases the requirements for monitoring and reporting, says Sven Bagemihl, Regional Director CEMEA at Logpoint.

Das Jahr 2023 neigt sich dem Ende zu, doch viele deutsche Unternehmen haben noch keine Antwort auf die Anforderungen der EU-Sicherheitsrichtlinie NIS-2 (Network and Information Security 2 Directive EU 2022/2555).

Und dies, obwohl die Zeit drängt, so liegt seit Juli 2023 zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ein zweiter Referentenentwurf vor.

Ziel ist es, „ein kohärentes System zur Stärkung der Widerstandsfähigkeit kritischer Anlagen und anderer Einrichtungen in Bezug auf physische Maßnahmen und Cyber-Schutzmaßnahmen zu schaffen, das die entsprechenden europarechtlichen Vorgaben umsetzt“. Die Umsetzung soll bis Oktober 2024 erfolgen, neben vielen anderen Gesetzen, die durch die NIS 2 verschärft werden.

Doch was ändert sich nun konkret für Unternehmen? Zunächst einmal müssen alle Unternehmen prüfen, ob sie zum erweiterten Kreis der Betreiber kritischer Infrastrukturen gehören. Mit der Umsetzung der NIS-2 wird der Anwendungsbereich darüber hinaus auf alle Unternehmen mit mehr als 100 Mitarbeitern oder mehr als 10 Mio. Euro Umsatz und damit auf weitere Branchen ausgedehnt. Schätzungen gehen von 20.000 bis 40.000 Unternehmen allein in Deutschland aus. Bislang galten lediglich 5.000 deutsche Unternehmen als Betreiber Kritischer Infrastrukturen. Mit der NIS-2 wird auch eine Meldepflicht für geschäftsrelevante Vorfälle eingeführt. Bei Verstößen gegen die NIS-2-Vorgaben drohen nun Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes eines Unternehmens.

Eine wichtige Anforderung, die viele betroffene Unternehmen nun nachweislich erfüllen müssen, ist das Monitoring und Reporting von sogenannten Cyber Incidents, also Vorfällen aus dem Bereich der Cybersicherheit. Im Falle eines Cyberangriffs ist eine schnelle Reaktion inklusive Störungsmeldung vorgeschrieben.

Eine erste Meldung ist in Deutschland dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von 24 Stunden nach Entdeckung eines geschäftsrelevanten Vorfalls zu übermitteln, eine detaillierte Meldung muss binnen 72 Stunden erfolgen. Hierfür ist dringend die Einführung und vor allem auch Umsetzung eines Information Security Management Systems (ISMS) nach ISO 27001:22 angeraten. Kernbaustein eines ISMS für das Monitoring & Reporting sollte eine technische Lösung sein. Hier wird eine SIEM-Lösung (Security Information and

Event Management) empfohlen. Sie sammelt über die gesamte IT-Infrastruktur hinweg Meldungen der Überwachungswerkzeuge und -sensoren, bündelt diese zu Alarmen, so dass Security Analysten sich diese ansehen und bewerten können. Mit einer solchen technischen Lösung im Rahmen eines organisatorischen Systems sind Unternehmen in der Lage, automatisiert die Anforderungen für NIS-2 im Hinblick auf Monitoring & Reporting zu erfüllen.

Mehr Details über die Anforderungen und vor allem Lösungsansätze zur Umsetzung der NIS-2 lernen Sie hier: https://www.logpoint.com/wp-content/uploads/2023/10/logpoint-nis2-wp-de.pdf

The year 2023 is drawing to a close, but many German companies still have no answer to the requirements of the EU Security Directive NIS-2 (Network and Information Security 2 Directive EU 2022/2555).

And although time is pressing, a second draft of the NIS-2 Implementation and Cybersecurity Strengthening Act (NIS2UmsuCG) has been available since July 2023.

The aim is to „create a coherent system for strengthening the resilience of critical installations and other facilities with regard to physical measures and cyber protection measures, implementing the relevant European legal requirements“. Implementation is scheduled to take place by October 2024, along with many other laws that will be tightened by NIS 2.

But what exactly will change for businesses? First of all, all companies will have to check whether they belong to the extended group of critical infrastructure operators. With the implementation of NIS 2, the scope will also be extended to all companies with more than 100 employees or a turnover of more than 10 million euros and thus to other sectors. It is estimated that there are between 20,000 and 40,000 companies in Germany alone. Previously, only 5,000 German companies were considered critical infrastructure operators. NIS-2 also introduces a reporting requirement for business-related incidents. Violations of NIS-2 requirements can now result in fines of up to ten million euros or two percent of a company’s annual turnover.

An important requirement that many affected companies must now demonstrably meet is the monitoring and reporting of so-called cyber incidents, i.e. incidents in the area of cyber security. In the event of a cyber attack, a rapid response including incident reporting is mandatory.

In Germany, an initial report must be submitted to the Federal Office for Information Security (BSI) within 24 hours of the discovery of a business-related incident; a detailed report must be submitted within 72 hours. The introduction and implementation of an Information Security Management System (ISMS) according to ISO 27001:22 is strongly recommended. The core component of an ISMS for monitoring and reporting should be a technical solution. A SIEM (Security Information and Event

Event Management) is recommended. It collects messages from monitoring tools and sensors throughout the IT infrastructure and aggregates them into alerts that can be viewed and evaluated by security analysts. With such a technical solution as part of an organizational system, companies can automatically meet the monitoring and reporting requirements of NIS-2.

For more details on the requirements and, more importantly, solutions for implementing NIS-2, visit https://www.logpoint.com/wp-content/uploads/2023/10/logpoint-nis2-wp-de.pdf.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Cookie Consent mit Real Cookie Banner