In der heutigen digitalen Welt ist die Sicherheit der Datenübermittlung von entscheidender Bedeutung. Mit der Einführung der NIS2-Richtlinie (Network and Information Security Directive) hat die Europäische Union einen wichtigen Schritt unternommen, um die Cybersicherheit in den Mitgliedstaaten zu stärken. Die NIS2-Richtlinie beinhaltet für Unternehmen auch konkrete Vorgaben zur Absicherung der Kommunikation inkl. der Datenübermittlung.
Inkrafttreten und Relevanz der NIS2-Richtlinie
Die NIS2-Richtlinie wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht und trat am 16. Januar 2023 in Kraft. Die Mitgliedstaaten waren verpflichtet, die Richtlinie bis zum 18. Oktober 2024 in nationales Recht umzusetzen.
Die nationale Umsetzung in das deutsche Recht erfolgt über das NIS2UmsuCG. Das NIS2UmsuCG wiederum verändert als Artikelgesetz das BSI-Gesetz (BSIG). Die Umsetzung der NIS2-Richtlinie in das nationale Recht lässt aktuell noch auf sich warten, wird aber für Anfang 2025 erwartet.
Die NIS2-Richtlinie ist für eine breite Palette von Unternehmen und Organisationen relevant. Dazu gehören unter anderem Unternehmen aus den Sektoren:
- Energieversorgung: Strom-, Gas- und Ölversorger
- Transportwesen: Betreiber von Flughäfen, Häfen und Eisenbahnen
- Banken und Finanzdienstleister: Banken, Börsen und Zahlungsdienstleister
- Gesundheitswesen: Krankenhäuser und andere medizinische Einrichtungen
- Digitale Infrastruktur: Anbieter von Cloud-Diensten, Rechenzentren und Internet-Exchange-Points
Anforderungen nach § 30 Abs. 2 BSIG (neu)
§ 30 Abs. 2 des kommenden BSI-Gesetzes legt fest, dass NIS2-relevante Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen müssen, um die Sicherheit der Netz- und Informationssysteme zu gewährleisten. Die Maßnahmen müssen zumindest Folgendes umfassen:
- Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik,
- Bewältigung von Sicherheitsvorfällen,
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik,
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen,
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Die Bedeutung sicherer Datenübermittlung
Die sichere Datenübermittlung ist ein zentraler Aspekt der Cybersicherheit. Sie gewährleistet, dass sensible Informationen während der Übertragung vor unbefugtem Zugriff und Manipulation geschützt sind. Dies ist besonders wichtig in Branchen, die kritische Informationen übermitteln müssen. Dies gilt auch unabhängig von den NIS2-Vorgaben. Zu diesen Branchen gehören z.B. Gesundheits- und Sozialeinrichtungen, Versicherungen, Finanzdienstleister, Beratungsunternehmen, Rechtsanwälte oder Steuerberater.
Ein erfolgreicher Angriff auf die Datenübermittlung kann schwerwiegende Folgen haben, darunter Datenverlust, finanzielle Schäden und Reputationsverlust. Die kommenden Anforderungen nach § 30 Abs. 2 BSIG berücksichtigen diese möglichen folgen und verpflichten Unternehmen zur Absicherung ihrer Kommunikation. Dies gilt sowohl für die Kommunikation mit Lieferanten oder Partnern (Punk 4) wie auch für alle anderen Kommunikationen z.B. mit Mitarbeitenden (Punkt 10).
Fazit
Die NIS2-Richtlinie stellt einen wichtigen Schritt zur Verbesserung der Cybersicherheit in der Europäischen Union dar. Die Anforderungen aus § 30 Abs. 2 betonen die Notwendigkeit sicherer Datenübermittlung und fordern Unternehmen auf, geeignete Maßnahmen zu ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Durch die Umsetzung dieser Maßnahmen können Unternehmen nicht nur ihre eigene Sicherheit verbessern, sondern auch zum Schutz der gesamten digitalen Infrastruktur beitragen.
vaulticx wurde als sichere Datenaustauschplattform entwickelt und erfüllt damit alle Anforderungen aus der NIS2-Richtlinie. Gleichzeitig ermöglichen Sie eine einfache und nachvollziehbare Kommunikation mit Kunden, Lieferanten und Mitarbeitenden. Testen Sie vaulticx 14-Tage ohne Kosten und Verpflichtungen.