Um der wachsenden Vielfalt von Cybergefahren in den letzten Jahren zu begegnen, hat die Europäische Union eine Reihe von gesetzlichen Maßnahmen ergriffen. In diesem Zusammenhang wurde die NIS-Richtlinie aus dem Jahr 2016 erheblich überarbeitet und verschärft. Die neue NIS 2-Richtlinie, die seit Januar 2023 in Kraft ist, hat erhebliche Auswirkungen und betrifft nun die Mehrheit der mittleren und großen Unternehmen in Deutschland und der EU. Laut Berechnungen allein ca. 29.000 Unternehmen in Deutschland. Erfahren Sie in diesem Beitrag, ob Sie zu den betroffenen Unternehmen gehören und was Sie jetzt beachten müssen.
Was sind die NIS-Richtlinien?
NIS steht für Netzwerk- und Informationssicherheit. Es handelt sich um 2 EU-Richtlinien, von denen die erste Version im August 2016 und die 2. Variante im Januar 2023 in Kraft getreten ist. Die NIS-2-Richtlinie ersetzt somit die erste NIS-Richtlinie
Die beiden Verordnungen konzentrieren sich auf die Gewährleistung der Sicherheit und Stabilität von digitalen Netzwerken und Datensystemen, die von Organisationen und Unternehmen innerhalb der Europäischen Union genutzt werden.
Für die Umsetzung der EU-Anweisungen in nationales Recht sind die einzelnen Mitgliedsstaaten verantwortlich. Deutschland hat das Umsetzungsgesetz für die erste NIS-Richtlinie im Juni 2017 in Kraft gesetzt. Bis zum 17. Oktober 2024 muss die NIS 2-Richtlinie in nationales Recht umgesetzt werden. Während die NIS-2-Richtlinie Mindestanforderungen festlegt, haben die Mitgliedsstaaten die Flexibilität, ihre nationalen Gesetze zu erweitern.
Laut Berechnungen sind von den NIS-2-Richtlinen allein in Deutschland ca. 29.000 Unternehmen betroffen.
Die vorläufige NIS-Richtlinie ist die erste Gesetzgebung der Europäischen Union im Bereich der Cybersicherheit. Ihr Ziel war es, die Fähigkeiten der EU im Bereich der Cybersicherheit und der Widerstandsfähigkeit gegen Cyberangriffe zu verbessern, Bedrohungen für vernetzte Informationssysteme abzuschwächen und die Zusammenarbeit in der Welt der Cybersicherheit zu fördern. Die Richtlinie enthält die notwendigen Sicherheitsstandards und Maßnahmen für Organisationen und Unternehmen, die in bestimmten kritischen Sektoren tätig sind (z.B. KRITIS). Ihre Aufgabe ist es, ein robustes Sicherheitsniveau für Netzwerk- und Informationssysteme in der gesamten Europäischen Union zu gewährleisten.
Grundprinzipien der NIS-Richtline
- Nationale Sicherheitstechniken für Netzwerk- und Informationssysteme
- Einrichtung von Nationale Computer Security Incident Response Teams (CSIRTs) für den Umgang mit Vorfällen und Gefahren
- Einrichtung einer nationale, kompetente Behörde für Cybersicherheit,
- Einrichtung einer landesweiten zentrale Anlaufstelle für interne Behörden, die qualifizierten Behörden anderer Mitgliedstaaten und die Europäische Agentur für Netz- und Informationssicherheit (ENISA)
- Einrichtung einer globale NIS-Kooperationsgruppe zur Förderung der Zusammenarbeit
- Cybersicherheitsmaßnahmen in 7 Sektoren, die lebenswichtige Dienstleistungen anbieten und von digitalen Diensten abhängen
Die Richtlinie und ihre nationalen Umsetzungsgesetze haben die Cyberfestigkeit in Europa tatsächlich gestärkt und zu einer Neubewertung der Cybersicherheit geführt. Dennoch haben die privaten Mitgliedsstaaten die Richtlinie sehr unterschiedlich umgesetzt, was den grenzüberschreitenden Handel und den Binnenmarkt erschwert.
Warum war NIS-2 überhaupt notwendig?
Insbesondere die Corona-Pandemie und die Abhängigkeit von Technologie beim mobilen Arbeiten hat gezeigt, dass die Cyber-Resilienz der Unternehmen in der EU unzureichend ist.
Die Coronavirus-Pandemie führte zu einem rasanten Anstieg der Nutzung digitaler Dienste und Technologien und zu einer immer größeren Abhängigkeit von ihnen. Arbeitnehmer wurden ohne Vorbereitung und mit unzureichenden Sicherheitskonzepten von zu Hause aus zur Arbeit geschickt und mussten sich oft mit ihren persönlichen Geräten in die Netzwerke ihrer Unternehmen einwählen. Dies hat die Gefahrenlandschaft in Bezug auf die Cybersicherheit ebenfalls vergrößert.
Im Rahmen einer Überprüfung der NIS-Richtlinie hat die EU-Kommission verschiedene Nachteile und Probleme festgestellt:
- Die Cyber-Resilienz der Unternehmen in der EU ist unzureichend
- Die Widerstandsfähigkeit ist von Mitgliedstaat zu Mitgliedstaat und von Sektor zu Sektor unterschiedlich
- Die Mitgliedstaaten haben unterschiedliche Auffassungen von den wesentlichen Gefahren und Hindernissen
- Es fehlt ein einheitliches Krisenmanagement
Das Ziel der Änderung der NIS-Richtlinie ist es, die wesentlichen Unterschiede zwischen den Mitgliedstaaten zu berücksichtigen. Dazu gehört die Ausweitung des Anwendungsbereichs und die Einbeziehung von mehr Unternehmen und Sektoren. Darüber hinaus wird die Zusammenarbeit zwischen den Mitgliedstaaten im Bereich der Cybersicherheit verstärkt und es werden standardisierte Verfahren eingeführt.
Die Mitgliedsstaaten müssen die Anweisung bis zum 17. Oktober 2024 in ihre nationale Gesetzgebung aufnehmen. In Deutschland gibt es derzeit keine erlassenen Gesetze, sondern nur Vorschläge für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).
Die Anweisung der europäischen Cybersicherheitsmethode legt strengere Sicherheitsanforderungen für Netzwerke und Detailsysteme kritischer Einrichtungen fest. Diese aktualisierte Verordnung erweitert den Umfang der betroffenen Sektoren und Unternehmen und umfasst nun 18 Sektoren, die als notwendig oder kritisch eingestuft werden.
Die betroffenen Unternehmen müssen Methoden für die Cybersicherheit entwickeln, die im nachfolgenden Gesetz festgelegten Verfahren für das Gefahrenmanagement einführen und sich an die Meldepflichten halten, andernfalls drohen ihnen Bewertungen, Gebühren und Sanktionen.
Die ursprüngliche NIS-Richtlinie sieht vor, dass die Behörden und CSIRTs bestimmte Befugnisse und Pflichten erhalten, um die Zusammenarbeit zwischen ihnen zu verbessern und zu fördern. Außerdem muss jeder Mitgliedstaat eine nationale Cybersicherheitsmethode einführen.
Auf wen wirkt sich die NIS-2-Richtlinie aus?
Auf Basis der festgelegten Kriterien sollten Unternmehmen prüfen, ob die NIS-2-Richlilien für sie gelten.
Zu den wesentlichen Einrichtungen gehören sowohl private als auch öffentliche Unternehmen, die in Anhang I aufgeführt sind. Sie müssen mindestens 250 Personen beschäftigen, einen Jahresumsatz von mindestens 50 Millionen Euro haben und Dienstleistungen innerhalb der Europäischen Union erbringen. Zu den wichtigen Einrichtungen gehören öffentliche und persönliche Organisationen, die entweder in Anhang I oder Anhang II aufgeführt sind, zwischen 50 und 249 Mitarbeiter beschäftigen, einen Jahresumsatz zwischen 10 und 50 Millionen Euro erzielen und ihre Dienstleistungen in der EU erbringen.
Zu den wichtigen Einrichtungen gehören auch die in Anhang II aufgeführten Großunternehmen, die mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von mindestens 50 Millionen Euro erwirtschaften.
Dazu gehören die folgenden Sektoren
Wesentliche Einrichtungen sind:
- Energie
- Transport und Verkehr
- Finanzwesen
- Gesundheit
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Informationstechnik- und Telekommunikation-Dienste (B2B)
- Öffentliche Verwaltung
- Weltraum
Wichtige Einrichtungen sind:
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemische Industrie
- Lebensmittel
- Industrie (Herstellung und Verarbeitung von Waren)
- Digitale Dienste
- Forschung
Unabhängig von ihrer Größe gelten auch Organisationen, die die folgenden Dienstleistungen anbieten, als betroffene Unternehmen:
- Anbieter von öffentlichen elektronischen Kommunikationsnetzen
- Anbieter von öffentlich leicht zugänglichen elektronischen Kommunikationsdiensten
- Vertrauensdienste-Anbieter (z.B. öffentliche CAs)
- Anbieter von Top-Level-Domains (TLD) und DNS (mit Ausnahme der Betreiber von Root-Name-Servern)
- Alleinige Anbieter von Diensten, die für Wirtschaft und Gesellschaft wichtig sind
- Anbieter von Diensten, deren Störung einen erheblichen Einfluss auf die öffentliche Ordnung, Sicherheit und Gesundheit hat
- Anbieter von Diensten, deren Störung ein erhebliches systemisches Risiko verursachen und grenzüberschreitende Auswirkungen haben kann
- Einrichtungen, die aufgrund ihrer landesweiten oder regionalen Bedeutung wichtig sind
- Einrichtungen der allgemeinen öffentlichen Verwaltung der Regierung oder der lokalen öffentlichen Verwaltungen, die für die Gesellschaft und die Wirtschaft von entscheidender Bedeutung sind
- Einrichtungen, die aufgrund der Critical Entities Resilience (CER)-Richtlinie als entscheidend eingestuft werden
Was ist in den betroffenen Organisationen zu tun?
Organisationen sollten ihre potenziellen Bedrohungen untersuchen und geeignete Verfahren einführen, um die Sicherheit ihres Netzwerks und ihrer Systeme zu gewährleisten. Diese Bewertung muss die Wahrscheinlichkeit und Schwere von Sicherheitsvorfällen, die Größe des Unternehmens und den aktuellen Stand der Technik berücksichtigen. Betroffene Unternehmen müssen feststellen, ob sie unter die angegebenen Sektoren und Einrichtungen fallen und folglich Risikomanagementverfahren einführen, die dem Grad der direkten Bedrohung angemessen sind.
Neben den Maßnahmen zum Risikomanagement müssen die betroffenen Unternehmen auch Meldepflichten und -fristen einhalten, wenn sie beispielsweise von einem Sicherheitsvorfall betroffen sind.
Registrierung der betroffenen Einrichtungen
Um Artikel 3 der NIS 2-Richtlinie nachzukommen, sind die Mitgliedstaaten verpflichtet, ein Verzeichnis der notwendigen und wichtigen Einrichtungen zu führen. Daher müssen die betreffenden Unternehmen den zuständigen nationalen Behörden die folgenden Informationen über die Registrierung ihrer Organisation übermitteln.
- Name des Unternehmens oder der Einrichtung
- Aktuelle Kontaktangaben, bestehend aus E-Mail-Adressen, IP-Adressen und Telefonnummern
- Gegebenenfalls den einschlägigen Sektor und Teilsektor gemäß den Anhängen I und II
- Falls zutreffend, eine Liste aller Mitgliedstaaten, in denen sie Dienstleistungen erbringen
Handelt es sich bei den Unternehmen um Anbieter von DNS-Diensten, TLD-Namen-Computersystemregistrierungsstellen, Anbieter von Domänennamenregistrierungen, Cloud-Computing-Unternehmen, Anbieter von Rechenzentrumsdiensten, Betreiber von Materialtransportnetzwerken (CDN), Anbieter von gehandhabten (Sicherheits-)Diensten, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für soziale Netzwerke, werden diese Daten in einem ENISA-Register gespeichert.
Auf das richtige Risikomanagement kommt es an
Die NIS-2-Richtlinie bietet in Artikel 21 eine Erläuterung der Maßnahmen zum Bedrohungsmanagement. Diese Maßnahmen werden entwickelt, um sowohl die Cybersicherheit von Netzwerk- und Informationssystemen als auch die physische Umgebung der von diesen Systemen verwendeten Hardware zu schützen.
Die Verfahren zum Bedrohungsmanagement sollten folgende Kernelemente umfassen, die die Prävention und das Management von Sicherheitsereignissen verbessern:
- Gefahrenbewertungen und Sicherheitsstrategien für ihre Netzwerk- und Informationssysteme erstellen
- Protokolle für den Umgang mit Sicherheitsvorfällen
- Um die Kontinuität des Unternehmens zu gewährleisten, müssen Backup-Management, Katastrophenhilfe und Krisenmanagement vorhanden sein.
- Lieferketten absichern, indem sie die IT-Sicherheit ihrer Lieferanten und Anbieter prüfen.
- Sicherheitsmaßnahmen müssen bei der Beschaffung, Entwicklung und Wartung von IT-Systemen durchgeführt werden
- Bewertung der Wirksamkeit von Risikomanagementmaßnahmen implementieren
- Mitarbeiterschulungen in Sachen Cybersicherheit und grundlegende Praktiken für die Cybersicherheit einführen
- Gegebenenfalls sollten Richtlinien und Verfahren für den Einsatz von Kryptographie und Verschlüsselung eingeführt werden
- Die Einrichtungen müssen der Sicherheit ihrer Mitarbeiter Vorrang einräumen und über Richtlinien für die Zugangskontrolle und die Verwaltung von Vermögenswerten verfügen
- Falls erforderlich, müssen die Einrichtungen eine Multi-Faktor-Authentifizierung, eine ständige Authentifizierung, sichere Kommunikationsoptionen und geschützte Notfallkommunikationswege einführen
- Eine Reihe dieser technischen und organisatorischen Schritte können in ein robustes Informationssicherheitsmanagementsystem (ISMS) integriert werden, das auf Anforderungen wie ISO/IEC 27001 basiert
Nach dem NIS2UmsuCG-Entwurf sind die wesentlichen Organisationen verpflichtet, dem BSI spätestens nach drei Jahren nachzuweisen, dass sie die Maßnahmen zum Gefahrenmanagement tatsächlich durchgeführt haben. Danach ist der Nachweis alle 2 Jahre erforderlich.
Nach der NIS 2-Richtlinie sind die Leiter und Leitungsorgane von Einrichtungen, die als wesentlich und kritisch eingestuft werden, für die Durchführung der Maßnahmen zum Gefahrenmanagement und die Berichterstattung verantwortlich. Sie sind ebenfalls verpflichtet, sich im Bereich der Cybersicherheit schulen zu lassen, um sicherzustellen, dass sie für den Umgang mit potenziellen Gefahren gerüstet sind. Die Nichteinhaltung dieser Anforderungen kann zur Haftung führen.
Meldepflichten
Es gibt zahlreiche Melde- und Berichtspflichten für das betroffene Unternehmen.
Änderungen der Registrierungsdaten
Im Falle von Anpassungen der Daten, die den landesweit zuständigen Behörden während des Registrierungsverfahrens angeboten werden, müssen die Änderungen innerhalb eines Zeitrahmens von zwei Wochen gemeldet werden.
Schwerwiegender Sicherheitsvorfall
Ein Ereignis gilt als schwerwiegender Sicherheitsvorfall, wenn es zu einer erheblichen Unterbrechung des Betriebs von Diensten, zu finanziellen Verlusten für die Organisation oder zu einer Beeinträchtigung anderer (natürlicher und juristischer) Personen führt oder führen kann, indem es einen erheblichen materiellen oder immateriellen Schaden verursacht.
Wenn ein Sicherheitsvorfall gemäß der NIS-2-Verordnung als solcher eingestuft wird, muss er sowohl den nationalen Behörden als auch, falls zutreffend, den Kunden oder Nutzern der Dienste des Unternehmens gemeldet werden.
- Eine Frühwarnung innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls, mit der Information, ob ein Verdacht auf einen kriminellen Hintergrund besteht oder ob der Vorfall grenzüberschreitende Auswirkungen hat oder haben könnte.
- Innerhalb von 72 Stunden nach Bekanntwerden einen ausführlichen Bericht mit aktualisierten Details, einer vorläufigen Bewertung des Vorfalls einschließlich des Schweregrads, seiner Auswirkungen und etwaiger Anzeichen für eine Gefährdung.
- Innerhalb eines Monats nach der vorläufigen Meldung einen Abschlussbericht mit einer detaillierten Beschreibung des Vorfalls, bestehend aus der Intensität und den Auswirkungen, der Art der Gefahr oder ihrer Ursache, den ergriffenen Wiederherstellungsmaßnahmen und etwaigen grenzüberschreitenden Auswirkungen. Wenn das Ereignis zu diesem Zeitpunkt noch andauert, muss ein Fortschrittsbericht übermittelt werden. Zusätzlich zu den Meldepflichten besteht für Unternehmen und Organisationen auch die Möglichkeit, Ereignisse freiwillig zu melden, unabhängig davon, ob sie von der NIS-2-Richtlinie betroffen sind.
Kontrollen, Strafen und die Gefahr der privaten Haftung
Im vorliegenden Entwurf für das deutsche NIS-2-Umsetzungsgesetz sollen Geschäftsführer und Leitungsorgane mit ihrem persönlichen Vermögen haften.
Die zuständigen Behörden der einzelnen Mitgliedstaaten haben unterschiedliche Aufsichts- und Durchsetzungsbefugnisse in Bezug auf die betroffenen Unternehmen und Organisationen (Artikel 31-34).
Während die Maßnahmen zum Gefahrenmanagement für alle betroffenen Unternehmen und Organisationen in ähnlicher Weise gelten, wird bei Kontrollen, Strafen und Sanktionen zwischen wesentlichen und kritischen Unternehmen unterschieden.
Mögliche Strafen für wesentliche Einrichtungen
- Temporäre Suspendierung von Zulassungen und Berechtigungen
- Freistellung von Geschäftsleitung und leitenden Angestellten von ihren Führungsfunktionen für eine begrenzte Zeit
- Geldstrafen: Mindestens 10 Millionen Euro oder mindestens 2 % des globalen Gesamtumsatzes des letzten Jahres, je nachdem, welcher Wert höher ist
Mögliche Strafen für wichtige Einrichtungen
- Geldstrafen: Mindesthöhe von 7 Millionen Euro oder 1,4 % des weltweiten Gesamtjahresumsatzes des letzten Jahres, abhängig davon, welcher der beiden Werte größer ist.
Die NIS-2-Richtlinie verpflichtet die Mitgliedstaaten, bei der Umsetzung in nationales Recht zusätzliche Sanktionen zu verhängen, die wirksam, verhältnismäßig und abschreckend sind.
Im vorliegenden Entwurf für das deutsche NIS-2-Umsetzungsgesetz sollen Geschäftsführer und Leitungsorgane mit ihrem persönlichen Vermögen haften, wenn ihre Einrichtungen die Verfahren des Bedrohungsmanagements und die Meldepflichten nicht einhalten.
Der Zeitplan ist knapp. Umsetzung bis Oktober 2024
Die Ausweitung der NIS 2-Richtlinie wird sich auf die eine oder andere Weise auf die meisten Unternehmen in Deutschland auswirken, sei es als direkter Adressat der Richtlinie oder als Dienstleister für eine wesentliche oder wichtige Einrichtung. Zum einen verschärft die Richtlinie die Meldepflichten und Sanktionen, zum anderen stellt sie wesentliche Verfahren des Gefahrenmanagements vor, um das Niveau der Cybersicherheit in der gesamten EU zu erhöhen. Da die Richtlinie nur Mindeststandards für die Cybersicherheit festlegt, können die Mitgliedsstaaten strengere Schritte, Anforderungen und Gebühren festlegen.
Die NIS2-Richtlinie befindet sich noch im Verfahren zur Aufnahme in die nationale Gesetzgebung. Das NIS2UmsuCG, mit dem die Anweisung umgesetzt werden soll, wird voraussichtlich im März 2024 verabschiedet werden, mit dem Ziel, dass es am 17. Oktober 2024 in Kraft tritt. Die Zeit drängt also.
Aufgrund des engen Zeitplans hegen einige Experten Zweifel daran, ob eine Umsetzung der NIS-2-Richlinien bis Oktober 2024 realistisch ist.
Um eine erfolgreiche Umsetzung zu gewährleisten, ist es für Unternehmen unerlässlich, der Anwendung von Methoden des Gefahrenmanagements von Anfang an Priorität einzuräumen. Dazu gehört es, die wichtigsten Beteiligten zu bestimmen, klare Rollen und Pflichten festzulegen und etwaige Lücken in den bestehenden Verfahren zu beseitigen.
Was ist jetzt konkret zu tun?
Klären, ob das eigene Unternehmen oder die eigene Einrichtung betroffen ist
Unternehmen fehlen oft Kenntnisse über ihre Aufnahme in die NIS-2-Richtlinie. Fällt mein Unternehmen oder meine Einrichtung unter die in Anhang I und II definierten Branchen? Sind meine Kunden als lebenswichtige oder bedeutende Zentren von der NIS-2-Richtlinie betroffen?
Pflichten klären
Das Management ist für die Anwendung der NIS-2-Richtlinie im Unternehmen verantwortlich. Schulen Sie das Management und machen Sie es mit der NIS-2-Richtlinie vertraut. Benennen Sie eine Person, die operativ für die Umsetzung der NIS-2-Richtlinie verantwortlich ist Holen Sie externe Partner für die Umsetzung ins Boot.
Gefährdungsanalyse
Stellen Sie fest, welche Schritte in Ihrem Unternehmen fehlen. Welche Verfahren sind geeignet? Planen Sie das Budget. Ressourcen und die Umsetzung der Maßnahmen
Verfahren entwickeln
Legen Sie die notwendigen Verfahren fest, um die ermittelten Anliegen zu erledigen. Aufrechterhaltung der betrieblichen Abläufe. Erstellen Sie ein Berichtsverfahren.
Überprüfung der Maßnahmen
Beurteilen und bewerten Sie regelmäßig Ihre Messgrößen und nehmen Sie gegebenenfalls Anpassungen vor.
Warum die NIS-2-Richtlinie die verstärkte Nutzung von Cloud-Diensten erfordert
Skalierbarkeit und Vielseitigkeit
Cloud-Dienste ermöglichen es Organisationen, ihre Einrichtungen schnell und effektiv zu skalieren, um die sich ändernden Anforderungen der NIS-2-Anweisung zu erfüllen. Sie können die Ressourcen je nach Bedarf erhöhen oder reduzieren und bieten damit eine wirtschaftliche Alternative zur Aufrechterhaltung interner Kapazitäten.
Budgetfreundliche Lösungen
Die Einhaltung der NIS-2-Vorschriften kann für zahlreiche Unternehmen eine Belastung darstellen, insbesondere wenn es um die Aufrechterhaltung und Verwaltung interner IT-Infrastrukturen geht. Cloud-Dienste bieten eine kosteneffizientere Alternative, bei der Sie nur für die genutzten Ressourcen zahlen, was zu potenziellen Kosteneinsparungen führt.
Compliance- und Sicherheitsfunktionen
Viele Cloud-Unternehmen nutzen spezielle Dienste, die entwickelt wurden, um die Einhaltung von Vorschriften wie NIS-2 zu unterstützen. Diese umfassen Verschlüsselung, Netzwerksicherheit, Identitäts- und Zugriffsmanagement sowie ständige Überwachung und Bedrohungsanalyse.
Unternehmen können von spezialisiertem Sicherheits-Know-how profitieren, ohne hohe Investitionen tätigen zu müssen, indem sie die Sicherheitsabteilungen der Cloud-Unternehmen nutzen, die sich verpflichtet haben, überragende Sicherheitsmaßnahmen zu garantieren.
Cloud-Dienste bieten eine vielseitige und produktive Antwort auf die Schwierigkeiten, die sich aus den NIS2-Richlinien ergeben.
Cloud-Dienste bieten eine vielseitige und produktive Antwort auf die Schwierigkeiten, die sich aus den NIS2-Richlinien ergeben. Die Nutzung von Cloud-Diensten bietet zahlreiche Vorteile, darunter ihre Fähigkeit, sich an veränderte Situationen anzupassen, und ihr hohes Leistungsniveau.
Fazit
Angesichts des engen Zeitrahmens und der begrenzten Ressourcen, mit denen zahlreiche Organisationen bei der Umsetzung der NIS-2-Richtlinie konfrontiert sind, erweist sich die Nutzung von Cloud-Diensten als praktische und effektive Strategie. Sie ermöglicht es Unternehmen nicht nur, die gesetzlichen Vorschriften einzuhalten, sondern bietet auch Zugang zu hoch entwickelten Sicherheitsinnovationen und -praktiken. In einer Zeit, in der Cybergefahren immer weiter fortschreiten, kann die strategische Entscheidung für die Nutzung von Cloud-Diensten ein entscheidender Vorteil bei der Einhaltung von Vorschriften und der Sicherheit sein.
Weitere Informationen zu den NIS-2-Richlinien auf den Seiten der Europäischen Kommission