Bitte aktivieren Sie JavaScript in Ihrem Browser, um alle Funktionen dieser Seite nutzen zu können.
You need to activate JavaScript in your browser to use all the functions on this page.

E-Mail-Verschlüsselung:
NIS2-konform

Sorgen Sie für Compliance
und Lieferkettensicherheit

Sichern Sie Ihre geschäftlichen E-Mails nach dem Stand der Technik und NIS2

Die Verwendung von Kryptografie und Verschlüsselung sind wichtige Maßnahmen im NIS2-Risikomanagement. Unternehmen, die nach NIS2 als wichtig oder besonders wichtig eingestuft sind, müssen ihre E-Mail-Kommunikation mit Geschäftspartnern, Kunden, Dienstleistern oder Behörden nach dem Stand der Technik sichern. Dazu gehört der Schutz von E-Mails durch digitale Signaturen und Verschlüsselung, um die Sicherheit, Authentizität und Integrität der Kommunikation zu gewährleisten. Unsere Lösung, Z1 SecureMail, signiert und verschlüsselt E-Mails zentral nach den internationalen Standards S/MIME und OpenPGP. Mit Z1 SecureMail nutzen Sie Inhaltsverschlüsselung als Ende-zu-Ende-Verschlüsselung nach dem aktuellen Stand der Technik über ihr firmeneigenes Gateway – bald auch als SaaS verfügbar.

Zum Nachlesen: Hier finden Sie die Definition zum Stand der Technik für E-Mail-Verschlüsselung (TeleTrusT Handreichung 2023, Seite 28).

Mit Z1 SecureMail NIS2-Vorgaben für sichere Kommunikation umsetzen

  1. Kryptografie und Verschlüsselung: Signatur und Inhaltsverschlüsselung von E-Mails mit S/MIME und OpenPGP
  2. Policies automatisch umsetzen: Die Verschlüsselung erfolgt nach zentral definierten Regeln am Gateway; Ihr Unternehmen spart bis zu 80% Aufwand mit E-Mail-Zertifikaten
  3. Sicherheit der Lieferkette: Sichere Kommunikation in der gesamten Lieferkette – auch für kleine Zulieferer mit unserer Gateway-Variante für KMU
  4. Zugriffskontrolle: Rollen- und Rechtesystem für Administratoren
  5. Nachweis der Wirksamkeit: Die Verschlüsselung wird mittels Policies automatisch umgesetzt und Sie können nachweisen, ob und wie jede einzelne E-Mail gesichert wurde. So bestehen Sie Audits ohne Probleme.

Was ist NIS2?

NIS2 ist eine EU-Richtlinie, die Unternehmen und Organisationen der Grundversorgung und der kritischen Infrastruktur dazu verpflichtet, ihre Cyber- und Informationssicherheitsmaßnahmen zu verbessern. Die Abkürzung NIS steht für Network and Information Security. Wie der Name vermuten lässt, handelt es sich bei NIS2 nicht um eine völlig neue Regelung, sondern um eine Weiterentwicklung der EU-Richtlinie NIS1 aus dem Jahr 2016. Die zunehmenden Cyberangriffe auf eine globalisierte Wirtschaft (Stichwort „Lieferketten“) sowie der russische Angriffskrieg gegen die Ukraine geben diesem Verwaltungsakt eine gewisse Dringlichkeit mit hohem Bezug zur erlebten Realität vieler Unternehmer.

NIS2UmsuCG: Umsetzung von NIS2 in Deutschland

Die Mitgliedstaaten der EU müssen die NIS2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Die Europäische Kommission wird die Umsetzung und Durchsetzung der Richtlinie überwachen. Ab dem 18. Oktober 2024 wird die Umsetzung für betroffene Unternehmen verbindlich.

Die Gesetzgebung zu NIS2 ist in Deutschland noch nicht abschließend verabschiedet worden. Am NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wird noch gearbeitet. Hier finden Sie den aktuellsten Referentenentwurf des Bundesministeriums des Innern und für Heimat, vom Mai 2024. Dieser Entwurf wird vermutlich noch mehrfach überarbeitet, denn die IT-Verbände Bitkom und TeleTrusT, sowie viele Branchenverbände diskutieren den Entwurf derzeit noch.

Aktuelle Informationen zum Umsetzungsstand von NIS2 (Referentenentwurf, Stellungnahmen).

An wesentlichen Elementen, die auch im EU-Rahmen festgelegt sind, wird jedoch nicht mehr gerüttelt werden. Unternehmen sind gut beraten, sich bereits jetzt mit den erweiterten Pflichten und den möglichen Sanktionen der neuen Richtlinie auseinanderzusetzen.

Wer muss NIS2 umsetzen?

NIS2UmsuCG: Umsetzung von NIS2 in Deutschland

Durch die NIS2-Richtlinie wird die Anzahl der Unternehmen, die den Sicherheitsanforderungen unterliegen, deutlich erweitert. NIS2 verpflichtet künftig nicht nur Betreiber kritischer Infrastrukturen, sondern auch zahlreiche kleine Unternehmen sowie Zulieferer (Stichwort: Lieferkettensicherheit) zur Abwehr von Cyber-Bedrohungen.

Neben den bereits von NIS1 erfassten Sektoren wie Energie, Verkehr und Gesundheit fallen mit NIS2 auch Unternehmen aus den Bereichen wie Abwasser, öffentliche Verwaltung, Raumfahrt und Lebensmittelversorgung unter die Richtlinie. Generell sind Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz/Jahresbilanz über 10 Mio. Euro betroffen. Ausnahmen bilden Sektoren wie Vertrauensdienste, kritische Infrastrukturen sowie die Zentralregierung, die unabhängig von ihrer Größe unter die NIS2-Richtlinie fallen.


Mittlere Unternehmen
50 bis 250 Mitarbeiter
10 bis 50 Millionen EUR Umsatz
Bilanzsumme kleiner als 43 Millionen EUR

Große Unternehmen
mehr als 250 Mitarbeiter
mehr als 50 Millionen EUR Umsatz
Bilanzsumme größer als 43 Millionen EUR

Die NIS-Richtlinie sieht eine Einstufung der Kritikalität von Unternehmen nach Sektor („besonders wichtig” und „wichtig”) und Unternehmensgröße (Mitarbeiterzahl oder Umsatz) vor. Zudem sind einige Sonderfälle zu berücksichtigen. Die Art der Zuordnungen hat einen wesentlichen Einfluss auf die Höhe der Geldstrafen und die Art der Beaufsichtigung durch Behörden.
Eine Ausnahme bilden die Finanzdienstleister, für sie gilt ab dem 17. Januar 2025 der Digital Operational Resilience Act (DORA). Es handelt sich hierbei um eine spezielle Verordnung für den Finanzsektor über IT-Sicherheitsstandards und Cybersicherheit, die als Spezialgesetz NIS2 übergeordnet ist.

In Deutschland sollen insgesamt 30.000 Unternehmen von NIS2 betroffen sein. Zum Vergleich: Bisher waren es ca. 2.000 Unternehmen der Kritischen Infrastruktur, die erhöhte Cybersicherheitsmaßnahmen nach dem KRITIS-Dachgesetz umsetzen mussten.

Liste der betroffenen Sektoren und Branchen

 

Zu den besonders wichtigen Einrichtungen zählen Unternehmen aus den folgenden Sektoren mit den zugehörigen Branchen:

  • Energie – Stromversorgung, Fernwärme und -kälteversorgung, Kraftstoff- und Heizölversorgung, Gasversorgung
  • Transport und Verkehr – Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr
  • Finanz- und Versicherungswesen – Bankwesen, Finanzmarktinfrastrukturen
  • Gesundheit
  • Wasser – Trinkwasserversorgung, Abwasserbeseitigung
  • Informationstechnik und Telekommunikation
  • Weltraum

Zu den wichtigen Einrichtungen werden Unternehmen folgender Sektoren mit den zugehörigen Branchen gezählt:

  • Transport und Verkehr – Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Waren – Herstellung von Medizinprodukten und In-vitroDiagnostika, Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, Herstellung von elektrischen Ausrüstungen, Maschinenbau, Herstellung von Kraftwagen und Kraftwagenteilen, sonstiger Fahrzeugbau
  • Anbieter digitaler Dienste
  • Forschung

Eigenregistrierung erforderlich

Mit der Einführung der NIS2 sind Unternehmen verpflichtet, sich selbst zu klassifizieren. Wer von NIS2 betroffen ist, muss sich ab dem 18. Oktober 2024 beim Bundesamt für Informationssicherheit (BSI) registrieren lassen. Die Details sind noch nicht festgelegt.

Tipp: Unternehmen, die mehr Rechtssicherheit bei der NIS2-Einstufung benötigen, sind gut beraten, sich bei ihren Branchenverbänden zu informieren.

Die wichtigsten Neuerungen der NIS2 im Überblick

10 Risikomanagementmaßnahmen (§ 30 Referentenentwurf)

Die Vorgaben sind im NIS2-Referentenentwurf (24.06.2024) Teil 3, Kapitel 2, § 30 in den Punkten 1-10 aufgelistet, dabei sollen Maßnahmen den Stand der Technik einhalten und die einschlägigen europäischen und internationalen Normen berücksichtigen. Die NIS2-Richtlinie nennt zehn Themenbereiche, die Unternehmen als Risikomanagementmaßnahmen umsetzen müssen:

  1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik
  2. Bewältigung von Sicherheitsvorfällen
  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik
  7. Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik
  8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Fokus Lieferkettensicherheit – Kommunikation im eigenen Netzwerk schützen

Besondere Aufmerksamkeit sollte Punkt 4, die Forderung nach Maßnahmen zur Sicherheit der Lieferkette, erhalten. Es wird erwartet, dass die betroffenen Unternehmen zur Wahrung von NIS2 in Zukunft klare vertragliche Vereinbarungen mit ihren Dienstleistern treffen müssen, um die Cybersicherheit umfassend umzusetzen.

Zertificon unterstützt Sie bei der NIS2-Umsetzung der vertraulichen Kommunikation mit kryptografischen Mitteln

  1. Als Z1 SecureMail Kunde verfügen Sie über die notwendige Verschlüsselungstechnologie.
  2. Z1 SecureMail enthält vordefinierte Sicherheitsregeln, ein paar Beispiele:
    • jede E-Mail signieren
    • immer verschlüsseln, wenn ein Zertifikat gefunden werden kann
    • blockieren, wenn eine vertrauliche E-Mail nicht verschlüsselt werden kann
  3. Erweitern Sie diese Einstellungen mit wenigen Klicks direkt in der Adminoberfläche.
  4. Zur Ankündigung der NIS2-Compliance stellen wir Ihnen im Rahmen des Onboardings eine Kommunikationsvorlage bereit, mit der Sie Ihre Kunden und Kontakte über die Einführung der E-Mail-Verschlüsselung informieren.
  5. Ob Zertificon-Kunde oder nicht, mit Z1 Global TrustPoint haben Sie alle Verschlüsselungs- und Signaturzertifikate griffbereit.
Ihr Business-Netzwerk und Lieferketten mit Z1 SecureMail NIS2-konform schützen

Wir bekommen seit einiger Zeit viele Anfragen von größeren Unternehmen, welche sich eine Lösung wünschen, die sie auch ihren kleineren Geschäftspartnern empfehlen können. Es bringt immer Vorteile, wenn sich ein Netzwerk auf die gleiche Technologie einigt. Pünktlich zur Umsetzung von NIS2 bieten wir deshalb ganz neu das Produkt Z1 SecureMail ONE an – unser Verschlüsselungsgateway für kleine Unternehmen.

Top-down Compliance mit Rabatt für KMU

Die Empfehlung von Z1 SecureMail ONE kann wichtigen und besonders wichtigen NIS2-Unternehmen helfen, die Sicherheit top-down über das gesamte Netzwerk zu spannen. Sprechen Sie mit uns: In vielen Fällen können wir Ihren KMU-Partnerunternehmen günstige Preise anbieten, damit Sie Ihre gesamte Lieferkette schützen können. Nutzen Sie das Freitextfeld im Anfrageformular, um Ihre Anfrage zu konkretisieren.

Direktkauf für KMU, die von NIS2 betroffen sind

Selbstverständlich eignet sich Z1 SecureMail ONE direkt für den Einsatz bei betroffenen Unternehmen, die nach NIS2 ab 50 Mitarbeitern selbst eine Verschlüsselungslösung benötigen.

Erhöhte Sanktionen bei Nichteinhaltung

Die NIS2-Richtlinie sieht deutlich höhere Sanktionen bei Verstößen vor als bisher. Geldbußen können bis zu 10 Millionen Euro oder 2% des globalen Jahresumsatzes betragen. Zusammengefasst müssen deutlich mehr Unternehmen als bisher umfassende Cybersicherheitsmaßnahmen ergreifen und bei Nichteinhaltung mit empfindlichen Strafen rechnen. Eine frühzeitige Vorbereitung auf die neuen Anforderungen ist daher dringend geboten.

Persönliche Haftung der Geschäftsführung

Die NIS2-Richtlinie macht die Umsetzung der Richtlinie zur Aufgabe der Geschäftsführung. Gemäß der Richtlinie können Vorstände und Geschäftsführer persönlich haftbar gemacht werden, wenn ihr Unternehmen die NIS2-Anforderungen nicht einhält und es zu einem Cyberangriff kommt.

FAQ zu NIS2 und sicherer E-Mail-Kommunikation

NIS2 verpflichtet kritische, lebenswichtige Einrichtungen, sich besser gegen Cyberbedrohungen zu schützen, insbesondere auch im Bereich der E-Mail-Kommunikation. Wenn Sie von NIS2 betroffen sind, bedeutet dies, dass Ihr Unternehmen E-Mail-Verschlüsselung benötigt. Auch indirekt Betroffene, das heißt Dienstleister eines NIS2-Unternehmens, werden vermutlich in naher Zukunft aufgefordert werden, E-Mails zu verschlüsseln. Die Investition in eine zentrale E-Mail-Verschlüsselungslösung lohnt sich also in vielerlei Hinsicht, nicht zuletzt auch zur Erfüllung weiterer gesetzlicher Vorgaben wie der DSGVO.

Die Verschlüsselung von E-Mails ist Gegenstand mehrerer NIS2-Risikomanagementmaßnahmen. Das heißt, wenn Sie von NIS2 betroffen sind (auch indirekt als Dienstleister oder Zulieferer), müssen Sie Ihre E-Mails nach dem aktuellen Stand der Technik verschlüsseln.

Die NIS2-Richtlinie gibt keine konkreten technischen Maßnahmen vor. Die technischen Spezifikationen werden sich vermutlich aus der nationalen Umsetzung von NIS2 und den entsprechenden Industriestandards ergeben. Nicht zuletzt hängt die Wahl der Verschlüsselungstechnologie immer auch vom erforderlichen Schutzniveau der Daten ab.

Sicher ist, dass TLS nicht in allen Fällen ausreicht. Einige Branchenstandards, z.B. KRITIS, Energie und Automotive, akzeptieren TLS-Verschlüsselung nicht als alleiniges Schutzmittel für sichere E-Mails. Darüber hinaus spielt bei NIS2 auch die Auditierbarkeit eine wichtige Rolle: Mit TLS können Absender und Empfänger nur schwer nachweisen, ob einzelne E-Mails durchgängig verschlüsselt waren. Dies stellt bei der Durchführung von Audits eine Herausforderung dar.

Außerdem können mit TLS keine E-Mail-Signaturen erstellt werden. Durch eine digitale E-Mail-Signatur kann geprüft werden, ob der Absender einer E-Mail echt ist und ob die E-Mail verändert wurde.

Unternehmen sind daher gut beraten, wenn sie neben der TLS-Verschlüsselung auch Inhaltsverschlüsselung (auch „Ende-zu-Ende-Verschlüsselung“ genannt) anbieten können. Mit unserer Gateway-Lösung lassen sich Signatur und Inhaltsverschlüsselung von E-Mails mit S/MIME und OpenPGP mit geringem Aufwand realisieren.

Mehr zum Thema „Ist TLS ausreichend?“

Verstöße gegen Risikomanagementmaßnahmen oder die Meldepflicht von Sicherheitsvorfällen werden mit hohen Bußgeldern geahndet. Die Höhe des Bußgeldes ist abhängig von der jeweiligen Klassifizierung des Unternehmens (Unternehmensgröße, Umsatz und Branchenzugehörigkeit).

Es wird erwartet, dass die von NIS2 betroffenen Unternehmen künftig klare vertragliche Vereinbarungen mit ihren Dienstleistern, Lieferanten und Partnern treffen, um die Cybersicherheit in der Lieferkette umfassend umzusetzen. Dazu gehören beispielsweise auch Vereinbarungen zur vertraulichen Kommunikation. Das bedeutet, dass Investitionen in Cybersicherheit, wie z.B. E-Mail-Verschlüsselung, auch eine wesentliche Grundlage für zukünftiges Geschäft sind.

Sowohl die NIS2 als auch die DSGVO verpflichten Unternehmen zur Sicherung der elektronischen Kommunikation. NIS2 setzt jedoch den Schwerpunkt auf die allgemeine Cybersicherheit, während die DSGVO den Fokus auf Datenschutz legt. Cybersicherheit und Datenschutz hängen allerdings eng zusammen. Deshalb gibt es auch bei den Maßnahmen Überlappungen, beispielsweise die Verwendung von Verschlüsselungstechnologien zum Schutz sensibler Daten. Wenn Sie also E-Mail-Verschlüsselung zur Erfüllung der Datenschutzbestimmungen nach DSGVO einsetzen, sind Sie bei diesem Thema auch für NIS2 gut aufgestellt.

Sorgen Sie rechtzeitig für E-Mail-Compliance

Mit Z1 SecureMail alle gesetzlichen Vorgaben für sichere Kommunikation umsetzen: NIS2, KRITIS, DSGVO

Erfahren Sie in unserem Live-Webinar mit Produktdemo, wie Sie E-Mail-Verschlüsselung einfach und zentral umsetzen können.

WordPress Cookie Plugin von Real Cookie Banner