NIS2 und E-Mail-Verschlüsselung

Stephan Heimel, Prokurist, Sales Director bei Seppmail

In einer zunehmend vernetzten Welt, in der digitale Kommunikation eine zentrale Rolle spielt, ist der Schutz sensibler Informationen von höchster Bedeutung. Die NIS2-Richtlinie (EU-Richtlinie zur Netzwerk- und Informationssicherheit) ist am 27.12.2022 im Amtsblatt der Europäischen Union veröffentlicht worden und muss von Mitgliedsstaaten bis zum 17.10.2024 in nationales Recht umgesetzt werden. Ein Kommentar von Stephan Heimel, Prokurist, Sales Director bei Seppmail.

Durch ihre Einführung sollen Maßnahmen gegen Cyberbedrohungen verstärkt und ein einheitlicher europäischer Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten für die IT-Sicherheit sowie Mindestsicherheitsanforderungen an und Meldepflichten für bestimmte Dienste geschaffen werden. Ziel ist es, einheitliche Maßnahmen festzulegen, mit denen ein hohes Sicherheitsniveau von Netz- und Informationssystemen in der EU erreicht werden soll (Art.1 NIS-2). Im Vergleich zur alten NIS1-Richtlinie werden höhere Sicherheitsstandards gefordert, der Adressatenkreis wurde erweitert und die Strafen für eine Nichteinhaltung signifikant auf das Niveau der EU-DS-GVO erhöht (bis zur Haftung der Geschäftsführung mit ihrem Privatvermögen).

 

NIS2 ist Chef-Sache und „Chef-Haftung“

Auch wenn sich Unternehmen auf den ersten Blick nicht zum Adressatenkreis dazugehörig fühlen, sollten sie sich dennoch nicht in Sicherheit wiegen. Art. 21 II d NIS-2 regelt, dass auch alle Risikomaßnahmen im Bereich der Cybersicherheit die „Sicherheit der Lieferkette …“ umfassen müssen. Lieferanten, egal wie groß, werden als mögliche Schwachstellen angesehen und tun gut daran, sich an die Sicherheitsstandards zu halten. Unternehmen werden zunehmend eine Risikobewertung bei der Auswahl ihrer Dienstleister vornehmen und das Risikomanagement vertraglich regeln.

Eine der Kernmaßnahmen, um diesen Anforderungen gerecht zu werden, ist die Verschlüsselung von E-Mails.

E-Mails sind nach wie vor eines der am häufigsten genutzte Kommunikationsmittel im geschäftlichen Umfeld und somit Angriffsvektor Nr. 1. Sie enthalten oft vertrauliche Informationen wie Geschäftsstrategien, personenbezogene Daten oder finanzielle Details. Unverschlüsselte E-Mails sind anfällig für Angriffe, da sie während der Übertragung abgefangen und von Unbefugten gelesen werden können. Hier kommt die Verschlüsselung ins Spiel.

Durch die Verschlüsselung von E-Mails wird der Inhalt in einen unleserlichen Code umgewandelt, der nur von autorisierten Empfängern entschlüsselt werden kann. Dies stellt sicher, dass selbst im Falle eines Angriffs oder Datenlecks keine sensiblen Informationen preisgegeben werden. Die NIS2-Richtlinie betont die Notwendigkeit solcher Sicherheitsmaßnahmen, um die Integrität und Vertraulichkeit der digitalen Kommunikation zu gewährleisten.

Auch wenn davon auszugehen ist, dass die Umsetzung der Richtlinie in deutsches Recht bis zum 17.10.2024 nicht erfolgen wird, sollten Unternehmen, die den Anforderungen der NIS2-Richtlinie gerecht werden wollen, dringend die Implementierung von E-Mail-Verschlüsselung in ihre Sicherheitsstrategien integrieren. Dies schützt nicht nur sensible Daten, sondern stärkt auch das Vertrauen von Kunden und Partnern in die Sicherheit ihrer Kommunikation. Angesichts der steigenden Bedrohungen im Cyberraum ist die Verschlüsselung von E-Mails ein unverzichtbares Element moderner IT-Sicherheit.

#Seppmail