Search
FANGEN SIE AN ZU TIPPEN UND DRÜCKEN SIE ENTER

Cybersecurity: NIS2-Richtlinie für Unternehmen

Seit Jahren schon steigt die Anzahl der Cyberangriffe innerhalb Deutschlands ebenso wie im europäischen Raum: Als Antwort darauf wurde die bis dato gültige NIS1-Richtlinie, erstmals im Jahr 2016 eingeführt, überarbeitet. In der Folge trat zum 16. Januar 2023 die NIS2-Richtlinie, kurz für “Network and Information Security 2” in Kraft – EU-Mitgliedsstaaten sind verpflichtet, diese bis spätestens zum 17. Oktober 2024 innerhalb ihres nationalen Rechts zu etablieren. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) wird wahrscheinlich ohne Übergangsfrist bei Verabschiedung sofort volle Gültigkeit erlangen. Das bringt für Institutionen ebenso wie für viele Unternehmen Veränderungen mit sich.

NIS2 zur nachhaltigen Stärkung des europäischen Cybersecurity-Niveaus:

Inhaltsverzeichnis Anzeigen

Hintergründe zur Einführung und Notwendigkeit

Ziel der NIS2-Richtlinie ist eine nachhaltige Steigerung der IT-Sicherheit innerhalb Unternehmens, allen voran solchen, die direkt oder indirekt in die kritische Infrastruktur involviert sind. Über die einzelnen Bestandteile der Richtlinie werden Unternehmen in die Verantwortung genommen: Einerseits legt die Richtlinie verpflichtende Mindeststandards zur IT-Sicherheit fest, andererseits bildet sie damit eine notwendige Säule zum betriebsinternen Risiko- und Prozessmanagement.

Der im Jahr 2016 verabschiedeten NIS1- folgt die NIS2-Richtlinie mit deutlich schärferen und eng gefassten Vorgaben. Gleichermaßen wurde mit der neuen Richtlinie deren Geltungsbereich erweitert: Fortan werden, sobald die Vorgabe in deutsches nationales Recht überführt wurde, weitaus mehr Unternehmen davon betroffen sein, als das noch unter NIS1 der Fall war. Um die Notwendigkeit und Bedeutung von Cybersecurity zu unterstreichen, verschärft die NIS2-Richtlinie erstmals auch den vorgesehenen Strafenkatalog. Sanktionen bei Nichteinhaltung oder konkreten Verstößen können fortan mit Strafzahlungen bis zu maximal 10 Millionen Euro oder alternativ bis zu 2 % des weltweiten Jahresumsatzes belegt werden.

Die überarbeitete Fassung der ursprünglichen NIS1-Richtlinie versteht sich als europäische Antwort auf die zunehmenden Fälle von Cyberkriminalität. Gleichermaßen sorgten geopolitische Verwerfungen, allen voran seit dem Ausbruch des Ukrainekriegs im Jahr 2022, für eine notwendige Überarbeitung: In den letzten Jahren wurde vermehrt deutlich, dass sich digitale Angriffe zusehends stärker auf Betreiber von kritischer Infrastruktur richten, wie beispielsweise denen von Atomkraftwerken, Stromversorgern oder Dammanlagen. Im Idealfall soll die Richtlinie mitsamt ihren Vorgaben derartig hochsensible und staatsgefährdende Angriffe erfolglos machen.

Wen betrifft die NIS2-Richtlinie mitsamt ihren Vorgaben?

Zum aktuellen Zeitpunkt werden schätzungsweise 20.000 bis 40.000 Unternehmen in Deutschland von der neuen Richtlinie betroffen sein, was einer Ausweitung gegenüber der NIS1-Richtlinie entspricht. Zum Vergleich: In der Bundesrepublik griff die NIS1-Richtlinie bisher bei etwa 2.000 Unternehmen.

Allen voran werden von den Vorgaben diese Sektoren betroffen sein:

  • Energiesektor und Betreiber kritischer Wasserinfrastruktur
  • Raumfahrt, Luft-, Schienen-, Straßen- sowie Schiffsverkehr
  • der Finanzsektor und Versicherungen
  • Anbieter von digitaler Infrastruktur und potenziell kritischen IT-Diensten
  • die öffentliche Verwaltung sowie Gesundheitsbranche

Typische weitere Beispiele für Einrichtungen, die unter NIS2 fallen könnten:

  • Anbieter von Post- und Kurierdiensten
  • in die Siedlungs-Abfallwirtschaft involvierte Unternehmen
  • Hersteller und weiterverarbeitende Unternehmen von chemischen Erzeugnissen
  • Unternehmen aus der Produktion, der Weiterverarbeitung und dem Vertrieb von Lebensmitteln
  • Hersteller potenziell kritischer Anlagen und Geräte, wie beispielsweise aus der Medizin, Elektronik und dem Automobilwesen
  • Unternehmen mit essenziellen digitalen Dienstleistungen, beispielsweise Suchmaschinenbetreiber, soziale Netzwerke und Online-Marktplätze
  • diverse Forschungseinrichtungen

Generell, sofern die Vorgabe zum Sektor bereits erfüllt ist, werden Unternehmen mit mehr als 50 Mitarbeitern und einem Umsatz jenseits von 10 Millionen Euro pro Jahr durch die Vorgaben betroffen sein.

Anforderungen und Verpflichtungen der NIS2-Richtlinie

Wie bereits eingangs dargestellt, wurden die Verpflichtungen und Anforderungen gegenüber der NIS1-Richtlinie signifikant ausgeweitet. Die erste Anforderung betrifft die Eigeneinstufung durch Unternehmen. Diese stehen in der Pflicht, sich entsprechend den KRITIS-Vorgaben wahlweise als “besonders wichtige” oder als “wichtige” Einrichtung einzustufen – anschließend ist eine Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) erforderlich. Das muss binnen drei Monaten geschehen. Sofern sich das Unternehmen selbst als “besonders wichtig” entsprechend NIS2 einstuft, ist es zudem dem Austausch über die zentrale Austauschplattform vom BSI verpflichtet.

Die drei Hauptbestandteile lassen sich in diese Teilbereiche gliedern:

  1. Risikomanagement
  2. Informationssicherheit innerhalb von Lieferketten
  3. Identifizierung, Meldung und Behebung von Sicherheitsvorfällen

Zum Risikomanagement: Unternehmen sind verpflichtet, organisatorische und technische Sicherheitsmaßnahmen zu ergreifen, die dem aktuellen Stand der Technik entsprechen. Operative Maßnahmen und Prozesse sind im Unternehmen zu schaffen, um Bedrohungsfälle frühzeitig zu erkennen – und diese idealerweise präventiv zu unterbinden. Das Risikomanagement im Unternehmen muss sowohl externe Cyberangriffe als auch interne Fehlerprozesse, auch durch menschliches Versagen, berücksichtigen.

Zur Informationssicherheit: Sowohl im Unternehmen als auch entlang der Lieferkette sind hohe Informationssicherheitsstandards zu etablieren. Betroffene Einrichtungen haben dahingehend verschiedene Möglichkeiten: So beispielsweise indem Sicherheitsstandards Teil von vertraglichen Vereinbarungen gemacht werden oder über unterschiedliche anerkannte Zertifizierungen, wie beispielsweise das TISAX-Label.

Zum Reporting von Sicherheitsvorfällen: NIS2 verpflichtet Einrichtungen Sicherheitsvorkommnisse transparent und unverzüglich zu melden. Das betrifft Störungen, konkrete Vorfälle oder identifizierte Bedrohungen. Hierbei ist auch die schon geltende ISO-27001 Vorgabe zu berücksichtigen. Unternehmen sind zudem verpflichtet, für unterschiedliche Bedrohungsfälle verschiedene Notfallpläne zu erstellen. Auch Vorgaben zur Eskalation bei Vorkommnissen sowie der internen und externen Kommunikation sind zu berücksichtigen – unter anderem müssen die eigenen Kunden über Sicherheitsvorfälle informiert werden.

Diese drei großen Teilbereiche werden über diverse einzelne Vorgaben erweitert, die sich typischerweise spezifischen Teilbereichen der jeweiligen Einrichtung oder konkreten digitalen Instrumenten widmen. Als Beispiele hierfür sind unter anderem diese erwähnenswert:

  • Vorgaben zur Kryptografie
  • Implementierung sicherer Authentifizierungsmethoden, idealerweise Multi-Faktor-Authentifizierungen
  • Verschlüsselung interner und externer Kommunikation
  • Schulung und Weiterbildung von Mitarbeitern bezüglich ihrer “Cybersecurity-Hygiene”
  • Entwicklung von Strategien, um kritische Dienste auch dann aufrecht zu halten, wenn es zu einem Sicherheitsvorfall kam

Bei Verstößen drohen Strafen entsprechend 2 % des weltweiten Jahresumsatzes beziehungsweise bis zu höchstens 10 Millionen Euro.

Umsetzung der Vorgaben aus NIS2 innerhalb von Unternehmen

An der Planung, Implementierung und Prüfung sind innerhalb von Unternehmen verschiedene Mitarbeiter beteiligt. Die Primärverantwortung obliegt der Geschäftsführung beziehungsweise dem Vorstand. Selbige müssen ausreichende Ressourcen allokieren und Verantwortungen entsprechend der Qualifikation verteilen.

Des Weiteren sind IT-Sicherheitsbeauftragte, generell die IT-Abteilung sowie Datenschutzbeauftragte in die Umsetzung einzelner Prozesse involviert. Auch die Rechtsabteilung, das interne Risikomanagement und die Compliance-Abteilung können daran beteiligt sein. Der Fokus liegt dabei, da es sich um eine Vorgabe zur IT-Sicherheit handelt, offensichtlich auf der IT-Abteilung und den IT-Sicherheitsbeauftragten. Der Compliance- und Rechtsabteilung kommt indes primär eine prüfende Rolle zu.

Welche Vorteile erzielt NIS2, korrekt umgesetzt, innerhalb von Einrichtungen?

Dem aktuellen Stand nach ist immer noch rund die Hälfte der betroffenen Unternehmen nicht adäquat auf eine einwandfreie Implementierung von NIS2 vorbereitet. Dabei bringt die Richtlinie, wenn sie korrekt umgesetzt wird, den jeweiligen Unternehmen zahlreiche (perspektivische) Mehrwerte.

Allen voran wird natürlich das Risiko, von Cyberattacken betroffen zu sein, reduziert. Parallel dazu verringert sich die Wahrscheinlichkeit, dass Cyberangriffe tatsächlich erfolgreich sind und dem Unternehmen damit schaden könnten. Es sollte also im Eigeninteresse von Unternehmen liegen, derartige Angriffsvektoren durch die Umsetzung von NIS2 zu reduzieren – denn die Folgekosten von erfolgreich verlaufenen Cyberattacken sind immens.

Gleichermaßen steigert sich das Vertrauen gegenüber dem Unternehmen. Geschäftspartner, Kunden, Lieferanten und Co. können sich bei von NIS2 betroffenen Unternehmen sicher sein, dass diese höchsten Standards zur IT-Sicherheit erfüllen. Das kann in einem zweiten Schritt sogar in einem Wettbewerbsvorteil resultieren, indem sich Unternehmen damit von anderen Einrichtungen abheben, die kein derart hohes Cybersecurity-Niveau etablierten.

Fazit

Geopolitische Spannungen und eine Verlagerung von essenziellen Prozessen in den digitalen Raum fordern Veränderung: Diese wurde in Brüssel durch die Weiterentwicklung von NIS1- hin zur NIS2-Richtlinie forciert. Ziel ist, insbesondere in kritische Prozesse involvierte Unternehmen zum Eigenschutz zu zwingen – und so innerhalb der EU einen einheitlich hohen Standard zur IT-Sicherheit zu schaffen. Betroffene Unternehmen müssen jetzt reagieren: Denn bis Oktober ist, um alle Maßnahmen einwandfrei umzusetzen, nicht mehr viel Zeit.

Foto von Christian Lue auf Unsplash

Umstellung von Windows 10 auf Windows 11 - Wann ist der beste ZeitpunktUmstellung von Windows 10 auf Windows 11 - Wann ist der beste Zeitpunkt12. Juni 2024
Cloud vs. Server: Welche IT-Infrastruktur ist die richtige für Ihr Unternehmen?28. August 2024Cloud vs. Server: Welche IT-Infrastruktur ist die richtige für Ihr Unternehmen?