Die Aktualisierung der Richtlinie zur Netz- und Informationssicherheit (NIS) durch die NIS2-Direktive erhöht die Mindestanforderungen an die Cybersicherheit kritischer Infrastrukturen erheblich. Doch was bedeutet das für Ihr Unternehmen? In diesem Blogbeitrag erfahren Sie, welche Unternehmen betroffen sind, welche Neuerungen es durch NIS2-Richtlinie gibt und wie Sie sich am besten darauf vorbereiten können.
Durch die Einführung der EU-NIS2-Direktive werden die Mindestanforderungen an die Cybersicherheit kritischer Infrastrukturen verschärft, wodurch eine erheblich größere Anzahl von Unternehmen betroffen ist als zuvor. Was sollten Sicherheitsverantwortliche in dieser Situation wissen und wie können sie sich optimal darauf vorbereiten? Dirk Wocke, Compliance Manager und Datenschutzbeauftragter bei indevis, beantwortet die wichtigsten Fragen.
Da Cyberangriffe auf kritische Infrastrukturen eine ernsthafte Bedrohung darstellen, hat die EU bereits im Jahr 2016 Mindestanforderungen für die Cybersicherheit in der Richtlinie zur Netz- und Informationssicherheit (NIS) festgelegt. Diese Richtlinie wird nun durch die NIS2-Direktive aktualisiert: Seit dem 16.01.2023 ist die NIS2-Direktive rechtskräftig und die EU-Mitgliedsstaaten haben bis Oktober 2024 Zeit, sie in nationales Recht zu überführen. In Deutschland erfolgt diese Umsetzung durch das NIS2-Umsetzungsgesetz, welches aktuell als zweiter Referentenentwurf vorliegt. In diesem Zusammenhang sind auch Anpassungen am IT-Sicherheitsgesetz und der KRITIS-Verordnung zu erwarten.
Wen betrifft die NIS2-Richtlinie?
Der Geltungsbereich der NIS2-Richtlinie wurde deutlich erweitert. Statt elf sind jetzt achtzehn kritische Sektoren betroffen. Dies schließt nun nicht mehr nur große Organisationen ein, sondern auch privatwirtschaftliche Unternehmen ab einer Größe von 50 Mitarbeitern oder einem Jahresumsatz von 10 Millionen Euro. Auch Unternehmen, die als "Essential Entities" gelten, fallen unter die Direktive, da sie für das Allgemeinwohl von großer Bedeutung sind. Außerdem besteht nun die Pflicht, auch die Cybersicherheit von Zulieferern zu überprüfen und sicherzustellen, da Lieferketten immer komplexer werden. Selbst der Ausfall eines kleinen Teils kann zu erheblichen Engpässen führen.
Was ist neu an NIS2?
Die NIS2-Richtlinie legt höhere Mindestanforderungen an die Cybersicherheit fest und nimmt Geschäftsführer in die Verantwortung, die Einhaltung der Standards sicherzustellen. Im Falle eines Cyberangriffs sind strenge Meldepflichten ähnlich der Datenschutz-Grundverordnung (DSGVO) vorgeschrieben. Dabei müssen die Unternehmen Vorfälle innerhalb einer festgelegten Zeitspanne an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Diese Maßnahme dient dazu, zu verhindern, dass Unternehmen versuchen, Cyberangriffe zu vertuschen, um ihren Ruf zu schützen. Zusätzlich wird mit NIS2 die europäische Rechtsprechung gestärkt und die Zusammenarbeit zwischen den Behörden und Betreibern in der EU vertieft. Dies beinhaltet die Einrichtung von nationalen Computer Emergency Response Teams (CERT), die grenzüberschreitend kooperieren und Informationen austauschen sollen. Gleichzeitig ist geplant, eine Schwachstellendatenbank auf EU-Ebene aufzubauen.
Wie sollten betroffene Unternehmen jetzt handeln?
Im Wesentlichen geht es darum, ein Informationssicherheits-Managementsystem (ISMS) zu etablieren, das Regeln, Prozesse, Methoden, Tools und Verantwortlichkeiten zur Steuerung und Überwachung der Cybersicherheit im Unternehmen definiert. NIS2 setzt dabei technische und organisatorische Sicherheitsmaßnahmen voraus, die auf dem neuesten Stand der Technik sind. Dies umfasst die Beurteilung von Cyberrisiken, die Entwicklung einer Strategie zur Sicherung der Service- und Geschäftskontinuität und Maßnahmen zur Prävention, Erkennung und Bewältigung von Cyberangriffen. Als Orientierungshilfe kann der BSI-Grundschutz und die internationale Norm ISO/IEC 27001 dienen. Da Unternehmen meist nur einzelne Teile eines ISMS etabliert haben, sollten sie zunächst eventuelle Schwachstellen identifizieren und diese schrittweise beheben. Hierbei kann die Unterstützung eines erfahrenen externen Dienstleisters äußerst hilfreich sein.
Welche Konsequenzen kommen bei Nichteinhaltung von NIS2 auf Unternehmen zu?
Vergleichbar zur Datenschutz-Grundverordnung (DSGVO) ahndet der Gesetzgeber Verstöße mit hohen Bußgeldern. Die Strafen und Durchsetzungsmaßnahmen werden erheblich verschärft und können je nach Branche bis zu sieben oder sogar zehn Millionen Euro erreichen. Zur Überprüfung der Einhaltung der NIS2-Anforderungen hat das BSI die Befugnis, Audits durchzuführen oder Dritte mit dieser Aufgabe zu betrauen. Unternehmen, bei denen Mängel aufgedeckt werden, erhalten eine entsprechende Frist zur Nachbesserung. Schließlich tragen Geschäftsführer die persönliche Verantwortung, wenn sich bei der forensischen Untersuchung eines Cyberangriffs herausstellt, dass das Unternehmen die Sicherheitsrichtlinien nicht eingehalten hat.
Welche Chance bietet NIS2?
Unternehmen, die bereits im KRITIS-Bereich waren, haben wahrscheinlich viele der Anforderungen von NIS2 schon umgesetzt. Für Unternehmen, die neu in diese Kategorie fallen, wird der Aufwand größer sein. Deshalb ist es ratsam, so früh wie möglich mit der Umsetzung zu beginnen. Denn die Notwendigkeit, die Cybersicherheit zu erhöhen, ist angesichts der wachsenden Bedrohungen unbestreitbar. Während Sicherheitsverantwortliche im beruflichen Alltag oft Schwierigkeiten haben, Budgets für IT-Security Maßnahmen zu erhalten, setzen gesetzliche Vorgaben wie NIS2 das Thema Cybersicherheit ganz oben auf die Agenda der Geschäftsleitung und ebnen so den Weg für mehr Sicherheit. Um die NIS2-Richtlinie schnell und effizient umzusetzen, empfiehlt sich die Zusammenarbeit mit einem erfahrenen Managed Security Services Provider wie der indevis. Wir können Unternehmen bei der Überprüfung der Sicherheitsstrategie, der Einrichtung eines Informationssicherheits-Managementsystems (ISMS) und der Auswahl sowie dem Betrieb geeigneter Sicherheitstechnologien optimal unterstützen.
