NIS-2-Fahrplan: Wie Unternehmen die Richtlinie erfüllen und mehr Cybersicherheit erzielen

Die zweite Netz- und Informationssicherheitsrichtlinie, NIS-2, steht kurz vor ihrer Überführung in die deutsche Gesetzgebung. Für die deutsche Wirtschaft bedeutet dies zwar eine neue Ära der Cybersicherheit, doch viele Unternehmen sind mit den anstehenden Herausforderungen überfordert, denn die Verpflichtungen sind umfangreich und die Zeit drängt. Doch was bedeutet das konkret für betroffene Unternehmen und wie können sie sich darauf vorbereiten? In diesem Artikel erfahren Sie, welche Schritte zur Erfüllung der Richtlinie notwendig sind und welche Vorteile NIS-2 für Ihr Unternehmen mit sich bringt.

NIS-2 ist eine gesetzliche Initiative der EU zur Regelung und Verbesserung der Cyber- und Informationssicherheit von Unternehmen und Institutionen, die als kritisch für die Gesellschaft eingestuft werden. Sie tritt am 17. Oktober 2024 in Kraft und zielt darauf ab, die Widerstandsfähigkeit gegenüber Cyberangriffen im öffentlichen und privaten Sektor zu stärken und die Reaktionsfähigkeit auf Sicherheitsvorfälle zu verbessern. Die Richtlinie gilt für eine Vielzahl von Unternehmen und Sektoren, darunter Banken, Verkehrsbetriebe, Energieversorger, das Gesundheitswesen, die Wasserversorgung, digitale Dienste und viele weitere.

Warum sich Unternehmen mit NIS-2 auseinandersetzen sollten

Mit der Einführung der NIS-2-Direktive stehen nun deutlich mehr Unternehmen in der Verantwortung, die gesetzlichen Mindestanforderungen an Cybersicherheit zu erfüllen, als zuvor durch die bisherige NIS-Richtlinie. Statt elf sind jetzt achtzehn kritische Sektoren und damit schätzungsweise mindestens 30.000 Unternehmen in Deutschland betroffen. Dies schließt nicht mehr nur große Organisationen ein, sondern auch privatwirtschaftliche Unternehmen ab einer Größe von 50 Mitarbeitern oder einem Jahresumsatz von 10 Millionen Euro. Auch Unternehmen, die als "Essential Entities" gelten, fallen unter die Richtlinie. Damit stehen nun viele Unternehmen vor der Aufgabe, durch eigene Recherche oder mit Hilfe von externen Beratern zu prüfen, ob auch sie in den Geltungsbereich fallen, da bei Verstößen mit hohen Geldstrafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes zu rechnen ist. Auch der Verlust der Betriebserlaubnis ist möglich. 

Doch nicht nur die rechtlichen Anforderungen und die potenziellen Sanktionen bei Nichtbeachtung sollten Unternehmen zum Handeln bewegen. Bei der aktuellen Bedrohungslage durch Cyberkriminalität ist eine starke Cyberabwehr essenziell für den Geschäftserfolg und die Kundenbindung. In einer zunehmend digitalisierten Welt sind Unternehmen mehr denn je von der Sicherheit ihrer IT-Systeme abhängig, um ihre Daten zu schützen, den Betrieb aufrechtzuerhalten und das Vertrauen ihrer Kunden zu erhalten.

Ein weiterer Vorteil ist, dass Unternehmen mit der Erfüllung der NIS-2-Richtlinie ihre Versicherungsmöglichkeiten aufrechterhalten oder vergünstigen können. Durch den Anstieg der Cybervorfälle ist das Risiko für viele Anbieter von Cyberversicherungen nicht mehr einschätzbar geworden und Unternehmen haben häufig das Problem, keine oder nur sehr teure Cyberversicherungen abschließen zu können. Der Nachweis der in Verbindung mit NIS-2 umgesetzten Maßnahmen erhöht die Chancen auf eine Versicherung erheblich.

Gleichzeitig können Unternehmen ein solches Projekt nutzen, um „Blind Spots“ in der Organisation zu finden und das Fundament zu stärken, indem sie proaktiv statt reaktiv auf Sicherheitslücken agieren können.

Wie betroffene Unternehmen jetzt handeln sollten

Um die Anforderungen von NIS-2 zu erfüllen und die Cybersicherheit zu stärken, sollten Unternehmen rechtzeitig handeln. Dabei bringt es jedoch nichts, einfach in eine Richtung loszugehen, ohne das Ziel zu kennen. Im Folgenden führen wir Sie durch die elementaren Schritte, die Sie bis zur Inkraftsetzung im Oktober 2024 einleiten sollten:

1. Einrichtung eines Informationssicherheitsmanagementsystems (ISMS): Durch die Festlegung von Verantwortlichkeiten und die Ernennung eines Informationssicherheitsbeauftragten (ISB) durch die Geschäftsführung können Unternehmen ein robustes ISMS aufbauen. Die Implementierung beinhaltet Regeln, Prozesse, Methoden und Tools zur Steuerung und Überwachung der Cybersicherheit im Unternehmen. Unternehmen bilden damit eine Sicherheitsorganisation, die auch die Abteilungen Datenschutz, Qualitätsmanagement, Human Ressource, Facility Management, Einkauf und IT einbezieht. Neben der Zielsetzung einer Risikoanalyse und Maßnahmenplanung ist die Messung und Weiterentwicklung des ISMS unerlässlich, denn der Aufbau eines ISMS ist ein laufender Prozess, um Sicherheitslücken zu erkennen und entsprechende Maßnahmen zum Schutz und zur Prävention von potenziellen Cyberangriffen einsetzen zu können. Als Orientierungshilfe kann der BSI-Grundschutz und die internationale Norm ISO/IEC 27001 dienen. Da Unternehmen oft nur einzelne Teile eines ISMS etabliert haben, sollten sie zuerst potenzielle Schwachstellen identifizieren und diese schrittweise beheben. Hierbei kann die Unterstützung eines erfahrenen externen Dienstleisters äußerst hilfreich sein - auch unsere Consultants unterstützen Sie bei Bedarf gerne: IT-Compliance Consulting
2. Business Continuity Management (BCM): Unternehmen sollten sicherstellen, dass sie über geeignete Maßnahmen verfügen, um die Geschäftskontinuität im Notfall aufrechtzuerhalten oder wiederherzustellen. Dies beinhaltet die Etablierung eines Backup- und Krisenmanagements sowie die Einrichtung eines Icident Response Teams. 
3. Security Awareness Schulungen: Die Sensibilisierung der Belegschaft für das Thema Cybersicherheit spielt eine große Rolle. Mitarbeiterinnen und Mitarbeiter sollten regelmäßig in Sicherheitsprotokollen geschult werden, um die erste Verteidigungslinie gegen Cyberangriffe zu stärken.
4. Personal- und Zugriffskontrolle: Unternehmen müssen Sicherheitsmaßnahmen wie Zugriffskontrolle und Asset Management implementieren, um ihre Systeme zu schützen.
5. Lieferantenmanagement: Die Sicherheit in der Lieferkette ist ebenso zu gewährleisten. Jedes Unternehmen hat heutzutage wichtige Lieferanten, die auf die Einhaltung Ihrer Zertifizierungen und vertraglichen Vorgaben überprüft werden müssen, um Risiken zu minimieren.
6. Risikobasierte Maßnahmen umsetzen: Durch Risikomanagement können Unternehmen ihren Status Quo ermitteln, Schwachstellen identifizieren und geeignete Maßnahmen ergreifen.
7. Dokumentation des ISMS: Eine detaillierte Dokumentation ist für Unternehmen entscheidend, um die Einhaltung bzw. Umsetzung der NIS-2-Richtlinie nachzuweisen und den Fortschritt zu überprüfen. 
8. Bewertung der Wirksamkeit: Mit der Durchführung von regelmäßigen Audits sind Unternehmen in der Lage, die Wirksamkeit ihrer Sicherheitsmaßnahmen zu überprüfen und etwaige Lücken zu erkennen und zu schließen.
9. Zusammenarbeit mit Regulierungsbehörden: Im Falle eines Cyberangriffs sind strenge Meldepflichten ähnlich der Datenschutz-Grundverordnung (DSGVO) vorgeschrieben. Da Unternehmen Vorfälle innerhalb einer festgelegten Zeitspanne an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden müssen, sollten Sie sich frühzeitig beim BSI registrieren und in Ihrem Unternehmen ein Meldeverfahren einrichten. 

Fazit

Die Einführung der NIS-2-Direktive markiert einen Meilenstein in der Cyber- und Informationssicherheit für Unternehmen in der EU. Die rechtzeitige Umsetzung der erforderlichen Maßnahmen ist von entscheidender Bedeutung für deutsche Unternehmen. NIS-2 ist nicht nur eine gesetzliche Anforderung, sondern auch eine Investition in die Zukunftsfähigkeit und Widerstandsfähigkeit eines Unternehmens gegenüber Cyberangriffen. Für eine schnelle und effiziente Umsetzung der NIS2-Richtlinie empfiehlt sich die Zusammenarbeit mit einem erfahrenen Managed Security Services Provider wie indevis. Wir können Unternehmen bei der Einrichtung eines Informationssicherheits-Managementsystems (ISMS) und der Auswahl sowie dem Betrieb geeigneter Sicherheitstechnologien optimal unterstützen.