NIS2 Cybersecurity: Jetzt handeln

Neue NIS2-Cybersicherheits-Richtlinie gilt für deutlich mehr Unternehmen als bisher

Die ständig wachsende Gefahr von Cyberangriffen hat die Europäische Union dazu veranlasst, neue Maßnahmen zur Stärkung der Cyberresilienz zu ergreifen. In diesem Kontext wurde die NIS2-Richtlinie verabschiedet. Ihr Ziel ist es, Unternehmen der kritischen Infrastruktur (KRITIS) und zusätzlich nun auch andere als wichtig eingestufte Unternehmen vor den wachsenden Cyber-Bedrohungen zu schützen. Das Besondere an NIS2: Im Vergleich zum Vorgänger (NIS1) gelten die Anforderungen von NIS2 für einen deutlich erweiterten Kreis von Unternehmen – auch indirekt, wenn sie Teil einer Lieferkette sind. Außerdem drohen bei Verstößen höhere Bußgelder und es haftet das Management persönlich.

Was ist NIS2?

Die Network-and-Information-Security-Richtlinie 2.0 (NIS2) trat im Januar 2023 in der gesamten EU in Kraft. Sie ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie aus dem Jahr 2016 (NIS1). Ziel von NIS2 ist die Stärkung der Cyberresilienz kritischer und wichtiger Infrastrukturen in den Mitgliedsländern der EU. Betroffene Unternehmen sind verpflichtet, geeignete Maßnahmen zur Vorbeugung und Abwehr von Cyberattacken zu ergreifen. Es müssen gewisse Sicherheitsstandards eingehalten werden und IT-Systeme sind stets auf dem neuesten Stand zu halten. In Deutschland und den anderen Ländern der EU muss die Richtlinie bis 17.10.2024 in nationales Recht umgesetzt werden. Ein Referentenentwurf des Bundesinnenministeriums zur Umsetzung von NIS2 liegt bereits vor.

Im Vergleich zu NIS1 erweitert NIS2 den Anwendungsbereich, wodurch deutlich mehr Unternehmen und Branchen betroffen sind – unter Umständen auch kleinere Firmen, wenn sie als Zulieferer fungieren. Es ist sehr wichtig, dass Unternehmen frühzeitig klären, ob sie von NIS2 betroffen sind und im gegeben Fall rechtzeitig entsprechende Maßnahmen zur Erfüllung der Anforderungen von NIS2 zu ergreifen. Denn ihnen wird nicht durch die Behörden mitgeteilt, dass sie zum Kreis der Unternehmen gehören, für die NIS2 gilt. Die Unternehmen müssen anhand der genannten Kriterien selbst ermitteln, ob NIS2 für sie zutrifft und geeignete IT-Security-Maßnahmen etablieren.

Diese Unternehmen sind von NIS2 betroffen: Nicht nur KRITIS!

Die neue NIS2 Richtlinie der EU weitet den Anwendungsbereich deutlich aus und gilt nun für mehr Sektoren als bisher – sowohl im öffentlichen als auch im privaten Bereich. Unternehmen werden dabei in zwei Kategorien eingeteilt, für die aber die gleichen Sicherheitsanforderungen gelten. Nur bei den drohenden Sanktionen macht die EU einen Unterschied.

1. „Essential“ (wesentliche) Einrichtungen:

Hierzu zählen vor allem KRITIS-relevante Unternehmen, deren Ausfall gravierende Folgen für das Gemeinwesen hätte. Allerdings umfasst diese Kategorie in der neuen Fassung der Richtlinie nun mehr Klassen als NIS1. Außerdem ist neu, dass in Zukunft auch Unternehmen, die Teil kritischer Dienstleistungen bzw. der Lieferkette solcher Dienstleistungen sind, betroffen sind.

• Energie (Strom, Gas, Öl, Heizung, Wasserstoff, Ladestationen für E-Fahrzeuge)
• Wasser (Trinkwasser- und Abwasserversorgung)
• Transport (Straßen-, Schienen-, Luft- und Schiffsverkehr)
• Bank- und Finanzwesen
• Gesundheitswesen (Gesundheitsdienstleister, Pharmazeutika, Hersteller medizinischer Geräte, Forschungseinrichtungen)
• Digitale Infrastruktur und IT-Dienste (Rechenzentren, Clouddienste, elektronische Kommunikationsdienste, Internetknoten)
• Öffentliche Verwaltung
• Raumfahrt

2. „Important“ (wichtige) Einrichtungen:

Auch für Unternehmen, die in diesen Bereichen tätig oder Zulieferer/Dienstleister sind, gilt NIS2:

• Post- und Kurierdienste
• Abfallwirtschaft
• Chemische Erzeugnisse (Produktion und Vertrieb)
• Lebensmittel (Produktion und Vertrieb)
• Industrie/Herstellung (Medizin-/Diagnosegeräte, Computer, Elektronik, Optik, Maschinen, Kraftfahrzeuge, sonstige Transportmittel)
• Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Plattformen)
• Forschungseinrichtungen

Die Umsetzung in nationales Recht und die genaue Festlegung, welche Unternehmen als Betreiber kritischer Infrastrukturen gelten, obliegt den einzelnen Mitgliedstaaten. In Deutschland beispielsweise legt das Bundesamt für Katastrophenschutz fest, welche Sektoren und Einrichtungen von NIS2 betroffen sind. Ein Referentenentwurf des Bundesinnenministeriums sieht vor, dass nicht nur die Anzahl der betroffenen Einrichtungen ausgeweitet wird, sondern gleichzeitig auch die Anforderungen steigen.

Weiterer Faktor: Unternehmensgröße

Unternehmen, die von den Vorgaben der NIS2-Richtlinie betroffen sind, werden in zwei Hauptkategorien unterteilt: „mittelgroße“ und „große“ Unternehmen. Die Definitionen dieser Kategorien basieren auf der Unternehmensgröße, Mitarbeiteranzahl und dem Umsatz:

Mittelgroße Unternehmen (medium):

• 50 bis 250 Mitarbeiter
• 10 bis 50 Millionen Euro Umsatz
• Bilanzsumme kleiner als 43 Millionen Euro

Große Unternehmen (large):

• Mehr als 250 Mitarbeiter
• Mehr als 50 Millionen Euro Umsatz
• Bilanzsumme größer als 43 Millionen Euro

Durch diese konkreten Angaben zur Unternehmensgröße wird die Anzahl von Unternehmen, für die NIS2 gilt, auch hierzulande stark ausgeweitet. Es gibt sogar Unternehmen, für die die neue Richtlinie unabhängig von ihrer Größe gilt (z. B. bei Anbietern von öffentlich zugänglichen elektronischen Kommunikationsdiensten). Insgesamt rechnet man in Deutschland damit, dass etwa 30.000 Unternehmen von NIS2 betroffen sein werden.

So können sich Unternehmen vorbereiten

1. Feststellen der Betroffenheit: Unternehmen müssen anhand der genannten Kriterien selbst(!) ermitteln, ob NIS2 für sie zutrifft. Es erfolgt keine Mitteilung durch die Behörden, dass für sie die NIS2-Vorgaben gelten.
2. Klarheit über die Verantwortlichkeiten: Die Führungskräfte der Unternehmen sind direkt verantwortlich für Identifizierung und Bekämpfung von Cyberrisiken sowie für die Erfüllung der NIS2-Anforderungen.
3. Abstecken des Aufgabenbereichs: Festlegung geeigneter Maßnahmen zur Schadensvermeidung/-minimierung, um Auswirkungen und Risiken zu reduzieren. Betrifft z. B. folgende Bereiche: Störungsmanagement, Cyber-/Netzwerksicherheit, Zugangskontrolle, Verschlüsselung, Risikomanagement.
4. Sicherung der Geschäftskontinuität: Einrichtung von Maßnahmen, die im Fall eines größeren Cyberangriffs die Geschäftskontinuität sicherstellen (Systemwiederherstellung, Notfallverfahren, Krisenmanagement).
5. Einrichtung von Meldeverfahren: Organisationen müssen klare Verfahren für die Meldung an die Behörden etablieren. Schwerwiegende Vorfälle müssen innerhalb von 24 Stunden gemeldet werden.

Umsetzung von NIS2 ist Chefsache: Das Management haftet persönlich

Die Gewährleistung von Cybersicherheit sowie die Prävention von IT-Sicherheitsvorfällen ist gemäß NIS2 ab sofort Aufgabe des obersten Managements. Bei Verstößen gegen die NIS2-Richtlinie haften Geschäftsführer und andere Leitungsorgane von Unternehmen persönlich – auch mit ihrem Privatvermögen.

Um sich auf einen Cyberangriff vorschriftsmäßig vorzubereiten und um die Anforderungen von NIS2 zu erfüllen, müssen Unternehmen die Risiken ihrer Informationssysteme kontrollieren. Und anschließend verhältnismäßige Maßnahmen auf technischer, betrieblicher und organisatorischer Ebene umsetzen. Dazu gehören u.a. Cyber-Risikomanagement, Sicherheit der Lieferkette, Business Continuity Management, Penetrationtests, Verhindern von Vorfällen, Minimierung von Auswirkungen, Einrichtung von Meldeverfahren. Außerdem nennt NIS2 einige Beispiele für grundlegende Cyber-Hygiene wie Zero-Trust-Prinzipien, Software-Updates, Gerätekonfiguration, Netzwerksegmentierung, Identitäts- und Zugangsmanagement sowie Schulungen für Mitarbeiter und Leitungsorgane.

Es muss also für eine Kombination verschiedener Abwehrmethoden gesorgt werden. Dazu gehören zum einen technologische Security-Tools, zum anderen aber auch spezialisierte Experten.

Bei Verstößen gegen NIS2 drohen verschärfte Sanktionen

Mit der NIS2-Richtlinie werden die Sanktionen für die Missachtung der Cybersicherheitsvorgaben deutlich verschärft. Betroffene Unternehmen und Organisationen, die gegen die Richtlinie verstoßen, riskieren hohe Bußgelder. Außerdem haften Geschäftsführer und Vorstände persönlich.

„Essential“ (wesentliche) Einrichtungen:

• Geldbuße bis zu 10 Mio. EUR
• oder 2 % des gesamten weltweiten Vorjahresumsatzes des Unternehmens, dem die Einrichtung angehört (je nachdem welcher Betrag höher ist)

„Important“ (wichtige) Einrichtungen:

• Geldbuße bis zu 7 Mio. EUR
• oder 1,4 % des gesamten weltweiten Vorjahresumsatzes des Unternehmens, dem die Einrichtung angehört (je nachdem welcher Betrag höher ist)

Auch die Meldepflicht wird verschärft

Die NIS2-Richtlinie verschärft die Meldepflicht für Unternehmen im Falle von signifikanten Störungen, Vorfällen und Cyber-Bedrohungen. Deutsche Unternehmen müssen Ereignisse dieser Art unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Dieser Meldeprozess umfasst drei Stufen:

1. Innerhalb von 24 Stunden: Sofort nach Entdeckung eines Vorfalls muss ein vorläufiger Bericht eingereicht werden.
2. Innerhalb von 72 Stunden: In diesem Zeitraum muss ein genauerer Bericht eingereicht werden, der eine erste Bewertung des Vorfalls enthält.
3. Innerhalb eines Monats: Ein ausführlicher Abschlussbericht muss eingereicht werden, der detaillierte Informationen über den Vorfall, die Art der Bedrohung und die grenzüberschreitenden Auswirkungen enthält.

Fazit

Die Einführung der NIS2-Richtlinie bringt tiefgreifende Veränderungen in Bezug auf die Cybersicherheit mit sich. Der Kreis der Unternehmen, die gemäß NIS2 verpflichtet sind, sich aktiv um ihren Cyberschutz zu kümmern, wird deutlich erweitert. Angesichts der verschärften Anforderungen und möglichen Sanktionen ist die Einhaltung der NIS2-Vorschriften von entscheidender Bedeutung: Sowohl für die Sicherheit der Organisationen als auch für die persönliche Haftung der Führungskräfte sowie zur Vermeidung hoher Geldbußen bei Verstößen. Um sich auf NIS2 vorzubereiten, sollten betroffene Unternehmen bereits jetzt Schritte unternehmen, um die Cybersicherheit zu stärken.

Wir unterstützen Sie bei der Umsetzung von NIS2 und zeigen Ihnen, wie Sie Ihr Unternehmen vor Cyber-Bedrohungen effektiv schützen können. Nehmen Sie hier Kontakt mit uns auf.