Ab 2024: Neue Cybersicherheitsanforderungen für Unternehmen durch NIS-2-Richtlinie

Was ist NIS-2?

Mit der Network and Information Security (NIS)-2-Richtlinie gelten ab Oktober 2024 für viele Unternehmen und Organisationen in 18 kritischen Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten – auch für viele, die bisher nicht betroffen waren. NIS-2 ersetzt die NIS Directive von 2016 und zielt auf ein besseres gemeinsames Cybersicherheitsniveau in der EU ab. Im Vergleich zur vorigen NIS Directive erweitert NIS2 stark den Kreis der betroffenen Unternehmen, die Pflichten und die behördliche Aufsicht. Bei Verstößen gegen die NIS2 Directive drohen hohe Geldstrafen.

Was ist der Sinn der NIS-2?

‍Die Einführung der NIS-2 durch die EU hat ihren Grund: Kritische Infrastruktur ist verwundbar.

‍Besonders seit dem Beginn des Ukrainekriegs 2022 haben mögliche digitale Angriffe auf wichtige Einrichtungen wie Dammanlagen, Stromversorger und Atomkraftwerke die Aufmerksamkeit von Politik und Öffentlichkeit auf sich gezogen. Angesichts der fortschrittlichen Ausstattung und der Macht staatlicher Akteure besteht auch in der EU das Risiko solcher Angriffe.

‍Mit der NIS-2 und der Umsetzung der darin geforderten Standards möchte die EU also verhindern, dass Angriffe auf Kritische Infrastruktur und damit verbundenem potenziell katastrophale Folgen eine Realität werden können

Wann tritt NIS-2 in Kraft?

• NIS-2-Richtlinie (EU) 2022/2555 ist seit 2023 auf EU-Ebene in Kraft
• Als Richtlinie nicht direkt anwendbar, sondern erst in nationales Recht umzusetzen
• Das nationale Recht muss ab 18. Oktober 2024 angewendet werden
• NIS2 gibt Mindeststandard vor, d.h. die EU-Staaten dürfen strengere Vorschriften erlassen
• In Deutschland wurde bisher ein Referentenentwurf für das NIS2-Umsetzungsgesetz bekannt

Wer ist von NIS-2 betroffen?

In Deutschland sind Schätzungen zufolge zwischen 29.000 bis 40.000 Unternehmen von der NIS 2 betroffen.

‍In der aktualisierten Fassung unterliegen deutlich mehr Unternehmen der NIS 2 als der NIS 1, da die Schwellenwerte aktualisiert wurden (Unternehmen in 18 Sektoren ab 50 MitarbeiterInnen und 10 Mio. Euro Umsatz). Nun könnten etwa auch Insurance Tech Start-ups, Onlinemarktplätze und Lebensmittelversorger betroffen sein, wenn sie die Schwellenwerte überschreiten. Das macht schlagartig eine ganze Reihe an Unternehmen verantwortlich, die sich vorher nur rudimentär mit ihrer Informationssicherheit auseinandergesetzt hat.

‍Die logische Konsequenz wird sein, dass diese Unternehmen ein Informationssicherheitsmanagementsystem (ISMS) implementieren müssen, welches die gesetzlichen Anforderungen erfüllt. Zudem werden die Sanktionen und Strafen erheblich verschärft und können bis zu max. 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes betragen.

Was müssen Unternehmen im Rahmen der NIS-2 leisten?

Die Einführung der Network and Information Security 2 (NIS-2)-Richtlinie bringt für Unternehmen eine Vielzahl neuer Pflichten und Anforderungen mit sich.

‍Zunächst muss ein Unternehmen sich selbst in die unterschiedlichen Stufen einordnen (KRITIS bzw. „besonders wichtige Einrichtung“ oder „wichtige“ Einrichtung) und sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von drei Monaten nach Identifikation registrieren. „Besonders wichtige“ Einrichtungen müssen am Informationsaustausch über die zentrale Austauschplattform des BSI (BISP) teilnehmen.

‍Neben der Registrierung bei der zuständigen Behörde im eigenen Mitgliedsstaat und der Meldung von Sicherheitsvorfällen müssen sich Unternehmen insbesondere mit den neuen strengen Sicherheitsanforderungen im Rahmen von NIS 2 auseinandersetzen. Hierzu gehören:

• Risikomanagement als Grundpfeiler der NIS-2-Compliance etablieren
• Informationssicherheitsstandards in Lieferketten sicherstellen
• Sicherheitsvorfälle melden und angemessen behandeln

Weitere wichtige Pflichten nach NIS-2-Definition

Gemäß der EU NIS-2-Richtlinie müssen Unternehmen weitere zahlreiche Pflichten erfüllen. Die Geschäftsführung dieser Betreiber Kritischer Infrastruktur ist verpflichtet, die Einhaltung dieser Anforderungen gemäß nationaler Gesetzgebung zu überwachen. Hierbei sollten Unternehmen sich darüber im Klaren sein, dass ihre Geschäftsführung im schlimmsten Falle für Verstöße haftbar gemacht werden kann.

• Policies: Konzepte für Risikoanalyse und Sicherheit für Informationssysteme

• Vorfallsbewältigung: Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle

• Business Continuity: Backup-Management und Wiederherstellung, Krisenmanagement

• Supply Chain: Sicherheit in der Lieferkette

• Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme

• Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen

• Cyberhygiene, Schulung: Cyberhygiene (z.B. Updates) und Schulungen in Cyber Security

• Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung

• Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management

• Authentifizierung: Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung

• Kommunikation: Sichere Sprach-, Video- und Text-Kommunikation, ggf. auch im Notfall

Alle Standards nach NIS-2-Definition implementieren und überwachen – wie geht das?

Die Implementierung und Überwachung der NIS-2-Standards wird für sehr viele Unternehmen eine enorm komplexe und zeitaufwendige Aufgabe sein, die Zeit, Nerven und Geld veranschlagen.

5 Schritte: Wie fängt man am besten mit der Umsetzung der NIS-2-Richtlinie an?

1. Relevanz für das eigne Unternehmen klären
2. Verantwortlichkeiten festlegen
3. Maßnahmen umsetzen
4. Geschäftskontinuität sichern
5. Meldeverfahren einrichten

Wie können wir unterstützen?

Haben Sie Fragen oder wünschen sich mehr Information zur NIS-2 Richtlinie? Denis Seefeldt und Michael Rode stehen als Ansprechpartner zur Verfügung.