NIS2: Der neue Standard für IT-Sicherheit in Europa
Die NIS2-Richtlinie stellt eine bedeutende Erweiterung der EU-weiten Maßnahmen zur Stärkung der Netz- und Informationssicherheit dar. Im Gegensatz zur Vorgängerrichtlinie NIS1 betrifft NIS2 nicht mehr nur kritische Infrastrukturen wie Energie- und Wasserversorger, sondern auch eine Vielzahl von Dienstleistungsunternehmen und Industriebranchen. Geschäftsführer und IT-Verantwortliche in Deutschland stehen damit vor der Aufgabe, ihre Unternehmen vor der wachsenden Bedrohung durch Cyberkriminalität zu schützen. Doch was genau bedeutet NIS2 für Ihr Unternehmen?
Wer ist von NIS2 betroffen?
NIS2 richtet sich vor allem an Unternehmen bestimmter Größenordnungen und Branchen, die aufgrund ihrer Anzahl an Beschäftigten oder ihres Umsatzes eine besondere wirtschaftliche oder infrastrukturelle Bedeutung haben. Unternehmen aus bestimmten Branchen mit mehr als 50 Mitarbeitern oder einem Umsatz von mehr als zehn Millionen Euro fallen in der Regel unter die Richtlinie, größere Unternehmen mit mehr als 250 Mitarbeitern und entsprechend höherem Umsatz unterliegen zudem zusätzlichen Rahmenbedingungen.
Unter anderem fallen folgende Branchen in die NIS2: (NACE Abt. 21, 26-30) u.a. Hersteller von elektr. Ausrüstungen, Kabeln, Lampen, Medizinprodukten u.vm.
NIS2: Was sind die Anforderungen?
Wichtig ist, dass NIS2 nicht nur technische Maßnahmen wie Firewalls oder Antivirenprogramme vorschreibt. Die Hauptanforderung von NIS2 ist die Einrichtung eines Informationssicherheits-Managementsystems (ISMS), das sicherstellt, dass IT-Risiken effektiv gemanagt werden. Das bedeutet, dass Sicherheitsrichtlinien und Risikomanagement in die täglichen Abläufe des Unternehmens integriert werden müssen. Unternehmen können ein ISMS entweder nach ISO 27001 oder nach anderen Standards wie BSI-Grundschutz oder VDS 10000 aufbauen:
- Der BSI-Grundschutz ist ein IT-Sicherheitsstandard, der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt wurde. Er bietet umfassende Leitlinien, um IT-Systeme effektiv gegen Sicherheitsrisiken abzusichern,
- ISO 27001 ist ein international anerkannter Standard für Informationssicherheits-Managementsysteme (ISMS). Er definiert Anforderungen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen durch systematische Risikomanagementprozesse zu gewährleisten.
- VDS 10000 und 10100 sind Sicherheitsrichtlinien des Verbands der Schadenversicherer (VDS), die speziell für kleine und mittlere Unternehmen entwickelt wurden. Damit können grundlegende Cyber-Sicherheitsmaßnahmen einfach umgesetzt werden. Die VDS 10100 ist die überarbeitete Version und wurde speziell für die Anforderungen der NIS2-Richtlinie entwickelt. Sie wird demnächst veröffentlicht.
Neben der Einführung eines Sicherheitsmanagementsystems gibt es auch eine Meldepflicht. Unternehmen müssen Sicherheitsvorfälle zeitnah an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden, ähnlich wie dies bereits bei Datenschutzverletzungen der Fall ist.
Ab welchem Zeitpunkt gilt die Regelung?
Experten schätzen, dass rund 30.000 Unternehmen in Deutschland von der NIS2-Richtlinie betroffen sein werden. Die Richtlinie sollte bereits im Oktober 2024 in Kraft treten, jedoch hat sich der Zeitpunkt aufgrund von Verzögerungen nach hinten verschoben. Der Gesetzesentwurf muss noch die gesetzliche Prüfung auf Bundesebene durchlaufen, bevor die Richtlinie voraussichtlich im März 2025 wirksam wird.
Unternehmen sollten dabei beachten, dass keine Übergangsfristen vorgesehen sind und die notwendigen Maßnahmen zeitnah umgesetzt werden müssen. Ein Audit oder Zertifikat ist nicht erforderlich, jedoch müssen Unternehmen im Falle eines Sicherheitsvorfalls nachweisen, dass das Management alle relevanten Maßnahmen ergriffen hat, um Haftung und Strafen zu vermeiden.
Warum ist NIS2 vor allem eine Aufgabe für die Geschäftsführung?
Ein zentraler Aspekt von NIS2 ist, dass die Verantwortung nicht mehr nur bei der IT-Abteilung liegt, sondern direkt beim Management. Geschäftsführer sind verpflichtet, sicherzustellen, dass ihre Unternehmen den NIS2-Anforderungen gerecht werden. Bei Versäumnissen haften sie persönlich. Zudem sind organisatorische Maßnahmen erforderlich, beispielsweise die Erstellung eindeutiger Betriebsanweisungen sowie die Schulung der Mitarbeiterinnen und Mitarbeiter. Die Bewältigung dieser Aufgaben kann nicht allein den IT-Abteilungen überlassen werden. Sie muss von der Geschäftsführung aktiv unterstützt und gefördert werden.
Schulungen und andere organisatorische Maßnahmen sind zwar mit Kosten verbunden, stellen jedoch eine notwendige und sinnvolle Investition dar, um Risiken zu minimieren und widerstandsfähiger gegenüber Bedrohungen zu werden.
IT-Leiter aufgepasst: Hier bietet sich die Möglichkeit, die Bereitstellung von Budgets besser zu begründen. Denn oftmals wird die IT-Sicherheit seitens der Geschäftsführung zwar als wichtig erachtet, doch die Bereitstellung der notwendigen finanziellen Mittel erfolgt nicht. Mit NIS2 verfügen IT-Verantwortliche nun über eine stärkere Grundlage, um die Freigabe der benötigten Mittel von der Geschäftsleitung zu erwirken.
Und sind wir mal ehrlich: Irgendwo ist es auch die Pflicht der Geschäftsführung die Resilienz des Unternehmens gegenüber IT-Sicherheitsrisiken zu stärken. Unternehmen sollten einfach so abgesichert sein, dass potenzielle Sicherheitsvorfälle keine Betriebsunterbrechungen zur Folge haben und keine sensiblen Daten freigesetzt werden.
Mehr als nur Bürokratie – Eine Antwort auf die wachsende Bedrohung durch Cyberkriminalität
Bei NIS2 geht es nicht nur um mehr Bürokratie, auch wenn es auf den ersten Blick so erscheinen mag. Es ist vielmehr eine notwendige Reaktion auf die steigende Bedrohung durch Cyberkriminalität. Ein Beispiel dafür sind die Verschlüsselungs-Trojaner, die in den letzten Jahren Unternehmen massiv geschädigt haben. Diese Angriffe verschlüsseln Unternehmensdaten und fordern Lösegeld, oft betrieben von organisierten, mafiaähnlichen Strukturen.
Sie beeinträchtigen nicht nur die Verfügbarkeit von Daten, sondern greifen auch die Vertraulichkeit an, indem sie drohen, sensible Informationen zu veröffentlichen. Diese Art von Angriff zeigt, wie wichtig es ist, eine robuste Sicherheitsstrategie zu haben, die nicht nur auf technische Maßnahmen setzt, sondern auch organisatorische Prozesse und Risikomanagement einbezieht.
Die Experten sind sich einig: Die Gefahr durch Cyberkriminalität wird weiter zunehmen. Unternehmen sollten deswegen vorbereitet sein. Denn im Ernstfall sollten sie schnell handeln, damit aus einem kleinen Feuer kein großer Flächenbrand wird.
Unsere Handlungsempfehlungen: Was sollten Unternehmen jetzt tun?
Um NIS2-konform zu werden, sollten Unternehmen folgende Schritte einleiten:
- Überprüfen Sie Ihre Betroffenheit: Nutzen Sie Checklisten oder Fragebögen, um festzustellen, ob Ihr Unternehmen unter die NIS2-Richtlinie fällt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet solche Fragebögen an. Das BSI ist die zentrale Behörde in Deutschland für IT-Sicherheit und unterstützt Unternehmen dabei, ihre IT-Systeme sicherer zu machen. Gemeinsam mit dem IT-Leiter sollten Sie überprüfen, ob die NIS2-Richtlinie auf Ihr Unternehmen zutrifft.
- Führen Sie ein ISMS ein: Sobald feststeht, dass Ihr Unternehmen betroffen ist, sollten Sie ein Informationssicherheits-Managementsystem (ISMS) einführen. Für den Mittelstand bietet sich die VDS 10000 an. Diese Richtlinie stammt vom Verband der Versicherung (VDS), der auch im Bereich Cyber Security tätig ist. Die VDS 10000 bzw. 10100 bietet eine überschaubare Anleitung, die Unternehmen hilft, grundlegende Sicherheitsmaßnahmen einzuführen und umzusetzen. Sie richtet sich besonders an kleine und mittlere Unternehmen und ist leichter zu implementieren als größere Standards wie ISO 27001 oder der BSI-Grundschutz, die sehr zeitintensiv sind.
- Schaffen Sie Verantwortlichkeiten: Innerhalb des Sicherheitsmanagements muss festgelegt werden, wer für die IT-Sicherheit verantwortlich ist. Gibt es ein Sicherheitsteam? Muss der Datenschutzbeauftragte eingebunden werden? Diese Fragen sollten frühzeitig geklärt werden.
- Bauen Sie ein Risikomanagement-System auf: Wie schon erwähnt geht es nicht nur um Technik, sondern im Besonderen auch um Prozesse. Ein Risikomanagement-System hilft dabei, Risiken im IT-Bereich zu identifizieren und zu bewerten. Die bewerteten Risiken müssen strukturiert behandelt werden.
- Melden Sie Sicherheitsvorfälle: Ein wesentlicher Bestandteil der NIS2-Richtlinie ist die Meldepflicht. Von NI2 betroffene Unternehmen müssen sich beim BSI registrieren, sobald das Gesetz in Kraft ist (und das BSI die Möglichkeit zur Verfügung stellt). (Erhebliche) Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden! Außerdem muss ein Zwischen- und Abschlussbericht erstellt werden.
Jetzt handeln und NIS2-konform werden
Aber wo anfangen? Wir stehen Ihnen als Partner zur Seite, um die Herausforderungen von NIS2 zu meistern und die notwendigen Maßnahmen umzusetzen.
Für Unternehmen, die eine schnelle Einschätzung ihres Sicherheitsmanagements wünschen, bieten wir einen Quick-Check an. Dieser kann genutzt werden, um den aktuellen Stand des Sicherheitsmanagements zu evaluieren. Weitere Anforderungen wie Risikomanagement und Meldepflichten, die für NIS2 relevant sind, werden darauf aufbauend gemeinsam mit uns umgesetzt.
Warten Sie nicht – beginnen Sie jetzt mit der Einführung eines Sicherheitsmanagementsystems und sichern Sie Ihr Unternehmen gegen Cyber-Bedrohungen ab.