Ab dem Frühjahr 2025 wird die Einhaltung der NIS2 Richtlinie für viele betroffene Unternehmen in Deutschland voraussichtlich verpflichtend sein. Die Verordnung stärkt die Sicherheitsmaßnahmen für kritische Infrastrukturen und IT-Dienstleister. Ob Energie, Verkehr, Gesundheitswesen oder sogar das produzierende Gewerbe – das Gesetz wird Auswirkungen auf eine Vielzahl von Unternehmen haben.
Beginnend im Oktober 2024 müssen die Länder die NIS2, die neueste EU-Richtlinie zur Cybersicherheit, in nationale Gesetze übernehmen. Wir zeigen auf, wie sich NIS2 auf Unternehmen auswirken wird und wie die Vorschriften sicher eingehalten werden.
Keine Lust zu lesen? Du kannst dir auch unser englischsprachiges Webinar anschauen.
Was verbirgt sich hinter der Richtlinie NIS2?
Die Abkürzung NIS steht für „Network and Information Systems Security Act”. Netz- und Informationssicherheit umfasst unter anderem den Schutz von Computernetzwerken, Informationssystemen und Daten vor unbefugtem Zugriff, Missbrauch, Offenlegung, Zerstörung oder Ausfall. Das allgemeine Ziel der Netz- und Informationssicherheit ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Systemen sicherzustellen. Dafür werden verschiedene Technologien, Prozesse und Methoden eingesetzt.
„NIS2“ bezieht sich auf die zweite Stufe der EU-Richtlinie für NIS. Die erste NIS-Richtlinie legt bereits einen gemeinsamen Sicherheitsrahmen für Netz- und Informationssysteme innerhalb der EU fest. Sie verpflichtet die Mitgliedstaaten zur Einrichtung nationaler Strategien und Regelungen für Cybersicherheit und verlangt, dass Betreiber wesentlicher Dienste und digitale Dienstleistungsanbieter angemessene Sicherheitsmaßnahmen ergreifen und Vorfälle melden.
NIS2 baut auf NIS1 auf und erweitert dabei den Anwendungsbereich der Richtlinie sowie die gestellten Anforderungen an die Sicherheit von Netzwerk- und Informationssystemen. Die Erweiterung dient dazu, die Anforderungen an Cybersicherheit innerhalb der EU weiter zu harmonisieren. Außerdem soll die Widerstandsfähigkeit kritischer Infrastrukturen gegen Cyberangriffe weiter gestärkt werden.
Für welche Unternehmen gilt die EU-Richtlinie NIS2?
Die verschärften Sicherheitsanforderungen an Netzwerk- und Informationssysteme in der NIS2-Richtlinie richten sich an Anbieter oder Betreiber von Diensten mit allgemeiner wirtschaftlicher Bedeutung. NIS2 betrifft somit Unternehmen, die als Betreiber von kritischer Infrastruktur oder Produzent oder Dienstleister von wichtiger wirtschaftlicher Bedeutung eingestuft sind. Dazu gehören beispielsweise klassische kritische Infrastrukturbetreiber wie Energieversorger, Verkehrsbetriebe, Gesundheitsdienstleister, digitale Dienstleister oder Online-Marktplätze und jetzt neu auch beispielsweise produzierendes Gewerbe in bestimmten Bereichen oder Post und Kurierdienste.
Zusätzlich müssen auch die direkten Lieferanten von IT-Produkten und -Services mit verschärften Anforderungen rechnen: NIS2 legt großen Wert auf das Risikomanagement der Lieferketten, so dass mit erhöhten Anforderungen im Bereich der Cybersecurity an die Lieferanten zu rechnen ist. Die genaue Definition und Klassifizierung der betroffenen Unternehmen wird bei der Umsetzung in die deutsche Gesetzgebung noch im Rahmen von Rechtsverordnungen festgelegt.
Welche Anforderungen bringt NIS2 mit sich?
NIS2 führt strengere Sicherheitsanforderungen für betroffene Unternehmen ein. Dazu gehören unter anderem:
- Risikomanagement und Umsetzung von Minimum Cyber Security Anforderungen: Effektives Risikomanagement und die Umsetzung von Cyber Security Anforderungen unterstützt Unternehmen dabei, Cyber-Bedrohungen frühzeitig zu erkennen und ihnen entgegenzuwirken. Wie genau das aussieht, kann je nach Branche und Unternehmensgröße variieren. Diese Anforderungen umfassen unter anderem die Implementierung von grundlegenden Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit, regelmäßige Software-Updates, Zugangsbeschränkungen, Verschlüsselungstechnologien und das Monitoring von IT-Systemen.
- Registrierungspflicht: Im Rahmen der NIS2-Richtlinie sind betroffene Unternehmen verpflichtet, sich bei den nationalen Behörden zu registrieren. Die Registrierung dient der Erfassung und Überwachung der relevanten Unternehmen, um die Sicherheitsstandards und die Zusammenarbeit im Falle von Sicherheitsvorfällen zu verbessern.
- Nachweispflicht: Als "besonders wichtige Unternehmen" eingestufte Unternehmen haben zukünftig eine Nachweispflicht. Das bedeutet, dass sie den Nachweis erbringen müssen, dass sie die erforderlichen Sicherheitsmaßnahmen umgesetzt haben. Der Nachweis der Umsetzung der Minimum Cyber Security Anforderungen ist entscheidend, um die Einhaltung der Richtlinie zu gewährleisten und mögliche Sanktionen zu vermeiden.
- Reporting und Information bei Sicherheitsvorfällen: Die NIS2-Richtlinie legt großen Wert auf eine verbesserte Zusammenarbeit und den Austausch von Informationen bei Sicherheitsvorfällen. Betroffene Unternehmen sind verpflichtet, erhebliche Sicherheitsvorfälle unverzüglich an die Behörden zu melden. Diese Informationen müssen die Art des Vorfalls, dessen Auswirkungen und die ergriffenen Gegenmaßnahmen umfassen. In einigen Fällen existieren auch Informationspflichten gegenüber den Kunden.
Vorbereitung auf NIS2
Um die Anforderungen der NIS2-Richtliche zu erfüllen, kann man schon jetzt beginnen, sich vorzubereiten:
2. Eine gründliche Bestands- und Lückenanalyse ist der erste Schritt, um die Sicherheitslage eines Unternehmens zu bewerten. Dabei sollte eine verantwortliche Person benannt werden, welche die Aufgabe hat, kritische Vermögenswerte zu identifizieren und mögliche Sicherheitslücken zu erkennen. Durch eine umfassende Lückenanalyse kann der Reifegrad der IT-Sicherheitsmaßnahmen bewertet und Optimierungspotenziale aufgedeckt werden.
3. Zusätzlich spielt das Cyber-Risikomanagement eine zentrale Rolle bei der Einhaltung der NIS2-Richtlinie. Es ist wichtig, bestehende Richtlinien zu überprüfen oder gegebenenfalls neue einzuführen, um Risiken angemessen zu bewerten und zu behandeln. Dabei sollten auch Risiken in der Lieferkette berücksichtigt werden, um Schwachstellen zu minimieren.
4. Die Einrichtung eines Security Information and Event Management (SIEM) Systems oder einer Angriffserkennung kann entscheidend sein, um potenzielle Sicherheitsvorfälle frühzeitig zu erkennen. Zudem sollten Vorfallsmanagementprozesse etabliert werden, um eine effektive Reaktion auf Vorfälle sicherzustellen. Die Kontaktaufnahme mit Computer Security Incident Response Teams (CSIRTs) kann dabei helfen, eine koordinierte und professionelle Reaktion auf Sicherheitsvorfälle zu gewährleisten.
5. Um den Geschäftsbetrieb jederzeit aufrechtzuerhalten, ist die Einrichtung von Prozessen zur Geschäftskontinuität von großer Bedeutung. Diese Prozesse sollten sicherstellen, dass kritische Funktionen und Services auch in Krisensituationen weiterhin verfügbar sind. Zudem ist es auch hier ratsam, den Kontakt zu CSIRTs aufzunehmen, um im Ernstfall auf ihre Unterstützung zurückgreifen zu können.
Konsequenzen der Nichteinhaltung der NIS2 Anforderungen
Die Nichteinhaltung der NIS2-Anforderungen kann erhebliche Konsequenzen für Unternehmen haben. Dies können Geldstrafen und Bußgelder sein in vergleichbarer Höhe zu den Strafen bei Datenschutzverstößen. Das Management wird durch NIS2 persönlich haftbar für die Einhaltung der Anforderungen gemacht. Darüber hinaus kann die Nichtbeachtung der Anforderungen zu Cybersicherheitsvorfällen führen, die finanzielle Verluste, Datenlecks und Beeinträchtigungen der Geschäftskontinuität zur Folge haben können.
Es ist daher von entscheidender Bedeutung, die Anforderungen von NIS2 ernst zu nehmen und angemessene Maßnahmen zu ergreifen, um die Sicherheit der eigenen Netzwerk- und Informationssysteme zu gewährleisten. Als vertrauenswürdiger Partner entwickelt die COCUS AG maßgeschneiderte Lösungen, um die Anforderungen von NIS2 zu erfüllen und die Sicherheit von Netzwerk- und Informationssystemen zu garantieren.