NIS-2-Richtlinie – Warum (alle) Unternehmen jetzt handeln müssen
Die europäische NIS-2-Richtlinie führt verschärfte Cybersicherheitsvorschriften ein, die nun auch Branchen betreffen, die bisher nicht reguliert waren. Unternehmen und Organisationen, die unter diese neuen Regelungen fallen, müssen diese ab Oktober 2024 umsetzen – andernfalls drohen erhebliche Strafen.
Das Bundeskabinett hatte Ende Juli das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz verabschiedet. Zukünftig werden über 30.000 Unternehmen verpflichtet sein, bestimmte IT-Sicherheitsmaßnahmen zum Schutz vor und zur Bewältigung von Cyberangriffen umzusetzen. Dies ist eine deutliche Erweiterung im Vergleich zu den bisherigen Regelungen (NIS-1).
Worum genau geht es bei der NIS-2-Richtlinie (NIS 2 Directive) und warum ist sie wichtig? Ist Ihr Unternehmen davon betroffen? Welche Strafen drohen, und was müssen Sie jetzt tun, um die Vorschriften zukünftig zu erfüllen? Wie können wir und unsere Partner Sie dabei unterstützen? Diese und weitere Fragen beantworten wir in diesem Blogartikel.
- 1. Was ist die NIS-2-Richtlinie?
- 2. Warum ist NIS-2 wichtig?
- 3. Welche Unternehmen betrifft die NIS-2-Richtlinie?
- 4. Die Sache mit der Lieferkette - NIS-2 betrifft weitere Betriebe indirekt
- 5. Welche Anforderungen stellt NIS-2 an Unternehmen?
- 6. Wann genau trifft NIS-2 in Kraft?
- 7. Welche Folgen hat die Nichteinhaltung der NIS-2-Richtlinie?
- 8. Sind Sie bereit die Richtlinie umzusetzen?
- 9. Wie hilft WUD bei der Erfüllung der Anforderungen von NIS-2 an den Betrieb von IT-Infrastrukturen?
1. Was ist die NIS-2-Richtlinie?
Die NIS-2-Richtlinie (EU) 2022/2555 steht für „Network and Information Security“ (Netzwerk- und Informationssicherheit) und ist eine Initiative der Europäischen Union.
NIS-2 erweitert die Anforderungen an Cybersicherheit und den Schutz kritischer Infrastrukturen. Aufbauend auf der ursprünglichen NIS-Richtlinie verfolgt sie das Ziel, das Cyberresilienz-Niveau in der EU weiter zu erhöhen.
Demensprechend müssen ab Oktober 2024 zahlreiche Unternehmen und Organisationen aus 18 Sektoren verpflichtende Sicherheitsvorgaben und Meldepflichten erfüllen – darunter auch viele Unternehmen, die bisher nicht davon betroffen waren.
Im Vergleich zur vorherigen NIS-Richtlinie weitet NIS-2 den Kreis der betroffenen Unternehmen demensprechend erheblich aus und verschärft die Pflichten sowie die behördliche Kontrolle. Zudem können bei Verstößen gegen die NIS2-Richtlinie höhere Geldstrafen verhängt werden.
2. Warum ist NIS-2 wichtig?
Die NIS-2-Richtlinie markiert einen wichtigen Fortschritt hin zu einem einheitlichen und hohen Sicherheitsstandard für Netz- und Informationssysteme in der gesamten EU. Insbesondere die täglichen Cyberangriffe auf Unternehmen verdeutlichen den dringenden Bedarf an einer robusten und umfangreichen Cybersecurity-Strategie.
Mit der NIS2-Richtlinie verlangt die EU von Unternehmen in kritischen Sektoren, effektive Sicherheitsmaßnahmen zu implementieren, und macht damit Cybersicherheit für zahlreiche Unternehmen zur verpflichtenden Aufgabe.
Die neuen Vorgaben zielen darauf ab, Unternehmen in der EU besser auf Cyberbedrohungen vorzubereiten und ihre Netz- und Informationssysteme effektiv abzusichern. Das bedeutet auch, dass die meisten Unternehmen eine Anpassung ihrer IT-Sicherheitsstrategien vornehmen müssen.
Es ist entscheidend, dass Unternehmen proaktiv handeln, ihre Sicherheitsmaßnahmen evaluieren und gegebenenfalls externe Hilfe in Anspruch nehmen, um die Einhaltung der NIS-2-Richtlinie zu gewährleisten. Auf diese Weise können sie den steigenden Anforderungen an die IT-Sicherheit gerecht werden und sich effektiv gegen wachsende Cyberbedrohungen absichern.
Unser kostenloser IT-Sicherheitscheck - Wann waren Ihre IT-Systeme zum letzten Mal beim Arzt?
3. Welche Unternehmen betrifft die NIS-2-Richtlinie?
Die NIS-2-Richtlinie erweitert den Anwendungsbereich der ursprünglichen NIS-1-Richtlinie, die sich hauptsächlich auf kritische Infrastrukturen konzentrierte, erheblich. Denn in etwa (nur) 5.000 bis 6.000 Unternehmen waren von der NIS-1 betroffen. NIS-2 schließt nun viele weitere Branchen ein, wie Banken, Abwasserentsorgung, IKT-Dienste, Weltrauminfrastruktur, Post- und Kurierdienste sowie das produzierende Gewerbe. Durch diese Erweiterung wird sichergestellt, dass ein breites Spektrum an Sektoren von einem verbesserten Schutz profitiert.
Konkret betrifft NIS-2 öffentliche und private Einrichtungen in 18 Sektoren, die entweder mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz von mindestens 10 Millionen Euro aufweisen. Einige Betriebe betrifft die neue Richtlinie unabhängig von ihrer Unternehmensgröße (z.B. Teile der digitalen Infrastruktur und öffentlichen Verwaltung, alleinige Anbieter, KRITIS).
In Deutschland werden sich bis zum geplanten Inkrafttreten des entsprechenden nationalen Gesetzes am 18. Oktober 2024 voraussichtlich 30.000 bis 40.000 Unternehmen mit den Anforderungen der NIS-2-Richtlinie direkt befassen müssen.
Man kann zwei Gruppen von Unternehmen unterscheiden, die die Anforderungen der NIS-2-Richtlinie erfüllen müssen: sogenannte wesentliche Einrichtungen (Sektoren mit hoher Kritikalität) und wichtige Einrichtungen (Sonstige kritische Sektoren).
SEKTOREN MIT HOHER KRITIKALITÄT (ANHANG I DER NIS-2-RL): | SONSTIGE KRITISCHE SEKTOREN (ANHANG II DER NIS-2-RL): |
---|---|
Energie | Post- und Kurierdienste |
Verkehr | Abfallbewirtschaftung |
Bankwesen | Produktion, Herstellung u. Handel mit chemischen Stoffen |
Finanzmarktinfrastrukturen | Produktion, Verarbeitung und Vertrieb von Lebensmitteln |
Gesundheitswesen | Verarbeitendes Gewerbe/Herstellung von Waren |
Trinkwasser | Anbieter digitaler Dienste |
Abwasser | Forschung |
Digitale Infrastruktur | |
Verwaltung von IKT-Diensten (B2B) | |
Öffentliche Verwaltung | |
Weltraum |
Quelle: Sophos-Whitepaper „NIS2-Richtlinie: Anforderungen – Auswirkungen – Eckdaten“, April 2023
Gut zu wissen: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Unternehmen zur Orientierung eine NIS-2-Betroffenheitsprüfung an. In wenigen Schritten können Sie einen Selbst-Check durchführen.
Achtung, die NIS-2-Betroffenheitsprüfung dient lediglich als erste Orientierungshilfe. Das Ergebnis ist rechtlich nicht bindend, wie das BSI betont.
4. Die Sache mit der Lieferkette - NIS-2 betrifft weitere Betriebe indirekt
Tatsächlich, ein Unternehmen, das vielleicht gar nicht in dieser Sektorenauflistung aufschlägt, könnte von der NIS-2-Richtlinie indirekt betroffen sein.
Denn NIS-2 verlangt auch die Absicherung der gesamten Lieferkette. Daher können Unternehmen, die als Lieferanten oder Dienstleister für Organisationen tätig sind, die unmittelbar unter die NIS2-Regulierung fallen, ebenfalls indirekt von den Vorgaben der neuen Cybersicherheitsrichtlinie betroffen sein. Beispielsweise kann das dadurch vorkommen, dass Anforderungen an die Cybersicherheit in die Einkaufsbedingungen (oder Verträgen) aufgenommen werden, die Organisationen, die unter NIS2 fallen, an ihre Lieferanten stellen.
Dies bedeutet, dass auch wenn Sie womöglich nicht direkt von NIS-2 betroffen sind, könnte Ihr Unternehmen dennoch Teil der Lieferkette eines NIS-2-regulierten Unternehmens sein. Daher sind Sie möglicherweise verpflichtet, die entsprechenden Sicherheitsmaßnahmen zu erfüllen, die Ihnen (vertraglich) auferlegt wurden.
Überprüfen Sie Ihre bestehenden Geschäftsbeziehungen
Demensprechend ist es auch für solche Betriebe sinnvoll, sich jetzt bereits zu informieren, bevor ihre Auftraggeber auf ein höheres Cybersicherheitsniveau drängen. So müssen sie sich diverse Fragen stellen:
- Welche Dienstleister, Geschäftspartner oder Lieferanten müssen in diesem Zusammenhang berücksichtigt werden?
- Welche Verträge müssen in diesem Zusammenhang kontrolliert werden?
- Welche Schnittstellen bestehen in meinem Unternehmen?
Der Einkauf kann hierbei eine unterstützende Rolle übernehmen, da er für die Abwicklung aller Rechnungen zuständig ist. Lieferanten-Zertifikate sind eine der verfügbaren Optionen und bieten eine praktische Lösung. Es ist jedoch entscheidend, dass Verantwortliche diese Aspekte regelmäßig überprüfen.
5. Welche Anforderungen stellt NIS-2 an Unternehmen?
Hier sind die wichtigsten Anforderungen der NIS-2-Richtlinie an den Betrieb von IT-Infrastrukturen in Unternehmen und weiteren Organisationen:
- Risikomanagement und Sicherheitsmaßnahmen
- Risikobewertung: Regelmäßige Überprüfung der Risiken für IT- und Netzwerksysteme.
- Sicherheitsmaßnahmen: Umsetzung technischer und organisatorischer Maßnahmen zur Risikominimierung, einschließlich:
- Netzwerksicherheit: Schutz vor IT-Angriffen.
- Zugriffskontrollen: Nur autorisierte Personen haben Zugang.
- Datenintegrität: Schutz vor unbefugter Veränderung oder Verlust der Daten.
- Verschlüsselung: Sicherstellung der Datenvertraulichkeit.
- IT-Notfallpläne: Erstellung und regelmäßige Checks von IT-Notfallplänen.
- Lieferketten: Unternehmen sind zudem verpflichtet, auch ihre Lieferketten auf IT-Sicherheitskonformität zu kontrollieren. Dies bedeutet, dass auch Zulieferer sowie Geschäftspartner entsprechende IT-Sicherheitsstandards einhalten müssen.
- Vorfallmanagement
- Meldepflicht: Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die zuständigen Behörden gemeldet werden.
- Reaktionsfähigkeiten: Prozesse zur schnellen Erkennung und Reaktion auf Sicherheitsvorfälle, inklusive:
- Erkennung von Vorfällen.
- Maßnahmen zur Eindämmung und Behebung.
- Dokumentation und Berichterstattung über Sicherheitsvorfälle.
- Sicherheitskultur und Ausbildung
- Sensibilisierung: Interne Schulungen zu Cyberrisiken und Sicherheitsmaßnahmen für Mitarbeiter.
- Verantwortlichkeiten: Klare Zuweisung der Cybersicherheitsverantwortung innerhalb der Organisation.
- Kooperation und Informationsaustausch
- Zusammenarbeit: Verpflichtung zur Kooperation mit anderen Unternehmen und Behörden im Bereich der IT-Sicherheit.
- Informationsaustausch: Aktiver Austausch über aktuelle Bedrohungen und Sicherheitsvorfälle.
- Governance und Audit
- Sicherheitsstrategie: Entwicklung und Umsetzung einer umfassenden Cybersicherheitsstrategie.
- Audits: Regelmäßige Überprüfungen der umgesetzten Sicherheitsmaßnahmen.
- Berichtswesen: Regelmäßige Berichte zur Cybersicherheit an die Geschäftsleitung und gegebenenfalls an Aufsichtsbehörden.
- Compliance und Sanktionen
-
- Einhaltung der Vorschriften: Sicherstellung, dass alle NIS-2-Anforderungen erfüllt werden.
- Sanktionen: Definition von Strafen bei Nichteinhaltung der Vorschriften.
Kostenfreies Whitepaper von Sophos: NIS2-Richtlinie - Anforderungen, Auswirkungen, Eckdaten
Das Whitepaper wurde in Zusammenarbeit mit Rechtsanwalt Dr. Paul Vogel von Noerr Partnerschaftsgesellschaft mbB erstellt.
Laden Sie jetzt das kostenlose Sophos Whitepaper zur NIS-2-Richtlinie herunter.
6. Wann genau trifft NIS-2 in Kraft?
Die NIS-2-Richtlinie (EU) 2022/2555 gilt seit 2023 auf EU-Ebene, muss aber bis zum 17.10.2024 in nationales Recht umgesetzt werden. Ansonsten riskieren die EU-Länder Vertragsverletzungen mit der EU.
Am 24.07.2024 beschloss das Bundeskabinett das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ – das NIS2UmsuCG. Demensprechend liegt der Regierungsentwurf für das entsprechende Gesetz (NIS2UmsuCG) schon vor. Im nächsten Schritt geht der Entwurf NIS2UmsuCG in den Bundestag. Dort wird dieser zur Beratung vorgelegt.
Dazu erklärt Bitkom-Präsident Dr. Ralf Wintergerst: „In dem anstehenden parlamentarischen Verfahren müssen noch wichtige Details angepasst werden.“ Experten bezweifeln, dass das Gesetz rechtzeitig in Kraft tritt. Dennoch sollten Unternehmen die Anforderungen frühzeitig umsetzen, da der Aufwand beträchtlich ist.
7. Welche Folgen hat die Nichteinhaltung der NIS-2-Richtlinie?
Werden die Vorgaben der NIS2UmsuCG nicht erfüllt, drohen Unternehmen erhebliche Strafen. Dies könnte der Fall sein bei Verstößen gegen die Risikomanagementmaßnahmen (Art. 1 § 30 im NIS2UmsuCG-Entwurf) oder die Meldepflicht von Sicherheitsvorfällen (Art. 1 § 32 im NIS2UmsuCG-Entwurf).
Je nach Einrichtungsart können Bußgelder von bis zu 10 Millionen Euro oder 2 % des (weltweiten) Jahresumsatzes verhängt werden. Zusätzlich können Image-Schäden das Vertrauen von Kunden und Partnern nachhaltig beeinträchtigen.
Die NIS-2-Richtlinie verlangt, dass eine Geschäftsleitung wesentlicher oder wichtiger Einrichtung die Verantwortung für Cybersicherheitsmaßnahmen übernimmt. Sie ist verpflichtet, Risikomanagementmaßnahmen zu genehmigen und deren Umsetzung zu überwachen. Zudem muss sie sich regelmäßig in Cybersecurity-Themen weiterbilden, insbesondere um IT-Risiken richtig einschätzen und behandeln zu können. Diese Verantwortung kann nicht einfach an die IT-Abteilung abgegeben werden, und eine vertragliche Haftungsbefreiung ist nicht möglich.
Die Führungsebene muss daher über das nötige Wissen und geeignete Strukturen verfügen – besonders dann, wenn es bisher wenig mit der IT-Sicherheit zu tun hatte. Wird dies nicht beachtet, kann die Geschäftsleitung bei Verstößen gegen NIS-2 persönlich haften.
Unser kostenloser IT-Sicherheitscheck - Wann waren Ihre IT-Systeme zum letzten Mal beim Arzt?
8. Sind Sie bereit die Richtlinie umzusetzen?
Das Gesetzgebungsverfahren ist noch im Gange, doch bereits Monate zuvor begannen einige Unternehmen mit der Planung und Umsetzung, ohne die genauen Anforderungen zu kennen. Es zeigt sich, dass es vielen Unternehmen schwerfällt, ihre Betroffenheit durch NIS2 richtig einzuschätzen.
Noch schlimmer: Laut Schätzungen wissen etwa 80% der betroffenen Unternehmen noch nicht, dass Sie jetzt handeln müssen. Zudem erkennen viele Unternehmen, die sich nicht direkt betroffen fühlen, nicht ausreichend, dass sie möglicherweise indirekt von den neuen Regelungen betroffen sein könnten.
Wie oben gesehen, haben betroffene Unternehmen nur noch bis Oktober 2024 Zeit, die Anforderungen der aktualisierten NIS-2-Richtlinie umzusetzen. Diese Aufgabe kann äußerst komplex sein, weshalb es sinnvoll sein kann, externe Unterstützung in Anspruch zu nehmen. Auf diese Weise lässt sich sicherstellen, dass alle Vorgaben eingehalten werden.
Eine große Herausforderung zudem besteht darin, Sicherheitsmaßnahmen laufend anzupassen, da IT-Infrastrukturen ständig im Wandel sind. Die Umsetzung neuer Richtlinien bedeutet für IT-Abteilungen oft einen erheblichen Mehraufwand. Deshalb ist es wichtig, veraltete Sicherheitsrichtlinien zu entfernen und durch aktuelle Standards zu ersetzen.
9. Wie hilft WUD bei der Erfüllung der Anforderungen von NIS-2 an den Betrieb von IT-Infrastrukturen?
Angesichts der Komplexität der NIS-2-Anforderungen und der Kürze der Zeit, in der diese umgesetzt werden müssen, benötigen kleine und mittlere Unternehmen starke und erfahrene IT-Partner.
Als IT-Systemhaus und Managed Service Provider (MSP) bieten wir gemeinsam mit unseren Technologie-Partnern spezialisierte Dienstleistungen und Produkte an, um Unternehmen bei der Umsetzung und Einhaltung der neuen Richtlinie zu unterstützen und ihre Cyber-Resilienz zu erhöhen.
Gemeinsam mit unseren IT-Security-Partnern bieten wir Dienste wie Penetrationstests oder Advanced Threat Protection an. Diese Services stärken Ihre IT-Sicherheitsstrategie und erkennen sowie beheben frühzeitig potenzielle Schwachstellen.
Zudem bietet unser Partner Sophos mit Sophos Phish Threat simulierte Phishing-Cyber-Angriffe und Security-Awareness-Trainings für Unternehmen und Einrichtungen. Das Kursangebot deckt die Bereiche Phishing und Cybersecurity ab und behandelt Themen wie Verhinderung von Datenverlust, Passwort-Schutz und mehr.
Die Synchronized Security Suite von Sophos ermöglicht durch den Austausch von Telemetrie- und Statusdaten ein koordiniertes Erkennen, Isolieren und Beseitigen von Malware auf Servern, Endpoints und Firewalls. So können auch komplexe Angriffe gestoppt werden.
Dabei erhalten Ihre Systeme Unterstützung von einer Kombination innovativer Technologien wie Deep Learning, Anti-Exploit, Active Adversary Protection und Malicious Traffic Detection mit Echtzeit-Bedrohungsdaten aus den SophosLabs. Dadurch können Sie Bedrohungen auf allen Geräten und Plattformen einfach abwehren, erkennen und beseitigen.
Erfüllen Sie die Systemanforderungen von NIS-2
Mit unserem IT-Infrastruktur Partner terraXaler lösen wir zudem direkt drei von fünf technologischen und organisatorischen Sicherheitsanforderungen:
- Netzwerksicherheit: Schutz der Netzwerke vor Cyberangriffen.
- Zugriffskontrollen: Sicherstellung, dass nur autorisierte Mitarbeiter Zugriff auf die Systeme erhalten.
- Datenintegrität: Schutz der Daten vor unbefugten Änderungen oder Verlust.
Bei einem Sicherheitsvorfall ermöglicht terraXaler eine schnelle Wiederherstellung der Arbeitsfähigkeit, während verschlüsselte Daten weiterhin verfügbar bleiben. Dies unterstützt die Zusammenarbeit und den Informationsaustausch mit Versicherungen und staatlichen Stellen im Bereich der Cybersicherheit. Auch bei wiederhergestellter Arbeitsfähigkeit können die verschlüsselten Daten für forensische Untersuchungen und Cyberabwehr bereitgestellt werden.
Wie sieht es bei Ihnen aus? Planen Sie, die neue NIS-2-Richtlinie umzusetzen, oder verunsichert Sie das komplexe Thema weiterhin? Wir und unsere Partner unterstützen Sie gerne bei der technischen Planung und Umsetzung der NIS-2-Richtlinie. Gerne können Sie hier einen Kommentar hinterlassen oder sich direkt bei uns melden. Auf jeden Fall freuen wir uns auf Ihr Feedback!
IT & Business Newsletter
Abonnieren Sie unseren kostenlosen Newsletter und bleiben Sie auf dem Laufenden. Verpassen Sie keine nützlichen Tipps, wie Sie Ihren Geschäftsalltag sicher und effizient gestalten können. Erkundigen Sie sich auch über Trends, die unsere Unternehmenswelt nachhaltig verändern werden.