20.09.2024 • Topstory

NIS-2: Was Unternehmen wissen und welche Fehler sie vermeiden sollten

Im Dezember 2022 veröffentlichte die EU die NIS-2-Richtlinie. Ab dem 18. Oktober soll zur Umsetzung der Richtlinie das sogenannte Gesetz NIS2UmsuCG in Kraft treten. NIS-2 ersetzt die NIS-1 Richtlinie zur Gewährleistung der Sicherheit kritischer Infrastrukturen und erweitert zugleich die Anforderungen und die Anzahl der betroffenen Unternehmen. Allein in Deutschland fallen bis zu 30.000 Unternehmen erstmals in den Geltungsbereich. Bei Nichteinhaltung drohen empfindliche Strafen, inklusive der persönlichen Haftung der Geschäftsleitung. Das müssen Unternehmen jetzt wissen.

Alexander Peters, SE Leader Dach bei Mimecast

EU-Flagge mit der Inschrift NIS-2 und NIS2UmsuCG

Die Vernetzung von IT-Systemen hat zu Verschärfungen bestehender Gesetze zur Cyberabwehr geführt. Die aktualisierte Richtlinie über Maßnahmen zur Gewährleistung eines robusten gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der EU (NIS-2) stellt vor allem in kleinen und mittelständischen Unternehmen Geschäftsleitung und IT-Verantwortliche vor Herausforderungen.

Das ändert sich mit NIS-2

Profilfoto von Alexander Peters SE Leader DACH bei Mimecast
Alexander Peters, SE Leader DACH bei Mimecast
© Mimecast

Eine der wichtigsten Änderungen ist die Ausweitung des Geltungsbereichs. Während NIS-1 hauptsächlich große Unternehmen in Sektoren mit hoher Kritikalität betraf, umfasst NIS-2 auch mittelgroße Unternehmen ab 50 Mitarbeitern und / oder 10 Mio. EUR Umsatz in Energie, Transport, Finanz- oder Gesundheitswesen. Hinzugekommen sind Sektoren, von denen einige auf den ersten Blick nicht unbedingt „kritisch“ für die Daseinsvorsorge erscheinen. Dazu gehören Medien- und Streaming-Dienste sowie deren technische Infrastruktur einschließlich Satellitendiensten, Content Delivery Networks (CDNs) und Datenzentren. Einen Überblick über die Sektoren finden Interessierte über den entsprechenden QR-Code am Ende des Beitrags.

Mit NIS-2 werden die Sicherheitsanforderungen strenger. Sie umfassen Maßnahmen zum Risikomanagement, zur Schulung und Sensibilisierung (Awareness Training und Human Risk Management), zur Berichterstattung, zur Meldung und Reaktion auf Vorfälle (Incident Response) sowie technische Maßnahmen und verstärkte Governance. Schärfere Sanktionsmechanismen sollen die Einhaltung sicherstellen und Verantwortlichkeiten in Unternehmen klarer definieren.

Gehört mein Unternehmen zur Kritischen Infrastruktur?

Ob sie betroffen sind, finden Entscheider heraus, indem sie die in NIS-2 definierten Sektoren ebenso wie die Unternehmensgröße überprüfen. Darüber hinaus bietet das BSI Unternehmen Informationen und Unterstützung, um festzustellen, ob sie zur KRITIS gehören. 

Daneben gibt es öffentlich zugängliche, kostenlose NIS-2-Checker. Sie können zwar keine rechtsverbindliche Einordnung, aber eine erste Einschätzung geben. Die Betroffenheitsanalyse obliegt den Unternehmen selbst. Sie werden nicht informiert, ob sie bzw. ihre Kunden von NIS-2 betroffen sind. Letzteres ist wichtig, weil Unternehmen auch zur Berücksichtigung von Cyberrisiken innerhalb der Lieferkette verpflichtet sind.

Das müssen Unternehmen tun, um den Anforderungen gerecht zu werden

Der erste Schritt zur Einhaltung der NIS2-Richtlinie ist eine Sicherheitsanalyse. Diese Bestandsaufnahme dient dazu, den Ist-Zustand zu bewerten, kritische Prozesse und ihre Abhängigkeit von Netzwerk- und Informationssystemen zu ermitteln und Schwachstellen zu identifizieren. Sie bildet die Grundlage für die Entwicklung eines robusten Risikomanagements. 

Auf organisatorischer Ebene sind Verfahren zur Behandlung von Sicherheitsvorfällen (Incident Response) sowie regelmäßige Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter (Awareness Training und Human Risk Management) entscheidend. Auch ein System zur schnellen Erkennung und Meldung von Sicherheitsvorfällen sowie zur effektiven Krisenbewältigung, Systemwiederherstellung, Gewährleistung der Geschäftskontinuität und Erfüllung der Meldepflichten ist unerlässlich. Ebenso ist die Registrierung beim BSI selbst ein wesentlicher Teil der Compliance.

Diese Maßnahmen müssen Unternehmen mindestens umsetzen

Dazu zählen die Bewältigung von Sicherheitsvorfällen durch ein koordiniertes Incident Response Management und die Integration von Application Programming Interfaces (APIs), also Programmierschnittstellen für sichere Kommunikation, von Partnern wie CrowdStrike, Netskope und Palo Alto. Die Aufrechterhaltung und Wiederherstellung der Systeme umfasst das Backup- und Krisen-Management im Rahmen von Business Continuity sowie „Sync & Recover“. Die Gewährleistung der Sicherheit der Lieferkette, der Einrichtungen und der Dienstleister erfordert Maßnahmen zum Erkennen von Supply-Chain-Attacken. Die Bewertung der Effektivität von Cybersicherheit und Risikomanagement muss ein konsequentes Human Risk Management einbeziehen. Schulungen zur Cybersicherheit und Cyberhygiene sind ebenfalls vorgeschrieben und werden durch Awareness-Trainings und die zielgenaue Anpassung von Sicherheitsmaßnahmen an Risikoprofile unterstützt. 

Zudem ist die sichere Kommunikation, einschließlich Sprach-, Video- und Textkommunikation zu gewährleisten. Lösungen für die Sicherheit von E-Mail- und Collaboration-Tools helfen, Cyberangriffe wie Phishing und Quishing (Phishing über QR-Codes) zu erkennen und schädliche Nachrichten zu blockieren. Eine zentral gemanagte Angriffserkennung und -abwehr hilft auch, bei einem Vorfall die engen Meldefristen einzuhalten. Sicherheitslösungen für Collaboration-Tools schützen die Kommunikation und Datenübertragung auf Plattformen wie Teams oder Slack und helfen so, die Anforderung der Sicherung von Sprach-, Video- und Textkommunikation zu erfüllen. Weitere Maßnahmen umfassen Domain-based Message Authentication, Reporting & Conformance (DMARC) zur Verhinderung von E-Mail-Spoofing (Vortäuschen eines falschen Absenders) sowie Endpoint Detection and Response (EDR)-Lösungen.

In Deutschland müssen sich betroffene Unternehmen zudem beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Das BSI wird dafür entsprechende Plattformen und Meldewege zur Verfügung stellen. Die Registrierung umfasst die Bereitstellung relevanter Unternehmensdaten sowie Informationen zu den getroffenen Sicherheitsmaßnahmen. Ein weiterer wichtiger Punkt sind die Meldepflichten: Unternehmen sind verpflichtet, schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden an die zuständigen Behörden zu melden, innerhalb von drei Tagen einen Bericht und innerhalb von einem Monat einen Fortschritts- oder Abschlussbericht einzureichen. Nur dann sind Unternehmen und ihre Geschäftsführungen auf der sicheren Seite.

Persönliche Haftung der Geschäftsleitung und Strafen bei Verstößen

Bei Verstößen drohen Unternehmen hohe Bußgelder bis 10 Mio. Euro oder 2 % des weltweiten Umsatzes. Zudem können Geschäftsführer persönlich haftbar gemacht werden. Diese Verschärfung der Haftungsvorschriften soll sicherstellen, dass Cybersicherheit zum integralen Bestandteil der Unternehmensführung wird. Werden die in NIS-2 definierten Vorgaben nicht erfüllt, können die Behörden bei einem Vorfall die verantwortlichen Führungskräfte zur Rechenschaft ziehen. 

Die Richtlinie verlangt, dass die Geschäftsführung aktiv in die Entwicklung und Umsetzung der Cybersicherheitsstrategie des Unternehmens eingebunden ist. Das umfasst die Durchführung regelmäßiger Risikoanalysen, die Implementierung geeigneter Sicherheitsmaßnahmen, die Sicherstellung, dass alle Mitarbeitenden entsprechend geschult und sensibilisiert sind sowie die eigene Teilnahme an Schulungen. Die Verantwortung für Cybersicherheit wird damit von der IT-Abteilung auf die Führungsebene des Unternehmens ausgedehnt.

KRITIS-Dachgesetz und NIS-2 Umsetzungsgesetz

Das KRITIS-Dachgesetz und die NIS-2-Richtlinie ergänzen sich und schaffen einen umfassenden rechtlichen Rahmen für den Schutz kritischer Infrastrukturen. Während das KRITIS-Dachgesetz nationale Anforderungen und Durchsetzungsmechanismen festlegt, harmonisiert NIS-2 die Maßnahmen auf europäischer Ebene. Unternehmen müssen sowohl die nationalen als auch die europäischen Vorgaben erfüllen, was eine enge Abstimmung und kontinuierliche Überprüfung der Einhaltung beider Rechtsrahmen erfordert. Das Inkrafttreten des deutschen NIS2-Umsetzungsgesetzes (NIS2UmsuCG) – also des Gesetzes, das die NIS2-Richtlinie der EU in nationales Recht überführt und das bislang als Referentenentwurf vorliegt – wird sich voraussichtlich jedoch noch etwas verzögern.

Aktueller Stand der Nachweispflichten

Mehr zum Thema

Photo
Photo

Am 3. Juni 2024 fand eine Verbändeanhörung auf Grundlage des Referentenentwurfs vom 7. Mai 2024 statt. Bei Nachweiszyklus und Nachweispflichten sind Erleichterungen vorgesehen: Nachweispflichten sollen nur noch für Betreiber kritischer Anlagen gelten und nicht mehr für „besonders wichtige Unternehmen“. Das reduziert den Aufwand für viele betroffene Unternehmen, die damit keine separaten Nachweis-Audits mehr durchführen müssen. In Reaktion auf einen häufigen Kritikpunkt wurde zudem der Nachweiszyklus von zwei auf drei Jahre verlängert. Das ermöglicht eine bessere Abstimmung mit etablierten Zertifizierungsnormen wie ISO/IEC 27001 und erleichtert kombinierte Audits. 

Betroffene Unternehmen entbindet das allerdings nicht von der Verantwortung, die Vorgaben umzusetzen. Alle Maßnahmen bleiben gültig und Verstöße dagegen strafbewehrt. Auch hinsichtlich der Betroffenheitsprüfung ist der Rechtsrahmen bekannt. Auf die lange Bank schieben sollten Unternehmens- und IT-Verantwortliche das Thema nicht, denn die Umsetzung kann je nach aktuellem Stand Wochen bis Monate in Anspruch nehmen.

Diese fünf Fehler sollten Sie vermeiden

  • Unterschätzen Sie nicht die Ausweitung des Geltungsbereichs. Stellen Sie sicher, dass Ihr Unternehmen die neuen Sektoren und Schwellenwerte von NIS-2 überprüft, um festzustellen, ob es betroffen ist.
  • Vernachlässigen Sie nicht die Registrierung beim BSI. Eine ordnungsgemäße Registrierung und kontinuierliche Berichterstattung sind essenziell, um die Compliance mit der NIS-2-Richtlinie sicherzustellen.
  • Ignorieren Sie nicht die Bedeutung des Risikomanagements. Entwickeln Sie ein robustes Risikomanagement inklusive technischer und organisatorischer Maßnahmen und führen Sie regelmäßige Sicherheitsanalysen durch, um Schwachstellen zu identifizieren und zu beheben.
  • Verzichten Sie nicht auf regelmäßige Schulungen und Sensibilisierungsmaßnahmen. Sorgen Sie dafür, dass alle Mitarbeitenden über die neuesten Bedrohungen und Sicherheitspraktiken informiert und entsprechend geschult sind.
  • Unterschätzen Sie nicht die persönliche Haftung der Geschäftsleitung. Die Geschäftsführung muss aktiv in die Cybersicherheitsstrategie eingebunden sein, da sie bei Verstößen persönlich haftbar gemacht werden kann.

Business Partner

Mimecast Germany GmbH

Kistlerhofstr. 172
81379 München
Deutschland

Kontakt zum Business Partner







Meist gelesen