Ausgelöst durch die zunehmenden Bedrohungen durch Cyberangriffe hat die EU ihre NIS-Richtlinie aus dem Jahr 2016 überarbeitet und verschärft. Die neue NIS2-Richtlinie gilt EU-weit seit Januar 2024 und muss bis Oktober 2024 von den Staaten in nationales Recht umgesetzt werden. Betroffen von den Verschärfungen sind Unternehmen und Organisationen in den kritischen Sektoren. Für sie gelten verpflichtende Sicherheitsmaßnahmen und Meldepflichten, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten. Dieser Artikel gibt Einblicke, auf welche Sektoren die NIS2-Richtlinie zutrifft, welche Verpflichtungen sie mit sich bringt und wie vor allem KMU sie umsetzen können.
Worum geht es bei der NIS2-Richtlinie und welche Unternehmen betrifft sie?
Schon seit 2016 gibt es die EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie). Ihr Ziel war es, einen einheitlichen Rechtsrahmen für den Aufbau von Kapazitäten für die IT-Sicherheit in Unternehmen der kritischen Infrastruktur sowie ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssicherheit zu schaffen. Dieses Ziel verfolgt auch die überarbeitete Version, die NIS2-Richtlinie. Durch einen ausgeweiteten Geltungsbereich und strengere Auflagen möchte die EU Angriffe auf die kritische Infrastruktur und ihre potenziellen Folgen verhindern. Denn die Zahl von Cyberangriffen auf wichtige Einrichtungen wie Stromversorger, Banken oder Krankenhäuser steigt seit Jahren an.
Wer ist von der NIS2-Richtlinie betroffen?
Gerichtet ist die NIS2-Richtlinie an Unternehmen, die als Teil der kritischen und wichtigen Infrastruktur angesehen werden. Dabei teilt die Richtlinie die Organisation in die beiden Hauptgruppen „besonders wichtige Unternehmen“ und „wichtige Unternehmen“ ein:
- Besonders wichtige Unternehmen sind Teil der kritischen Sektoren, die eine zentrale Rolle für Wirtschaft und Infrastruktur in der EU einnehmen. Darunter fallen zum Beispiel die Sektoren Verkehr, Energie, Gesundheit, Wasser und das Bankwesen. Beschäftigen diese Unternehmen mehr als 250 Mitarbeiter und erwirtschaften einen Jahresumsatz von mehr als 50 Millionen Euro bzw. eine Jahresbilanzsumme von mehr als 43 Millionen Euro, gilt die NIS-2 Richtlinie für sie.
- Wichtige Unternehmen wiederum umfassen Organisationen und Firmen, die in weniger kritischen, aber dennoch wichtigen Sektoren agieren. Dazu zählen beispielsweise Unternehmen in der Lebensmittelbranche, Post- und Kurierdienste, Abfallwirtschaft oder Anbieter von digitalen Diensten wie Cloud Computing. Betroffen von NIS2 sind Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz oder einer Jahresbilanzsumme von mehr als 10 Millionen Euro.
Auch Unternehmen, die in den Bereichen der besonders wichtigen Unternehmen tätig sind, aber weniger Mitarbeiter oder Umsatz haben, können in diesen Bereich eingeordnet werden, wenn sie die Voraussetzungen erfüllen.
- Ausnahmen gelten für einige Unternehmen unabhängig von ihrer Größe. TLD-Registrierungen, qualifizierte Vertrauensdienste und DNS-Services sind in jeder Unternehmensgröße von NIS2 betroffen. Ebenso gelten kann das für Zulieferer für Unternehmen, die zu den besonders wichtigen oder wichtigen Sektoren zählen.
Welche Verpflichtungen haben Unternehmen im Rahmen der NIS2-Richtlinie?
Unternehmen sind dazu verpflichtet, selbstständig eine Einschätzung durchzuführen, ob sie von der NIS2-Richtlinie betroffen sind und ob sie zu den wichtigen oder besonders wichtigen Einrichtungen zählen. Nach Einordnung muss eine Registrierung beim Bundesamt für Informationstechnik (BSI) erfolgen und für besonders wichtige Unternehmen zusätzlich ein Informationsaustausch über die zentrale Austauschplattform des BSI. Nach der Registrierung gelten für Unternehmen NIS2-Anforderungen in drei großen Bereichen: Risikomanagement, Sicherheit der Lieferketten und Reaktion und Meldung von Sicherheitsvorfällen.
Fundiertes Risikomanagement als Grundlage
Ein fundiertes Risikomanagement gilt als Grundpfeiler der Umsetzung der NIS2-Richtlinie. Das bedeutet: Unternehmen sind dazu verpflichtet, angemessene organisatorische, technische und operative Maßnahmen für ihre IT-Sicherheit zu ergreifen. Grundlage dafür ist die Erarbeitung einer IT-Sicherheitsstrategie, die die spezifischen Risiken und möglichen Auswirkungen von Sicherheitsvorfällen berücksichtigt.
Sicherheit in Lieferketten
Der Aufbau zuverlässiger Sicherheit in den Lieferketten zählt ebenfalls zu den Anforderungen der NIS2-Richtlinie. Unternehmen sind dazu verpflichtet, sicherzustellen, dass nicht nur sie selbst, sondern auch ihrer Geschäftspartner und Zulieferer angemessene IT-Sicherheitsmaßnahmen etablieren. Verfügt ein Zulieferer eines Automobilherstellers beispielsweise über unzureichende Maßnahmen für die Cybersecurity, können Kriminelle über diesen Zulieferer vertrauliche Daten zu Kunden oder Prototypen des Herstellers abgreifen. Um solche sogenannten Supply-Chain-Angriffe zu verhindern, können Unternehmen vertragliche Vereinbarungen mit ihren Zulieferern schließen, die entsprechende Sicherheitsanforderungen definieren.
Meldepflicht für Sicherheitsvorfälle
Sicherheitsvorfälle müssen laut NIS2 außerdem unverzüglich an die nationale IT-Sicherheitsbehörde gemeldet werden. Unternehmen sind neben der Meldung dazu verpflichtet, Guidelines mit klaren Verfahren und Richtlinien zu etablieren, die den Umgang mit Sicherheitsvorfällen definieren. Das umfasst beispielsweise klare Kommunikationswege, Notfallpläne und Eskalationsverfahren, die häufig in einem Informationssicherheits-Managementsystem (ISMS) hinterlegt sind.
Verantwortlich für die Umsetzung der NIS2-Anforderungen ist die Geschäftsführung des Unternehmens. Sie kann bei Verstößen haftbar gemacht werden: Strafzahlungen von maximal 10 Millionen Euro oder höchstens 2 Prozent des weltweiten Jahresumsatzes sind möglich.
Um die Anforderungen aus den oberen Bereichen erfüllen zu können, hat die NIS2-Richtlinie einige Mindestanforderungen an die IT-Sicherheit definiert. Darunter fallen zum Beispiel:
- Eine dokumentierte Risikoanalyse sowie Sicherheitsmaßnahmen
- Ein Business Continuity Plan zur Sicherstellung der Geschäftskontinuität, etwa durch Krisenmanagement, Systemwiederherstellung und Backup-Management
- Regelmäßige Schulungen zum Thema IT-Sicherheit für alle Mitarbeitenden
- Maßnahmen zur Absicherung der Lieferketten, individuell auf die Lieferketten des Unternehmens angepasst
- Verschlüsselung sensibler Daten nach modernen Standards
- Zugriffskontrollen zur Sicherstellung, dass ausschließlich autorisiertes Personal Zugriff auf kritische Systeme hat
- Verstärkte Authentifizierungsprozesse durch den Einsatz von Multi-Faktor-Authentifizierung
NIS2-Richtlinie erfüllen in 5 Schritten: So können KMU agieren
Zu den besonders wichtigen und wichtigen Unternehmen zählen in Deutschland längst nicht nur große Unternehmen und Konzerne. Auch viele kleine und mittlere Unternehmen (KMU) sind von der neuen NIS-Richtlinie betroffen – häufig auch als Zulieferer zu Unternehmen in der kritischen Infrastruktur. Um die Anforderungen erfüllen zu können, helfen diese 5 Schritte.
1. Klären Sie, ob Ihr Unternehmen betroffen ist
Im ersten Schritt gilt es, herauszufinden, ob Ihr Unternehmen von der NIS2-Richtlinie betroffen ist. Dafür reicht es aus, drei Fragen zu beantworten:
- Ist Ihr Unternehmen innerhalb der EU tätig?
- Zählt Ihr Unternehmen zu den besonders wichtigen oder wichtigen Einrichtungen?
- Erfüllt Ihr Unternehmen die Größenkriterien oder zählt es etwa als Zulieferer zu den Spezialfällen?
Beantworten Sie die Fragen mit Ja, muss Ihr Unternehmen die NIS2-Anforderungen erfüllen.
2. Stellen Sie ein Team zusammen und definieren Sie Verantwortungsbereiche
Auch in kleinen Unternehmen ist es sinnvoll, die Verantwortung für die Umsetzung der NIS2-Anforderungen in mehrere Hände zu legen. Haftbar ist die Geschäftsführung, das umsetzende Team kann aber aus mehreren Rollen bestehen:
- Geschäftsführung
- IT-Leitung
- IT-Sicherheitsexperten
- externe Partner
- weitere relevante Mitarbeiter
Aufgabe ist es, alle Beteiligten, etwa durch eine Schulung, auf den gleichen Wissensstand zum Thema IT-Sicherheit zu bringen, die Geschäftsführung zu informieren und Verantwortliche für die Umsetzung der NIS2-Anforderungen zu definieren. Hilfreich sind dafür neben externer Unterstützung auch die Best Practices und Empfehlungen des BSI für technische Standards.
3. Implementieren Sie Maßnahmen für das Risikomanagement
Für die Implementierung der Risikomanagement-Maßnahmen empfiehlt sich die Einführung eines ISMS. Hier werden alle Maßnahmen, Regeln und Prozesse gesammelt, die IT-Sicherheitshandlungen dokumentieren, überwachen und steuern. Zuerst führen Sie in diesem Zuge eine Risikoanalyse durch, um unter Berücksichtigung des Risikoausmaßes, der Eintrittswahrscheinlichkeit und des aktuellen Stands der Technik passende Sicherheitsmaßnahmen zu definieren. Darunter fällt auch die Schulung aller Mitarbeiter sowie die kontinuierliche Prüfung und Optimierung der getroffenen Maßnahmen.
4. Stellen Sie die Geschäftskontinuität sicher
Anhand eines Business Continuity Plans können Sie den Betrieb Ihres Unternehmens auch im Fall eines Sicherheitsvorfalls aufrechterhalten. Wichtige Bestandteile dieses Plans sind ein Krisenmanagement, Backup-Management und Pläne zur Systemwiederherstellung für den Ernstfall.
5. Etablieren Sie Meldeprozesse
Gibt es in Ihrem Unternehmen einen Sicherheitsvorfall, sind Sie dazu verpflichtet, diesen unmittelbar an das BSI zu melden. Erarbeiten Sie Verfahren und definieren Sie Verantwortliche, damit die Fristen zur Meldung eines Vorfalls eingehalten werden:
- Innerhalb von 24 Stunden muss ein vorläufiger Bericht übermittelt werden.
- Innerhalb von 72 Stunden muss ein vollständiger Bericht inklusive Bewertung des Vorfalls eingereicht werden.
- Innerhalb eines Monats muss ein Abschlussbericht vorgelegt werden.
Umsetzung der NIS2-Richtlinie bis Oktober 2024
Rechtlich gilt die NIS2-Richtlinie in Deutschland ab dem 18. Oktober 2024. Bis zum Tag davor hat der Staat Zeit, die EU-Richtlinie in deutsches Recht umzuwandeln, das dann unmittelbar angewendet werden kann. Ab diesem Tag haben Unternehmen drei Jahre Zeit, nachzuweisen, dass ihre IT-Sicherheitsmaßnahmen NIS2-konform sind. Allerdings gilt: Wurde die Konformität noch nicht nachgewiesen und gibt es einen Sicherheitsvorfall innerhalb dieser drei Jahre, riskieren Unternehmen Bußgelder. Umso wichtiger ist es demnach, so schnell wie möglich mit der Umsetzung zu beginnen – nicht nur aufgrund der neuen gesetzlichen Vorgaben, sondern vor allem, um die kritische Infrastruktur zuverlässig vor Cyberangriffen zu schützen.
