Ein Blick auf die Bedeutung von NIS-2 für Unternehmen in Deutschland

In einer zunehmend digitalisierten Welt, in der Daten das Rückgrat der Wirtschaft und anderen Organisationen bilden, ist die Sicherheit von Informationen und deren Strukturen von entscheidender Bedeutung. Die Europäische Union hat diese Herausforderung erkannt und reagiert mit der Einführung der Netz- und Informationssicherheitsrichtlinie 2 (NIS-2).
Ziel dieser Richtlinie ist es, die Cyber- und Informationssicherheit innerhalb der EU zu regeln und zu stärken.

NIS-2 und Cyberresilienz

Die NIS-2-Richtlinie – Network and Information Security (NIS) Directive bzw. Richtlinie (EU) 2022/2555 (NIS-2) –  ist bereits am 16.01.2023 in Kraft getreten und regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen. 
In Deutschland tritt das Umsetzungsgesetz hierzu zum 18.10.2024 in Kraft. (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG)

Ziel ist ein höheres gemeinsames Cybersicherheitsniveau in der Europäischen Union und erweitert die Cybersicherheitsanforderungen und die Sanktionen.
 – Stichwort Cyberresilienz.

Cyberresilienz bezeichnet dabei die Fähigkeit einer Organisation, sich gegen Cyberangriffe zu verteidigen, diese zu bewältigen und sich schnell zu erholen, um einen normalen kontinuierlichen Geschäftsbetrieb aufrechtzuerhalten.

Hintergründe, massiv steigende Risiken

Hinter Cyberbedrohungen wie Angriffen auf Infrastrukturen können terroristische, kriminelle oder militärische Motive stehen: Die steigenden Cyber-Risiken für Organisationen resultieren aus geopolitischen Verflechtungen und kriegerischen Konflikten, der Verbreitung von KI und der zunehmenden Umstellung auf Remote-Zugriffe und Telearbeit. Die Tatsache, dass fast die Hälfte der Organisationen bereits Opfer von Cyberangriffen geworden ist und neue KI-gestützte Angriffstechniken ungeahnte neue Schadenspotentiale bringen werden, unterstreicht die Dringlichkeit, angemessene Sicherheitsmaßnahmen zu ergreifen.

Betroffenheitskriterien gemäß NIS-2: Wer muss sich anpassen?

Unternehmen in Deutschland, insbesondere solche, die als Anbieter wesentlicher Dienste (OES) gelten oder als digitale Dienstanbieter (DSP) agieren, sind von der NIS-2 betroffen. Diese Unternehmen sind verpflichtet, angemessene Sicherheitsmaßnahmen zu ergreifen, um die Auswirkungen von Cyberangriffen zu minimieren und die kontinuierliche Verfügbarkeit ihrer Dienste zu gewährleisten. NIS-2 kennt also wesentliche und wichtige Organisationen. Aber auch mittlere Unternehmen über 50 Beschäftigte oder 10 Millionen Euro Umsatz aus bestimmten Sektoren können hiervon ebenfalls betroffen sein.

– Stichwort Lieferkette. Verpflichtungen können sich aber auch für die Lieferkette ergeben, also für Dienstleister und Lieferanten, welche für wesentliche und wichtige Organisationen tätig sind, etwa IT-Dienstleister. In Automobilzulieferketten, Flugzeug- und Rüstungsindustrie sind strenge Vorgaben an die Informationssicherheit allerdings ohnehin schon weit verbreitet, wenn nicht zwingend von der Industrie vorgegeben. Auch unabhängig von einer Betroffenheit durch NIS-2 sind angesichts massiv steigender Bedrohungen Verbesserungen des Cybersicherheitsniveaus auch in anderen Unternehmensbereichen dringend erforderlich.

Und was ist mit kritischen Infrastrukturen?

Die BSI-KritisV (Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz) zielt auf kritische Infrastrukturen in Deutschland und legt Anforderungen an die IT-Sicherheit fest. (Vgl. dazu die FAQ zur BSI-Kritisverordnung direkt beim BSI)
Während die BSI-KritisV auf nationalem Level in Deutschland gilt und sich auf bestimmte Sektoren konzentriert, ist NIS-2 auf EU-Ebene anwendbar und betrifft jetzt eine wesentlich breitere Palette von Unternehmen und Dienstleistern, auch weit über den Bereich der KRITIS-Unternehmen hinaus.

Meldepflichten und Strafregelungen unter NIS-2: Was steht auf dem Spiel?

Unternehmen müssen Sicherheitsvorfälle den nationalen Behörden melden und entsprechende Maßnahmen zur Bewältigung ergreifen. Die Nichteinhaltung dieser Vorschriften kann zu erheblichen Geldstrafen führen. Darüber hinaus sollten Geschäftsführer beachten, dass die Haftung für die Umsetzung der NIS-2-Anforderungen auch persönliche Konsequenzen haben kann, einschließlich der Inanspruchnahme ihres Privatvermögens.

Die Regelungen hierzu gleichen den Meldepflichten aus der DSGVO:

Innerhalb von 24 Stunden muss bei Vorfällen betroffener Organisationen eine Erstmeldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgen. Nach 72 Stunden muss die Erstmeldung spätestens aktualisiert und eine Ersteinschätzung des Vorfalls vorgenommen werden. Darüber hinaus gibt es Pflichten zur umfassenden Abschlussmeldung und zur Registrierung beim BSI.

– Stichwort Haftung und Geldbußen. Geschäftsführer und Führungskräfte können persönlich haftbar gemacht werden, wenn wesentliche Geschäftsbereiche nicht angemessen sicher umgesetzt werden. Hierbei können Geldbußen von bis zu 10 Millionen Euro oder 2 % des Gesamtumsatzes für größere Unternehmen und 7 Millionen Euro oder 1,4 % des Gesamtumsatzes für kleinere Unternehmen verhängt werden. Die Regulierungsbehörde kann darüber hinaus auch den Geschäftsbetrieb des Unternehmens aussetzen, wenn dies aus Gründen der Netzsicherheit erforderlich ist.

Geschäftsführer haften für die Umsetzung der Maßnahmen zur Cybersicherheit!

Strukturierte Umsetzung, Sensibilisierung für das Thema Cybersicherheit durch Schulungen sowie Überwachung sind Schlüsselthemen.

Warum ist ein strukturiertes Vorgehen zur Verbesserung der Cybersicherheit unerlässlich?

IT- und informationsgetriebene Unternehmen stehen vor der Herausforderung, ihre Cyber- und Informationssicherheit aufrechtzuerhalten, um nicht nur gesetzliche Anforderungen zu erfüllen, sondern auch das Vertrauen ihrer Kunden und Partner zu wahren. Bricht die Verteidigungslinie der Informationstechniken durch Angriffe zusammen, stellt das nebenbei ein enormes ökonomisches Risiko der Unternehmen dar – was jedem einleuchten sollte.

– Stichwort ISMS: ein Information Security Management System / ISMS bietet dabei eine strukturierte Herangehensweise zur Verwaltung und Sicherung von Informationen in einer Organisation. Es trägt dazu bei, Cyberrisiken zu minimieren und die Resilienz einer Organisation gegenüber Cyberangriffen zu stärken, indem es einen strukturierten und proaktiven Ansatz zur Informationssicherheit bietet.

Zehn Stichpunkte zur Verbesserung der Sicherheit

  1. Awareness-Schulungen Ihrer Beschäftigten: Sensibilisierung für Cyberbedrohungen, Schulung in Sicherheitsprotokollen & Richtlinien.
  2. Backup & Recovery-Management: Regelmäßige Sicherung und Überprüfung von Daten, um im Falle eines Sicherheitsvorfalls schnell wiederherstellen zu können.
  3. Notfall- und Krisenmanagement: Entwicklung von Plänen zur effektiven Reaktion auf Sicherheitsvorfälle, um Ausfallzeiten zu minimieren.
  4. Risikoanalyse/ Sicherheitskonzepte für Informationssysteme: Identifizierung von Schwachstellen, Implementierung und kontinuierliche Verbesserung geeigneter Sicherheitsmaßnahmen. Hierzu gehört insbesondere auch die eigene Lieferkette – eigene Auftragsverarbeiter, IT-Dienstleister, Agenturen mit Zugriffsrechten etc.
  5. Nutzung von Kryptographie und Verschlüsselung: Schutz sensibler Daten durch Verschlüsselungstechnologien.
  6. Sicherheit der Kommunikation: Absicherung von Netzwerken und Kommunikationskanälen gegen unbefugten Zugriff. Notfallkommunikation.
  7. Zugriffsmanagement: Kontrolle und Überwachung des Zugriffs auf sensible Informationen und Systeme.
  8. Sicherheitsmaßnahmen in der Lieferkette: Berücksichtigung der Sicherheit bei der Auswahl von Lieferanten und Partnern. (vgl. auch die Anforderungen nach 28 DSGVO hierzu!)
  9. Business Continuity Management: Sicherstellung der Geschäftskontinuität auch unter widrigen Umständen.
  10. Bewältigung von Sicherheitsvorfällen: Schnelle Reaktion und Wiederherstellung nach einem Sicherheitsvorfall, um Schaden zu begrenzen. Konsequenzen aus den Vorfällen ziehen und Risiken neu bewerten.

Mehr Datenschutz durch mehr Sicherheit

Die Berücksichtigung dieser Stichpunkte kommt nebenbei auch dem DATENSCHUTZ in der Organisation zugute:
Mehr Informationssicherheit durch diese Maßnahmen bedeutet auch mehr Sicherheit für personenbezogene Daten.
– Stichwort TOM: Umgesetzte Maßnahmen, welche auch dem Schutz der personenbezogenen Daten und zur Sicherheit der Verarbeitung getroffen wurden, sind zumeist auch als technische und organisatorische Maßnahmen = TOM zu sehen.

Investitionen in die eigene Sicherheit

Investitionen in Cybersicherheit sind nicht nur eine gesetzliche Verpflichtung, sondern stellen auch eine strategische Notwendigkeit dar, um den langfristigen Erfolg und das Überleben ihres Geschäfts zu sichern. Die NIS-2 ist ein wichtiger Schritt der EU, um die Sicherheit im digitalen Raum zu stärken –  Unternehmen sollten dies als Chance betrachten, ihre Resilienz gegenüber Cyberbedrohungen zu verbessern und ihr Vertrauen bei Kunden und Stakeholdern zu festigen. Verstöße gegen die Cybersicherheit und oftmals damit verbundene Datenschutzverstöße stellen auch ein enormes finanzielles Risiko dar, bis hin zur Existenzbedrohung – Verbesserungen durch Investitionen in Sicherheit und modere IT-Technik können sich also in vielerlei Hinsicht lohnen.

Man kann die zunehmende Dringlichkeit für Organisationen vom KMU bis hin zu großen Unternehmen hin nur wiederholt unterstreichen, sich den steigenden Cyberrisiken zu stellen und umfassende Sicherheitsmaßnahmen zu ergreifen, um sich effektiv vor Cyberangriffen zu schützen.

Das BSI bietet auf seinen Seiten nützliche Tipps und Links, darunter die
Basismaßnahmen der Cyber-Sicherheit v2.0 oder Management von Schwachstellen und Sicherheitsupdates – Empfehlungen für kleine Unternehmen und Selbstständige v2.0 sowie zum IT-Grundschutz des BSI.

Die IT-Grundschutz-Bausteine des BSI (hier als PDF) sollten bei den Verantwortlichen für die Informationssicherheit in jeder Organisation bekannt sein – auch unabhängig von bestehenden Verpflichtungen aus der NIS-2-Richtlinie.