NIS-2: Ist Ihr Unternehmen vorbereitet?

Mit der NIS-2-Richtlinie will die Europäische Union den Schutz kritischer Infrastrukturen vor Cyberrisiken verbessern. NIS-2 schreibt umfassendere Maßnahmen für das Risikomanagement vor als die 2016 verabschiedete NIS-1-Richtlinie und erweitert zudem den Kreis der betroffenen Organisationen. Die neue Richtlinie wurde am 27. Dezember 2022 von der EU veröffentlicht. Alle EU-Mitgliedstaaten haben nun bis zum 17. Oktober 2024 Zeit, die Anforderungen von NIS-2 in nationales Recht umzusetzen.

Durch NIS-2 erhöht sich die Zahl der regulierten Unternehmen deutlich. Experten schätzen, dass europaweit mehr als 100.000 Betriebe und Organisationen hinzukommen. Die Richtlinie gilt für Unternehmen in insgesamt 18 verschiedenen Sektoren – sogenannte „Essential Entities“ aus elf Bereichen sowie „Important Entities“ aus sieben weiteren Branchen. Neben klassischen KRITIS-Betreibern wie Energieversorgern, Krankenhäusern und Finanzdienstleistern zählen dazu auch produzierende Unternehmen, Lebensmittelhersteller, Betriebe der Abfallwirtschaft sowie Forschungseinrichtungen. Betroffen sind grundsätzlich Organisationen ab 50 Beschäftigten und einem Jahresumsatz von mindestens zehn Millionen Euro. Bestimmte Betreiber – etwa im Bereich der digitalen Infrastruktur – werden sogar unabhängig von ihrer Größe reguliert. 

NIS-2 verschärft für die betroffenen Unternehmen die Maßnahmen und Meldepflichten im Bereich der Cybersicherheit. Unter anderem müssen Organisationen nun auch Sicherheitsrisiken in ihren Lieferketten und Lieferantenbeziehungen adressieren. Darüber hinaus legt NIS-2 Mindeststandards für Themen wie Incident Management, Business Continuity und Zugangskontrolle fest. Bei Verstößen gegen diese Standards drohen künftig deutlich härtere Sanktionen. Je nach Sektor können Strafen von bis zu zehn Millionen Euro bzw. zwei Prozent des Jahresumsatzes verhängt werden. 

Wichtig ist vor allem, dass Unternehmen jetzt keine Zeit verlieren. Das Gesetz zur Umsetzung der NIS-2-Richtlinie (NIS2UmsuCG) ist bereits in Vorbereitung und wird spätestens im Oktober 2024 in Kraft treten. Alle betroffenen Unternehmen sollten sich daher frühzeitig mit den neuen Anforderungen vertraut machen, damit sie diese rechtzeitig erfüllen können. 

Insbesondere für Organisationen, die bisher noch nicht zu den KRITIS-Betreibern zählten, ist der Umsetzungszeitraum recht kurz. Wir empfehlen diesen Organisationen, so schnell wie möglich die technischen und organisatorischen Maßnahmen zu ergreifen, um ihre IT und Prozesse angemessen zu schützen. Dabei ist es sinnvoll, sich an den Standards von ISO/IEC 27001 zu orientieren. Damit sind Unternehmen sehr gut auf den Maßnahmenkatalog des neuen Gesetzes vorbereitet.

Wir beraten Unternehmen schon seit Jahren zur Umsetzung von KRITIS-Anforderungen und begleiten sie auch bei der Zertifizierung nach ISO/IEC 27001. Im ersten Schritt führen wir dabei eine Bestandsaufnahme der vorhandenen Leitfäden und Richtlinien durch. Wir bewerten, wie die Reaktionen auf einen Sicherheitsvorfall organisiert und dokumentiert sind – und zeigen auf, wo aktuell noch Lücken bestehen. Im zweiten Schritt der Analyse geht es dann auch um technische Aspekte: Welche Sicherheitslösungen sind derzeit im Einsatz? Welche möglichen Angriffspunkte erfordern besonderen Schutz? Wie würde sich eine Attacke auf die Infrastruktur und auf die Business-Prozesse des Unternehmens auswirken? Unser Ziel ist, dem Kunden ein möglichst umfassendes Bild seiner aktuellen Sicherheitslage zu vermitteln. 

Viele Unternehmen wissen, dass in den letzten Jahren die Gefahr von Cyberangriffen massiv gestiegen ist. Dennoch ist dem Management oft noch nicht bewusst, welche dramatischen Folgen beispielsweise eine Ransomware-Attacke für den Geschäftsbetrieb haben kann. Die NIS-2-Richtlinie unterstreicht noch einmal, dass Geschäftsführer persönlich für die Umsetzung der entsprechenden Sicherheitsmaßnahmen in ihrem Unternehmen haften. 

Gerade die Notfallpläne von Unternehmen sind oft nur sehr rudimentär ausgearbeitet und noch nie einem echten Test unterzogen worden. Dabei gibt es heute leistungsfähige Tools, um mit überschaubarem Aufwand ein softwaregestütztes Notfallhandbuch zu erstellen. Die darin definierten Ansprechpartner und Prozesse lassen sich zudem bei Bedarf ganz einfach aktualisieren. So ist jederzeit ein effizientes Krisenmanagement sichergestellt. 

Einen hundertprozentigen Schutz vor Cyberbedrohungen gibt es nicht. Organisationen müssen daher in der Lage sein, Angriffe möglichst schnell zu erkennen, um rechtzeitig Gegenmaßnahmen einleiten zu können. Dafür empfiehlt sich der Einsatz von SIEM-Lösungen, die eine Echtzeit-Überwachung von IT-Infrastrukturen ermöglichen. Darüber hinaus sind leistungsfähige Backup-Lösungen heute unverzichtbar. Damit können Unternehmen nach einem Angriff in kurzer Zeit alle betroffenen Daten und Systeme wiederherstellen. Nicht zuletzt sollten Unternehmen verstärkt in Awareness-Maßnahmen investieren. Gerade KRITIS-Betreiber müssen regelmäßig Schulungen zur Cybersicherheit durchführen, um ihre Beschäftigten für aktuelle Risiken zu sensibilisieren und das Verhalten in kritischen Situationen zu trainieren. Die NIS-2-Richtlinie weist explizit auf diese Verpflichtung hin. 

Durch die Zusammenarbeit mit spezialisierten Partnern wie enthus können Unternehmen Kompetenzlücken schließen. Einige unserer Kunden besetzen inzwischen selbst Schlüsselpositionen wie den Chief Information Security Officer mit externen Spezialisten. Diese helfen mit ihrer Expertise und Erfahrung, die Umsetzung der notwendigen Maßnahmen voranzutreiben und das Thema auch auf Managementebene zu verankern.