NIS2: Sicherheit und Compliance für Ihre IT

Die NIS2-Richtlinie verfolgt das übergeordnete Ziel, ein hohes Maß an Cybersicherheit in der Europäischen Union zu gewährleisten und die Resilienz kritischer Wirtschaftssektoren zu stärken. Dies soll durch die Einführung von Mindestanforderungen an die IT-Sicherheit und die Schaffung eines gemeinsamen Rahmens für den Schutz von Netz- und Informationssystemen erreicht werden.

Konkret setzt die NIS2-Richtlinie folgende Ziele um:

1. Erhöhung der Cybersicherheit: Die NIS2-Richtlinie fordert Unternehmen dazu auf, ihre IT-Sicherheitsmaßnahmen zu verstärken, um sich besser gegen Cyberangriffe zu schützen. Dazu gehört die Implementierung von Risikomanagementstrategien und technischen Schutzmaßnahmen, die den neuesten Sicherheitsstandards entsprechen.
2. Verbesserung der Resilienz: Die Resilienz von kritischen Sektoren und Infrastrukturen gegenüber Bedrohungen wird gestärkt. Durch präventive Sicherheitsmaßnahmen und schnellere Reaktionsfähigkeit auf Sicherheitsvorfälle soll sichergestellt werden, dass Unternehmen und Organisationen nach einem Vorfall rasch wieder betriebsfähig sind.
3. Schutz der europäischen Wirtschaft: Ein zentrales Ziel der NIS2 ist es, die Widerstandsfähigkeit der europäischen Wirtschaft gegen Cyberbedrohungen zu erhöhen. Sektoren, die für das wirtschaftliche und soziale Wohl der EU entscheidend sind, wie Energie, Gesundheit, Verkehr und Finanzen, müssen besonders geschützt werden, um die Kontinuität von Dienstleistungen zu gewährleisten.
4. Einheitliche Umsetzung in der EU: Ein weiterer wichtiger Aspekt der NIS2-Richtlinie ist die Harmonisierung der Cybersicherheitsstandards in den Mitgliedstaaten der EU. Durch einheitliche Vorgaben soll sichergestellt werden, dass alle betroffenen Unternehmen unabhängig von ihrem Standort in der EU ähnliche Sicherheitsvorkehrungen treffen und auf einem vergleichbaren Sicherheitsniveau agieren.
5. Verbesserte Zusammenarbeit und Berichterstattung: Die Richtlinie fördert die Zusammenarbeit zwischen den Mitgliedstaaten der EU sowie zwischen Unternehmen und nationalen Behörden. Dazu gehört unter anderem die Meldepflicht für Sicherheitsvorfälle, die eine schnelle Reaktion und bessere Koordination auf nationaler und europäischer Ebene ermöglicht.

Insgesamt dient die NIS2-Richtlinie dazu, die Cybersicherheit als Schlüsselaspekt der modernen Wirtschaft zu verankern und die Widerstandskraft der europäischen Wirtschaft und Gesellschaft gegenüber digitalen Bedrohungen zu stärken.

In Deutschland wird die NIS2-Richtlinie durch das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ in nationales Recht überführt. Der Entwurf dieses Gesetzes wurde am 22. Juli 2024 vom Bundeskabinett verabschiedet. Die Federführung des Gesetzgebungsverfahrens liegt beim Bundesministerium des Innern und für Heimat (BMI). Mit diesem Gesetz sollen die Anforderungen der EU-Richtlinie (EU 2022/2555) in Deutschland rechtsverbindlich gemacht werden.

Zeitplan der Umsetzung:

Obwohl der 17. Oktober 2024 ursprünglich als Termin für die Umsetzung der NIS2-Richtlinie festgelegt wurde, ist es unwahrscheinlich, dass dieses Datum eingehalten wird. Es wird erwartet, dass das Gesetz Anfang 2025 endgültig verabschiedet wird. Unternehmen sollten sich darauf einstellen, dass es keine Übergangsfrist geben wird, sodass die Einhaltung der neuen Anforderungen ab Inkrafttreten des Gesetzes notwendig ist.

Schritte zur nationalen Umsetzung:

1. Bundeskabinett: Der Gesetzesentwurf wurde im Juli 2024 verabschiedet.
2. Parlamentarisches Verfahren: Das Gesetz muss nun den Bundestag und Bundesrat durchlaufen, bevor es in Kraft tritt.
3. Voraussichtlicher Inkrafttreten: Anfang 2025, mit sofortiger Wirkung für betroffene Unternehmen.

Unternehmen in Deutschland, die unter den Geltungsbereich der NIS2 fallen, sollten bereits jetzt mit der Umsetzung der Anforderungen beginnen, um Verzögerungen oder Verstöße gegen die neue Gesetzgebung zu vermeiden. Die Anpassung ihrer Sicherheitsstrategien und die Implementierung von Risikomanagementmaßnahmen werden zentral für die Einhaltung der NIS2-Vorgaben sein.

Die NIS2-Richtlinie erweitert ihren Geltungsbereich erheblich im Vergleich zur vorherigen NIS-Richtlinie und umfasst nun eine größere Anzahl von Unternehmen und Sektoren. In Deutschland sind Unternehmen und Einrichtungen betroffen, die in einem der in der NIS2-Richtlinie definierten 18 kritischen und wichtigen Wirtschaftssektoren tätig sind. Zudem gelten spezifische Kriterien in Bezug auf Unternehmensgröße und wirtschaftliche Bedeutung.

Kriterien für die Betroffenheit:

Ein Unternehmen fällt in den Anwendungsbereich der NIS2-Richtlinie, wenn es:

1. Die Schwellenwerte für ein mittleres Unternehmen überschreitet, oder
2. In einem der 18 Wirtschaftssektoren tätig ist, die in der NIS2-Richtlinie definiert sind.

Definition eines mittleren Unternehmens:

Ein Unternehmen gilt als mittleres Unternehmen, wenn es:

• Zwischen 50 und 250 Mitarbeiter beschäftigt und
• Einen Jahresumsatz von mindestens 10 Mio. Euro, jedoch höchstens 50 Mio. Euro erzielt, oder
• Eine Jahresbilanzsumme zwischen 10 Mio. und 43 Mio. Euro aufweist.

Wesentliche und wichtige Einrichtungen:

Die NIS2-Richtlinie unterscheidet zwischen wesentlichen und wichtigen Einrichtungen:

• Wesentliche Einrichtungen: Unternehmen, die in Sektoren mit hoher Kritikalität tätig sind und die Schwellenwerte für mittlere Unternehmen überschreiten (mehr als 250 Mitarbeiter, über 50 Mio. Euro Jahresumsatz oder eine Bilanzsumme von über 43 Mio. Euro).
• Wichtige Einrichtungen: Unternehmen, die in einem der 18 Wirtschaftssektoren tätig sind, aber nicht unter die Definition einer „wesentlichen Einrichtung“ fallen.

Die 18 betroffenen Wirtschaftssektoren:

1. Energie: Strom-, Gas- und Wärmeversorgung sowie die Verwaltung von Fernwärmesystemen.
2. Transport: Straßen-, Schienen-, Wasser- und Luftverkehr sowie Logistikunternehmen.
3. Banken: Finanzinstitute, die essenzielle Bankdienstleistungen anbieten.
4. Infrastrukturen der Finanzmärkte: Betreiber von Handelsplattformen und Zahlungsverkehrssystemen.
5. Gesundheitswesen: Krankenhäuser, Gesundheitseinrichtungen und Lieferanten von Gesundheitsgütern.
6. Trinkwasserversorgung und Abwasserentsorgung: Betriebe, die die Trinkwasserversorgung sicherstellen oder Abwasser entsorgen.
7. Digitale Infrastruktur: Rechenzentren, DNS-Dienste und Netzwerkanbieter.
8. Öl: Unternehmen, die in der Raffinierung, Lagerung und dem Transport von Öl tätig sind.
9. Chemikalien: Unternehmen, die Chemikalien produzieren oder chemische Prozesse unterstützen.
10. Weltraum: Betreiber von Weltrauminfrastrukturen wie Satellitenkommunikationssystemen.
11. Ernährung: Lebensmittelproduzenten und Lieferanten von Grundnahrungsmitteln.
12. Abfallwirtschaft: Unternehmen, die für die Entsorgung und Verarbeitung von Abfallstoffen zuständig sind.
13. Verwaltung von IKT-Diensten: Unternehmen, die wesentliche IT-Dienste anbieten, wie Cloud-Dienste, Datenspeicherung und IT-Sicherheit.
14. Herstellung von Arzneimitteln und medizinischen Geräten: Unternehmen, die pharmazeutische Produkte und medizinische Geräte herstellen oder liefern.
15. Post- und Kurierdienste: Betreiber von Post-, Paket- und Kurierdiensten.
16. Herstellung von Maschinen und elektronischen Geräten: Unternehmen in der Produktion von Maschinen, Elektronik und Fahrzeugtechnik.
17. Öffentliche Verwaltung: Staatliche und kommunale Behörden, die für die Bereitstellung kritischer Dienstleistungen zuständig sind.
18. Telekommunikation: Betreiber von Telekommunikationsdiensten und Netzwerken, die essenzielle Kommunikationsinfrastrukturen bereitstellen.

Fazit:

Die NIS2-Richtlinie betrifft eine breite Palette von Sektoren, die als kritisch für die Sicherheit und den wirtschaftlichen Betrieb in Europa gelten. Unternehmen in diesen Sektoren müssen sicherstellen, dass sie die Vorgaben der NIS2-Richtlinie einhalten, unabhängig von ihrer Größe, sofern sie wesentliche oder wichtige Dienstleistungen erbringen. Besonders mittlere und große Unternehmen müssen sich auf strengere Sicherheits- und Meldepflichten einstellen.

 

Um herauszufinden, ob Ihr Unternehmen betroffen ist, können Sie die anonyme NIS-2 Betroffenheitsprüfung des Bundesamtes für Sicherheit durchführen.

Neu ist auch ein Entscheidungsbaum zu Betroffenheitsprüfung.

Die NIS2-Richtlinie stellt eine Reihe von Anforderungen an die Unternehmen, die unter ihren Geltungsbereich fallen. Diese Anforderungen zielen darauf ab, ein hohes Maß an Cybersicherheit zu gewährleisten und Unternehmen dazu zu verpflichten, präventive Maßnahmen zur Vermeidung und Bewältigung von Cyberbedrohungen zu ergreifen. In Deutschland müssen betroffene Unternehmen die folgenden wesentlichen Anforderungen erfüllen:

1. Risikomanagement

Unternehmen müssen ein robustes Risikomanagement für ihre Netz- und Informationssysteme implementieren. Dieses Risikomanagement soll die Erkennung, Analyse und Bewertung potenzieller Risiken umfassen, denen das Unternehmen ausgesetzt ist. Daraus leiten sich Maßnahmen ab, um diese Risiken zu minimieren oder zu bewältigen.

2. Sicherheitsmaßnahmen

Die NIS2-Richtlinie fordert die Umsetzung folgender IT-Sicherheitsmaßnahmen:

• Regelmäßige Risikoanalysen zur Identifizierung von Schwachstellen in Netzwerken und Informationssystemen.
• Technische und organisatorische Maßnahmen zum Schutz vor Sicherheitsvorfällen, wie Firewalls, Verschlüsselung oder Intrusion-Detection-Systeme.
• Maßnahmen zur Sicherung der Lieferkette, um sicherzustellen, dass auch externe Dienstleister und Partner den Sicherheitsanforderungen gerecht werden.
• Notfallpläne zur schnellen und effektiven Reaktion auf Sicherheitsvorfälle.

3. Meldepflichten bei Sicherheitsvorfällen

Unternehmen sind verpflichtet, Sicherheitsvorfälle, die wesentliche Auswirkungen auf ihre Netzwerke oder Systeme haben, unverzüglich den zuständigen Behörden zu melden. Die Meldung muss innerhalb eines bestimmten Zeitrahmens erfolgen und die notwendigen Informationen zur Einschätzung des Vorfalls beinhalten, damit eine schnelle Reaktion möglich ist.

4. Sicherheit der Lieferketten

Unternehmen müssen sicherstellen, dass nicht nur ihre internen Systeme geschützt sind, sondern auch ihre Lieferanten und Partner angemessene Sicherheitsvorkehrungen treffen. Die Sicherheit der gesamten Lieferkette ist ein wesentlicher Bestandteil der NIS2-Richtlinie, da Cyberangriffe häufig über Schwachstellen in Zulieferernetzen erfolgen.

5. Bewertung von Maßnahmen

Die eingeführten Sicherheitsmaßnahmen und das Risikomanagement müssen regelmäßig überprüft und bewertet werden, um sicherzustellen, dass sie den aktuellen Bedrohungen und Risiken gerecht werden. Unternehmen müssen sich an Best Practices und bewährten Standards orientieren, um ihre Systeme kontinuierlich zu verbessern.

6. Schulungen im Bereich Cybersicherheit

Unternehmen sind dazu angehalten, ihre Mitarbeiter regelmäßig im Bereich Cybersicherheit zu schulen. Die Schulungen sollen das Bewusstsein für IT-Sicherheitsrisiken schärfen und den Mitarbeitern das Wissen vermitteln, wie sie potenziellen Bedrohungen effektiv begegnen können.

Diese Maßnahmen zielen darauf ab, die Resilienz der Unternehmen zu erhöhen und ihre Netzwerke und Informationssysteme gegen Cyberangriffe und Sicherheitsvorfälle zu wappnen. Eine präventive Vorgehensweise und kontinuierliche Überwachung sind essenziell, um den hohen Anforderungen der NIS2-Richtlinie gerecht zu werden.

Ein zentrales Element der NIS2-Richtlinie ist der präventive Ansatz zur Sicherung der IT-Infrastrukturen, der unter dem Begriff Cyberhygiene zusammengefasst wird. Cyberhygiene bezieht sich auf die regelmäßigen und grundlegenden Maßnahmen, die Unternehmen ergreifen müssen, um ihre Netzwerke und Informationssysteme vor Cyberangriffen zu schützen. Die Einführung von Maßnahmen zur Cyberhygiene ist entscheidend, um Sicherheitsvorfälle zu vermeiden und die Resilienz von Unternehmen gegenüber Bedrohungen zu erhöhen.

Bedeutung der Cyberhygiene

Mit der zunehmenden Bedrohung durch Cyberangriffe und einer wachsenden Abhängigkeit von digitalen Systemen gewinnt die Prävention an Bedeutung. NIS2 legt den Grundsatz fest, dass Unternehmen durch eine konsequente Cyberhygiene ihre IT-Sicherheit auf einem hohen Niveau halten sollen, um Sicherheitsvorfälle zu minimieren.

Wichtige Maßnahmen der Cyberhygiene nach NIS2:

1. Regelmäßige Updates und Patch-Management
   Alle Systeme und Software-Anwendungen müssen regelmäßig aktualisiert werden, um bekannte Schwachstellen zu schließen. Ein effektives Patch-Management stellt sicher, dass Sicherheitslücken schnell behoben werden, bevor sie von Angreifern ausgenutzt werden können.
2. Sicheres Passwortmanagement
   Ein robustes Passwortmanagement ist essenziell, um den unbefugten Zugriff auf Systeme zu verhindern. Dazu gehören:
3. Komplexe, individuelle Passwörter für jede Anwendung
4. Regelmäßige Passwortwechsel
5. Einsatz von Multi-Faktor-Authentifizierung (MFA) zur zusätzlichen Absicherung
6. Systematische Datensicherungen (Backups)
   Regelmäßige und gesicherte Backups aller wichtigen Unternehmensdaten sind notwendig, um im Falle eines Sicherheitsvorfalls, wie z. B. eines Ransomware-Angriffs, schnell wiederhergestellt werden zu können. Backups sollten an sicheren, vom Hauptnetzwerk getrennten Orten aufbewahrt werden.
7. Sichere Authentifizierungsmethoden
   Neben starken Passwörtern sollten Unternehmen auf moderne Authentifizierungsmethoden setzen, wie die Multi-Faktor-Authentifizierung (MFA). Diese Methode stellt sicher, dass der Zugriff auf Systeme nicht allein durch ein Passwort erfolgt, sondern durch einen zusätzlichen Sicherheitsfaktor wie einen Code, der per SMS oder App bereitgestellt wird.
8. Überwachung und Protokollierung von Aktivitäten
   Unternehmen müssen ihre Netzwerke und Systeme kontinuierlich überwachen, um ungewöhnliche Aktivitäten oder potenzielle Bedrohungen frühzeitig zu erkennen. Protokollierungssysteme helfen dabei, verdächtige Zugriffe und Aktivitäten zu identifizieren und entsprechende Gegenmaßnahmen einzuleiten.
9. Schulungen und Sensibilisierung
   Die Mitarbeiter sind eine der wichtigsten Verteidigungslinien gegen Cyberbedrohungen. Regelmäßige Schulungen zur Cybersicherheit und Sensibilisierungsmaßnahmen sollen sicherstellen, dass die Mitarbeiter potenzielle Bedrohungen, wie Phishing-Angriffe, erkennen und entsprechende Maßnahmen ergreifen können.

Fazit:

Die NIS2-Richtlinie betont die Notwendigkeit einer soliden Cyberhygiene, da präventive Maßnahmen die Grundlage für den Schutz vor Cyberangriffen bilden. Eine gut implementierte Cyberhygiene reduziert die Wahrscheinlichkeit erfolgreicher Angriffe erheblich und trägt zur Sicherheit und Stabilität der IT-Infrastrukturen bei.

Bei Nichteinhaltung der NIS2-Richtlinie drohen betroffenen Unternehmen und Organisationen erhebliche Strafen. Die NIS2-Richtlinie sieht sowohl finanzielle als auch nicht-finanzielle Sanktionen vor, um sicherzustellen, dass die vorgeschriebenen Cybersicherheitsanforderungen ernst genommen und ordnungsgemäß umgesetzt werden. Hier sind die wichtigsten möglichen Strafen:

1. Hohe Bußgelder

Die NIS2-Richtlinie sieht empfindliche Geldstrafen für Unternehmen vor, die ihre Pflichten in Bezug auf Cybersicherheit und Meldepflichten nicht erfüllen. Die Bußgelder orientieren sich an der Schwere des Verstoßes und der Größe des Unternehmens. Folgende Rahmen sind vorgegeben:

• Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens, je nachdem, welcher Betrag höher ist. Diese Strafen gelten für schwerwiegende Verstöße, beispielsweise das Versäumnis, angemessene Sicherheitsvorkehrungen zu treffen oder sicherheitsrelevante Vorfälle rechtzeitig zu melden.

2. Verwaltungsmaßnahmen

Neben finanziellen Strafen können nationale Behörden in Deutschland, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), Verwaltungsmaßnahmen ergreifen, um Unternehmen zur Einhaltung der Richtlinie zu zwingen. Zu diesen Maßnahmen gehören:

• Anordnungen zur Beseitigung von Sicherheitslücken: Unternehmen können aufgefordert werden, innerhalb eines bestimmten Zeitrahmens Maßnahmen zur Behebung festgestellter Sicherheitsmängel zu ergreifen.
• Regelmäßige Audits und Überprüfungen: Behörden können Sicherheitsüberprüfungen anordnen, um sicherzustellen, dass Unternehmen die geforderten Cybersicherheitsstandards einhalten.

3. Reputationsschaden

Ein erheblicher Verstoß gegen die NIS2-Richtlinie kann den Ruf eines Unternehmens schwer beschädigen. Die Meldung eines schweren Cybervorfalls oder die Bekanntgabe, dass ein Unternehmen den Anforderungen nicht nachkommt, könnte das Vertrauen von Kunden, Geschäftspartnern und Investoren erheblich beeinträchtigen. Dieser Reputationsverlust kann langfristige geschäftliche Konsequenzen haben.

4. Haftung für Folgeschäden

Falls durch mangelhafte IT-Sicherheit Schäden für Kunden oder andere Dritte entstehen, könnte das Unternehmen auch für Folgeschäden haftbar gemacht werden. Dies kann zusätzliche finanzielle Belastungen durch Schadensersatzforderungen nach sich ziehen.

5. Verantwortlichkeit von Führungskräften

In einigen Fällen können auch Unternehmensleiter und Verantwortliche zur Rechenschaft gezogen werden. Dies könnte zur persönlichen Haftung führen, insbesondere wenn sie nachweislich ihre Pflichten im Bereich der Cybersicherheit vernachlässigt haben.

Unser Unternehmen bietet umfassende Beratungs- und Implementierungsdienste an, um sicherzustellen, dass Ihr Unternehmen alle Anforderungen der NIS2-Richtlinie erfüllt.

 

So erreichen Sie die NIS2-Compliance:

1. Durchführung einer umfassenden Bestandsaufnahme und Risikoanalyse
   Der erste Schritt zur NIS2-Compliance besteht darin, die bestehenden Netzwerke, Informationssysteme und Sicherheitsmaßnahmen zu bewerten. Dies umfasst:

   • Identifikation kritischer IT-Ressourcen und -Systeme
   • Ermittlung von Schwachstellen in der Infrastruktur
   • Risikoanalyse, um potenzielle Bedrohungen zu identifizieren und deren potenziellen Einfluss zu bewerten

   Wir bieten Ihnen detaillierte Audits und Analysen, um die aktuelle Sicherheitslage in Ihrem Unternehmen zu beurteilen und die nötigen Maßnahmen zur Risikominderung abzuleiten.

2. Implementierung von IT-Sicherheitsmaßnahmen
   NIS2 erfordert den Einsatz spezifischer technischer und organisatorischer Maßnahmen, um die IT-Sicherheit zu gewährleisten. Wir unterstützen Sie bei der Implementierung von:

   • Netzwerksicherheitslösungen wie Firewalls, Intrusion Detection/Prevention Systems (IDS/IPS) und Endpoint-Security
   • Datenverschlüsselung und sicheren Authentifizierungsmethoden, wie z. B. Multi-Faktor-Authentifizierung (MFA)
   • Notfallplänen und Maßnahmen zur schnellen Wiederherstellung nach Sicherheitsvorfällen (z. B. Backup-Strategien)

3. Erstellung eines Cybersicherheits-Risikomanagements
   Die NIS2-Richtlinie fordert einen präventiven Ansatz zur Absicherung von IT-Systemen. Wir helfen Ihnen, ein formales Risikomanagementsystem zu implementieren, das die Sicherheit der Netz- und Informationssysteme kontinuierlich überwacht und bewertet. Dieses Risikomanagement umfasst:

   • Regelmäßige Bedrohungsanalysen
   • Die Bewertung und Priorisierung von Risiken
   • Die Entwicklung von Plänen zur Risikominderung und Reaktion auf Sicherheitsvorfälle

4. Einhaltung der Meldepflichten
   Im Falle eines Sicherheitsvorfalls sind Unternehmen verpflichtet, diesen zeitnah an die zuständigen Behörden zu melden. Wir helfen Ihnen bei der Implementierung eines Prozesses zur Meldung von Sicherheitsvorfällen gemäß den NIS2-Anforderungen. Dazu gehört:

   • Einrichtung eines internen Berichtswesens
   • Automatisierte Überwachung und Alarmierung im Falle von IT-Sicherheitsvorfällen
   • Unterstützung bei der Kommunikation mit Behörden

5. Schulungen und Sensibilisierungsprogramme für Mitarbeiter
   Die menschliche Komponente spielt eine wichtige Rolle in der Cybersicherheit. Daher bieten wir Schulungen und Sensibilisierungsprogramme an, um Ihre Mitarbeiter über aktuelle Bedrohungen, Phishing-Angriffe und sichere Arbeitsweisen aufzuklären. Diese Schulungen helfen Ihnen, die Sicherheitskultur in Ihrem Unternehmen zu stärken.

6. Sicherstellung der Lieferkettensicherheit
   Unternehmen müssen auch sicherstellen, dass ihre Zulieferer und Partner die NIS2-Anforderungen einhalten. Wir unterstützen Sie bei der Bewertung der Sicherheitspraktiken Ihrer Lieferanten und helfen Ihnen dabei, Verträge entsprechend anzupassen, um sicherzustellen, dass die gesamte Lieferkette geschützt ist.

7. Regelmäßige Überprüfung und Anpassung der Sicherheitsstrategien
   Cybersicherheitsbedrohungen entwickeln sich ständig weiter. Daher müssen Unternehmen ihre Sicherheitsstrategien regelmäßig anpassen. Wir bieten Ihnen kontinuierliche Beratungsdienste an, um Ihre IT-Sicherheitsmaßnahmen regelmäßig zu überprüfen und an neue Bedrohungen und Anforderungen anzupassen.