NIS2 soll für noch mehr Cybersicherheit in Europa sorgen. Der Ansatz ist umfassend, denn durch Einbeziehung von Lieferketten können die Anforderungen an Unternehmen in der Lieferkette „vererbt“ erden. Zudem wird Cybersicherheit durch Weiterbildungspflicht und persönliche Haftungsrisiken zur Chefsache.
Im Beitrag stellen wir Ihnen die Auswirkungen der am 16. Januar 2023 in Kraft getretenen NIS2-Richtlinie vor. NIS2, auch bekannt als Network and Information Systems, ist die aktuelle EU-weite Gesetzgebung zur Stärkung der allgemeinen Cybersicherheit innerhalb der Europäischen Union. Diese Richtlinie erweitert den Geltungsbereich der bisherigen NIS-Richtlinie und legt fest, dass ab Oktober 2024 viele kleine und mittlere Unternehmen verpflichtet sind, Cybersicherheitsmaßnahmen zu ergreifen. Erfahren Sie in unserem Beitrag, welche Veränderungen auf Unternehmen zukommen, wer von NIS2 betroffen ist und ab wann die neuen Pflichten gelten.
203 Milliarden €
Schaden pro Jahr durch Angriffe auf deutsche Unternehmen
Quelle: Bitcom e.V.
NIS2: Geltungsbereich und Pflichten
Der Geltungsbereich und die Pflichten zur Cybersicherheit werden nochmals deutlich ausweitet. Unternehmen müssen je nach Sektor und Größe spezifische Anforderungen erfüllen, wie z.B. den Aufbau von Cybersicherheit nach internationalen Normen (z.B. ISO/IEC 27001), regelmäßige Risikobewertungen und Audits, die Meldung von Sicherheitsvorfällen an Behörden, Schulungen zur Cyberhygiene für Mitarbeiter und die Sicherstellung der Informationssicherheit in der Lieferkette.
Die NIS2-Richtlinie gilt für alle EU-Länder, die bis Oktober 2024 die Regelungen in ihre nationale Gesetzgebung übernehmen müssen. In Deutschland wird voraussichtlich das „IT-Sicherheitsgesetz 3.0“ entstehen. Ab Oktober 2024 müssen Unternehmen in 18 verschiedenen Sektoren mit mindestens 50 Mitarbeitern und einem Umsatz von EUR 10 Mio. die Cybersicherheitsmaßnahmen umsetzen.
Der globaler Ansatz von NIS2
NIS2 wird somit nahezu alle mittleren und großen Unternehmen abdecken, die auf dem Binnenmarkt der Europäischen Union tätig sind. Dabei geht es nicht nur um Unternehmen innerhalb der EU-Mitgliedstaaten, sondern auch um Organisationen außerhalb der EU, die für den EU-Markt von wesentlicher Bedeutung sind. Dies umfasst beispielsweise Unternehmen, die grenzüberschreitend Dienstleistungen anbieten oder im Online-Bereich aktiv sind und somit einen direkten Einfluss auf die EU-Wirtschaft haben.
Durch die Anwendung von NIS2 auf diese Unternehmen wird die allgemeine Cybersicherheit in der Europäischen Union weiter gestärkt und ein höheres Maß an Schutz für kritische Infrastrukturen und digitale Dienste gewährleistet. Die Erweiterung des Anwendungsbereichs von NIS2 auf Unternehmen außerhalb der EU verdeutlicht die Bedeutung eines globalen Ansatzes zur Bekämpfung von Cyberrisiken und zur Gewährleistung der Sicherheit im digitalen Zeitalter.
Auswirkungen auch auf die Lieferkette
NIS2 enthält auch Anforderungen zur Sicherheit der Lieferkette. Nehmen Unternehmen die Sicherheit der Dienstleister und Zulieferer mit in ihren Fokus, senken sie dadurch direkt das Risiko von Supply-Chain Angriffen über eben diese Lieferkette. Dadurch können Anforderungen von NIS2 an Zulieferer quasi „vererbt“ werden.
Ausweitung der KRITIS-Sektoren
Die „KRITIS“-Branchen, also die Betreiber kritischer Infrastrukturen in Deutschland, sind bereits durch das IT-Sicherheitsgesetz von 2015 dazu verpflichtet, bestimmte Informationssicherheitsmaßnahmen zu ergreifen, sobald bestimmte Schwellenwerte erreicht werden. Im Jahr 2021 wurde das Gesetz mit dem „IT-Sicherheitsgesetz 2.0“ erheblich erweitert. Die Schwellenwerte sind für jeden Sektor spezifisch festgelegt. NIS2 erweitert nun nicht nur den Geltungsbereich der bestehenden Sektoren hinsichtlich der Schwellenwerte, sondern fügt auch weitere Sektoren hinzu.
Als „Essential“ eingestufte Sektoren
- Energie
- Transport
- Bankwesen
- Finanzmärkte
- Gesundheit
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- ICT Service Management im B2B
- Öffentliche Verwaltung
- Weltraum
Als „Important“ eingestufte Sektoren
- Post und Kurier
- Abfall
- Chemikalien
- Lebensmittel
- Industrie
- Digitale Dienste
- Forschung
Anforderungen der NIS2-Richtlinie
Durch die Erfüllung Anforderungen aus NIS2 können Sie die Sicherheit Ihres Unternehmens verbessern, das Risiko von Cyberangriffen minimieren und Ihr Unternehmen deutlich widerstandsfähiger gegenüber Sicherheitsvorfällen machen.
Risikomanagement: Durch regelmäßige Risikobewertungen können potenzielle Risiken und Schwachstellen identifiziert und effektive Abwehrmaßnahmen implementiert werden, um Ihr Unternehmen vor Cybersicherheitsrisiken zu schützen.
Vorfallsmanagement: Die Richtlinie legt Vorgaben zum Vorfallsmanagement fest, einschließlich Berichtspflichten und Reaktionsplänen. Dies ermöglicht es Ihrem Unternehmen, Sicherheitsvorfälle schnell und effektiv zu behandeln, negative Auswirkungen zu minimieren und zukünftige Vorfälle zu verhindern.
Technische und organisatorische Maßnahmen: Unternehmen werden dazu verpflichtet, angemessene technische und organisatorische Maßnahmen zur Absicherung ihrer Netz- und Informationssysteme umzusetzen. Dazu gehören Zugriffskontrollen, Verschlüsselung und digitale Überwachungssysteme, die helfen, das Risiko von Cyberangriffen und Datenlecks zu reduzieren.
Business Continuity: Durch die Implementierung von Business Continuity-Plänen, einschließlich Backup- und Wiederherstellungsplänen, können Sie den Geschäftsbetrieb auch im Falle eines Sicherheitsvorfalls aufrechterhalten, Ausfallzeiten minimieren und kritische Dienste aufrechterhalten.
Sicherheit der Lieferkette: Die NIS2-Richtlinie legt auch Anforderungen zur Absicherung der Lieferkette (Zulieferer und Dienstleister) fest. Durch die Berücksichtigung der Supply Chain Security können Sie proaktiv das Risiko von Cyberangriffen über die Lieferkette senken.
„Die Bedrohungslage ist so groß wie nie“
Claudia Plattner, BSI-Präsidentin
Im Details: 14 Punkte Anforderungskatalog
- Policies: Entwicklung von Richtlinien für Risiken und Informationssicherheit
- Incident Management: Prävention, Erkennung und Bewältigung von Cyber-Vorfällen
- Business Continuity: Umsetzung des Business Continuity Managements mit Backup-Management, Disaster Recovery und Krisenmanagement
- Supply Chain: Sicherstellung der Sicherheit in der Lieferkette, einschließlich sicherer Entwicklung bei Zulieferern
- Einkauf: Sicherheitsaspekte bei der Beschaffung von IT- und Netzwerk-Systemen berücksichtigen
- Effektivität: Vorgaben zur Messung der Wirksamkeit von Cyber- und Risikomaßnahmen
- Training: Schulungen zur Sensibilisierung für Cyber-Sicherheit und -Hygiene
- Kryptographie: Anforderungen an die Verwendung von Kryptographie und Verschlüsselung, wo möglich
- Personal: Maßnahmen zur Sicherheit des Humanressourcen-Managements
- Zugangskontrolle
- Asset Management (ISMS): Verwaltung von Informationssystemen und Vermögenswerten
- Authentication: Einsatz von Multi-Faktor-Authentifizierung (MFA) und Single-Sign-On (SSO)
- Kommunikation: Nutzung sicherer Sprach-, Video- und Textkommunikation Notfall-Kommunikation: Einsatz gesicherter Notfallkommunikationssysteme
Fazit – Es gibt viel zu tun
Angesichts der aktuellen Bedrohungslage sind die durch NIS2 geforderten Maßnahmen geboten. Durch die Erfüllung dieser Anforderungen können Sie die Sicherheit Ihres Unternehmens verbessern, das Risiko von Cyberangriffen minimieren und Ihr Unternehmen widerstandsfähiger gegenüber Sicherheitsvorfällen machen.
