Auf viele Unternehmen kommen in puncto Cybersicherheit ab 2024 neue Herausforderungen zu. Die sogenannte Network and Information Security Directive 2, kurz NIS2, ist eine EU-Richtlinie zur Stärkung der Cybersicherheit, die bis spätestens Oktober 2024 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt sein muss. Damit soll der Gesetzgeber Unternehmen zu spezifischen Maßnahmen verpflichten, um ein einheitliches Mindestmaß an Resilienz gegenüber Cyberbedrohungen zu gewährleisten. Wen dies betrifft, welche Anforderungen auf Unternehmen zukommen und wie sich Unternehmen schon heute auf die Gesetzesnovelle vorbereiten können, erläutert Christoph Harburg, IT-Security Consultant bei dem Braunschweiger IT-Systemhaus Netzlink Informationstechnik.
Wen betrifft NIS2 und ab wann müssen Unternehmen die Anforderungen umsetzen?
NIS2 ist relevant für alle Unternehmen, die als „Betreiber wesentlicher und wichtiger Dienste“ eingestuft oder digitale Service-Provider sind. Aufgrund der steigenden Zahl und wachsenden Komplexität von Cyberbedrohungen hat die EU – zum Schutz von Unternehmen, Lieferketten und IT-Infrastrukturen – mit der NIS2-Richtlinie ein umfassendes Regelwerk mit Rahmenbedingungen mitsamt Umsetzungskontrollen, Pflichten und Sanktionen verabschiedet. Diese neue Fassung soll die bisherige Fassung der Richtlinie NIS1, die bislang nur für KRITIS-Unternehmen (Betreiber von kritischen Infrastrukturen mit wichtiger Bedeutung für das staatliche Gemeinwesen) galt, ergänzen und erweitern. Die Überführung in deutsches Recht ist für Oktober 2024 geplant.
Unmittelbar betroffen von der NIS2-Richtlinie sind Unternehmen mit mindestens 250 Mitarbeitenden oder mehr als 50 Mio. EUR Umsatz und mehr als 43 Mio. EUR Jahresbilanzsumme, die Sektoren mit hoher Kritikalität unterliegen. Dazu zählen insbesondere die Sektoren Energie, Gesundheitswesen, Verkehr, Banken und Finanzmarktinfrastrukturen, Trink- und Abwasser, digitale Infrastrukturen, Verwaltung von ITK-Diensten und Weltraum. Diese Unternehmen werden als “Wesentliche Einrichtungen” bezeichnet. Darüber hinaus greift NIS2 auch für mittlere Unternehmen mit 50-249 Mitarbeitenden oder mehr als 10 Mio. EUR Umsatz und Jahresbilanzsumme aus den genannten Sektoren mit hoher Kritikalität und zusätzlich sonstigen kritischen Sektoren wie: Anbieter digitaler Dienste, Chemie, Ernährung, Logistik, Abfallwirtschaft, produzierendes und verarbeitendes Gewerbe, Forschung und Öffentliche Verwaltung (entsprechender Größe). Diese Unternehmen werden als “Wichtige Einrichtungen” bezeichnet.
Welche Anforderungen die NIS2-Richtlinie an betroffene Unternehmen stellt
Die NIS2-Richtlinie legt Anforderungen an die Sicherheit und den Schutz von netzwerkbasierten Diensten und Informationssystemen fest. Betroffene Unternehmen in Deutschland müssen sicherstellen, dass sie angemessene Sicherheitsmaßnahmen implementieren, um ihre Systeme vor Cyber-Angriffen zu schützen. Konkrete Anforderungen, die NIS2 an betroffene Unternehmen stellt, umfassen unter anderem die Implementierung von Sicherheitsmaßnahmen, den Aufbau geeigneter Sicherheitsvorkehrungen, das Einhalten von Meldepflichten bei Sicherheitsvorfällen und die Zusammenarbeit mit nationalen Behörden.
- Risikoanalyse und ISM: So müssen die Unternehmen unter anderem Mindestvorgaben für ein Incident Management zur Vorbeugung, Erkennung und Behandlung von Sicherheitsvorfällen umsetzen und einhalten. „Wichtig in dem Zusammenhang sind aber auch zuverlässige Prüfroutinen für Gefahren der physischen IT-Sicherheit, zum Beispiel für den Schutz vor Diebstahl, Feuer oder Stromausfall. Dafür liefert die Richtlinie entsprechende Vorgaben, um eine zuverlässige Risikobewertung der eigenen IT-Infrastruktur vorzunehmen“, betont Christoph Harburg. „Ein Großteil der von NIS2 betroffenen Unternehmen muss aber auch auf Organisationsebene ein fortlaufendes Risikomanagement einführen, das sowohl ein Information Security Management (ISM) als auch ein Business Continuity Management (BCM) mit einem unternehmensspezifischen Notfallhandbuch, Backup-Management und Desaster Recovery umfasst.“
- Verschlüsselung und Zugriffssicherheit: Operative und technische Pflichten sehen ebenfalls geeignete Verfahren für den Einsatz von Kryptografie und Hash- sowie Verschlüsselungsstandards vor. Mit Multi-Faktor-Authentifizierung (MFA) sowie nachgewiesenen Maßnahmen zur Cyberhygiene, z. B. Passwortsicherheitsrichtlinien, soll der Schutz von IT-Systemen verbessert werden.
- Auditierung: Ab Oktober 2024 wird für viele Unternehmen ein Krisenmanagement speziell für IT-Sicherheit obligatorisch. Manche Sektoren werden zudem zur Auditierung und Testung für die Effektivitätsmessung von IT-Sicherheitsmaßnahmen verpflichtet sein.
- Zugriffskontrollen: Die IT-Sicherheit in der Systemakquisition, -entwicklung und -wartung wird in manchen Organisationen künftig ebenso bindend wie Zugriffskontrollen, Asset Management und Zero-Trust-Zugriffe. Sowohl On-Premise als auch Cloud-basierte Ressourcen erhalten eine strengere Zugriffskontrolle.
- Sicherheitstrainings: Die IT-Sicherheit liegt stärker denn je in der Verantwortung aller Mitarbeitenden, wofür bereichsübergreifende Security-Awareness-Trainings notwendig werden.
- Resilienz: Mit NIS2 muss IT-Sicherheit auch innerhalb von Lieferketten gewährleistet sein, was eine koordinierte Risikobewertung direkter Lieferketten bedeutet. Damit müssen betroffene Unternehmen ihre Lieferanten und Diensteanbieter zur Informationssicherheit verpflichten, da dies bei Überprüfungen und Audits mit abgefragt wird.
- Nachweispflichten: Der jüngste Entwurf des NIS2-Umsetzungsgesetzes entlastet die wichtigen Einrichtungen von ihren Nachweispflichten, für wesentliche Einrichtungen gelten Nachweispflichten an das BSI (Bundesamt für Sicherheit in der Informationstechnik).
- Meldepflichten: Mit der NIS2-Richtlinie kommen Meldepflichten bei erheblichen Sicherheitsvorfällen auf betroffene Unternehmen zu. Dafür müssen Meldungen an das BSI geleistet werden: innerhalb von 24 Stunden als Frühwarnung bzw. etwaige Verdachtsmeldung, innerhalb von 72 Stunden als Meldung mit einer ersten konkreten Bewertung der Lage sowie anschließend innerhalb eines Monats eine Bewertung durch einen Abschlussbericht inklusive einer Planung von Abhilfemaßnahmen.
Empfindliche Sanktionen bei Nichteinhaltung
Unternehmen, die die Maßnahmen nicht nachweisen können oder Meldefristen überschreiten, drohen Bußgelder in empfindlicher Höhe. Für wesentliche Einrichtungen werden Bußgelder bis 10 Millionen EUR bzw. 2 % des Jahresumsatzes fällig. Wichtigen Einrichtungen drohen Strafen bis 7 Millionen Euro bzw. 1,4 % des Jahresumsatzes. Zudem gibt es einen erweiterten Bußgeldrahmen für Verstöße. Die Geschäftsleitung hat die Pflicht, die Umsetzung der Maßnahmen zu billigen und zu überwachen. Bei Verstoß gegen diese Pflicht ist sie persönlich haftbar (Binnenhaftung, Stand 27.09.2023). Die Möglichkeit des Unternehmens, die Geschäftsführung von dieser Haftung zu entbinden, besteht ausdrücklich nicht. Insbesondere die wesentlichen Einrichtungen unterliegen erweiterten Aufsichts- und Durchsetzungsmaßnahmen der zuständigen Behörden. Dies geht mit zusätzlichen Pflichten zur Registrierung von Dienstleistern mit Cloudangeboten, Rechenzentrums-Dienstleistern und Telekommunikations-Dienstleistern einher.
Wie Unternehmen sich vorbereiten können
Die Umsetzung der neuen Cybersecurity-Anforderungen stellt Unternehmen vor große Herausforderungen. Die notwendigen Schritte erfordern nicht nur Aufklärung, ein umfassendes IT-Sicherheits-Know-how, Vorlaufzeit für genaue Analysen und die nötige Zeit, um die Maßnahmen zu planen, zu implementieren und Routinen zu entwickeln. Dafür bieten IT-Dienstleister wie Netzlink einen umfassenden NIS2-Workshop für Unternehmen an, um die ersten Schritte zur Einhaltung der Cybersicherheitsanforderungen einzuleiten:
Schritt 1: Identifikation der einzuhaltenden Vorgaben
Der erste Schritt des Workshops für Unternehmen ist die Identifikation der bisher bekannten Anforderungen von NIS2 und des NIS2-Umsetzungsleitfadens (NIS2UmsuCG, NIS2 Umsetzungs- und Cyberhygienestärkungsgesetz) und die Übertragung dieser auf die individuelle Unternehmenssituation. IT-Dienstleister können dabei helfen, die spezifischen Vorgaben und Bestimmungen zu verstehen, die für Unternehmen relevant sind.
Schritt 2: Aufnahme der aktuellen IST-Situation
Um die individuellen Anforderungen zu verstehen, können die IT-Expert*innen die aktuelle IST-Situation des Unternehmens in Bezug auf NIS2 genau unter die Lupe nehmen. Die bestehenden Sicherheitsvorkehrungen und -prozesse werden analysiert, um herauszufinden, wo Anpassungen und Verbesserungen notwendig sind.
Schritt 3: Erstellen einer GAP-Analyse
Die Erstellung einer GAP-Analyse ist von entscheidender Bedeutung zur Identifizierung der Lücken zwischen dem IST-Zustand der aktuellen Sicherheitsmaßnahmen eines Unternehmens und den erforderlichen Soll-Vorgaben. Auf Basis dieser Analyse kann eine klare Übersicht über die notwendigen Schritte erstellt werden.
Schritt 4: Empfehlung von geeigneten, priorisierten Maßnahmen
Basierend auf den Ergebnissen der GAP-Analyse ist eine individuell angepasste Maßnahmen-Empfehlungsliste zu erstellen. Die Priorisierung stellt sicher, dass die wichtigsten Schritte zuerst umgesetzt werden und die Sicherheit der digitalen Unternehmens-Infrastruktur schrittweise erhöht wird.
Schritt 5: Zusammenfassung und Abschlusspräsentation
Damit das jeweilige Unternehmen den Umsetzungsprozess von NIS2 gezielt planen und alle relevanten Aspekte berücksichtigen kann, sind die Ergebnisse der Analyse und die empfohlenen Maßnahmen klar und verständlichen in einer umfassenden Abschlusspräsentation vorzustellen.
„Um bei den NIS2-Sicherheitsanforderungen den Überblick zu behalten, ist ein schrittweises, strukturiertes Vorgehen der effizienteste Weg für Unternehmen. Der Kern ist dabei die Gegenüberstellung der IST-Situation eines Unternehmens in Sachen IT-Sicherheit mit der SOLL-Situation. Nur wenn klar ist, wo die Lücken sind und wo Verbesserungspotential besteht, können geeignete Maßnahmen ausgewählt und ergriffen werden“, so Christoph Harburg.
#Netzlink Informationstechnik