NIS-2-Richtlinie – neue Vorgaben für Unternehmen

Ab Oktober 2024 sind viele Unternehmen und Organisationen aus 18 entscheidenden Sektoren dazu verpflichtet, obligatorische Sicherheitsvorkehrungen und Meldepflichten zu befolgen, die von der NIS-2-Richtlinie festgelegt werden. Dies betrifft auch solche, die zuvor nicht einbezogen waren. Das Hauptziel dieser Richtlinie ist es, die Widerstandsfähigkeit gegen Cyberbedrohungen in kritischen Infrastrukturen sowie in wesentlichen und wichtigen Einrichtungen zu stärken. Die NIS 2 könnte in Bezug auf die Informationssicherheit innerhalb der EU eine ähnliche Wirkung entfalten, wie es die DSGVO im Bereich des Datenschutzes für Nutzer erreicht hat. Doch was ist die NIS-2-Richtlinie und welche Vorschriften sind künftig von wem zu beachten? In diesem Blogbeitrag gehen wir auf die zentralen Fragen und Aspekte ein.

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie, bekannt als „The Network and Information Security (NIS) Directive“, wurde am 27. Dezember 2022 im EU-Amtsblatt veröffentlicht und trat am 16. Januar 2023 in Kraft. Sie betrifft die Cyber- und Informationssicherheit von Unternehmen und Institutionen. Die Mitgliedstaaten der Europäischen Union müssen sie bis Oktober 2024 in ihre nationalen Gesetze integrieren. Mit dieser Richtlinie wird die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 aktualisiert und ergänzt.

Die NIS-2-Richtlinie fokussiert sich auf drei zentrale Aspekte: Sie erweitert die sieben Sektoren der ursprünglichen Richtlinie um zusätzliche kritische Bereiche. Zudem legt sie fest, dass schwere Sicherheitsvorfälle umgehend zu melden sind. Außerdem etabliert die neue Richtlinie spezifische Strafmaßnahmen für Regelverstöße, einschließlich der Möglichkeit, Geldstrafen bis zu 2 % des weltweiten Jahresumsatzes zu verhängen.

Stand der Gesetzgebung in Deutschland

Am 24. Juli 2024 verabschiedete das Bundeskabinett das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS-2UmsuCG). Das „NIS-2UmsuCG“ beinhaltet wesentliche Neuregelungen für die Cybersicherheit, die sich vor allem auf Betreiber kritischer Infrastrukturen und Anlagen (KRITIS) konzentrieren. Ziel ist es, die Anzahl der Unternehmen und öffentlichen Stellen, die den Cybersicherheitsvorgaben unterliegen, deutlich zu erhöhen. Ursprünglich war geplant, das NIS-2UmsuCG durch ein KRITIS-Dachgesetz zu ergänzen, das Vorschriften für verbesserten physischen Schutz enthält, jedoch ist dieses Gesetz bisher nicht vom Kabinett verabschiedet worden.

Die Bundesregierung rechnet damit, dass in Zukunft etwa 29.500 Stellen den Anforderungen des NIS-2-Regimes genügen müssen.

Wer ist von der NIS-2-Richtlinie betroffen?

Die NIS2-Richtlinie bezieht sich auf Einrichtungen aus 18 verschiedenen Sektoren, die detailliert in Anhang I und Anhang II aufgeführt sind. Für jeden Sektor wird genau beschrieben, welche „Art der Einrichtung“ betroffen ist. Maßgeblich für die Anwendung der Richtlinie ist daher, ob eine Einrichtung einer der in den Anhängen genannten Kategorien entspricht. Die spezifischen Anforderungen und Definitionen werden in Anhang I und Anhang II der NIS-2 weiter präzisiert.

Sektoren mit hoher Kritikalität (Anhang I der NIS-2):

• Abwasser
• Einrichtungen der öffentlichen Verwaltung
• Digitale Infrastruktur
• Bankwesen
• ICT-Servicemanagement (MSP, MSSP)
• Weltraum
• Finanzmarktinfrastruktur
• Gesundheit
• Verkehr (Luft, Schiene, Wasser, Straße)
• Trinkwasser
• Energie (Strom, Fernwärme und Kühlung, Gas, Wasserstoff, Öl)

Sonstige kritische Sektoren (Anhang II der NIS-2):

• Produktion, Verarbeitung sowie Vertrieb von Lebensmitteln
• Digitale Anbieter
• Herstellung (unter anderem medizinische Geräte, Computer, Kraftfahrzeuge etc.)
• Abfallwirtschaft
• Post- und Kurierdienste
• Herstellung, Herstellung sowie Vertrieb von Chemikalien
• Forschung

Praktischer Tipp: Nutzen Sie die NIS-2-Betroffenheitsprüfung des Bundesamts für Sicherheit in der Informationstechnik (BSI), um eine erste Orientierung zu erhalten.

Risikomanagement für Cybersicherheit – die geforderten Maßnahmen

Gemäß der NIS2-Richtlinie sind Sie angehalten, diverse Cybersicherheitsmaßnahmen zu ergreifen, um sowohl die Risiken Ihrer Netz- und Informationssysteme zu minimieren als auch die Folgen von Sicherheitsverletzungen zu reduzieren. Es ist empfohlen, dass Sie die IT-Systeme und ihre physische Umgebung umfassend schützen, basierend auf einem risikoorientierten Ansatz. Die genaue Bestimmung des angemessenen Schutzniveaus obliegt Ihrer eigenen Einschätzung.

Hier sind einige zentrale Maßnahmen, die Sie berücksichtigen sollten:

• Richtlinien: Entwickeln Sie Konzepte für die Risikoanalyse und die Sicherheit Ihrer Informationssysteme.
• Vorfallsbewältigung: Implementieren Sie Prozesse zur Erkennung, Analyse, Eindämmung und Reaktion auf Sicherheitsvorfälle.
• Betriebskontinuität: Führen Sie ein effektives Backup-Management und Verfahren zur schnellen Wiederherstellung sowie Krisenmanagement ein.
• Lieferkettensicherheit: Gewährleisten Sie die Sicherheit innerhalb Ihrer Lieferkette.
• Beschaffung: Sorgen Sie für Sicherheitsmaßnahmen beim Erwerb, der Entwicklung und der Wartung von IT-Systemen, inklusive des Managements und der Offenlegung von Schwachstellen.
• Effektivitätsbewertung: Prüfen Sie regelmäßig die Effektivität Ihrer Risikomanagementmaßnahmen.
• Cyberhygiene und Schulungen: Setzen Sie auf fortlaufende Cyberhygiene-Maßnahmen wie Updates und bieten Sie Schulungen in Cybersicherheit an.
• Kryptografie: Nutzen Sie Kryptografietechniken und führen Sie nach Bedarf Verschlüsselungsverfahren ein.
• Personal, Zugriffe, Assets: Verstärken Sie die Personalsicherheit, verbessern Sie die Zugriffskontrollen und optimieren Sie das Asset Management.
• Authentifizierung: Implementieren Sie Verfahren wie Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung.
• Kommunikation: Stellen Sie sicher, dass die Kommunikation über Sprache, Video und Text sicher ist, auch in Notfallsituationen.

Antivirensoftware für Unternehmen – ein wichtiger Sicherheitsfaktor

Eine der grundlegendsten Maßnahmen, die Unternehmen ergreifen können, um ihre IT-Infrastruktur zu schützen, ist die Implementierung von Antivirensoftware. Daten sind das Rückgrat jedes modernen Unternehmens. Ein Datenverlust durch Malware-Angriffe kann verheerende Auswirkungen haben, von finanziellen Verlusten bis hin zu einem irreparablen Reputationsschaden. Antivirensoftware hilft, solche Verluste zu verhindern, indem sie Bedrohungen identifiziert und eliminiert, bevor sie Schaden anrichten können.

Phishing-Angriffe zählen zu den verbreitetsten Techniken, die Cyberkriminelle einsetzen, um an sensible Daten zu kommen. Moderne Antivirensoftware kann verdächtige E-Mails und Websites erkennen und blockieren, wodurch das Risiko, Opfer eines Phishing-Angriffs zu werden, erheblich reduziert wird. Dies ist besonders wichtig für Unternehmen, die täglich eine große Menge an E-Mails verarbeiten.

Cyberkriminelle entwickeln ständig neue Methoden, um in Systeme einzudringen. Moderne Antivirensoftware verwendet fortschrittliche Technologien wie maschinelles Lernen und Verhaltensanalyse, um auch neue und bisher unbekannte Bedrohungen zu erkennen und zu stoppen. Dies bietet Unternehmen einen proaktiven Schutz, der über traditionelle Signatur-basierte Erkennungsmechanismen hinausgeht.