Foto: mixmagic - shutterstock.com
Digitalisierung bedeutet in erster Linie eine Steigerung von Effizienz, häufig auch eine Erweiterung von möglichen Kundenkreisen und eine Flexibilisierung moderner Arbeit. Mit zunehmenden Bedeutung von technologiegestützten Prozessen wächst allerdings auch die Abhängigkeit von eben diesen Technologien. In Kombination mit einer steigenden Bedrohungslage durch Cyberkriminalität in der gesamten EU sind umfassende Maßnahmen zum Schutz der Organisationen unerlässlich.
Was ist die NIS2-Richtlinie?
Im Jahr 2016 wurde deshalb bereits die NIS-Richtlinie (Network-and-Information-Security-Richtlinie) eingeführt, die für alle Sektoren der kritischen Infrastruktur gilt und strikte Vorgaben zu Cybersecurity macht. Anfang dieses Jahres überarbeitete die EU diese Richtlinie und ersetzte sie durch eine zweite, verschärfte Fassung mit der Bezeichnung NIS 2. Dabei wurde der Kreis der von der Richtlinie betroffenen Unternehmen und Organisationen deutlich ausgeweitet und in die Kategorien "wesentliche Sektoren" (hohe Kritikalität) und "wichtige Sektoren" (sonstige kritische Sektoren) eingeteilt.
Damit nicht genug erweiterte die EU die wesentlichen Sektoren, die bereits zum Teil in NIS definiert sind, dabei stark, die "wichtigen Sektoren" für NIS 2 definierte sie gänzlich neu. Teilweise herrscht hier Deckungsgleichheit mit den KRITIS-Sektoren und den sogenannten "UBI" (Unternehmen im besonderen öffentlichen Interesse). Allerdings umfasst die NIS2-Richtlinie nochmal mehr Unternehmen. Bei einem Verstoß in Organisationen mit "hoher Kritikalität" können Strafen in Höhe von bis zu 10 Millionen Euro fällig werden.
Zusätzlich sind auch Anbieter digitaler Dienste, die den Schwellenwert von 50 Mitarbeitern und 10 Millionen Euro Umsatz erreichen, verpflichtet, die Richtlinie einzuhalten. Gepaart mit der Frist zur Umsetzung bis zum Herbst 2024 übt NIS 2 auf viele Unternehmen erheblichen Druck aus. Wer nicht unverzüglich reagiert und das Thema priorisiert, dürfte Schwierigkeiten mit dem Einhalten der Richtlinie bekommen – zum Beispiel durch den Umfang der umzusetzenden Maßnahmen.
Lesetipp: EU Cyber Reslikience Act - Neue EU-Vorgaben zur Cybersicherheit
Welche Sektoren sind in welchem Umfang betroffen?
Innerhalb der Vorgänger-Richtlinie NIS waren die Mitgliedsstaaten selbst für die Einstufung der Organisationen in "wesentliche Betreiber" verantwortlich. Durch die Neuerung in NIS 2 werden hier klare Vorgaben gemacht und zudem vergleichsweise kleine Unternehmen mit in die Verantwortung genommen. Der Umfang der Strafe bei einem Verstoß gegen die Richtlinie hängt von der jeweiligen Zuordnung zu "wesentlich" oder "wichtig" ab.
Mit "wesentlichen Sektoren" sind folgende gemeint:
Energie (Strom, Öl, Gas, Wärme, Wasserstoff)
Gesundheit (Versorger, Labore, F&E, Pharma)
Transport (Luft, Schiene, Wasser, Straße)
Banken und Finanzmärkte
Wasser und Abwasser
Digital (Anbieter von Internet Exchange Points [IXP], DNS-Dienstanbieter, TLD-Namensregistrierungen, Anbieter von Rechenzentrumsdiensten, Anbieter von Inhaltsbereitstellungsnetzwerken, Anbieter von Vertrauensdiensten)
ICT-Dienstleistungsverwaltung, Raumfahrt, öffentliche Verwaltung
Als "wichtige Sektoren" wurden die folgenden definiert:
Post und Kurier
Abfallwirtschaft
Chemie
Ernährung
Industrie (Technik und Ingenieurwesen)
Digitale Dienste (Online-Marktplätze, online Suchmaschinen, soziale Netzwerke)
Forschung
Welche Maßnahmen werden durch die Richtlinie definiert?
Der grundsätzliche Anspruch der NIS 2 ist eine Harmonisierung des Cybersicherheits-Niveaus aller EU-Mitgliedsstaaten. Die jeweiligen Erweiterungen dienen einer erhöhten Resilienz und Reaktionsfähigkeit auf IT-Sicherheitsvorfälle sowohl für öffentliche als auch für private Einrichtungen. Für den grenzüberschreitenden Austausch innerhalb der EU wird die digitale Infrastruktur als zentraler Bestandteil verstanden, den es für einen uneingeschränkten Binnenmarkt zu schützen gilt.
Die NIS2-Richtlinie verlangt nicht nur mehr Maßnahmen als die NIS, sondern übersteigt in ihren Anforderungen ebenfalls die Vorgaben des deutschen IT-Sicherheitsgesetzes 2.0. Die zentrale Anforderung der EU-Richtlinie ist das Einbeziehen der IT-Sicherheit in die globale Unternehmenssteuerung. Ein stringentes Risikomanagement, Sensibilisierung und Schulung von Mitarbeitern, Regelungen zum Melden von Vorfällen, sowie das Vorbehalten von Notfallplänen für den Ernstfall werden für die betroffenen Unternehmen notwendig werden.
Zentrale technische Maßnahmen zur Absicherung der Unternehmen werden in der Richtlinie als "Cyberhygiene" bezeichnet und umfassen unter anderem eine systematische Datensicherung, stichhaltige Konzepte für die Zugriffskontrolle, ein sicheres Management von Schwachstellen und die Verschlüsselung von Informationen.
Lesetipp: EU Data Act - Neue Pläne zur Datennutzbarkeit und -weitergabe
Was gilt für betroffene Unternehmen?
Das Umsetzen der durch die NIS 2 Richtlinie geregelten Maßnahmen umfasst ein breites Spektrum an Tätigkeiten und kann, wie auch Cybersicherheit selbst, eher als Prozess verstanden werden. Verantwortliche Administratoren sind kontinuierlich dazu angehalten, die eigenen Prozesse und Maßnahmen zu prüfen und an die jeweiligen Anforderungen anzupassen. Die Dynamik und Komplexität der (IT-)Umwelt bringen immer wieder neue Anforderungen an Unternehmen und deren interne IT-Sicherheitsmaßnahmen hervor.
Lesetipp: Cybergesetze – Firmen in Zugzwang
Grundsätzlich kann das Umsetzen der Maßnahmen in die folgenden sieben Schritte aufgeteilt werden:
Zunächst gilt es für Verantwortliche, die unternehmensinternen kritischen Infrastrukturen und Dienstleistungen zu identifizieren und auf ihr Sicherheitsniveau zu prüfen.
Sind diese bekannt, müssen im nächsten Schritt umfassende Sicherheitsvorkehrungen für diese getroffen werden. Wichtig ist, dass diese sowohl in der Unternehmensstrategie als auch dediziert auf der Prozessebene gedacht, gelebt und umgesetzt werden. Eine gute Orientierung liefern Standards, beispielsweise die ISO 27001 Zertifizierung
Um die eingeführten Maßnahmen langfristig aufrecht zu erhalten, müssen neben der Implementierung auf Prozessebene ein System zur Überwachung von Sicherheitsvorfällen sowie Vorgänge und Verantwortlichkeiten für die Meldepflicht von einem Vorfall eingerichtet werden. Insbesondere das Einhalten der Meldepflicht von sicherheitsrelevanten Vorfällen an die nationale Behörde für Cybersicherheit muss hier gewährleistet sein
Auch wenn die Meldewege definiert wurden, sind Sicherheitsvorfälle zu jedem Zeitpunkt zu vermeiden. Die intern festgelegten IT-Sicherheitsrichtlinien müssen dafür regelmäßig geprüft werden und an die äußere Bedrohungslage angepasst werden
Damit die IT-Sicherheit unternehmensweit eingehalten wird, ist sowohl Aufklärung als auch Sensibilisierung der eigenen Mitarbeiter unerlässlich. Relevanz und Bedrohlichkeit sowie gängige Einfallstore für Kriminelle und die eigene Kompetenz und Verantwortung muss jedem einzelnen Mitglied Ihrer Organisation bewusst sein
Überprüfen Sie ebenfalls Online-Dienstleister, die für Ihr Unternehmen tätig sind, um sicherzustellen, dass auch hier keine Fehler und Sicherheitslücken in der Verarbeitung Ihrer Daten entstehen
Informieren Sie sich kontinuierlich über Neuerungen bei den jeweiligen nationalen Behörden, in Deutschland ist das BSI zuständig. Sollten Sie sich in einem oder mehreren der genannten Punkte unsicher sein, scheuen Sie nicht davor zurück einen Experten zu konsultieren, der sie fachlich unterstützt. (jm)