Sicherheitsrichtlinie NIS2

Der Countdown läuft

25.01.2024 von Jürgen  Hill
Bis 17. Oktober muss die EU-Direktive NIS2 für mehr Cybersicherheit in nationales Recht umgesetzt werden. Hierzulande werden 30.000 bis 40.000 Unternehmen unter die schärferen NIS2-Vorgaben fallen.
Der Countdown zur Umsetzung der EU-Sicherheitsrichtlinie NIS2 läuft.
Foto: New Africa - shutterstock.com

Der Countdown läuft. Bis zum 17. Oktober müssen die Mitgliedsstatten der EU die NIS2-Richtlinie in nationales Recht umsetzen. Auf den ersten Blick ist also noch viel Zeit für die strengeren Maßnahmen zur Gewährleistung der Cybersicherheit.

Doch das könnten ein gefährlicher Trugschluss sein, denn eine NIS2-adäquate Sicherheitsstruktur, so warnt Bernhard Kretschmer, Vice President Services und Cybersecurity bei NTT, lasse sich nicht von heute auf morgen aufbauen. Zumal damit ein gewisser Aufwand verbunden ist.

NIS2 wird Milliarden kosten

So schätzt ein Referentenentwurf des Bundesinnenministeriums zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) den Aufwand für die deutsche Wirtschaft auf jährlich rund 1,65 Milliarden Euro. Zudem entstehe ein einmaliger Aufwand von zirka 1,37 Milliarden Euro. Dieser sei fast ausschließlich der Kategorie Einführung oder Anpassung digitaler Prozessabläufe zuzuordnen.

Empfindliche Strafen drohen

Laut Bernhard Kretschmer, Vice President Services und Cybersecurity bei NTT, erfordert die Umsetzung einer NIS2-adäquaten Sicherheitsstruktur einen gewissen Aufwand und lässt sich nicht von heute auf morgen bewältigen.
Foto: NTT Ltd.

Von den schärferen Richtlinien von NIS2 dürften hierzulande zwischen 30.000 und 40.000 Firmen betroffen sein. Wobei vielen, so mutmaßt NTT, dieser Umstand gar nicht bewusst sein dürfte. Ein fehlendes Know-how, das teuer werden kann. Denn bei Nichteinhaltung der NIS2-Vorgaben drohen empfindliche Strafen.

Drei Fragen stellen

Deshalb sollten sich Unternehmen aus Sicht von NTT die folgenden drei Fragen stellen:

Wen betrifft NIS2?

Die Behörden teilen einer Firma nicht mit, ob die neuen Vorgaben auf sie zutreffen oder nicht. Unternehmen müssen vielmehr selbst anhand der festgelegten Kriterien ihre "Betroffenheit" ermitteln. Grundsätzlich gilt: Alle, die als Betreiber kritischer Infrastrukturen eingestuft werden, fallen unter diese Richtlinie.

Dazu zählen Einrichtungen, Anlagen und Systeme, deren Funktionsfähigkeit wichtig für die Gesellschaft, die Sicherheit des Landes sowie der Wirtschaft ist und deren Ausfall zu erheblichen Störungen führen würde.

Diese Unternehmen sind betroffen

Nach Angaben des Bundesamtes für Katastrophenschutz handelt es sich um Unternehmen der Energie- und Wasserversorgung, der Telekommunikations- und Informationstechnik, der Lebensmittelversorgung, des Transport- und Logistikwesens, des Finanzwesens oder des Gesundheitswesens.

Gleichzeitig betrifft die NIS2-Richtlinie auch Organisationen in der Lieferkette, die Dienstleistungen oder Produkte im Zusammenhang mit kritischen Sektoren erbringen. Damit geht der Geltungsbereich weit über die bisher bekannten Schlüsselunternehmen hinaus.

Künftig werden Unternehmen und Organisationen mit 50 oder mehr Mitarbeitenden sowie einem Jahresumsatz von mindestens zehn Millionen Euro in den jeweiligen Sektoren erfasst. Konkret wird bei NIS2 zwischen "wichtigen" und "wesentlichen" Einrichtungen unterschieden.

Was fordert NIS2?

NIS2 sieht eine grundlegende IT-Hygiene vor, für kritische Einrichtungen schreibt der Referentenentwurf eine Angriffserkennung vor.
Foto: thinkhubstudio - shutterstock.com

Die EU hat die Vorgaben in drei Kernbereichen verschärft: Aufsichtsmaßnahmen und Geldbußen, Zusammenarbeit und Kooperation sowie Risikomanagement und Widerstandsfähigkeit. Die erhöhten Anforderungen an das Risikomanagement und die Widerstandsfähigkeit haben zur Folge, dass Organisationen sowohl Maßnahmen zur Schadensvermeidung als auch zur Schadensminimierung umsetzen müssen.

Darunter fallen Bereiche wie Netzwerksicherheit, Risikomanagement, Cybersicherheit in Lieferketten, Zugangskontrolle und Verschlüsselung. NIS2 sieht eine grundlegende IT-Hygiene vor, für kritische Einrichtungen schreibt der Referentenentwurf eine Angriffserkennung vor.

Geschäftskontinuität sicherstellen

Firmen sollten sich zudem Gedanken darüber machen, wie nach einer Cyberattacke die Geschäftskontinuität sichergestellt werden kann. Dazu gehören wiederum die Systemwiederherstellung, Notfallverfahren und das Einrichten einer Krisenorganisation.

Darüber hinaus muss innerhalb von 24 Stunden nach Kenntnisnahme des Sicherheitsvorfalls eine erste Meldung als Frühwarnung bei den zuständigen Behörden eingehen. Binnen 72 Stunden muss sogar ein ausführlicher Bericht folgen, der die sogenannten Indicators of Compromise beschreibt.

Das ist zu tun

Unternehmen sollten unbedingt im Top-down-Ansatz zuerst einen ganzheitlichen Ist-Zustand des Reifegrads ihrer IT-Security ermitteln und danach bedarfsgerecht technische und organisatorische Maßnahmen umsetzen. Zur Erfüllung der NIS2-Richtlinie empfiehlt sich darüber hinaus die Implementierung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001. Gleichzeitig ist ein Security Operation Center (SOC) sinnvoll.

Was passiert, wenn ich nichts tue?

Zwar werden nur die wesentlichen Einrichtungen auditiert - wer jedoch die Vorgaben missachtet, riskiert bei einem Sicherheitsvorfall spürbare Sanktionen. Bei Unternehmen, die in die Kategorie "wesentlich" eingestuft sind, können die Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist.

Wer die NIS2-Vorgaben missachtet, riskiert empfindliche Bußgelder.
Foto: IhorL - shutterstock.com

Für "wichtige" Einrichtungen liegt das maximale Bußgeld bei sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes. Der Referentenentwurf des Bundesinnenministeriums sieht darüber hinaus vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen mit ihrem Privatvermögen für die Einhaltung der Risikomanagementmaßnahmen haften.

Bußgelder in Millionenhöhe

Ihnen droht ebenfalls ein Bußgeld in Höhe von zwei Prozent des weltweiten Jahresumsatzes. NIS2 ist also ein Compliance-Risiko, das die Verantwortlichen sehr ernst nehmen sollten. Hinzu kommt, dass eine schlechte oder gar nicht vorhandene Security-Lösung am Ende deutlich mehr kostet, auch wenn die Investition in entsprechende Maßnahmen manchen Unternehmen anfangs hoch erscheinen mag.

Analog zu anderen Richtlinien ist darüber hinaus die Wahrscheinlichkeit hoch, dass Firmen, die die geforderten Maßnahmen nicht umgesetzt haben, bei Ausschreibungen der öffentlichen Hand nicht berücksichtigt werden.

Zögerliche Umsetzung

Laut NTT-Manager Kretschmer haben viel Unternehmen die von NIS2 geforderten Maßnahmen noch immer nicht in Angriff genommen. Dies kann in seinen Augen zu einem Stolperstein bei der fristgerechten NIS2-Umsetzung werden, zumal die wenigsten Betrieb dies mit der eigenen IT-Mannschaft umsetzen könnten.