Mit der NIS2-Richtlinie reagiert die EU auf die zunehmenden Gefahren durch Cyberangriffe. Sie stellt höhere Mindestanforderungen an die IT- und Informationssicherheit der betroffenen Unternehmen und Organisationen. Grundlage dafür ist ein All-Gefahren-Ansatz zum Schutz von IT, Netzwerken und physischer Infrastruktur vor Sicherheitsvorfällen.

Die Anforderungen reichen von Meldepflichten zu Sicherheitsvorfällen über das Management der Cyber-Risiken und Sicherheit in der Lieferkette bis hin zu einer Palette von technischen und organisatorischen Maßnahmen. Zu letzteren zählen beispielsweise Zugriffskontrolle (unter anderem Multi-Faktor-Authentifizierung), Verschlüsselung, physische Sicherheit oder Security-Awareness-Schulungen für Mitarbeiter.

Eine ISO-27001-Zertifizierung für den Aufbau eines Informationssicherheits-Managementsystems (ISMS) bildet bereits eine gute Basis für die Umsetzung der NIS2-Anforderungen. Davor sind aber einige wichtige Fragen zu klären. Hier ein Leitfaden aus der Praxis.

Diese Firmen und Einrichtungen sind betroffen

Im ersten Schritt sollten Unternehmen prüfen, ob sie überhaupt von der NIS2 betroffen sind, sei es direkt oder indirekt. Das BSI bietet dazu auf seiner Website eine NIS-2-Betroffenheitsprüfung an.

Welche Einrichtungen direkt von der NIS2 betroffen sind, ist in der Richtlinie im Detail in Anhang I und II spezifiziert. Grundsätzlich teilen sich diese in sieben "Essential"-Sektoren und sieben "Important"-Sektoren auf.

Besonders wichtige Einrichtungen (Essential )

aus bestimmten Sektoren nach Größe des Unternehmens ( Großunternehmen mit mehr als 250 Mitarbeitern, einem Jahresumsatz von mindestens 50 Millionen Euro oder einer Bilanz von mindestens 43 Millionen Euro)

Wichtige Einrichtungen (Important)

aus bestimmten Sektoren nach Größe des Unternehmens (Mittlere Unternehmen mit mehr als 50 Mitarbeitern, einem Jahresumsatz von mindestens 10 Millionen Euro und einer Bilanz von mindestens 10 Millionen Euro)

Darüber hinaus können Unternehmen auch indirekt von der NIS2-Richtlinie betroffen sein, wenn sie als Dienstleister oder Lieferant Teil der Lieferkette von NIS2-relevanten Organisationen sind. Hier kann man davon ausgehen, dass die von der NIS2 direkt betroffenen Firmen die Anforderungen an Dienstleister nahezu "1:1" weitergeben, wenn diese Dienstleistung sich im Geltungsbereich des Kunden befindet.

Für den Geltungsbereich, für den die geforderten Maßnahmen umgesetzt werden müssen, macht es allerings einen erheblichen Unterschied, ob man direkt oder indirekt durch NIS2 betroffen ist.

Direkte Betroffenheit:

Maßnahmen müssen für das gesamte Unternehmen umgesetzt werden.

Indirekte Betroffenheit:

Es ist möglich, dass Maßnahmen nur für einen begrenzten Bereich umgesetzt werden müssen, zum Beispiel für die angebotene Dienstleistung, die für das von NIS2 direkt betroffene Unternehmen wichtig ist.

Darüber hinaus empfiehlt es sich zu überprüfen, ob das Unternehmen sich zukünftig strategisch in die von der NIS2 betroffenen Sektoren entwickelt oder ob die Zahl der Mitarbeiter oder der Umsatz bereits kurz vor Erreichen der Schwellenwerte für die Einstufung als besonders wichtige oder wichtige Einrichtung stehen.

Das bringt eine ISO-27001-Zertifizierung für NIS2

Ist ein Unternehmen direkt oder indirekt von der NIS2 betroffen, bringt eine Zertifizierung gemäß der ISO 27001 einige Vorteile. Schließlich decken die durch die ISO 27001 geforderten Maßnahmen die meisten Anforderungen der NIS2 bereits ab. Ein gültiges Zertifikat bildet daher bereits eine sehr gute Ausgangslage.

Es gilt herauszufinden, ob der Geltungsbereich des ISO 27001-Zertifikats die vorher ermittelte NIS2-Betroffenheit bereits vollkommen abdeckt oder unter Umständen erweitert werden muss. Denn die NIS2 ist grundsätzlich nichts weiter als ein zusätzlicher "externer Kontext", der im Rahmen eines ISMS regelmäßig aktualisiert und angepasst werden muss. Der jeweilige Geltungsbereich spielt eine entscheidende Rolle und beeinflusst die zukünftigen Schritte maßgeblich in Bezug auf den Aufwand und die Kosten.

Ist ein Unternehmen direkt von der NIS2 betroffen, muss das ISMS beziehungsweise das Zertifikat für das gesamte Unternehmen gültig sein. Ist dies nicht der Fall, muss der Geltungsbereich entsprechend erweitert werden. Dadurch können sich Anpassungen an (unternehmensweiten) Prozessen und Maßnahmen ergeben.

Ist ein Unternehmen indirekt von der NIS2 betroffen, ist der Geltungsbereich des Zertifikats ebenfalls relevant. Am besten sind die Services bzw. Dienstleistungen, die von durch NIS2 betroffenen Kunden bezogen werden, bereits Teil des ISMS. Ist dies nicht der Fall empfiehlt es sich, aktiv Kontakt mit den Kunden aufzunehmen, um mögliche Maßnahmen zu diskutieren.

Maßnahmen, die jetzt in Angriff zu nehmen sind

Für Firmen, die von NIS2 betroffen sind, besteht kein Grund zur Panik. Sie sind zwar verpflichtet, umfangreiche Maßnahmen zum Schutz der Informationssicherheit umzusetzen - diese bewegen sich aber größtenteils im Rahmen von üblichen Best Practices. Unternehmen sollten sich daher über gängige Standards wie die Norm ISO/IEC 27001:2022 informieren, die bereits einen Großteil der von der NIS2 geforderten Maßnahmen enthalten.

Auf der anderen Seite schützt eine gültige ISO/IEC 27001-Zertifizierung ein betroffenes Unternehmen nicht davor, sich mit Details wie dem Geltungsbereich des ISMS und des Zertifikats zu befassen, um mittel- und langfristig angemessen in die Informationssicherheit und damit auch die Zukunft investieren zu können.



