NIS2-Richtlinie: Maßnahmen zur Umsetzung im Überblick
Veröffentlicht: 4. Dezember 2024 von Hannah und René
Das politische Hin und Her um das NIS2UmsuCG (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) sorgt derzeit für Unsicherheiten in der deutschen Unternehmenslandschaft. Geschäftsführer und Management sind ratlos: Ist unser Unternehmen von NIS2 betroffen? Was muss konkret umgesetzt werden? Und welche Fristen müssen konkret eingehalten werden?
Jüngst hat die EU-Kommission ein Vertragsverletzungsverfahren gegen Deutschland sowie 23 weitere Mitgliedsstaaten eingeleitet, da sie die Frist zur Umsetzung der NIS2-Richtlinie in nationales Recht (17. Oktober 2024) nicht eingehalten haben.
Denn ungeachtet der politischen Unklarheiten bezüglich des deutschen NIS2-Gesetzes, bleibt eines klar: Die Richtlinie gilt bereits, stellt konkrete Anforderungen und erfordert von Unternehmen schon jetzt proaktives Handeln.
Unklarheit bei Unternehmen: Bin ich von NIS2 betroffen?
Die NIS2-Richtlinie erweitert im Vergleich zu ihrer Vorgängerrichtlinie NIS1 den Anwendungsbereich deutlich und umfasst neben den in Deutschland bekannten KRITIS-Branchen weitere Sektoren:
Sektoren hoher Kritikalität (wesentliche Einrichtungen): Bankwesen, Digitale Infrastruktur, Energie, Finanzmarktinfrastruktur, Gesundheit, Öffentliche Verwaltung, Verkehr, Wasser (Abwasser, Trinkwasser) und Weltraum
Sonstige kritische Sektoren (wichtige Einrichtungen): Abfallwirtschaft, Herstellung und Vertrieb von Chemikalien, Lebensmittelproduktion und -vertrieb sowie Post- und Kurierdienste.
Grundsätzlich gilt die Richtlinie für Unternehmen mit mehr als 50 Mitarbeitern oder einer Jahresbilanz von über 10 Millionen Euro. In Ausnahmefällen könnten aber auch kleinere Unternehmen unter die NIS2-Richtlinie fallen, beispielsweise wenn sie eine wichtige Rolle in der Lieferkette kritischer Infrastrukturen spielen.
Warum Sie nicht auf das NIS2-Gesetz warten sollten
Zwei zentrale Argumente sprechen dafür, dass Unternehmen auch im Zweifelsfall ohne NIS2UmsuCG eigenständig aktiv werden müssen:
Erstens: Die NIS2-Richtlinie ist bereits geltendes EU-Recht. Unternehmen, die gegen die Anforderungen verstoßen, riskieren Bußgelder oder Reputationsschäden. Geschäftsführer könnten bei drastischen Verstößen sogar persönlich haften – unabhängig davon, ob das deutsche Umsetzungsgesetz bereits verabschiedet ist oder nicht.
Zweitens: Cybersicherheit ist längst keine Option mehr, sondern ein zentraler Bestandteil des Risikomanagements. 179 Mio. Euro Schaden sind bei deutschen Unternehmen allein durch digitale Angriffe zuletzt entstanden. 7 von 10 Unternehmen wurden zuletzt Opfer eines Cyberangriffs und auch analoge Angriffe wie der Diebstahl von IT-Geräten, Dokumenten oder das Abhören von Besprechungen und Telefonaten nahm zuletzt drastisch zu (lt. Bitkom).
Angesichts dieser Zahlen und der immer raffinierteren Angriffsmethoden reicht ein bloßes Einhalten von Mindestanforderungen nicht mehr aus. Unternehmen müssen sich auf den Schutz ihrer Systeme und Daten konzentrieren – unabhängig von gesetzlichen Vorschriften, um wirtschaftliche Schäden zu vermeiden, ihre Betriebsfähigkeit sicherzustellen und im Angriffsfall aufrechtzuerhalten und ihr Vertrauen bei Kunden und Partnern zu bewahren.
Pflichten und konkrete Maßnahmen zur Erfüllung der NIS2-Richtlinie
Im Folgenden finden Sie die zentralen Anforderungen der NIS2-Richtlinie, Anlage 1 sowie konkrete Umsetzungsmaßnahmen:
1. Risikomanagement
Die Einführung eines systematischen Risikomanagements ist eine der Grundvoraussetzungen der NIS2-Richtlinie. Unternehmen müssen potenzielle Bedrohungen identifizieren und bewerten, um geeignete Schutzmaßnahmen zu implementieren.
Geeignete Maßnahmen:
- Cyber Security Check: Eine umfassende Bestandsaufnahme der bestehenden IT-Systeme und Sicherheitsmaßnahmen, um Schwachstellen in ihrer Cybersicherheit aufzudecken.
- Schwachstellenscan: Regelmäßige automatisierte Überprüfungen der IT-Infrastruktur auf bekannte Sicherheitslücken.
- Infrastruktur-Pentests: Simulierte Angriffe auf die Systeme, um Sicherheitslücken zu identifizieren und zu schließen.
- Web Application Security Tests: Detaillierte Tests von Webanwendungen auf Schwachstellen, um Angriffe wie SQL-Injections oder Cross-Site-Scripting zu verhindern.
2. Vorfallsreaktion
Unternehmen müssen in der Lage sein, Sicherheitsvorfälle frühzeitig zu erkennen und schnell darauf zu reagieren, um Schäden zu minimieren und den Betrieb wiederherzustellen.
Geeignete Maßnahmen:
- Incident Response Plan: Erstellung und regelmäßige Aktualisierung eines Plans, der konkrete Schritte und Verantwortlichkeiten im Falle eines Cyberangriffs definiert.
- 24/7 Security Operations Center (SOC): Einrichtung eines rund um die Uhr verfügbaren Teams oder einer Dienstleistung zur kontinuierlichen Überwachung der IT-Systeme.
3. Krisenmanagement
Die Richtlinie verlangt, dass Unternehmen Pläne für das Management von Cyberkrisen entwickeln und diese regelmäßig testen.
Geeignete Maßnahmen:
- IT-Security-Handbuch: Ein umfassendes Dokument, das alle relevanten Prozesse und Zuständigkeiten im Falle einer Cyberkrise beschreibt und Mitarbeiter durch klare Anweisungen handlungsfähig macht.
4. Kontinuitätsplanung
Unternehmen müssen Maßnahmen umsetzen, um sicherzustellen, dass ihre kritischen Dienstleistungen auch bei Sicherheitsvorfällen ohne größere Unterbrechungen fortgeführt werden können.
Geeignete Maßnahmen:
- Notfall- und Wiederherstellungspläne: Entwicklung von Plänen, die definieren, wie Systeme im Falle eines Ausfalls schnell wiederhergestellt werden können.
- Backup-Strategien: Einführung redundanter Daten- und Systemkopien, die regelmäßig überprüft und getestet werden.
5. Sicherheit der Lieferkette
Da Sicherheitslücken in der Lieferkette häufig als Einfallstor für Cyberangriffe genutzt werden, schreibt die Richtlinie vor, auch die Sicherheit von Partnern und Zulieferern zu überprüfen.
Geeignete Maßnahmen:
- Lieferantenaudits: Systematische Prüfung der Sicherheitsmaßnahmen von Lieferanten, um sicherzustellen, dass diese ebenfalls hohen Sicherheitsstandards entsprechen.
6. Sicherheitsbewusstsein
Mitarbeiter sind häufig die erste Verteidigungslinie gegen Cyberangriffe. Ein hohes Bewusstsein für Cybersicherheitsrisiken und regelmäßige Schulungen sind unerlässlich.
Geeignete Maßnahmen:
- Security Awareness Schulungen: Speziell auf die Bedürfnisse des Managements und der Geschäftsführung ausgerichtete Vor-Ort-Workshops sowie E-Learning-Kurse für die gesamte Belegschaft.
- Szenario-basierte Trainings: E-Mail-Phishing- oder Voice-Phishing-Kampagnen, bei denen Mitarbeiter auf konkrete Angriffsszenarien reagieren müssen, um das Gelernte praktisch anzuwenden.
7. Verschlüsselung und Authentifizierung
Der Schutz sensibler Daten erfordert den Einsatz moderner Verschlüsselungs- und Authentifizierungstechnologien.
Geeignete Maßnahmen:
- Multi-Faktor-Authentifizierung (MFA): Einführung starker Authentifizierungsmethoden, die über einfache Passwörter hinausgehen und mehrere Faktoren wie biometrische Daten oder Tokens nutzen.
- Datenverschlüsselung: Implementierung von Verschlüsselungstechnologien, um sensible Informationen sowohl bei der Speicherung als auch bei der Übertragung zu schützen.
8. Zugangskontrollen
Nur autorisierte Personen dürfen Zugriff auf kritische Systeme und Daten erhalten. Zugangskontrollen müssen daher sowohl digital als auch physisch sichergestellt sein.
Geeignete Maßnahmen:
- IT-basierte Lösungen: Implementierung von Firewalls, VPNs und Zugriffsbeschränkungen, um unautorisierten Zugriff auf Systeme zu verhindern – auch bei remote-Arbeit.
- Physische Assessments: Überprüfung der analogen Sicherheitsmaßnahmen, beispielsweise durch Schutz vor Tailgating (unautorisiertes Mitgehen durch Sicherheitsschleusen) oder USB Drop Attacks.
Diese Maßnahmen sind nicht nur konkrete Vorgaben, die sich aus den Anforderungen der NIS2-Richtlinie ableiten lassen, sondern auch bewährte Praktiken, die die Cybersicherheit in Unternehmen grundsätzlich nachhaltig verbessern können.
Durch die Umsetzung dieser Punkte können Organisationen die Compliance-Anforderungen erfüllen und ihre Resilienz gegen die zunehmenden Cyberbedrohungen stärken.
Fazit: So sind Sie NIS2-sicher ohne NIS2-Gesetz
Das NIS2-Gesetz mag von der deutschen Politik derzeit nicht als zwingend erforderlich angesehen werden, doch ihre Relevanz reicht weit über gesetzliche Vorschriften hinaus. Unternehmen, die schon heute proaktiv Maßnahmen ergreifen, sichern nicht nur ihre Compliance, sondern minimieren gleichzeitig die wirtschaftlichen Risiken sowie möglichen personellen Konsequenzen in Vorständen, die durch Cyberangriffe entstehen können. Warten Sie daher nicht auf den Gesetzgeber – nutzen Sie die Zeit, um dauerhaft compliance-sicher zu sein und das wirtschaftliche Risiko zu minimieren.