NIS2-Richtlinie: Maßnahmen zur Umsetzung im Überblick
  1. Home
  2. Blog
  3. NIS2-Richtlinie: Maßnahmen zur Umsetzung im Überblick

NIS2-Richtlinie: Maßnahmen zur Umsetzung im Überblick

Veröffentlicht: 4. Dezember 2024 von Hannah und René

Das politische Hin und Her um das NIS2UmsuCG (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) sorgt derzeit für Unsicherheiten in der deutschen Unternehmenslandschaft. Geschäftsführer und Management sind ratlos: Ist unser Unternehmen von NIS2 betroffen? Was muss konkret umgesetzt werden? Und welche Fristen müssen konkret eingehalten werden?

Jüngst hat die EU-Kommission ein Vertragsverletzungsverfahren gegen Deutschland sowie 23 weitere Mitgliedsstaaten eingeleitet, da sie die Frist zur Umsetzung der NIS2-Richtlinie in nationales Recht (17. Oktober 2024) nicht eingehalten haben.

Denn ungeachtet der politischen Unklarheiten bezüglich des deutschen NIS2-Gesetzes, bleibt eines klar: Die Richtlinie gilt bereits, stellt konkrete Anforderungen und erfordert von Unternehmen schon jetzt proaktives Handeln.

Veröffentlicht wurde die Richtlinie (EU) 2022/2555 am 14. Dezember 2022, nachzulesen im Amtsblatt vom 27. Dezember 2022 →

{frontmatter.image.alt}

Unklarheit bei Unternehmen: Bin ich von NIS2 betroffen?

Die NIS2-Richtlinie erweitert im Vergleich zu ihrer Vorgängerrichtlinie NIS1 den Anwendungsbereich deutlich und umfasst neben den in Deutschland bekannten KRITIS-Branchen weitere Sektoren:

Sektoren hoher Kritikalität (wesentliche Einrichtungen): Bankwesen, Digitale Infrastruktur, Energie, Finanzmarktinfrastruktur, Gesundheit, Öffentliche Verwaltung, Verkehr, Wasser (Abwasser, Trinkwasser) und Weltraum

Sonstige kritische Sektoren (wichtige Einrichtungen): Abfallwirtschaft, Herstellung und Vertrieb von Chemikalien, Lebensmittelproduktion und -vertrieb sowie Post- und Kurierdienste.

Grundsätzlich gilt die Richtlinie für Unternehmen mit mehr als 50 Mitarbeitern oder einer Jahresbilanz von über 10 Millionen Euro. In Ausnahmefällen könnten aber auch kleinere Unternehmen unter die NIS2-Richtlinie fallen, beispielsweise wenn sie eine wichtige Rolle in der Lieferkette kritischer Infrastrukturen spielen.

Gehört Ihr Unternehmen möglicherweise zu einem der Ausnahmefälle, finden Sie an dieser Stelle weitere Informationen →

Warum Sie nicht auf das NIS2-Gesetz warten sollten

Zwei zentrale Argumente sprechen dafür, dass Unternehmen auch im Zweifelsfall ohne NIS2UmsuCG eigenständig aktiv werden müssen:

Erstens: Die NIS2-Richtlinie ist bereits geltendes EU-Recht. Unternehmen, die gegen die Anforderungen verstoßen, riskieren Bußgelder oder Reputationsschäden. Geschäftsführer könnten bei drastischen Verstößen sogar persönlich haften – unabhängig davon, ob das deutsche Umsetzungsgesetz bereits verabschiedet ist oder nicht.

Zweitens: Cybersicherheit ist längst keine Option mehr, sondern ein zentraler Bestandteil des Risikomanagements. 179 Mio. Euro Schaden sind bei deutschen Unternehmen allein durch digitale Angriffe zuletzt entstanden. 7 von 10 Unternehmen wurden zuletzt Opfer eines Cyberangriffs und auch analoge Angriffe wie der Diebstahl von IT-Geräten, Dokumenten oder das Abhören von Besprechungen und Telefonaten nahm zuletzt drastisch zu (lt. Bitkom).

Angesichts dieser Zahlen und der immer raffinierteren Angriffsmethoden reicht ein bloßes Einhalten von Mindestanforderungen nicht mehr aus. Unternehmen müssen sich auf den Schutz ihrer Systeme und Daten konzentrieren – unabhängig von gesetzlichen Vorschriften, um wirtschaftliche Schäden zu vermeiden, ihre Betriebsfähigkeit sicherzustellen und im Angriffsfall aufrechtzuerhalten und ihr Vertrauen bei Kunden und Partnern zu bewahren.

Pflichten und konkrete Maßnahmen zur Erfüllung der NIS2-Richtlinie

Im Folgenden finden Sie die zentralen Anforderungen der NIS2-Richtlinie, Anlage 1 sowie konkrete Umsetzungsmaßnahmen:

1. Risikomanagement

Die Einführung eines systematischen Risikomanagements ist eine der Grundvoraussetzungen der NIS2-Richtlinie. Unternehmen müssen potenzielle Bedrohungen identifizieren und bewerten, um geeignete Schutzmaßnahmen zu implementieren.

Geeignete Maßnahmen:

  1. Cyber Security Check: Eine umfassende Bestandsaufnahme der bestehenden IT-Systeme und Sicherheitsmaßnahmen, um Schwachstellen in ihrer Cybersicherheit aufzudecken.
  2. Schwachstellenscan: Regelmäßige automatisierte Überprüfungen der IT-Infrastruktur auf bekannte Sicherheitslücken.
  3. Infrastruktur-Pentests: Simulierte Angriffe auf die Systeme, um Sicherheitslücken zu identifizieren und zu schließen.
  4. Web Application Security Tests: Detaillierte Tests von Webanwendungen auf Schwachstellen, um Angriffe wie SQL-Injections oder Cross-Site-Scripting zu verhindern.

2. Vorfallsreaktion

Unternehmen müssen in der Lage sein, Sicherheitsvorfälle frühzeitig zu erkennen und schnell darauf zu reagieren, um Schäden zu minimieren und den Betrieb wiederherzustellen.

Geeignete Maßnahmen:

  1. Incident Response Plan: Erstellung und regelmäßige Aktualisierung eines Plans, der konkrete Schritte und Verantwortlichkeiten im Falle eines Cyberangriffs definiert.
  2. 24/7 Security Operations Center (SOC): Einrichtung eines rund um die Uhr verfügbaren Teams oder einer Dienstleistung zur kontinuierlichen Überwachung der IT-Systeme.

3. Krisenmanagement

Die Richtlinie verlangt, dass Unternehmen Pläne für das Management von Cyberkrisen entwickeln und diese regelmäßig testen.

Geeignete Maßnahmen:

  1. IT-Security-Handbuch: Ein umfassendes Dokument, das alle relevanten Prozesse und Zuständigkeiten im Falle einer Cyberkrise beschreibt und Mitarbeiter durch klare Anweisungen handlungsfähig macht.

4. Kontinuitätsplanung

Unternehmen müssen Maßnahmen umsetzen, um sicherzustellen, dass ihre kritischen Dienstleistungen auch bei Sicherheitsvorfällen ohne größere Unterbrechungen fortgeführt werden können.

Geeignete Maßnahmen:

  1. Notfall- und Wiederherstellungspläne: Entwicklung von Plänen, die definieren, wie Systeme im Falle eines Ausfalls schnell wiederhergestellt werden können.
  2. Backup-Strategien: Einführung redundanter Daten- und Systemkopien, die regelmäßig überprüft und getestet werden.

5. Sicherheit der Lieferkette

Da Sicherheitslücken in der Lieferkette häufig als Einfallstor für Cyberangriffe genutzt werden, schreibt die Richtlinie vor, auch die Sicherheit von Partnern und Zulieferern zu überprüfen.

Geeignete Maßnahmen:

  1. Lieferantenaudits: Systematische Prüfung der Sicherheitsmaßnahmen von Lieferanten, um sicherzustellen, dass diese ebenfalls hohen Sicherheitsstandards entsprechen.

6. Sicherheitsbewusstsein

Mitarbeiter sind häufig die erste Verteidigungslinie gegen Cyberangriffe. Ein hohes Bewusstsein für Cybersicherheitsrisiken und regelmäßige Schulungen sind unerlässlich.

Geeignete Maßnahmen:

  1. Security Awareness Schulungen: Speziell auf die Bedürfnisse des Managements und der Geschäftsführung ausgerichtete Vor-Ort-Workshops sowie E-Learning-Kurse für die gesamte Belegschaft.
  2. Szenario-basierte Trainings: E-Mail-Phishing- oder Voice-Phishing-Kampagnen, bei denen Mitarbeiter auf konkrete Angriffsszenarien reagieren müssen, um das Gelernte praktisch anzuwenden.

7. Verschlüsselung und Authentifizierung

Der Schutz sensibler Daten erfordert den Einsatz moderner Verschlüsselungs- und Authentifizierungstechnologien.

Geeignete Maßnahmen:

  1. Multi-Faktor-Authentifizierung (MFA): Einführung starker Authentifizierungsmethoden, die über einfache Passwörter hinausgehen und mehrere Faktoren wie biometrische Daten oder Tokens nutzen.
  2. Datenverschlüsselung: Implementierung von Verschlüsselungstechnologien, um sensible Informationen sowohl bei der Speicherung als auch bei der Übertragung zu schützen.

8. Zugangskontrollen

Nur autorisierte Personen dürfen Zugriff auf kritische Systeme und Daten erhalten. Zugangskontrollen müssen daher sowohl digital als auch physisch sichergestellt sein.

Geeignete Maßnahmen:

  1. IT-basierte Lösungen: Implementierung von Firewalls, VPNs und Zugriffsbeschränkungen, um unautorisierten Zugriff auf Systeme zu verhindern – auch bei remote-Arbeit.
  2. Physische Assessments: Überprüfung der analogen Sicherheitsmaßnahmen, beispielsweise durch Schutz vor Tailgating (unautorisiertes Mitgehen durch Sicherheitsschleusen) oder USB Drop Attacks.

Diese Maßnahmen sind nicht nur konkrete Vorgaben, die sich aus den Anforderungen der NIS2-Richtlinie ableiten lassen, sondern auch bewährte Praktiken, die die Cybersicherheit in Unternehmen grundsätzlich nachhaltig verbessern können.

Durch die Umsetzung dieser Punkte können Organisationen die Compliance-Anforderungen erfüllen und ihre Resilienz gegen die zunehmenden Cyberbedrohungen stärken.

Sie möchten NIS2-sicher werden? Wir setzen alle erforderlichen Maßnahmen für Sie um. Lassen Sie uns ins Gespräch kommen →

Fazit: So sind Sie NIS2-sicher ohne NIS2-Gesetz

Das NIS2-Gesetz mag von der deutschen Politik derzeit nicht als zwingend erforderlich angesehen werden, doch ihre Relevanz reicht weit über gesetzliche Vorschriften hinaus. Unternehmen, die schon heute proaktiv Maßnahmen ergreifen, sichern nicht nur ihre Compliance, sondern minimieren gleichzeitig die wirtschaftlichen Risiken sowie möglichen personellen Konsequenzen in Vorständen, die durch Cyberangriffe entstehen können. Warten Sie daher nicht auf den Gesetzgeber – nutzen Sie die Zeit, um dauerhaft compliance-sicher zu sein und das wirtschaftliche Risiko zu minimieren.

Lassen Sie uns ins Gespräch kommen!

Haben Sie Fragen oder möchten Sie mehr über unsere Dienstleistungen erfahren?

Dann nutzen Sie die Möglichkeit für ein kostenloses Erstgespräch.

Gemeinsam finden wir die beste Lösung für Ihre optimale Cybersicherheit.

Felix
Ihr Ansprechpartner:
Felix Jancker