Geleakte Kundendaten, Ransomware-Angriffe auf Krankenhäuser oder komplette Systemausfälle in der städtischen Infrastruktur: Solche Vorfälle sind nicht nur kostspielig und schädlich für den Ruf, sondern haben auch Auswirkungen auf das gesellschaftliche Leben.
Um Europa physisch und im Cyberraum zu schützen, wurden zahlreiche Gesetzesvorhaben auf den Weg gebracht und zu Teilen auch schon in Kraft gesetzt. Mit darunter die europäische NIS-2-Richtlinie. Aber was genau steckt hinter dieser Richtlinie? Und warum sollten Unternehmen bereits jetzt aktiv werden?
NIS-2-Richtlinie: Europas Werkzeug gegen Cyberbedrohungen
Mit der NIS-2-Richtlinie soll ein hohes Cybersicherheitsniveau auf EU-Ebene geschaffen sowie der Binnenmarkt gestärkt werden. Die “EU Directive on Security of Network and Information Systems” versteht sich als eine Weiterentwicklung der EU NIS-Richtlinie. Dabei geht es nicht nur darum, Unternehmen vor Cyberangriffen zu schützen, ihnen sollen auch Leitlinien an die Hand gelegt werden, wie sie auf Angriffe reagieren können.
Die Botschaft der EU ist klar: alle EU-Mitgliedsstaaten sollen sich an dieselben Sicherheitsstandards halten und ein gemeinsames hohes Sicherheitsniveau aufrechterhalten. Im Vergleich zur vorhergehenden EU NIS-Richtlinie schließt NIS-2 dabei deutlich mehr Unternehmen mit ein. Zudem werden Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit erweiterten Befugnissen ausgestattet, um sicherzustellen, dass die Sicherheit nicht nur auf dem Papier existiert.
Nach der Veröffentlichung der NIS-2-Richtlinie am 27. Dezember 2022 folgte das Inkrafttreten am 16. Januar 2023 – seitdem läuft die Uhr für alle EU-Mitgliedsstaaten. Bis Oktober 2024 haben sie Zeit, die Richtlinie in nationales Recht umzusetzen. Deutschland erarbeitet aktuell das Umsetzungsgesetz. Ein erster „öffentlicher“ Entwurf für die Verbändeanhörung wird im Herbst 2023 erwartet.
Welche Unternehmen sind von der NIS-2-Richtlinie betroffen?
Betroffene Wirtschaftszweige sind im bisherigen Referentenentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz oder NIS2UmsuCG) in drei Kategorien unterteilt: kritische Anlagen, besonders wichtige Einrichtungen und wichtige Einrichtungen. Unter „kritische Anlagen“ fallen beispielsweise Betreiber kritischer Infrastrukturen, unter anderem in den Sektoren Energie, Trinkwasser, Abwasser, Transport und Verkehr, Finanz- und Versicherungswesen, das Gesundheitswesen, Informationstechnik und Telekommunikation. Unter die anderen Kategorien fallen:
- mittlere Unternehmen, also solche, die mindestens 50 und höchstens 249 Mitarbeiter beschäftigen und einen Jahresumsatz von höchsten 50 Millionen Euro oder eine Jahresbilanzsumme von höchstens 43 Millionen Euro aufweisen.
- große Unternehmen, also solche, die die Definition der mittleren Unternehmen überschreiten
All diese Unternehmen werden laut derzeitigem Referentenentwurf des noch zu verabschiedenden Gesetzes betroffen sein und müssen sich im Bereich IT-Sicherheit entsprechend den Anforderungen des Gesetzes aufstellen.
Wie bereiten sich Unternehmen am besten vor?
Die Umsetzung sollte als ein Marathon begriffen werden, nicht als ein Sprint. Unternehmen sollten zunächst prüfen, ob und wie sie von dem neuen Gesetz betroffen sein werden. Ein Information Security Management System (ISMS), das Risikomanagement und die Umsetzung von Maßnahmen zur Erreichung eines angemessenen Risiko- und IT-Sicherheitsniveau sind unerlässlich. Dazu gehören auch die Umsetzung und Aufrechterhaltung der IT-Sicherheitstechnologien, immer dem aktuellen Stand der Technik entsprechend.
Die gute Nachricht für Betreiber kritischer Infrastrukturen in Deutschland: Diese haben in Folge des IT-Sicherheitsgesetzes bereits ein solides Fundament aufgebaut. Und wer bereits ein ISMS und die nötige vertrauenswürdige IT- und OT-Sicherheitstechnologie implementiert hat, ist gut aufgestellt und muss nur mit geringen Anpassungen rechnen. Für alle anderen Industrieunternehmen bringt NIS-2 neue Spielregeln und damit neue Aufgaben, unter anderem die Beachtung der Meldeprozesse. Berater und Beraterinnen können unterstützen und maßgeschneiderte Konzepte für die angemessene Umsetzung bieten.
Jetzt reagieren, um sicher in die Zukunft zu blicken
Die NIS-2-Richtlinie ist mehr als nur ein Regelwerk – sie ist ein Handlungsaufruf, IT- und OT-Sicherheit zu etablieren und eine widerstandsfähige Organisation zu schaffen und aufrecht zu erhalten. Neben möglichen Bußgeldern wird die Unternehmensleitung von Großunternehmen deutlich stärker in Haftung genommen. Die Aufsichtsbehörde kann den Betrieb besonders wichtiger Einrichtungen vorübergehend aussetzen oder der Geschäftsführung die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen.
Da eine Umsetzung viel Zeit bedarf, ist es für Unternehmen entscheidend, frühzeitig mit den Vorbereitungen zu beginnen.
Alexander Schlensog, Global Head of Consulting, Division Industry, secunet