Thought Leadership
Die „Netz- und Informationssicherheitsrichtlinie 2“, kurz NIS2, ist eine Richtlinie der Europäischen Union, um die Cybersicherheit kritischer Sektoren insgesamt zu verbessern. Sie aktualisiert die NIS-Richtlinie von 2016, die angesichts so komplexer wie zahlreicher Cyberbedrohungen deutlich nachgebessert werden musste.
NIS2 stellt höhere Anforderungen an Risikomanagement, Transparenz und die Planung der geschäftlichen Kontinuität. Gleichzeitig wird der Geltungsbereich auf wichtige Dienste wie die Energieversorgung, Finanzen, Gesundheitswesen und Transport erweitert. Allerdings geht die Umsetzung von NIS2 bislang eher holprig vonstatten, und die weitaus meisten Mitgliedstaaten sind von einer kompletten Umsetzung weit entfernt.
Obwohl die entsprechende Frist bereits am 17. Oktober abgelaufen ist, hatten zu diesem Zeitpunkt erst Belgien und Kroatien ihre Fortschritte offiziell der Europäischen Kommission mitgeteilt. Belgien hat die Umsetzung des Gesetzes abgeschlossen, Kroatien nur teilweise. Insgesamt ist die Umsetzung in den meisten EU-Staaten NIS2 eher mühsam.
Strengere Anforderungen, bessere Cyberabwehr
NIS2 wurde im Jahr 2022 verabschiedet und sollte die ursprüngliche Richtlinie aus dem Jahr 2016 ersetzen. Sie war im Hinblick auf moderne Cybersicherheitsbedrohungen deutlich an Grenzen gestoßen. Die überarbeitete Richtlinie legt die Messlatte höher und formuliert strengere Anforderungen an das Risikomanagement, die Meldepflicht bei Zwischenfällen und die Planung der Geschäftskontinuität. Unternehmen sind nach bedeutsamen Cybersicherheitsvorfällen verpflichtet innerhalb von 24 Stunden eine Warnung auszugeben. Innerhalb von 72 Stunden muss ein vollständiger Bericht vorliegen. Bei Nichteinhaltung drohen empfindliche Geldbußen von bis zu 10 Millionen Euro beziehungsweise 2 % des weltweiten Umsatzes – je nachdem, welcher Betrag höher ist.
Stockende Einführung in der EU
Obwohl die neuen Vorschriften mittlerweile gelten, haben viele EU-Mitgliedstaaten NIS2 noch nicht in nationales Recht gegossen. Die Kommission hatte allen Mitgliedstaaten fast zwei Jahre lang Orientierung geboten. Angesichts des enttäuschenden Tempos bei der Umsetzung,
drohen denjenigen, die noch im Rückstand sind, jetzt Konsequenzen. Untersuchungen der DNS Research Federation zeigen, dass beispielsweise Portugal und Bulgarien nicht einmal mit der Umsetzung begonnen haben.
Die Realisierung ist allerdings weder für Regierungen noch Unternehmen trivial. Beispielsweise steht Deutschland bei der Umsetzung der NIS2-Richtlinie der EU vor komplexen Aufgaben. Ursprünglich war die Verabschiedung des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) für Oktober 2024 geplant, doch die Umsetzung in nationales Recht hat sich verzögert. Nun soll das Gesetz Anfang 2025 in Kraft treten. Die Verzögerung erhöht erneut den Druck auf Unternehmen – insbesondere in kritischen Branchen – ihre Cybersicherheitsmaßnahmen entsprechend zu verbessern und die erweiterten Anforderungen der Richtlinie zu erfüllen.
NIS2UmsuCG erweitert zudem den Kreis der betroffenen Unternehmen und umfasst auch Branchen jenseits der kritischen Infrastrukturen. Firmen sollen sich stärker als bislang auf den Umgang mit Cyberrisiken und die Planung der Geschäftskontinuität konzentrieren. Dennoch sieht der deutsche Gesetzgebungsprozess Ausnahmen für Branchen wie Telekommunikation und Energieversorgung vor. Das macht die Einhaltung von Compliance noch komplizierter. Wirtschaftsverbände haben wegen der inkonsistenten Regulierung in den einzelnen EU-Mitgliedsstaaten bereits Bedenken angemeldet.
Internationale Firmen, die in unterschiedlichen Rechtsräumen tätig sind, könnte das beispielsweise behindern. Trotz der verzögerten Umsetzung wird Unternehmen in Deutschland empfohlen, mit den Vorbereitungen zur Einhaltung von NIS2 nicht länger zu zögern. Denn nach dem Inkrafttreten des Gesetzes gibt es keine Übergangsfrist, und Unternehmen sollten spätestens Anfang 2025 den Status ihrer IT-Infrastrukturen bewerten, Lücken identifizieren und Cybersicherheitsmaßnahmen optimieren.
Mangelndes Bewusstsein bei den betroffenen Firmen
Wie gesagt ist die zögerliche Umsetzung von NIS2 nicht für Regierungen ein Problem, sondern auch für Unternehmen. Aufgrund eines Berichts des französischen parlamentarischen Ausschusses für digitale Angelegenheiten stellte sich heraus, dass viele Unternehmen die neuen Anforderungen nicht einmal kennen. Besonders gefährdet sind die Firmen, die erst seit kurzem von der Richtlinie betroffen sind. Ohne ausreichende Kenntnis und technische Kapazitäten zur Umsetzung besteht ein nicht zu unterschätzendes Compliance-Risiko.
Der Technologieanwalt Tim Wright hat darauf hingewiesen, dass eine uneinheitliche Durchsetzung zu Schwachstellen bei der Cybersicherheit innerhalb der gesamten EU führen könne. Cyberkriminelle könnten sich auf Länder konzentrieren, die bei der NIS2-Einführung hinterherhinken und beispielsweise Schwächen in der Lieferkette ausnutzen sowie kleine Lieferanten mit potenziell weniger stabilen Sicherheitsmaßnahmen angreifen.
Auswirkungen für Unternehmen: Bußgelder, Betriebsschließungen usw.
NIS2 gilt für Unternehmen, die „wesentliche“ Dienste in den Bereichen Finanzen und Banken, Gesundheitswesen, Energie und Transport anbieten. Bei Nichteinhaltung drohen schwerwiegende Konsequenzen: bei Verstößen Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Für „wichtige“ Unternehmen wie Lebensmittellieferanten und Abfallentsorger können die Geldstrafen bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes betragen. Darüber hinaus besteht auch die Option Betriebe zu schließen und behördliche Kontrollen zu intensivieren.
Die Richtlinie betont zudem die „Sorgfaltspflicht“ von Unternehmen, Schwachstellen zu melden, die eigenen Technologieanbieter zu überprüfen und Informationen über Cyberbedrohungen auszutauschen. Auch die Verantwortung von Führungskräften, der Umgang mit Zwischenfällen und die Schulung von Mitarbeitenden sind Bereiche, die Unternehmen bei der Einhaltung von NIS2 berücksichtigen sollten.
Zukünftige Herausforderungen und der notwendige Zusammenhalt
Die uneinheitliche Einführung von NIS2 in der gesamten EU ist besonders für kleinere Unternehmen mit begrenzten Ressourcen problematisch. Laut Chris Gow, Senior Director, EU Public Policy bei Ciscos Government Affairs Team, erschweren Abweichungen bei der lokalen Anpassung an NIS2 die Einhaltung der Vorschriften. Er empfiehlt Unternehmen, sich zunächst auf grundlegende Sicherheitsmaßnahmen zu konzentrieren, um trotz des unterschiedlichen Umsetzungsgrads die Anforderungen der Richtlinie zu erfüllen. Der Erfolg von NIS2 wird aber maßgeblich von der einheitlichen Durchsetzung in allen Mitgliedstaaten abhängen. Unternehmen sollten ihre betrieblichen Abläufe zügig an die Richtlinie anpassen. Andernfalls riskieren sie einerseits empfindliche Strafen, und kämpfen anderseits auch weiterhin mit raffinierter werdenden Cyberbedrohungen.
Cybersicherheit stärken, NIS2-Vorgaben einhalten
Um NIS2-Standards zu erfüllen, sollten Unternehmen in Sachen Cybersicherheit einen vielschichtigen Ansatz verfolgen. Dazu zählen Bedrohungserkennung und Response sowie Mitarbeiterschulungen.
Das gewährleisten EDR-Lösungen, die beispielsweise eine Überwachung in Echtzeit, Bedrohungserkennung und eine schnelle Reaktion darauf erlauben – und zwar für alle Endpoints wie Workstations, Server und Mobilgeräte. Verdächtige Aktivitäten werden isoliert, so dass Vorfälle nicht eskalieren. Dies ist entscheidend für die NIS2-Anforderung, bedeutsame Cybervorfälle innerhalb von 24 Stunden zu melden. Link-Isolation- und Sandboxing-Technologien isolieren E-Mail-Bedrohungen, die für 97 % der Cyberangriffe verantwortlich sind. So lassen sich die mit Phishing und anderen E-Mail-basierten Angriffen verbundenen Risiken senken.
Im Idealfall liefert ein Anbieter zusätzlich Forensik, dynamisches Sandboxing und ein Threat Intelligence Netzwerk. Das erlaubt einen tiefergehenden Einblick in Vektoren, Umfang und Auswirkungen von Angriffen und unterstützt Unternehmen beim NIS2-adäquaten Umgang mit Zwischenfällen.
Da Security Awareness einer der Schwerpunkte von NIS2 ist, haben Mitarbeiterschulungen einen entsprechend hohen Stellenwert. Mithilfe von umfassenden Lösungen, die EDR, E-Mail-Sicherheit, erweiterte Bedrohungserkennung, Schulung und Verschlüsselung unter einen Hut bringen, sind Unternehmen besser in der Lage, die gesetzlichen Verpflichtungen gemäß NIS2 zu erfüllen und ihre allgemeine Cybersicherheitslage zu optimieren.
Autor: Michael Senn, VIPRE Security Group
