NIS2-Maßnahmen

NIS2 tritt im Oktober 2024 in Kraft: Was müssen deutsche Unternehmen jetzt tun?

Cybersicherheit, IT-Sicherheit, Cyber Security

Technologische Fortschritte, insbesondere bei den KI-Tools, tragen wesentlich dazu bei, dass Cyberkriminelle immer raffiniertere Angriffe lancieren können.

Dem Human Risk Review 2023 von SoSafe zufolge glauben drei von vier Cybersecurity-Experten, dass das Cyberrisiko ihrer Organisation aufgrund der Verflechtung von Geopolitik, KI und Remote-Arbeit gestiegen ist. Dieser Anstieg der Bedrohung und des Risikos ist besonders gefährlich für Betreiber kritischer Infrastrukturen, die attraktive Ziele für Bedrohungsakteure darstellen, da jede Unterbrechung von Diensten eine sofortige Behebung erfordert. Als Reaktion darauf hat der europäische Gesetzgeber die NIS2 eingeführt, eine EU-weite Gesetzgebung zur Cybersicherheit, die eine ganze Reihe strengerer Cybersicherheitsverpflichtungen für große und mittlere Unternehmen in einer Vielzahl von Branchen mit sich bringt.  

Anzeige

Bis 17. Oktober 2024 müssen alle EU-Mitgliedstaaten die NIS2-Maßnahmen in nationales Recht umsetzen. Die Verordnung zielt unter anderem darauf ab, die Sicherheit und Widerstandsfähigkeit kritischer Infrastrukturen zu verbessern und so die digitale Wirtschaft und die Daten der Bürger zu schützen. Mit der Neuauflage NIS2 wird die Anzahl der Sektoren und Teilsektoren, für die sie gilt, erheblich ausgeweitet und umfasst nun auch lebenswichtige, wesentliche und Schlüsselsektoren, darunter die Abfallwirtschaft, digitale Anbieter, Post- und Kurierdienste, die digitale Infrastruktur sowie die Herstellung, Produktion und der Vertrieb in Bereichen wie Lebensmittel, Chemikalien und Computertechnik. Darüber hinaus dehnt die NIS2 ihren Geltungsbereich auf mittlere und große Unternehmen in diesen Sektoren aus und schreibt je nach Unternehmensgröße und Einstufung des Sektors unterschiedliche Cybersicherheitsmaßnahmen und Compliance-Anforderungen vor. Durch die Einbeziehung eines breiteren Spektrums von Organisationen soll eine umfassendere und kohärentere Cybersicherheitslage in der EU geschaffen werden, sodass Schwachstellen verringert und die allgemeine Widerstandsfähigkeit gegen Cyberbedrohungen verbessert werden kann.

Fünf Schritte zur Vorbereitung auf NIS2 

1. Verständnis des Anwendungsbereichs von NIS2 

Um zu bestimmen, welche der betrieblichen Technologie- und IT-Systeme unter die Vorschriften fallen, sollten folgende Fragen beantwortet werden: Ist das Unternehmen in einem der von der NIS2 identifizierten kritischen Sektoren tätig (etwa Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur)? Handelt es sich um ein mittleres oder großes Unternehmen im Sinne der NIS2-Definition (50 oder mehr Beschäftigte oder ein Umsatz von mehr als zehn Mio. Euro)? Welche spezifischen Dienste oder Aktivitäten innerhalb der Organisation werden von NIS2 abgedeckt? Wie könnte sich der erweiterte Anwendungsbereich von NIS2 auf die derzeitigen Cybersicherheitspraktiken auswirken? Was sind die möglichen Auswirkungen auf die Lieferkette und die Beziehungen zu Dritten?

Anzeige

2. Kenntnis der zehn Sicherheitsanforderungen

Artikel 21 der NIS2-Richtlinie umreißt die wichtigsten Sicherheitsanforderungen, die Organisationen umsetzen müssen und die der Beherrschung der Risiken für die Sicherheit von Netz- und Informationssystemen dienen: 

  1. Regelmäßige Durchführung von Risikobewertungen und Entwicklung umfassender Sicherheitsrichtlinien zur Bewältigung festgestellter Risiken.
  2. Behandlung von Vorfällen, einschließlich Verfahren zur Verwaltung von Cybersicherheitsvorfällen, wie Erkennung, Reaktion und Wiederherstellung.
  3. Entwicklung und Pflege von Geschäftskontinuitätsplänen und Krisenmanagementverfahren, um die Erbringung von Dienstleistungen während und nach einem Cybervorfall sicherzustellen.
  4. Sicherheit in der Lieferkette, etwa durch die Umsetzung von Maßnahmen zur Bewältigung von Risiken im Zusammenhang mit Drittlieferanten und Dienstleistern.
  5. Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzen und Informationssystemen sowie die Gewährleistung, dass die Sicherheit in den Lebenszyklus von Informationssystemen und Netzen integriert wird.
  6. Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen sowie die regelmäßige Überprüfung und Aktualisierung der Sicherheitsrichtlinien und -verfahren, um deren Wirksamkeit zu gewährleisten.
  7. Grundlegende Praktiken der Cyberhygiene und Schulungen zur Cybersicherheit. 
  8. Richtlinien und Verfahren für den Einsatz von Kryptographie und Verschlüsselung. 
  9. Sicherheit der Humanressourcen, Zugangskontrollpolitik und Vermögensverwaltung.
  10. Einsatz von Lösungen für die Multi-Faktor-Authentifizierung oder die kontinuierliche Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gesicherte Notfallsysteme (wo angemessen). 

3. Durchführung einer Lückenanalyse 

Sobald der Umfang und die Anforderungen von NIS2 ermittelt sind, können diese mit den bestehenden Sicherheitsmaßnahmen im Unternehmen verglichen werden. 

Eine Gap-Analyse schließt bestehende Lücken zwischen dem aktuellen Stand der Konformität und dem gewünschten Stand, um das Unternehmen an die NIS2-Anforderungen anzupassen. Bei der Durchführung einer Lückenanalyse ist es wichtig, ein funktionsübergreifendes Team zusammenzustellen, um verschiedene Perspektiven einzubringen. Darüber hinaus sollten die aktuellen Cybersicherheitspraktiken dokumentiert werden. Dazu gehören technische Maßnahmen, Reaktionspläne auf Vorfälle und Schulungsprogramme für Mitarbeiter. Eine Auflistung aller spezifischen NIS2-Anforderungen, die für die eigene Organisation gelten, ist ebenfalls wichtig. Nachdem der aktuelle Stand mit den NIS2-Anforderungen verglichen und Lücken anhand ihrer potenziellen Auswirkungen priorisiert wurden, kann ein detaillierter Aktionsplan erstellt werden, um diese Lücken zu schließen. 

4. Mit der Zuweisung von Ressourcen beginnen

Nachdem die Lücken identifiziert sind, gilt es, die notwendigen Ressourcen bereitzustellen, um diese zu schließen. Dies beinhaltet möglicherweise Investitionen in neue Technologien und Tools zur Verbesserung der Cybersicherheitsinfrastruktur sowie die Einstellung von zusätzlichem Personal oder die Fortbildung der Mitarbeiter. Zwar gibt es kein einheitliches Szenario für die Planung eines NIS2-Budgets, da dies von den bestehenden Cybersicherheitsmaßnahmen einer Organisation abhängt, aber der Folgenabschätzungsbericht der EU legt nahe, dass die durchschnittlichen IKT-Sicherheitsausgaben für Sektoren, die bereits in den Anwendungsbereich der NIS fallen, um etwa zwölf Prozent und für neue Sektoren, die in den Anwendungsbereich der NIS2 aufgenommen werden, um 22 Prozent steigen werden.

5. Einbindung der Führungsebene und des Vorstands 

Die NIS2-Richtlinie sieht ausdrücklich die Haftung von „Leitungsorganen“ für die Nichteinhaltung oder von Verstößen gegen die Anforderungen an das Cybersecurity-Risikomanagement und die Meldepflichten vor. Die Übernahme einer aktiven Rolle bei der Beaufsichtigung der Umsetzung der Compliance-Maßnahmen ist daher obligatorisch. 

Gerald-Eid

Gerald

Eid

Regional Managing Director DACH

Getronics

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.