Die Zeit drängt für Unternehmen

Umsetzung von Vorgaben der NIS-2-Richtlinie

Cybersicherheit, NIS-2, Richtlinie

Noch bis Oktober 2024 haben betroffene Unternehmen Zeit, die Aktualisierung der EU NIS-Richtlinie, NIS-2, umzusetzen. Die EU reagiert damit auf zunehmende Cyberbedrohungen, verschärft die Anforderungen an IT-Systeme und deren Sicherheit und hat den Geltungsbereich deutlich erweitert.

Für Unternehmen stellt es jedoch eine durchaus komplexe Aufgabe dar, die neuen Anforderungen umsetzen. Hier kann es sinnvoll sein, sich von einem externen Partner unterstützen zu lassen.

Anzeige

Die europäische NIS-2-Richtlinie, die Aktualisierung der NIS-Richtlinie (Network and Information Systems), ist bereits im Januar 2023 in Kraft getreten. Damit verfolgt die EU das Ziel, ein durchgängig hohes Sicherheitsniveau von Netz- und Informationssystemen und eine schnelle Reaktion auf Sicherheitsvorfälle zu gewährleisten. Die NIS-2 ist insofern folgerichtige Reaktion auf die steigende Bedrohungslage: Cyberangriffe werden zahlreicher und die Methoden stetig raffinierter und besser ausgefeilt. In Deutschland ist fast jedes Unternehmen bereits mindestens einmal von Cyberkriminalität betroffen gewesen: 84 Prozent aller Unternehmen wurden laut Bitkom Research 2022 erwiesenermaßen Opfer einer Cyberattacke, weitere neun Prozent gehen von einem Angriff aus.

Das BSI weist in seinem Lagebericht für 2022 ähnliche und zum Teil noch stärker beängstigende Zahlen auf. So lag bspw. die tägliche Zunahme an neuen Schadprogramm-Varianten zwischen Juni 2022 und Juni 2023 bei ca. 250.000. Ein klassisches Einfallstor bleibt der Emailverkehr: Zwei Drittel aller eingehenden Spam-Mails waren Cyberangriffe, durch deren Öffnen die besagte Schadsoftware auf das Endgerät des Nutzers geschleust wird. Die größte Bedrohung stellen hierbei Ransomware-Angriffe dar: Im Rahmen einer „digitalen Erpressung“ infiltrieren die Angreifer Systeme tiefgreifend und verschlüsseln Daten um zu deren Entschlüsselung ein Lösegeld zu verlangen.

Zudem zeigt sich laut BSI, dass cyberkriminelle Angreifer zunehmend den „Weg des geringsten Widerstands“ gehen und Opfer auswählen, die ihnen leicht angreifbar scheinen. Daher sind vor allem kleine und mittelständische Betriebe, Landes- und Kommunalbehörden, wissenschaftliche Einrichtungen und Schulen sowie Hochschulen in den Fokus von Ransomware-Angriffen geraten. Angesichts zahlreicher Unternehmen, die sich auch im Jahr 2023 weder einer allgemeinen Cyberbedrohungslage ausreichend bewusst sind oder ihr eigenes Risikoprofil kennen, gerät dies für sie zur besonderen Gefahr. Bemühungen und Investitionen für die Cyberresilienz werden in vielen KMU nicht umgesetzt; bspw. installieren nur 62 Prozent der Kleinstunternehmen regelmäßig Sicherheitsupdates.

Anzeige

Zahlreiche Unternehmen investieren deswegen verstärkt in Sicherheitsmaßnahmen. Mit der NIS-2-Richtlinie will die EU Unternehmen daher im Kampf gegen Cyberangriffe unterstützen. Neuerungen sind vor allem die Erweiterung des Anwendungsbereichs, erhöhte Anforderungen an die Maßnahmen und verschärfte Meldepflichten bzw. Strafen. Damit sollen das Risiko von Cyberangriffen verringert und Unternehmen besser zum Umgang mit digitalen Bedrohungen sensibilisiert werden.

Anwendungsbereich und Sicherheitsmaßnahmen

Während die NIS-Richtlinie hauptsächlich auf kritische Infrastrukturen abzielte, deckt die NIS-2-Richtlinie eine breitere Palette von Sektoren ab. Ihr Anwendungsbereich unterteilt sich nun in „wesentliche Unternehmen“ und „wichtige Unternehmen“. Wesentliche Einrichtungen umfassen Sektoren wie Energie, Verkehr, Banken- und Finanzwesen, Gesundheit, Wasserversorgung, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt. Wichtige Einrichtungen umfassen Post- und Kurierdienste, Abfallwirtschaft, chemische Erzeugnisse, Lebensmittel, Hersteller von Medizintechnik, Elektronik, Optik, Maschinen sowie Kraftfahrzeugen, digitale Anbieter und Forschungseinrichtungen.

Die genaue Zuordnung erfolgt nach der Unternehmensgröße sowie des Tätigkeitsbereichs: Eine Einrichtung zählt dann als wesentlich, wenn sie in einem Sektor mit hoher Kritikalität tätig ist und mehr als 250 Beschäftigte oder mehr als 50 Millionen Euro Umsatz hat. Zu den wichtigen Einrichtungen zählen mittlere Unternehmen in Sektoren hoher Kritikalität sowie große und mittlere Unternehmen in den übrigen Sektoren.

Damit fallen nicht nur Betreiber kritischer Infrastrukturen, das heißt Einrichtungen, Anlagen und Systeme, deren Funktionsfähigkeit wichtig für die Gesellschaft, die Sicherheit des Landes und der Wirtschaft ist, unter die Richtlinie. Betroffen sind nun auch Anbieter digitaler Dienste wie DNS, Cloud Computing, Rechenzentren, Content Delivery, Managed IT, Managed Security und Trust Services, Online-Suchmaschinen und Social-Networking-Plattformen.

Auch die Anforderungen an Cybersicherheitsmaßnahmen steigen durch NIS-2. Die Richtlinie legt verbindliche Vorgaben für technische und organisatorische Maßnahmen fest, um ein hohes Sicherheitsniveau von Netz- und Informationssystemen zu gewährleisten: Betroffene Unternehmen müssen geeignete Sicherheitsstandards, Risikomanagementverfahren und Vorfallsreaktionspläne implementieren. Dies umfasst unter anderem die Einführung von Sicherheitsmaßnahmen wie Verschlüsselung, Zugangskontrollen und regelmäßige Sicherheitsaudits sowie die zeitnahe Meldung von Sicherheitsvorfällen an die zuständigen Behörden. Die EU schärft damit Verpflichtungen im Bereich der Cybersicherheit und Informationssicherheit nach und räumt die zuvor bestehenden Unklarheiten der vorherigen Richtlinie aus.

Unternehmen und Organisationen, die unter die NIS-2-Richtlinie fallen, sind dadurch verpflichtet, erhebliche Sicherheitsvorfälle unverzüglich (innerhalb von 24 Stunden nach Kenntnisnahme) den nationalen Behörden zu melden. Innerhalb von 72 Stunden ist ein ausführlicher Bericht über den Vorfall, sowie nach einem Monat ein umfassender Fortschritts- und Abschlussbericht an die Behörde zu übermitteln.

Stärkere Zusammenarbeit und Umsetzung der NIS-2-Richtlinie auf nationaler Ebene

Die NIS-2-Richtlinie fördert zudem die Zusammenarbeit zwischen den Mitgliedstaaten. Dafür sollen Mechanismen für den Informationsaustausch, die Koordination von Sicherheitsmaßnahmen und die Unterstützung bei grenzüberschreitenden Sicherheitsvorfällen eingerichtet werden. Jeder EU-Mitgliedstaat ist dafür verantwortlich, die Anforderungen der Richtlinie in sein nationales Recht zu überführen, um eine konsistente Anwendung der Richtlinie zu ermöglichen. Zunächst müssen die nationalen Gesetzgeber die Richtlinie analysieren und die erforderlichen Anpassungen in ihre nationalen Rechtsvorschriften vornehmen, etwa durch neue Gesetze oder die Aktualisierung bestehender. Bis 17. Oktober 2024 müssen die neuen Vorgaben auf nationaler Ebene umgesetzt sein.

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.