Bereit für NIS-2? Ein Leitfaden zur Vorbereitung auf die neuen Sicherheitsstandards

Die NIS 2-Richtlinie fordert eine flächendeckende Etablierung von Cybersicherheit als allgemeine Compliance-Anforderung für die gesamte Wirtschaft, nicht nur für Kritische Infrastrukturen. Unternehmen und Organisationen sind aufgefordert, IT-Sicherheitsmaßnahmen zu etablieren, um eine widerstandsfähige Organisation zu schaffen und diese dauerhaft aufrechtzuerhalten. Die Richtlinie gilt grundsätzlich für öffentliche und private Einrichtungen, die ihre Dienste in der EU erbringen oder dort ihre Tätigkeiten ausüben.

Die Umsetzung der NIS-2-Richtlinie in Deutschland erfolgt durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Dieses Gesetz dient als Änderungsgesetz und passt bestehende Gesetze an, insbesondere die KRITIS-Teile des BSI-Gesetzes (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik). Die NIS-2-Richtlinie gibt EU-weite Standards für Cybersicherheit vor, lässt jedoch Raum für nationale Anpassungen. Deutschland nutzt diesen Spielraum, um spezifische Anforderungen für deutsche Unternehmen und Einrichtungen festzulegen. Der Erfüllungsaufwand für die deutsche Wirtschaft ist erheblich. Jährlich fallen Kosten von etwa 2,3 Milliarden Euro an, zusätzlich zu den 2 Milliarden Euro, die für die erstmalige Einrichtung von Prozessen und Meldewegen benötigt werden. Alle Informationen basieren auf dem Referentenentwurf des BSI-Gesetzes (Stand 07.05.2024).

Die NIS-2-Richtlinie definiert verschiedene Sektoren, die unter die neuen Cybersicherheitsanforderungen fallen. Diese Sektoren sind in drei Kategorien unterteilt: Sektoren für kritische Anlagen, Sektoren mit hoher Kritikalität und sonstige kritische Sektoren.

1. Sektoren mit hoher Kritikalität

Diese Sektoren umfassen besonders wichtige Bereiche, die als unverzichtbar für die Grundversorgung und Sicherheit betrachtet werden. Dazu gehören:

• Energie (Stromversorgung, Fernwärme/-kälte, Kraftstoff/Heizöl, Gas)
• Transport und Verkehr (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
• Finanzwesen (Banken, Finanzmarkt-Infrastruktur)
• Gesundheitswesen (Dienstleistungen, Referenzlabore, F&E, Pharma (NACE C 21), Medizinprodukte)
• Wasser/Abwasser
• Digitale Infrastruktur (IXPs, DNS, TLD, Cloud Provider, RZ-Dienste, CDNs, TSP, elektronische Kommunikation/Dienste, Managed Services und Security Services)
• Weltraum (Bodeninfrastrukturen)

2. Sonstige Sektoren und Teilsektoren

Diese Kategorie umfasst eine breite Palette an Industrien und Dienstleistungen, die ebenfalls als kritisch eingestuft werden. Dazu gehören:

• Transport und Verkehr (Post und Kurier)
• Chemie (Herstellung, Importeure (NACE 20))
• Forschungseinrichtungen
• Verarbeitendes Gewerbe (Herstellung von Medizinprodukten, Datenverarbeitungsgeräten, elektronischer Ausrüstung, Maschinenbau, Kraftfahrzeugen und Fahrzeugteilen)
• Anbieter digitaler Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke)
• Produktion, Verarbeitung und Vertrieb von Lebensmitteln
• Entsorgung (Abfallwirtschaft)

Alle diese Sektoren müssen die erweiterten Anforderungen der NIS 2-Richtlinie erfüllen, um die Cybersicherheit in der EU zu stärken und potenzielle Risiken für die Gesellschaft zu minimieren.

Die NIS-2-Richtlinie betrifft Unternehmen und Einrichtungen unterschiedlicher Größenordnungen, die in bestimmten kritischen Sektoren tätig sind. Die genaue Betroffenheit wird durch die sogenannte "Size-Cap-Rule" bestimmt.

1. Besonders wichtige Einrichtungen
   Unternehmen, die in den in Anlage 1 aufgeführten Sektoren tätig sind, gelten als besonders wichtig, wenn sie mindestens 250 Mitarbeitende beschäftigen oder einen Jahresumsatz von über 50 Millionen Euro und eine Bilanzsumme von über 43 Millionen Euro haben.

2. Wichtige Einrichtungen
   Unternehmen, die in den in Anlage 1 und 2 genannten Sektoren tätig sind, werden als wichtig eingestuft, wenn sie mindestens 50 Mitarbeitende beschäftigen oder einen Jahresumsatz und eine Bilanzsumme von jeweils über 10 Millionen Euro haben. Diese Kriterien basieren auf der Empfehlung der EU-Kommission (2003/361/EG).

Wichtiger Hinweis: Unternehmen können auch indirekt von der NIS-2-Richtlinie betroffen sein. Die unter NIS-2 verpflichteten Unternehmen müssen die Sicherheit ihrer Lieferkette gewährleisten. Das bedeutet, dass sie ihre Cybersicherheitsverpflichtungen häufig an Dienstleister und Zulieferer weitergeben werden. Daher müssen auch kleinere Unternehmen, die Teil dieser Lieferketten sind, möglicherweise erhöhte Cybersicherheitsstandards erfüllen.

Mit der Einführung der NIS-2-Richtlinie kommen auf Unternehmen in kritischen Sektoren umfassende neue Pflichten zu, die weit über bisherige Sicherheitsanforderungen hinausgehen. Diese Pflichten sollen dazu beitragen, die Cybersicherheit auf EU-Ebene zu erhöhen und die Widerstandsfähigkeit gegen Cyberbedrohungen zu stärken. Hier sind die wesentlichen Pflichten, die Unternehmen erfüllen müssen:

1. Governance durch die Geschäftsleitung
   Die Geschäftsleitung ist direkt in die Cybersicherheitsstrategie des Unternehmens eingebunden. Sie trägt die Verantwortung für die Implementierung und Überwachung der Sicherheitsmaßnahmen. Dies bedeutet, dass Cybersicherheit als zentrale Managementaufgabe betrachtet werden muss und nicht nur als technisches Problem der IT-Abteilung.

2. Awareness im gesamten Unternehmen schaffen
   Es ist unerlässlich, ein hohes Bewusstsein für Cybersicherheit auf allen Ebenen des Unternehmens zu fördern. Dies schließt regelmäßige Schulungen und Sensibilisierungsmaßnahmen für alle Mitarbeitenden ein, um sicherzustellen, dass jeder die Risiken versteht und entsprechend handelt.

3. Risikomanagement und Maßnahmen nach dem Stand der Technik
   Unternehmen müssen ein umfassendes Risikomanagementsystem implementieren, das Bedrohungen identifiziert, bewertet und geeignete Maßnahmen ergreift. Diese Maßnahmen müssen dem aktuellen Stand der Technik entsprechen, was bedeutet, dass Unternehmen kontinuierlich ihre Sicherheitslösungen aktualisieren und verbessern müssen.

4. Registrierungspflichten
   Unternehmen sind verpflichtet, sich proaktiv bei den zuständigen nationalen Behörden zu registrieren, wenn sie in einem der kritischen Sektoren tätig sind. Diese Registrierung ist notwendig, um die Einhaltung der NIS 2-Richtlinie zu überwachen und sicherzustellen.

5. Melde- und Berichtspflichten bei erheblichen Sicherheitsvorfällen
   Erhebliche Sicherheitsvorfälle müssen umgehend gemeldet werden. Unternehmen sind verpflichtet, diese Vorfälle innerhalb von 24 Stunden nach ihrer Entdeckung den zuständigen Behörden zu melden. Darüber hinaus müssen Unternehmen regelmäßig Berichte über ihre Sicherheitslage und getroffene Maßnahmen vorlegen.

6. Pflichten zur Dokumentation von getroffenen Maßnahmen
   Alle Sicherheitsmaßnahmen und -prozesse müssen detailliert dokumentiert werden. Diese Dokumentation dient sowohl der internen Nachverfolgung als auch der Überprüfung durch externe Auditoren und Behörden. Sie ist ein zentraler Bestandteil, um Compliance mit der NIS 2-Richtlinie nachzuweisen.

Diese Pflichten erfordern eine ganzheitliche und proaktive Herangehensweise an Cybersicherheit. Unternehmen müssen sicherstellen, dass sie nicht nur technisch, sondern auch organisatorisch gut aufgestellt sind, um den Anforderungen der NIS 2 gerecht zu werden. Indem sie diese Maßnahmen konsequent umsetzen, können sie ihre Widerstandsfähigkeit gegen Cyberangriffe erheblich verbessern und gleichzeitig den gesetzlichen Anforderungen entsprechen.

Unternehmen, die von der NIS-2-Richtlinie betroffen sind, müssen eine Reihe von Mindestmaßnahmen umsetzen, um den Anforderungen gerecht zu werden. Diese Maßnahmen sollen sicherstellen, dass Unternehmen sowohl präventiv als auch reaktiv gut aufgestellt sind, um Sicherheitsvorfälle zu verhindern und zu bewältigen. Zu den wichtigsten Mindestmaßnahmen gehören:

• Risikobewertung und -management

  • Durchführung von Risikoanalysen
  • Governance, Risk and Compliance (GRC) zur Verwaltung von Berechtigungen
  • Vermeidung von Fehlleitungen, z. B. bei E-Mails

• Bewältigung von Sicherheitsvorfällen

  • Maßnahmen zur Verhütung, Erkennung, Analyse, Eindämmung und Reaktion auf Sicherheitsvorfälle (Incident Response)
  • Aufrechterhaltung des Betriebs, einschließlich Backup-Management und Krisenmanagement
  • Regelmäßige Tests der Wiederherstellung von Daten und Systemen

• Sicherheit der Lieferkette

  • Management von Risiken in der Lieferkette und Überprüfung der Beziehungen zu Lieferanten, wie z. B. Anbietern von Datenspeicherungsdiensten oder Sicherheitssoftware
  • Verhinderung der Ausnutzung von Schwachstellen in Produkten und Diensten Dritter
  • Überprüfung von Zertifizierungen der Lieferanten (z. B. DIN 50600-2019, ISO 27001, PCI DSS)

• Sicherheit bei Erwerb, Entwicklung und Wartung

  • Bewertung der Effektivität von Cybersicherheitsmaßnahmen und Risikomanagement durch Tests, z. B. Phishing-Simulationen
  • Cyberhygiene, einschließlich Software- und Hardware-Updates, Passwortänderungen und Sicherung von Daten
  • Integration von Technologien zur Verbesserung der Cybersicherheit

• Security Awareness und Schulungen

  • Sensibilisierung der Mitarbeitenden für Cybersicherheit durch regelmäßige Schulungen und Awareness-Kampagnen
  • Durchführung von Phishing-Simulationen zur Fortschrittskontrolle und Verbesserung der Reaktionsfähigkeit

Diese Mindestmaßnahmen bilden das Fundament, auf dem Unternehmen ihre Cybersicherheitsstrategien aufbauen sollten, um den Anforderungen der NIS 2-Richtlinie gerecht zu werden und ihre Widerstandsfähigkeit gegen Cyberbedrohungen zu stärken.

Die NIS 2-Richtlinie stellt Unternehmen vor neue Herausforderungen, bietet aber auch die Chance, die eigene Cybersicherheit zu verbessern und zu stärken. IT-Leiter und Administratoren sollten diese Gelegenheit nutzen, um ihre Sicherheitsmaßnahmen auf den neuesten Stand zu bringen und so das Risiko von Cyberangriffen zu minimieren.

• Die 5 wichtigsten Grundlagen zu Patch Management
• Zuverlässige Automation von IT Aufgaben
• Cyberversicherung – kostenlose Checkliste