Startseite > Security > Die rechtzeitige Umsetzung von NIS-2

Wer wartet, verliert

Die rechtzeitige Umsetzung von NIS-2

5. Februar 2024, 8:30 Uhr | Autor: Olaf Mischkovsky / Redaktion: Diana Künstler

Die Umsetzung der NIS-2-Richtlinie stellt Unternehmen vor einige Herausforderungen. Viele, die bisher nicht unter die Anforderungen der NIS-Richtlinie fielen, müssen sich nun innerhalb kurzer Zeit mit strengen Cybersecurity-Standards und Meldepflichten auseinandersetzen. Wo man ansetzen kann.

Der Artikel geht unter anderem auf folgende Fragen ein:

Was ist die NIS-2-Richtlinie?
Wann tritt die NIS-2-Richtlinie in Kraft?
Welche Unternehmen sind von der NIS-2-Richtlinie betroffen?
Was sind die ersten Schritte zur Umsetzung der NIS-2-Richtlinie?
Welche grundlegenden Elemente sind für eine Cybersecurity-Struktur erforderlich?
Welche internationalen Standards können Unternehmen verwenden?
Welche Herausforderungen bringt die Umsetzung der NIS-2-Richtlinie mit sich?

In den letzten Jahren haben IT- und Cybersecurity-Experten gelernt, dass Unternehmen widerstandsfähiger werden müssen, um in unserer ständig wachsenden und immer prekäreren digitalen Welt zu überleben. Die Fähigkeit, Cyberangriffe zu verhindern, sich von Hackerangriffen zu erholen, wichtige Daten zu schützen und den Betrieb aufrechtzuerhalten, ist eine absolute Notwendigkeit. Digitale Resilienz wird zum Muss.

Bei kritischen Infrastrukturen wie Verkehr, Energie oder Gesundheit ist diese Widerstandsfähigkeit besonders wichtig, da in diesen Sektoren neben wirtschaftlichem Verlust auch ein gesellschaftliches Risiko durch Cyberbedrohungen verhindert werden muss. Denn im schlimmsten Fall können Angriffe auf Unternehmen in diesen Branchen zu Unfällen und Gefährdung der gesamten öffentlichen Sicherheit führen, wie unter anderem die Cyberangriffe auf Krankenhäuser, Energieversorger und Behörden in den letzten Jahren zeigten. Um die digitale Resilienz dieser kritischen Infrastrukturen zu stärken und alle EU-Mitgliedstaaten auf ein einheitliches Gesamtniveau der Cybersecurity inklusive einheitlicher Meldeprozesse zu bringen, hat der Rat der Europäischen Union die NIS-2-Richtlinie (Netzwerk- und Informationssysteme) verabschiedet¹.

Mit dem Inkrafttreten der NIS-2-Richtlinie wird die bisherige NIS-Richtlinie aus dem Jahr 2016 ersetzt. Gleichzeitig wird der Adressatenkreis und die Pflichten zu unternehmerischer Cybersecurity-Compliance deutlich ausgeweitet. Dabei geht sie weit über die ursprünglich regulierten wesentlichen und digitalen Dienste („kritische Infrastrukturen“, KRITIS) hinaus. Nach der neuen Richtlinie wird jedes Unternehmen in der EU, das in einem oder mehreren der oben genannten kritischen Sektoren tätig ist, mehr als 50 Beschäftigte hat und einen Jahresumsatz von mehr als 10 Millionen Euro erzielt, automatisch als „wesentlich“ oder „wichtig“ eingestuft. Dadurch unterliegen die so eingestuften Unternehmen besonders hohen Cybersecurity-Anforderungen und Meldepflichten.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Die ersten Schritte

Als erstes muss geklärt werden, ob das Unternehmen im Sinne der NIS-2-Richtlinie als „wesentlich“ oder „wichtig“ gilt. Unternehmen sind selbst dafür verantwortlich zu beurteilen, ob sie direkt oder indirekt unter KRITIS fallen und somit die entsprechenden Anforderungen gemäß Artikel 21 der neuen Richtlinie erfüllen müssen. So können Unternehmen bereits jetzt die erste Beurteilung und Risikoanalyse durchführen, um ihre NIS-2-Compliance zu bewerten. Hierbei muss auch die Lieferkette mit einbezogen werden: Stellt ein Unternehmen Produkte für ein KRITIS-Unternehmen her, so muss dieses Unternehmen ein Mindestmaß an Security-Maßnahmen nachweisen und sichere Produkte anbieten, wie es zum Beispiel im Cyber Resilience Act (CRA)² gefordert wird.

Ergibt die Beurteilung, dass ein Unternehmen unter KRITIS fällt und sich NIS-2-compliant aufstellen muss, muss eine umfassende Risikobewertung durchgeführt werden. Im Vordergrund steht die Identifikation der wichtigsten Assets, Services sowie potenzieller Schwachstellen. Dabei müssen die Firmen ermitteln, ob sie Betreiber einer kritischen Anlage sind (nach §28 Abs. 6), das heißt ob im Falle einer Störung eine hohe Bedeutung für das Funktionieren des Gemeinwesens gegeben ist und welche Assets daher einen erweiterten Schutz (nach §31) erfordern. Die identifizierten Bereiche können dann zum Beispiel segmentiert werden, um gezielte Sicherheitsmaßnahmen treffen zu können. Erst nach einem umfassenden Risiko- und Incident-Impact-Assessment wird klar, welche konkreten organisatorische Maßnahmen und Tools das Unternehmen für einen vollständigen Schutz benötigt. Im letzten Schritt müssen Unternehmen dann geeignete Maßnahmen zur Vorbeugung, Erkennung, Reaktion und Minderung der ermittelten Risiken treffen.

Sicherheitsstruktur aufbauen

Für die Erfüllung grundlegender Security-Standards können Unternehmen auf bereits bestehende Reglungen zurückgreifen. Dazu zählen beispielsweise

die ISO 27001 oder der IT-Grundschutz des BSI³
technische Normenreihen wie die IEC 62443⁴ (Industrielle Kommunikationsnetze / IT-Sicherheit für Netze und Systeme),
B3S⁵ (Branchenspezifischer Sicherheitsstandard),
TR⁶ (Technische Richtlinien) des BSI
oder die Sicherheitsrichtlinie VDI 2182⁷ (Informationssicherheit in der industriellen Automatisierung).

Grundlegende Elemente einer Cybersecurity-Struktur sind zum Beispiel

Authentifizierungsmaßnahmen,
die regelmäßige Installation von Sicherheitsupdates,
die Segmentierung von IT-Netzwerken,
die Implementierung von Security Controls einer Next Generation Firewall,
Deep Protocol Inspection,
Network IPS, Malware Detection,
der unternehmensweite Einsatz kryptografischer Lösungen
sowie Zugriffskontrollen.
Auch der Faktor Mensch darf nicht vernachlässigt werden. Regelmäßig sollten Mitarbeiterschulungen für bewährte Sicherheitspraktiken durchgeführt werden.

Durch die Implementierung dieser Grundsteine können Unternehmen einen Vorsprung bei der Umsetzung von NIS-2 erlangen. Die empfohlenen Maßnahmen sollten jedoch als Mindestanforderungen verstanden werden, da die Anforderungen von NIS-2 weit über die des IT-SiG 2.0 hinausgehen werden.

connect profesional Webinar-Thementag am 14. März
Sie sind sich nicht sicher, ob Ihr Unternehmen unter die NIS-2-Richtlinie oder wollen sich zum Thema informieren? Was die NIS-2-Richtlinie genau für Unternehmen bedeutet, wie die Umsetzung in deutsches Recht aussieht und welche Lösungen helfen können, den Anforderungen zu begegnen, erfahren Sie in der connect professional NIS-2-Webinarreihe am 14.03.204. Eine erste Agenda und demnächst auch den Link zur Anmeldung gibt es hier.

connect profesional Webinar-Thementag am 14. März

Sie sind sich nicht sicher, ob Ihr Unternehmen unter die NIS-2-Richtlinie oder wollen sich zum Thema informieren? Was die NIS-2-Richtlinie genau für Unternehmen bedeutet, wie die Umsetzung in deutsches Recht aussieht und welche Lösungen helfen können, den Anforderungen zu begegnen, erfahren Sie in der connect professional NIS-2-Webinarreihe am 14.03.204. Eine erste Agenda und demnächst auch den Link zur Anmeldung gibt es hier.

Um über diese Grundstandards hinaus einen umfassenden Cybersecurity-Schutz zu gewährleisten, ist es für Unternehmen imperativ, eine Kombination aus verschiedenen Cybersecurity-Tools und -Technologien einzusetzen. Zu einer mehrschichtige Verteidigungsstrategie gehören zum Beispiel Lösungen wie Intrusion Detection and Prevention-Systeme, Threat Intelligence-Plattformen, Endpoint Detection and Response oder Schwachstellen-Scanner. So kann eine umfassende Verteidigungsstrategie aufgebaut werden, in der verschiedene Angriffsvektoren abgewehrt, Netzwerkaktivitäten überwacht und sensible Informationen geschützt werden.

Herausforderungen meistern

Die Umsetzung der NIS-2-Richtlinie wird Unternehmen vor einige Herausforderungen stellen. Viele Unternehmen, die bisher nicht unter die Anforderungen der NIS-Richtlinie fielen, müssen sich nun innerhalb kurzer Zeit mit strengen Cybersecurity-Standards und Meldepflichten auseinandersetzen. NIS-2 verpflichtet die Mitgliedsstaaten, die neue Richtlinie bis zum 18. Oktober 2024 in nationales Recht umzusetzen.

Die Wahl der geeigneten Tools ist ebenfalls eine Herausforderung und hängt von verschiedenen Faktoren ab, wie etwa der Größe des Unternehmens oder dem innerbetrieblichen Grad der Vernetzung. Darüber hinaus müssen Unternehmen ihre Cybersecurity-Lösungen an die spezifischen Merkmale und Anforderungen ihrer IT-Umgebung aber auch ihrer OT-Umgebung anpassen, um maximale Wirksamkeit zu erzielen. Die oben genannte internationale Normenreihe IEC 62443 ist besonders hilfreich im OT-Bereich, da sie die Betriebs- beziehungsweise Automatisierungstechnik aus der Sicht des Betreibers, Integrators und Komponentenherstellers aufgreift.

Eine weitere Herausforderung stellen die Meldung von Vorfällen gemäß der NIS-2-Richtlinie dar. Nicht nur ist eine höhere Präzision erforderlich, auch fallen bei Verstoß höhere Strafen an. Innerhalb von 24 Stunden nach Bekanntwerden eines Vorfalls müssen Unternehmen einen Frühwarnbericht vorlegen. Nach 72 Stunden folgt eine erste Bewertung und innerhalb eines Monats ein Abschlussbericht.

Für die Erfüllung der NIS-2-Anforderungen, sollten KRITIS-Betreiber eng mit den zuständigen Aufsichtsbehörden und Dienstleistern zusammenarbeiten. Dafür müssen entsprechende Ressourcen und Fachkenntnisse bereitstehen, um die strengen Standards und Meldeanforderungen erfüllen zu können. Vor diesem Hintergrund ist es ratsam, sich von Experten beraten zu lassen und so sicherzustellen, dass die ausgewählten Instrumente den spezifischen Anforderungen und Risiken der Organisation entsprechen.

Vorsprung gewinnen

Die Vorbereitung auf die Einhaltung der NIS-2-Richtlinie ist nicht nur eine rechtliche Verpflichtung. Es bietet gleichzeitig eine Gelegenheit, die Widerstandsfähigkeit des Unternehmens im Cybersecurity-Bereich zu stärken. Die Einführung aller technischen und organisatorischen Maßnahmen wird nicht Tage oder Wochen, sondern mehrere Monate und Jahre in Anspruch nehmen. Wer auf die vollständige Umsetzung der Richtlinie wartet, verliert kostbare Zeit, was gerade in der schnelllebigen Cybersecurity-Landschaft fatal sein kann. Die eigene NIS-2-Compliance proaktiv zu bewerten und zu gewährleisten kann Unternehmen einen wichtigen Vorsprung verschaffen, um auch künftig Cyberrisiken wirksam zu bewältigen und dem neuen Rechtsrahmen gerecht zu werden.

^{1 https://digital-strategy.ec.europa.eu/de/policies/nis2-directive

2 https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act

3 https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Zertifizierung-von-Managementsystemen/ISO-27001-Basis-IT-Grundschutz/iso-27001-basis-it-grundschutz_node.html

4 https://www.zvei.org/fileadmin/user_upload/Presse_und_Medien/Publikationen/2017/April/Orientierungsleitfaden_fuer_Hersteller_IEC_62443/Orientierungsleitfaden_fuer_Hersteller_IEC_62443.pdf}
^{5 https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/Allgemeine-Infos-zu-KRITIS/Stand-der-Technik-umsetzen/Uebersicht-der-B3S/uebersicht-der-b3s_node.html

6 https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/technische-richtlinien_node.html

7 https://kompass-sicherheitsstandards.de/Konsortialstandards/Richtlinie-VDI-VDE2182}