Startseite > Security > NIS-2: Für Unternehmen wird die Zeit knapp

Informations- und Netzsicherheit

NIS-2: Für Unternehmen wird die Zeit knapp

19. März 2024, 7:07 Uhr | Autor: Florian Reichelt / Redaktion: Diana Künstler

Mit der Aktualisierung reagiert die EU auf gestiegene Cyberbedrohungen: Anforderungen an IT-Systeme und deren Sicherheit werden verschärft und der Geltungsbereich wird deutlich ausgeweitet.

Nur noch bis Oktober 2024 bleibt betroffenen Unternehmen Zeit, die für sie geltenden Vorgaben aus der Aktualisierung der NIS-2 umzusetzen. Auf Unternehmen kommt damit eine durchaus komplexe Aufgabe zu. Die Unterstützung durch einen externen Partner kann sinnvoll sein.

Der Artikel liefert unter anderem Antworten auf folgende Fragen:

Was ist die NIS-2-Richtlinie und warum ist sie wichtig?
Wann müssen Unternehmen die Vorgaben der NIS-2-Richtlinie umsetzen?
Welche Unternehmen sind von der NIS-2-Richtlinie betroffen?
Was sind die wichtigsten Anforderungen der NIS-2-Richtlinie an Unternehmen?
Welche Strafen drohen bei Nichteinhaltung der NIS-2-Richtlinie?
Wie können Unternehmen die NIS-2-Richtlinie umsetzen?
Was ist die Rolle externer Partner bei der Umsetzung der NIS-2-Richtlinie?
Welche Herausforderungen bringt die NIS-2-Richtlinie für Unternehmen mit sich?
Was sind die Vorteile der Umsetzung der NIS-2-Richtlinie für Unternehmen?

Die europäische NIS-2-Richtlinie¹, die Aktualisierung der NIS-Richtlinie (Network and Information Systems), trat bereits im Januar 2023 in Kraft. Damit beabsichtigt die EU, ein durchgängig hohes Sicherheitsniveau von Netz- und Informationssystemen und eine schnelle Reaktion auf Sicherheitsvorfälle zu gewährleisten. Die NIS-2 ist insofern konsequente Reaktion auf die zunehmende Bedrohungslage: Cyberangriffe werden nicht nur zahlreicher, sondern in ihren Methoden stetig raffinierter und besser ausgefeilt. In Deutschland ist fast jedes Unternehmen bereits mindestens einmal von Cyberkriminalität betroffen gewesen: 84 Prozent aller Unternehmen wurden laut Bitkom Research² 2022 erwiesenermaßen Opfer einer Cyberattacke, weitere neun Prozent gehen von einem Angriff aus. Das BSI weist in seinem Lagebericht für 2022³ ähnliche und zum Teil noch stärker beängstigende Zahlen auf. So lag beispielsweise die tägliche Zunahme an neuen Schadprogramm-Varianten zwischen Juni 2022 und Juni 2023 bei circa 250.000. Ein klassisches Einfallstor stellt nach wie vor der Emailverkehr dar: Zwei Drittel aller eingehenden Spam-Mails waren Cyberangriffe, durch deren Öffnen die besagte Schadsoftware auf das Endgerät des Nutzers geschleust wird. Die größte Bedrohung stellen hierbei Ransomware-Angriffe dar: Im Rahmen einer „digitalen Erpressung“ infiltrieren die Angreifer Systeme tiefgreifend und verschlüsseln Daten um zu deren Entschlüsselung ein Lösegeld zu verlangen.

Zudem zeigt sich laut BSI, dass cyberkriminelle Angreifer verstärkt den „Weg des geringsten Widerstands“ gehen und Opfer auswählen, die ihnen leicht angreifbar scheinen. Daher sind vor allem kleine und mittelständische Betriebe, Landes- und Kommunalbehörden, wissenschaftliche Einrichtungen und Schulen sowie Hochschulen in den Fokus von Ransomware-Angriffen geraten. Angesichts zahlreicher Unternehmen, die sich auch im Jahr 2024 weder einer allgemeinen Cyberbedrohungslage ausreichend bewusst sind oder ihr eigenes Risikoprofil kennen, gerät dies für sie zur besonderen Gefahr. Bemühungen und Investitionen für die Cyberresilienz werden in vielen KMU nicht umgesetzt; beispielsweise installieren nur 62 Prozent der Kleinstunternehmen regelmäßig Sicherheitsupdates.

Zahlreiche Unternehmen investieren deswegen verstärkt in Sicherheitsmaßnahmen. Mit der NIS-2-Richtlinie will die EU Unternehmen daher im Kampf gegen Cyberangriffe unterstützen. Neuerungen sind vor allem die Erweiterung des Anwendungsbereichs, erhöhte Anforderungen an die Maßnahmen und verschärfte Meldepflichten bzw. Strafen. Damit sollen das Risiko von Cyberangriffen reduziert und Unternehmen besser zum Umgang mit digitalen Bedrohungen sensibilisiert werden.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Anwendungsbereich und Sicherheitsmaßnahmen

Während die NIS-Richtlinie hauptsächlich auf kritische Infrastrukturen abzielte, deckt die NIS-2-Richtlinie eine breitere Palette von Sektoren ab. Ihr Anwendungsbereich unterteilt sich nun in „wesentliche Unternehmen“ und „wichtige Unternehmen“. Wesentliche Einrichtungen beinhalten Sektoren wie Energie, Verkehr, Banken- und Finanzwesen, Gesundheit, Wasserversorgung, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt. Wichtige Einrichtungen umfassen Post- und Kurierdienste, Abfallwirtschaft, chemische Erzeugnisse, Lebensmittel, Hersteller von Medizintechnik, Elektronik, Optik, Maschinen sowie Kraftfahrzeugen, digitale Anbieter und Forschungseinrichtungen. Die genaue Zuordnung erfolgt anhand von Unternehmensgröße und Tätigkeitsbereich: Eine Einrichtung zählt dann als wesentlich, wenn sie in einem Sektor mit hoher Kritikalität tätig ist und mehr als 250 Beschäftigte hat oder mehr als 50 Millionen Euro Umsatz verzeichnet. Zu den wichtigen Einrichtungen zählen mittlere Unternehmen in Sektoren hoher Kritikalität sowie große und mittlere Unternehmen in den übrigen Sektoren.

Damit fallen nicht nur Betreiber kritischer Infrastrukturen – also Einrichtungen, Anlagen und Systeme, deren Funktionsfähigkeit wichtig für die Gesellschaft, die Sicherheit des Landes und der Wirtschaft ist – unter die Richtlinie. Betroffen sind nun auch Anbieter digitaler Dienste wie DNS, Cloud Computing, Rechenzentren, Content Delivery, Managed IT, Managed Security und Trust Services, Online-Suchmaschinen und Social-Networking-Plattformen.

Auch die Anforderungen an Cybersicherheitsmaßnahmen steigen durch NIS-2. Die Richtlinie legt verbindliche Vorgaben für technische und organisatorische Maßnahmen fest, um ein hohes Sicherheitsniveau von Netz- und Informationssystemen zu gewährleisten: Betroffene Unternehmen müssen geeignete Sicherheitsstandards, Risikomanagementverfahren und Vorfallsreaktionspläne implementieren. Dies umfasst unter anderem die Einführung von Sicherheitsmaßnahmen wie Verschlüsselung, Zugangskontrollen und regelmäßige Sicherheitsaudits sowie die zeitnahe Meldung von Sicherheitsvorfällen an die zuständigen Behörden. Die EU schärft damit Verpflichtungen im Bereich der Cybersicherheit und Informationssicherheit nach und räumt die zuvor bestehenden Unklarheiten der vorherigen Richtlinie aus.

Unternehmen und Organisationen, die unter die NIS-2-Richtlinie fallen, sind dadurch verpflichtet, erhebliche Sicherheitsvorfälle unverzüglich (das heißt innerhalb von 24 Stunden nach Kenntnisnahme) den nationalen Behörden zu melden. Innerhalb von 72 Stunden ist ein ausführlicher Bericht über den Vorfall, sowie nach einem Monat ein umfassender Fortschritts- und Abschlussbericht an die Behörde zu übermitteln.

connect professional Webinarreihe NIS-2 am 14.05.
Die connect professional-Themenreihe NIS-2 geht in die dritte Runde: Am 14. Mai widmen wir daher erneut einen ganzen Tag der neuen EU-Richtlinie und deren Bedeutung für betroffene Unternehmen. Denn: Für deutsche Unternehmen gilt somit ab dem 18. Oktober Anwendungspflicht. Die Zeit drängt. Am Webinar-Thementag werden die Neuerungen, Herausforderungen und Pflichten erläutert und diskutiert, die für Unternehmen mit der NIS-2-Richtlinie einhergehen. Im Fokus des Thementags stehen: Was ist die NIS-2-Richtlinie? Welche Einrichtungen sind betroffen? Wie ist der Status zur Umsetzung in deutsches Recht und welche Konsequenzen ergeben sich daraus? Was müssen von NIS-2 betroffene Unternehmen und Organisationen tun? Welche Sanktionen und Bußgelder können bei Nichteinhaltung drohen? Wie können Unternehmen NIS-2 umsetzen? Merken Sie sich jetzt schon Dienstag, den 14. Mai (voraussichtlich von 9 bis 14 Uhr) als Termin vor. Hier geht es zum vorläufigen Programm und der kostenfreien Anmeldung.

connect professional Webinarreihe NIS-2 am 14.05.

Die connect professional-Themenreihe NIS-2 geht in die dritte Runde: Am 14. Mai widmen wir daher erneut einen ganzen Tag der neuen EU-Richtlinie und deren Bedeutung für betroffene Unternehmen. Denn: Für deutsche Unternehmen gilt somit ab dem 18. Oktober Anwendungspflicht. Die Zeit drängt. Am Webinar-Thementag werden die Neuerungen, Herausforderungen und Pflichten erläutert und diskutiert, die für Unternehmen mit der NIS-2-Richtlinie einhergehen. Im Fokus des Thementags stehen:

Was ist die NIS-2-Richtlinie?
Welche Einrichtungen sind betroffen?
Wie ist der Status zur Umsetzung in deutsches Recht und welche Konsequenzen ergeben sich daraus?
Was müssen von NIS-2 betroffene Unternehmen und Organisationen tun?
Welche Sanktionen und Bußgelder können bei Nichteinhaltung drohen?
Wie können Unternehmen NIS-2 umsetzen?

Merken Sie sich jetzt schon Dienstag, den 14. Mai (voraussichtlich von 9 bis 14 Uhr) als Termin vor. Hier geht es zum vorläufigen Programm und der kostenfreien Anmeldung.

Stärkere Zusammenarbeit und Umsetzung der Richtlinie auf nationaler Ebene

Die NIS-2-Richtlinie fördert zudem die Zusammenarbeit zwischen den Mitgliedstaaten. Dafür sollen Mechanismen für den Informationsaustausch, die Koordination von Sicherheitsmaßnahmen und die Unterstützung bei grenzüberschreitenden Sicherheitsvorfällen eingerichtet werden. Jeder EU-Mitgliedstaat ist dafür verantwortlich, die Anforderungen der Richtlinie in sein nationales Recht zu überführen, um eine konsistente Anwendung der Richtlinie zu ermöglichen. Zunächst müssen die nationalen Gesetzgeber die Richtlinie analysieren und die erforderlichen Anpassungen in ihre nationalen Rechtsvorschriften vornehmen, etwa durch neue Gesetze oder die Aktualisierung bestehender. Bis 17. Oktober 2024 müssen die neuen Vorgaben auf nationaler Ebene umgesetzt sein. Durch die stärkere Zusammenarbeit der Mitgliedstaaten will die EU Bedrohungen besser bekämpfen können und die Widerstandsfähigkeit ihrer Netzwerke und Informationssysteme stärken.

Bei der Missachtung oder Nichteinhaltung der NIS-2-Anforderungen drohen Unternehmen höhere Bußgelder und Strafen: Für wesentliche Einrichtungen können Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes verhängt werden. Für wichtige Einrichtungen beträgt das Bußgeld bis zu sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.

Auf Unternehmen kommen Herausforderungen zu

Nicht nur die Meldepflicht mit ihren präzisen Vorgaben über den Ablauf, Inhalt und Zeitrahmen stellt für Unternehmen hinsichtlich der Umsetzung eine Herausforderung dar. Die größte Umstellung bringen vielmehr die zusätzlichen Sicherheitsanforderungen durch NIS-2 mit sich: Sie müssen „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen [zu] ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme [...] zu beherrschen und die Auswirkungen von Sicherheitsvorfällen [...] zu verhindern oder möglichst gering zu halten.” Damit schreibt NIS-2 Firmen vor, ihre Sicherheitsmaßnahmen an den Stand der Technik sowie an die individuelle Gefährdungslage anzupassen. Die Schutzmaßnahmen müssen zudem einem gefahrenübergreifenden Ansatz folgen: Es gilt also nicht nur Cyberangriffe zu berücksichtigen, sondern alle Arten von Vorfällen, die die eigene IT-Umgebung gefährden können.

Insbesondere die fristgerechte Implementierung stellt Unternehmen vor große Herausforderungen. Laut Cisco Cybersecurity Readiness Index 2023⁴ haben bislang lediglich elf Prozent der Unternehmen eine bestmögliche Vorbereitung auf Cyberangriffe implementiert. Unternehmen kämpfen unter anderem mit dem Fachkräftemangel in der IT-Abteilung; laut Digital Office Index 2022 des Bitkom⁵ fehlt es jedem vierten Unternehmen am nötigen Personal. Zudem haben Unternehmen mit fehlender Verfügbarkeit von aktueller Sicherheitstechnik zu kämpfen: Hardwarekomponenten haben aktuell eine Lieferzeit von bis zu zwölf Monaten

Externen Partner hinzuziehen

Mit Blick auf die Gesamtsituation ist es essenziell, so früh wie möglich mit der Umsetzung der NIS-2-Anforderungen zu beginnen. Unternehmen müssen zunächst prüfen, ob ihr Betrieb überhaupt von der Richtlinie betroffen ist: Ist man in den genannten Sektoren tätig, erreicht man die Schwellenwerte, dient man zur Ausführung einer kritischen Tätigkeit oder ist man Teil einer durch KRITIS betroffenen Lieferkette?

Ein externer Partner wie beispielsweise SRC kann bei der Feststellung, ob NIS-2 für das jeweilige Unternehmen gilt und anzuwenden ist, unterstützen und dann helfen, die relevanten Anforderungen umzusetzen. Notwendig sind zum Beispiel die Erstellung und Implementierung von Risikoanalyse- und Sicherheitskonzepten für Informationssysteme, die Bewertung der Wirksamkeit der bereits bestehenden Risikomanagement-Maßnahmen und ein Konzept für die Bewältigung von Sicherheitsvorfällen. Backup- und Krisenmanagement müssen implementiert und die Meldefristen bekannt sein. Zudem müssen die Sicherheit der Lieferkette gewährleistet sein und regelmäßige Cybersicherheits-Schulungen stattfinden.

Die rechtzeitige Umsetzung der NIS-2-Richtlinie stellt für Unternehmen eine Herausforderung dar: Möglicherweise sind sie durch den erweiterten Geltungsbereich neu betroffen und für sie gelten nun verschärfte Anforderungen und Pflichten. Mit einem externen Partner gewinnen Unternehmen Klarheit, wo sie stehen und welche Maßnahmen sie ergreifen müssen, um ihr Sicherheitsniveau in der Breite angemessen zu erhöhen und die Compliance hinsichtlich der neuen EU-Richtlinie sicherzustellen.

Florian Reichelt, SRC Security Research & Consulting

^{1 https://eur-lex.europa.eu/eli/dir/2022/2555

2 https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2022

3 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2023.html?nn=129410

4 https://news-blogs.cisco.com/emea/de/2023/03/22/cisco-studie-nur-11-der-deutschen-unternehmen-sind-bestmoeglich-auf-cyber-angriffe-vorbereitet/

5 https://www.bitkom-research.de/sites/default/files/2023-03/Studienbericht_Digital%20Office%20Index%202022.pdf}