Mit der NIS2-Richtlinie will die Europäische Union die Mitgliedsstaaten vor der wachsenden Bedrohung durch Cyberattacken schützen. Bis zur Umsetzung in deutsches Recht im Oktober 2024 haben Unternehmen und Organisationen Zeit, die Anforderungen umzusetzen. Aber wer ist betroffen und was ist zu tun?
Phishing-Mails, Datenklau, Erpressung mit Trojanern – viele Unternehmen mussten sich in der Vergangenheit bereits mit kriminellen Cyberangriffen auseinandersetzen. Mit fortschreitender Digitalisierung hat sich auch die Bedrohungslage verschärft und die Anforderungen in der IT und der Telekommunikation sind gewachsen. Allein in Deutschland entstehen laut einer Bitkom-Studie 206 Milliarden Euro Schaden pro Jahr durch Datendiebstahl, Spionage und Sabotage. Eine erfolgreiche Cyberattacke auf wichtige Einrichtungen wie zum Beispiel die Energie- oder Wasserversorgung einer Großstadt war und ist das Horrorszenario aller Sicherheitsbehörden.
Die Europäische Union führte 2016 darum eine Richtlinie für Network and Information Security (NIS bzw. NIS1) ein, um für die Gesellschaft wichtige Einrichtungen und Unternehmen zu schützen und in den Mitgliedstaaten einheitliche Sicherheitsstandards zu schaffen. Die Richtlinie enthält verbindliche Vorgaben, wie Betreiber „kritischer Infrastrukturen“ (KRITIS) ihre Systeme zu schützen haben. Zu den KRITIS-Unternehmen zählen Unternehmen und Einrichtungen mit hoher gesellschaftlicher Relevanz, wie zum Beispiel Energieversorger, Krankenhäuser oder auch Banken.
Die fortschreitende Digitalisierung zum einen und die wachsende Bedrohung aufgrund geopolitischer Spannungen zum anderen machten eine Neuauflage der Richtlinie aus EU-Sicht notwendig. Im Januar 2023 führte sie darum die NIS2-Richtlinie ein, die von den EU-Mitgliedsstaaten bis Oktober 2024 in nationales Recht umgesetzt werden muss.
Eine der wichtigsten Änderungen gegenüber der ersten NIS-Richtlinie: Die Kriterien, die bestimmen, ob ein Unternehmen der Richtlinie NIS2 unterliegt, sind deutlich weiter gefasst. Zum einen wurden die Sektoren, in denen die Unternehmen tätig sind, erweitert. Neben den Betreibern kritischer Infrastruktur sind nun auch der Postsektor oder die Lebensmittelwirtschaft hinzugekommen. Telekommunikationsunternehmen sind von einigen NIS2-Pflichten ausgeschlossen – für sie gilt bereits jetzt der Telekommunikation-Sicherheitskatalog von der Bundesnetzagentur BNetzA.
Insgesamt definiert NIS2 elf „wesentliche“ („Essential“) und sieben „wichtige“ („Important“) Sektoren:
Wesentliche Sektoren
1. Energie
2. Transport
3. Bankwesen
4. Finanzmarktinfrastruktur
5. Gesundheit
6. Trinkwasser
7. Abwässer
8. Digitale Infrastruktur
9. IKT-Dienstleistungsmanagement (B2B)
10. Öffentliche Verwaltungen
11. Weltraum
Wichtige Sektoren
12. Post- und Kurierdienste
13. Abfallwirtschaft
14. Herstellung, Produktion und Vertrieb von Chemikalien
15. Lebensmittelproduktion, -verarbeitung und -vertrieb
16. Herstellung
17. Digitale Anbieter
18. Forschung
Ein weiteres Kriterium ist die Größe der Organisation. Unternehmen mit mehr als 50 Angestellten oder einem Jahresumsatz bzw. einer Jahresbilanz ab 10 Mio. Euro sollten schleunigst prüfen, ob sie einem der Sektoren zuzuordnen sind. Sie unterliegen dann wahrscheinlich der NIS2 (hier gibt es aber auch Ausnahmen und Sonderfälle, einen Überblick liefert www.openkritis.de.
Aus der Unternehmensgröße und dem Sektor wird abgeleitet, ob das Unternehmen zu den „besonders wichtigen“ oder den „wichtigen Einrichtungen“ zählt, hieraus leitet sich der Umfang der staatlichen Aufsicht und mögliche Sanktionen ab.
Rund 30.000 Unternehmen in Deutschland werden betroffen sein, wenn die EU-Richtlinie im Oktober voraussichtlich in das NIS-Umsetzungsgesetz gewandelt wird. Viele davon werden kleine und mittlere Unternehmen sein, für die die Regulierung der Informationssicherheit Neuland bedeutet.
Zuallererst sollte sich jedes Unternehmen selbst proaktiv mit dem Thema Informationssicherheit befassen und prüfen, ob es den NIS2-Kriterien unterliegt. Denn die Richtlinie sieht vor, dass sich Firmen selbst einordnen als „besonders wichtige Einrichtung“ (beziehungsweise KRITIS) oder „wichtige Einrichtung“. Unternehmen, die in eine der Kategorien fallen, müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.
Kommt es zu Sicherheitsvorfällen, müssen diese in klar definierten Zeiträumen gemeldet werden. Auch interne Schulungen und Unterweisungen gehören zu den Maßnahmen, um die Sicherheit zu erhöhen. Dabei betont NIS2 die Verantwortung des Managements und sieht für Unternehmensführungen schärfere Sanktionen bei Verstößen vor – das Thema Cybersicherheit kann künftig also nicht mehr so einfach „wegdelegiert“ werden.
Für die Umsetzung des Risiko-Managements macht NIS2 konkrete Vorgaben. Sie umfassen technische, operative und organisatorische Maßnahmen, die Unternehmen in die Lage versetzen, die Risiken für ihre Netz- und Informationssysteme zu kontrollieren und zu minimieren.
„Bei Plusnet sind wir mit dem Zertifikat ISO 27001 für das Informationssicherheits-Managementsystem (ISMS) gut für NIS2 aufgestellt“, sagt Katja Siegemund, Leiterin des Bereichs Qualitäts- und Informationssicherheits-Management. Unabhängig davon, ob Plusnet selbst den NIS2-Richtlinien unterliegen wird, signalisiert das Zertifikat den Kunden und Partnern, dass die Produkte und Dienstleistungen den aktuellen Standards in der Cybersicherheit entsprechen.
Ob das Umsetzungsgesetz tatsächlich am 18. Oktober kommt, ist derweil noch gar nicht sicher. Es besteht die Gefahr, dass Deutschland den Termin um zwei Monate reißen wird.
Mehr dazu auch bei connect professional “Daueraufgabe IT Sicherheit”
Weitere Links
Ob es um Produkte, Partnermodelle oder Karriere geht – hier finden Sie den passenden Ansprechpartner.
Sprechen Sie uns an:
Tipp
Schon jetzt vormerken lassen