Was die NIS2-Richtlinie für Ihr Unternehmen bedeutet
Die IT ist in vielen Branchen zu einer kritischen Komponente des Geschäftsbetriebs geworden. Doch angesichts der steigenden Zahl von Cyberangriffen und -gefahren droht sie auch, zu seiner Achillesferse zu werden. Ein Ausfall der IT-Infrastruktur ist häufig mit Produktionsausfällen und Umsatzeinbußen verbunden. Und da die Wirtschaft digital eng vernetzt ist, kann beim Ausfall eines wichtigen Lieferanten schon mal eine ganze Lieferkette ins Stottern kommen.
Um die Wirtschaft besser vor den negativen Folgen ihrer Abhängigkeit von der IT zu schützen, ist die Politik bereits in den letzten zwei Jahrzehnten aktiv geworden und hat eine Reihe verpflichtender Maßnahmen für die Cybersicherheit gesetzlich angeordnet. Dazu gehört auch die erste „Network and Information Systems Security Directive“ (NIS), ein Rahmenwerk zur Sicherung von Unternehmen der kritischen Infrastruktur (KRITIS), die 2016 in Kraft trat. Etwa 6.000 Unternehmen und Organisationen aus Bereichen wie Energie- und Wasserversorgung, Transport & Verkehr, Gesundheit und anderen müssen seitdem bei ihrer Cybersicherheit höhere Standards einhalten.
Voraussichtlich ab Mitte Januar 2025 sollen nun die EU-Mitgliedsstaaten die NIS-Richtlinie, eine Erweiterung der ursprünglichen NIS, in nationales Recht überführt haben. Im Gegensatz zur Einführung der DSGVO sind bei NIS2 allerdings vorerst keine Übergangsfristen vorgesehen.
Was genau fordert die NIS2-Richtlinie? Was sollten Unternehmen jetzt tun? In diesem Whitepaper finden Sie einen kompakten Überblick.
NIS2 erweitert den Kreis der von strengeren Security-Maßnahmen betroffenen Unternehmen auf rund 30.000, also um das Fünffache. Davon betroffen sind Unternehmen mit mindestens 250 Mitarbeitenden oder mehr als 50 Millionen Euro Umsatz bzw. mehr als 43 Millionen Euro Jahresbilanzsumme, die in elf „besonders wichtigen“ und sieben „wichtigen“ Industriezweigen aktiv sind. Zu letzteren gehören mitunter die Lebensmittelproduktion, die Abfallwirtschaft sowie weite Teile der produzierenden Industrie (siehe Kasten weiter unten).
NIS2 läutet einen Haltungswechsel gegenüber IT und Cybersecurity ein
Im Blickfeld der NIS2-Richtlinie ist also nicht nur die kritische Infrastruktur, sondern fast die gesamte Industrie. Lediglich Unternehmen mit weniger als 50 Mitarbeitern und einem Umsatz bzw. einer Bilanzsumme kleiner als 10 Millionen Euro sind davon ausgenommen. Nicht zuletzt deshalb gilt die NIS2-Richtlinie als Zwischenstufe auf dem Weg zu einer generellen Verschärfung der verpflichtenden Cybersecurity-Maßnahmen für die gesamte Industrie. Davon zeugen auch die bisherigen Beratungen zum aktuellen Entwurf des sogenannten „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes“ (NIS2UmsuCG) im Bundestag: Viele Abgeordnete möchten bereits jetzt Maßnahmen im Gesetz durchsetzen, die die Anforderungen der NIS2-Richtlinie übertreffen.
Damit zeichnet sich ab, dass auch Unternehmen, die noch nicht von der NIS2-Richtlinie betroffen sind, gut beraten wären, sich ebenfalls mit ihr auseinanderzusetzen. Nicht nur weil mit einer weiteren Verschärfung der gesetzlich geforderten Cybersecurity-Maßnahmen zu rechnen ist, sondern weil sie auch indirekt davon betroffen sein könnten, zum Beispiel als Zulieferer eines Unternehmens, das der NIS2 unterliegt.
Dies hat damit zu tun, dass die von NIS2 betroffenen Unternehmen ein fortlaufendes Risikomanagement einführen müssen, um ihre Cyber-Resilienz konstant aufrechtzuerhalten. In der Risikobewertung soll dabei auch die IT-Sicherheit der Lieferkette einfließen. Um diese Anforderung zu erfüllen, müssen diese Unternehmen ihre Lieferanten und Dienstleister zu hohen Cybersecurity-Standards verpflichten, die mit entsprechenden Audits nachgewiesen werden muss.
Wie robust ist Ihre IT-Infrastruktur? Wirksame und praktische Maßnahmen für mehr Sicherheit finden Sie im Whitepaper „Cyber Resilienz – Widerstandsfähigkeit im digitalen Zeitalter“
Im Kern fordert die NIS2-Richtlinie IT-Verantwortliche dazu auf, die Rolle der IT etwas anders zu verstehen als die Summe der IT-Dienste, die sie zur Verfügung stellt. Der IT ist heute eher der Stellenwert des Business Enablers beizumessen, von dessen Funktionsfähigkeit der Geschäftsbetrieb an sich abhängt. Bezeichnend für die Aufwertung der Rolle der IT ist auch die Tatsache, dass mit NIS2 die Cybersicherheit zur Chefsache wird. Für den Beschluss und die Umsetzung der gesetzlichen Risikomanagement-Maßnahmen haften nunmehr die Geschäftsleiter persönlich. Eine Entbindung von dieser Pflicht sieht die Richtlinie explizit nicht vor.
In 5 Minuten erklärt: NIS2 Compliance – Die neue EU-Richtlinie
Entsprechend verankert die Richtlinie einige Cybersecurity-Disziplinen wie das Risikomanagement oder das Business Continuity Management (BCM) in das Aufgabenspektrum der IT, die vielerorts bislang keine allzu große Priorität hatten (eine detaillierte Auflistung der Maßnahmen finden Sie im Whitepaper über die NIS2-Richtlinie).
Doch sosehr die Implementierung der Maßnahmen zur Einhaltung der NIS2-Richtlinie die Sicherheit der Unternehmen einen gewaltigen Schritt weiter bringt, birgt sie für Unternehmen auch einige Herausforderungen. Allen voran ist die Komplexität zu nennen, welche allein die Erweiterung der Cybersecurity-Infrastruktur und der dazugehörigen Prozesse mit sich bringt. Eng damit verknüpft ist das Thema Ressourcen, denn NIS2 kann Investitionen in Personal und Fach-Knowhow erfordern. Bei international tätigen Unternehmen schließlich könnte die unterschiedliche Auslegung der Richtlinie in den Gesetzen der verschiedenen Ländern für einigen Aufwand sorgen.
Ist Ihr IT-Management auf der Höhe der NIS2-Richtlinie? Finden Sie es mit dem 20-Fragen-Katalog des Self-Assessment-Whitepapers von Sycor heraus.
In 5 Minuten erklärt: Security Governance
Wichtige Fakten über die NIS2-Richtlinie
Ziele der NIS2-Richtlinie
- Erhöhung der Cybersicherheit
- Harmonisierung der Standards für Cybersicherheit innerhalb der EU
- Erweiterung des Anwendungsbereichs auf Industriesektoren und Dienste, die kritisch für Gesellschaft, Wirtschaft und Lieferketten sind
- Erhöhung der Reaktionsfähigkeit in den Unternehmen
- Schaffung eines stabilen, EU-weiten Regulierungsrahmens
- Erweiterung der Aufsichtskompetenzen der nationalen Cybersicherheitsbehörden
Betroffene Industriezweige
- Besonders wichtige Einrichtungen: (Unternehmen mit mindestens 250 Mitarbeitenden oder mehr als 43 Millionen Euro Jahresbilanzsumme): Energieversorgung, Transport & Verkehr, Gesundheitswesen, Finanz- und Versicherungswesen, Weltraum, IT/TK, Wasserversorgung, öffentliche Verwaltung (Kommunen werden in Deutschland voraussichtlich vorerst ausgenommen)
- Wichtige Einrichtungen: (Unternehmen mit mindestens 250 Mitarbeitenden oder mehr als 50 Millionen Euro Jahresbilanzsumme): Lebensmittel, Chemie, Online-Dienste, Post und Kurierdienste, Abfallwirtschaft, Herstellung von Waren (Computer, Elektronik, Optik, Maschinen, Kraftfahrzeuge und Anhänger, Transportmittel)
Registrierungspflicht
- Einrichtungen und Betreiber müssen selbst prüfen, ob sie der NIS2-Richtlinie unterliegen, und sich beim BSI registrieren.
- Besonders wichtige und wichtige Einrichtungen sowie DNS-Registries müssen sich innerhalb von drei Monaten beim BSI registrieren.
- Änderungen der registrierten Daten müssen jährlich an das BSI gemeldet werden.
Meldepflichten
- "Erhebliche Sicherheitsvorfälle" mit Folgen wie schwerwiegende Betriebsstörungen, finanzielle Verluste oder erhebliche materielle und immaterielle Schäden müssen innerhalb von 24 Stunden nach Kenntniserlangung dem BSI gemeldet werden.
- Eine Zweitmeldung mit einem Update und einer ersten Bewertung des Vorfalls ist innerhalb von 72 Stunden zu leisten.
- Eine Abschlussmeldung muss innerhalb eines Monats inklusive ausführlicher Beschreibung (Ursache, Schweregrad, Auswirkungen, getroffene und laufende Abhilfemaßnahmen, etc.) erfolgen.
- Wird ein Sicherheitsvorfall nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gemeldet wird, gilt dies als Gesetzverstoß.
Geschäftsführerhaftung und Sanktionen
- Geschäftsleiter müssen Risikomaßnahmen im Bereich Cybersicherheit billigen und ihre Umsetzung überwachen.
- Geschäftsleiter sind zur regelmäßigen Teilnahme an Cybersicherheitsschulungen verpflichtet.
- Der aktuelle Gesetzentwurf sieht vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagement-Maßnahmen mit ihrem Privatvermögen haften.
- Das Bußgeld kann bei besonders wichtigen Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen, bei wichtigen bis 7 Millionen oder 1,4 Prozent des Jahresumsatzes.