Was Sie über die NIS-2-Richtlinie wissen müssen

Um diesen wachsenden Sicherheitsherausforderungen entgegenzutreten, hat die Europäische Union die NIS-2-Richtlinie verabschiedet, eine wesentliche Überarbeitung der ersten Richtlinie zur Netz- und Informationssystemsicherheit (NIS). Diese definiert Maßnahmen zur Sicherung von Netz- und Informationsstrukturen von Betreibern kritischer Infrastrukturen und Anbietern bestimmter digitaler Dienste in der EU. Die NIS-2 erweitert den bereits bestehenden Geltungsbereich der Mindestanforderungen für Cybersicherheit nun auf mehr Sektoren und Unternehmen:

Kritische Einrichtungen laut NIS-Richtlinie

• Großunternehmen...
  • mit mehr als 250 Mitarbeitenden oder mehr als 50 Millionen Euro Jahresumsatz
  • mit Tätigkeiten in kritischen Sektoren
• Alle Betreiber kritischer Infrastrukturen

Wichtige Einrichtungen laut NIS-Richtlinie

• Großunternehmen...
  • mit Aktivitäten in einem Sektor, der als kritisch eingestuft wird
• KMUs...
  • mit mehr als 50 Mitarbeitenden oder mehr als 10 Millionen Euro Jahresumsatz
  • mit Tätigkeiten in kritischen oder besonders kritischen Sektoren

Was sind laut NIS-2 kritische Sektoren?

• Energie

• Transport

• Bankwesen

• Finanzmarktinfrastrukturen

• Gesundheit

• Trinkwasser

• Abwasser

• Digitale Infrastruktur

• IT/ICT-Dienste im B2B-Bereich

• Öffentliche Verwaltung

• Weltraum

• Post- und Kurierdienste

• Abfallwirtschaft

• Chemikalien

• Lebensmittel

• Industrie (z. B. Maschinenbau)

• Digitale Dienste

• Forschung

Klein- und Kleinstunternehmen sind von der NIS-2 vorerst ausgenommen, es sei denn, sie gehören zu den Sektoren „Digitale Infrastruktur“, „Öffentliche Verwaltung“ oder sind „weitere Spezialfälle“.

Maßnahmen zum Risikomanagement 

Berichtspflicht bei Sicherheitsvorfällen

In Deutschland müssen Sicherheitsvorfälle, wie Hackerangriffe, dem BSI innerhalb von 24 Stunden gemeldet werden. Eine detaillierte Aufarbeitung des Vorfalls muss in den nächsten Tagen folgen. 

Maßnahmen zur Vorfallvorbeugung und -bewältigung

Betreiber müssen Strategien implementieren, um Sicherheitsvorfälle vorzubeugen und darauf zu reagieren. Dies schließt die Etablierung von Notfallplänen und die regelmäßige Überprüfung der Sicherheitsrichtlinien und -prozessen ein.

Sicherheit der Lieferketten

Die Sicherheit innerhalb der gesamten Lieferkette von Unternehmen muss gewährleistet sein. Auch indirekte Anbieter und Zulieferer müssen die gegebenen Sicherheitsstandards erfüllen. 

Regelmäßige Sicherheitstests

Um die Wirksamkeit der implementierten Sicherheitsstandards zu überprüfen, müssen regelmäßige Tests, wie zum Beispiel Schwachstellenscans, durchgeführt werden. 

Business Continuity Management (BCM)

Organisationen müssen Geschäftskontinuitäts-Maßnahmen ergreifen, um sicherzustellen, dass ihre betriebsnotwendigen Funktionen auch im Falle eines IT-Sicherheitsvorfalls weiterlaufen können. Dies beinhaltet Pläne für das Notfall- und Krisenmanagement. 

Schulungen für Mitarbeitende

Betreiber müssen sicherstellen, dass ihr Personal in Sicherheits- und Datenschutzpraktiken geschult wird. Dies ist entscheidend, um zu garantieren, dass Mitarbeitende in der Lage sind, Sicherheitsrisiken zu erkennen und richtig darauf zu reagieren. 

Auch wenn (noch) keine gesetzlichen Vorgaben existieren, bieten verschiedene Normen und Standards einen Ansatz zur Orientierung für die Implementierung der IT-Sicherheit in Unternehmen.

DIN ISO 27001

Die internationale Norm ISO/IEC 27001 legt fest welche Anforderungen ein Unternehmen erfüllen muss um ein Informationssicherheitsmanagementsystem (ISMS) zu betreiben und kontinuierlich zu verbessern. Sie umfasst außerdem Richtlinien für die Risikoanalyse und den Umgang mit Sicherheitsrisiken im Bereich der IT. Ein effektives ISMS basiert auf den fundamentalen Prinzipien der Informationssicherheit: Verfügbarkeit, Vertraulichkeit und Integrität. Für Betreiber kritischer Infrastrukturen (KRITIS) bietet ein nach ISO 27001 zertifiziertes ISMS eine solide Grundlage für das IT-Management. 

BSI IT-Grundschutz

Herausgegeben im Jahr 1994 durch das BSI, umfasst diese Vorgehensweise die IT-Grundschutz-Standards (200-1 bis 200-4) sowie das IT-Grundschutz-Kompendium. Das Kompendium ist in zehn Ebenen gegliedert, die jeweils mehrere Bausteine enthalten. Jedes Modul definiert spezielle Anforderungen und gibt Empfehlungen zur Absicherung von IT-Systemen und -Prozessen. Innerhalb der Bestandteile lassen sich verschiedene Sicherheitsstufen differenzieren: 

• Basis-Absicherung (deckt alle wesentlichen Muss-Anforderungen ab)
• Kern-Absicherung (umfasst alle Muss-Anforderungen und zusätzliche Schutzmaßnahmen für besonders kritische Geschäftsprozesse)
• Standard-Absicherung (berücksichtigt alle Muss- und Soll-Anforderungen)
  

Wettbewerbsvorteile durch NIS-2  

Das Einhalten des NIS-2 bringt einige Vorteile mit sich, mit denen man nicht nur die interne Sicherheit, sondern auch die eigene Position am Markt stärken kann: 

Verstärkte Cybersicherheit:

Durch die Anwendung der unter NIS-2 vorgeschriebenen Sicherheitsmaßnahmen können Unternehmen ihre Cybersicherheitsinfrastruktur stärken. Dadurch sinkt das Risiko von Datenverlusten, Sicherheitsverletzungen und anderen cyberbezogenen Vorfällen. 

Verbesserte Reputation:

Unternehmen, die nachweislich strenge Sicherheitsstandards einhalten, können das Vertrauen ihrer Kunden und Partner stärken. Da Sicherheit ein zunehmend entscheidendes Kriterium für die Auswahl von Dienstleistern darstellt, kann so die Marktstellung verbessert werden.

Geringere Ausfallzeiten bei Angriffen:

Ein gut umgesetztes Sicherheitsmanagement nach NIS-2 kann dazu beitragen, die Kontinuität innerhalb eines Betriebs zu sichern, indem es die Wahrscheinlichkeit und das Ausmaß von Betriebsunterbrechungen durch Cyberangriffe reduziert.

Verbessertes Risikomanagement:

Die Richtlinie fördert ein besseres Verständnis und Management von Sicherheitsrisiken durch regelmäßige Anpassungen der Sicherheitsstrategien an äußere Entwicklungen. Dies hilft Organisationen, proaktiv auf Bedrohungen zu reagieren und ihre Sicherheitspraktiken kontinuierlich zu verbessern.

Internationale Anerkennung: 

Die NIS-2-Richtlinie ist in der gesamten EU gültig. Unternehmen, die diese Standards erfüllen, können leichter in anderen EU-Mitgliedstaaten agieren und von einer Gleichstellung der Sicherheitsvorschriften profitieren. 

Die NIS-2-Richtlinie bietet kleinen und mittelständischen Unternehmen (KMUs) in Deutschland eine entscheidende Grundlage, um sich gegen wachsende Cyber-Sicherheitsbedrohungen zu wappnen. Durch erweiterte Anforderungen unterstützt die Richtlinie nicht nur die Sicherheitsinfrastruktur von Unternehmen, sondern bietet auch Wettbewerbsvorteile durch gestärktes Kundenvertrauen und minimierte Betriebsunterbrechungen. 

Zudem unterstützt NIS-2 ein verbessertes Risikomanagement, das verpflichtet, Sicherheitsstrategien regelmäßig zu aktualisieren und sich an neue Bedrohungen anzupassen. Die Einhaltung der EU-weiten Standards ermöglicht es Unternehmen, ihre Geschäfte über nationale Grenzen hinaus zu erweitern und von einem einheitlichen Sicherheitsrahmen zu profitieren. 

Besonders für kleine und mittelständische Unternehmen ist es also notwendig, in die eigene Cybersicherheit zu investieren und sie mehr als Teil einer Wachstumsstrategie zu betrachten und weniger als eine gesetzliche Verpflichtung.

Wie können wir Ihnen helfen, die NIS-2-Richtlinie in Ihrem Unternehmen umzusetzen?
Kontaktieren Sie uns gern unverbindlich für ein Erstgespräch.