NIS 2 – Zusammenfassung der neuen Cybersecurity-Richtlinie
veröffentlicht am
19.11.2024

NIS 2 – Zusammenfassung der neuen Cybersecurity-Richtlinie

IT Governance stellt sicher, dass die IT-Strategie mit den übergeordneten Geschäftszielen übereinstimmt und die IT-Risiken angemessen verwaltet werden. Im Kontext der NIS-2-Richtlinie ist eine solide IT Governance Voraussetzung, um die erforderlichen Sicherheitsmaßnahmen effektiv umzusetzen.

Was ist Nis 2?

Die NIS-2-Richtlinie ist eine EU-Richtlinie (überarbeitete Version von 2016), welche Unternehmen verpflichtet, ihre IT-Sicherheit zu verbessern.

Ziel ist es, Europa besser gegen Cyberangriffe zu schützen. Betroffen sind viele Unternehmen, insbesondere solche, die kritische Infrastrukturen betreiben oder wichtige Dienstleistungen anbieten.

Die Richtlinie schreibt unter anderem vor, Schwachstellen regelmäßig zu überprüfen, Notfallpläne zu erstellen und Sicherheitsvorfälle unverzüglich zu melden. Unternehmen, die die Vorgaben nicht einhalten, müssen mit hohen Strafen rechnen.

Sicherheitsanforderungen im Detail

Im Rahmen der NIS-2-Richtlinie müssen Unternehmen eine Reihe technischer und organisatorischer Maßnahmen umsetzen. Diese Maßnahmen sind darauf ausgelegt, Sicherheitsrisiken zu minimieren und eine schnelle Reaktion auf Vorfälle zu gewährleisten.

Zu den wichtigsten Anforderungen zählen:

  • Intrusion Detection Systems (IDS):
    Unternehmen müssen Systeme zur Überwachung und Erkennung von unerlaubten Zugriffen oder Angriffen auf ihre Netzwerke implementieren. Diese Systeme analysieren den Datenverkehr und erkennen Anomalien, um potenzielle Bedrohungen frühzeitig zu identifizieren.
  • Schwachstellen-Analysen:
    Regelmäßige Überprüfungen der IT-Systeme sind erforderlich, um Sicherheitslücken zu identifizieren. Diese Schwachstellen-Analysen helfen dabei, potenzielle Einfallstore für Cyberangriffe rechtzeitig zu schließen.
  • Notfallpläne für Cyberangriffe:
    Unternehmen müssen Notfallpläne erstellen, die klare Prozeduren für den Umgang mit Cybervorfällen festlegen. Diese Pläne sollen sicherstellen, dass bei einem Angriff schnell reagiert und der Schaden minimiert wird.
  • Risikomanagement:
    Ein durchdachtes Risikomanagement muss implementiert werden, um die Bedrohungen für kritische IT-Systeme kontinuierlich zu bewerten. daraus müssen geeignete Maßnahmen zur Minimierung der Risiken abgeleitet werden.
  • Mitarbeiterschulungen:
    Ein weiterer wichtiger Aspekt ist das Sicherheitsbewusstsein der Mitarbeiter. Regelmäßige Schulungen zur Cyberhygiene und zu sicheren Verhaltensweisen im Umgang mit IT-Systemen sind essenziell, um menschliche Fehler zu vermeiden.
  • Sicherheitsvorfall-Meldungen:
    Unternehmen sind verpflichtet, Sicherheitsvorfälle innerhalb von 24 Stunden an die zuständigen Behörden zu melden. Dies ermöglicht eine zeitnahe Reaktion und hilft, die Auswirkungen eines Cyberangriffs zu begrenzen.
NIS 2 Sicherheitsanforderungen

NIS2UmsuCG: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Das NIS2UmsuCG setzt die Anforderungen der NIS-2-Richtlinie in deutsches Recht um. Dieses Gesetz soll Unternehmen dabei unterstützen, die Sicherheitsanforderungen zu erfüllen, die für den Schutz von Netzwerken und IT-Systemen notwendig sind. Es bietet einen klaren rechtlichen Rahmen und legt Verantwortlichkeiten für Unternehmen fest. Die genaue Gesetzesausfertigung sind

  • in den entsprechenden Datenbanken des Bundesrechtsblatts oder
  • auf den Webseiten des Deutschen Bundestages

zu finden.

Neue Cybersecurity-Regulierung ab 2024

Die NIS-2-Richtlinie, die ab 2024 in Kraft tritt, stellt verschärfte Anforderungen an die Cyber Security Maßnahmen europäischer Unternehmen. Sie wurde entwickelt, um den wachsenden Bedrohungen in der digitalen Welt entgegenzuwirken und die Sicherheit kritischer Infrastrukturen sowie wichtiger Dienstleister zu verbessern. Dabei sollen nicht nur technische Sicherheitsvorkehrungen modernisiert, sondern auch organisatorische Maßnahmen optimiert werden.

Strikte Meldepflichten für Sicherheitsvorfälle

Eine der zentralen Neuerungen der NIS-2-Richtlinie ist die Verpflichtung, Sicherheitsvorfälle innerhalb von 24 Stunden den zuständigen Behörden zu melden. Diese Meldepflicht ermöglicht eine schnelle Reaktion und minimiert mögliche Schäden durch Cyberangriffe. Unternehmen müssen daher klare und effiziente Prozesse zur Vorfallserkennung und -meldung einrichten, um im Ernstfall sofort handeln zu können.

Zusammenarbeit entlang der Lieferkette

Die NIS-2-Richtlinie betont die Bedeutung einer umfassenden Zusammenarbeit entlang der gesamten Lieferkette, um ein hohes Maß an Cybersicherheit zu gewährleisten. Da moderne Unternehmen zunehmend vernetzt sind, reicht es nicht aus, nur die eigenen Systeme zu schützen.

Schwachstellen bei einem Partner oder Dienstleister können auch die eigene Sicherheit gefährden und zu schweren Cyberangriffen führen. Unternehmen müssen deshalb sicherstellen, dass auch ihre Zulieferer, Dienstleister und Partner die NIS-2-Anforderungen einhalten.

Dies umfasst:

  • Sicherheitsanforderungen in Verträgen:
    Unternehmen sollten in ihren Verträgen mit Lieferanten und Dienstleistern klare Sicherheitsvorgaben festlegen. Dazu gehören Mindeststandards für IT-Sicherheit, regelmäßige Schwachstellenanalysen und die Verpflichtung zur Einhaltung der NIS-2-Richtlinie.
  • Gemeinsame Sicherheitsprüfungen und Audits:
    Eine enge Zusammenarbeit zwischen Unternehmen und ihren Partnern ist notwendig, um Sicherheitsstandards entlang der Lieferkette zu überwachen. Regelmäßige Sicherheitsprüfungen und Audits sollten durchgeführt werden, um sicherzustellen, dass alle Beteiligten ihre Pflichten erfüllen.
  • Informationsaustausch bei Sicherheitsvorfällen:
    Ein effektiver und schneller Austausch von Informationen über Sicherheitsvorfälle ist entscheidend, um die Auswirkungen eines Angriffs zu minimieren. Unternehmen müssen klare Kommunikationswege mit ihren Lieferanten und Partnern etablieren, um im Falle eines Vorfalls schnell reagieren zu können.
  • Lieferketten-Risikomanagement:
    Unternehmen sollten ein umfassendes Risikomanagement implementieren, das auch die Lieferkette abdeckt. Dies beinhaltet die Identifizierung kritischer Lieferanten, die Bewertung von Risiken und die Ergreifung von Maßnahmen zur Risikominimierung, wie etwa die Einführung von Backup-Lieferanten.

Durch die enge Zusammenarbeit und die Sicherstellung, dass alle Akteure in der Lieferkette die Cybersicherheitsanforderungen der NIS-2-Richtlinie umsetzen, können Unternehmen ihre gesamte IT-Infrastruktur widerstandsfähiger gegen Cyberangriffe machen und Ausfälle durch Sicherheitsvorfälle minimieren.

Welche Unternehmen sind betroffen?

Die NIS-2-Richtlinie betrifft nicht nur Betreiber kritischer Infrastrukturen, sondern auch zahlreiche andere Unternehmen. Betroffen sind:

  • IT-Dienstleister
  • Telekommunikationsunternehmen
  • Anbieter digitaler Dienste
  • Betreiber von Cloud-Diensten

Auch Sektoren wie Lebensmittelproduktion, Chemieindustrie und medizinische Labore fallen nun unter die NIS-2-Regelung.

Was ist die NIS-2-Betroffenheitsprüfung?

Die NIS-2-Betroffenheitsprüfung ermittelt, ob ein Unternehmen unter die neue Regelung fällt. Unternehmen müssen feststellen, ob sie als Betreiber wesentlicher oder wichtiger Dienste klassifiziert werden. Diese Einstufung hängt von verschiedenen Faktoren ab, wie der Bedeutung des Unternehmens für das Funktionieren der Gesellschaft und der potenziellen Auswirkungen eines Cybervorfalls.

Was müssen betroffene Unternehmen tun?

Betroffene Unternehmen, die unter die NIS-2-Richtlinie fallen, sind verpflichtet, umfassende Sicherheitsmaßnahmen zu ergreifen, um den Anforderungen an Cybersicherheit gerecht zu werden. Die wichtigsten Maßnahmen umfassen folgende Punkte:

1. Implementierung eines Risikomanagementsystems für Cybersicherheit

Unternehmen müssen ein systematisches Risikomanagement einführen, um potenzielle Bedrohungen für ihre IT-Infrastrukturen zu identifizieren und zu bewerten. Dabei geht es darum, Risiken kontinuierlich zu überwachen und zu priorisieren, um darauf basierend Maßnahmen zu ergreifen, die das Risiko von Cyberangriffen minimieren. Ein Risikomanagementsystem umfasst sowohl präventive als auch reaktive Maßnahmen, um den Schutz vor neuen Bedrohungen zu gewährleisten.

2. Ergreifung technischer und organisatorischer Maßnahmen

Um Sicherheitsvorfälle zu verhindern, müssen Unternehmen eine Vielzahl technischer und organisatorischer Schutzmaßnahmen umsetzen. Dazu gehören unter anderem:

  • Firewalls und Intrusion Detection Systems (IDS), die den Datenverkehr überwachen und verdächtige Aktivitäten erkennen.
  • Mehr-Faktor-Authentifizierung (MFA), um den unberechtigten Zugriff auf kritische Systeme zu verhindern.
  • Verschlüsselungstechnologien, die sicherstellen, dass Daten während der Übertragung und im Ruhezustand geschützt sind. Auf organisatorischer Ebene sollten klare Verantwortlichkeiten festgelegt werden, um sicherzustellen, dass Cybersicherheitsmaßnahmen effizient verwaltet und überwacht werden.

3. Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden

Die NIS-2-Richtlinie verlangt von Unternehmen, dass sie Sicherheitsvorfälle innerhalb von 24 Stunden an die zuständigen Behörden melden. Dies ermöglicht es den Behörden, schnell auf Vorfälle zu reagieren, um weitere Schäden zu verhindern und mögliche Auswirkungen auf andere Unternehmen oder die Gesellschaft zu minimieren. Es ist daher wichtig, ein effektives Incident-Response-Team und klare Prozeduren zur Meldung und Bewältigung von Sicherheitsvorfällen zu etablieren.

4. Regelmäßige Sicherheitsüberprüfungen

Unternehmen müssen regelmäßig ihre IT-Systeme auf Sicherheitslücken und Schwachstellen überprüfen. Dies umfasst sowohl interne Audits als auch externe Penetrationstests, um mögliche Angriffsvektoren frühzeitig zu identifizieren und zu beheben. Regelmäßige Überprüfungen sorgen dafür, dass Sicherheitsmaßnahmen immer auf dem neuesten Stand sind und neuen Bedrohungen gerecht werden.

5. Schulungen für Mitarbeiter zur Förderung des Sicherheitsbewusstseins

Menschliche Fehler sind oft eine der größten Schwachstellen in der Cybersicherheit. Daher müssen Unternehmen regelmäßig Schulungen für ihre Mitarbeiter anbieten, um das Sicherheitsbewusstsein zu fördern. Diese Schulungen sollten Themen wie Phishing, sichere Passwörter, den Umgang mit sensiblen Daten und das Erkennen von verdächtigen Aktivitäten umfassen. Durch gut geschulte Mitarbeiter wird die Wahrscheinlichkeit von Sicherheitsvorfällen erheblich reduziert.

Interne NIS2-Schulung

Welche Folgen drohen bei Nichtbeachtung?

Die NIS-2-Richtlinie enthält klare Bestimmungen zu Sanktionen, die bei Nichteinhaltung der vorgeschriebenen Sicherheitsmaßnahmen greifen. Diese Sanktionen sind darauf ausgelegt, Unternehmen zur Einhaltung der Cybersicherheitsanforderungen zu bewegen und sicherzustellen, dass die Richtlinie ernst genommen wird. Die möglichen Strafen bei Verstößen sind dabei erheblich und variieren je nach Schwere des Verstoßes.

  • Hohe Geldbußen:
    Unternehmen, die die Vorgaben der NIS-2 nicht umsetzen, drohen empfindliche finanzielle Strafen. Die Höhe der Bußgelder richtet sich nach der Art und dem Umfang des Verstoßes. Für gravierende Verstöße können Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens verhängt werden – je nachdem, welcher Betrag höher ist.
  • Abmahnungen und Ultimaten:
    Bei leichten Verstößen können Behörden Abmahnungen aussprechen und dem Unternehmen eine Frist setzen, innerhalb derer die Mängel behoben werden müssen. Wird diese Frist nicht eingehalten, kann es zu weiteren Sanktionen kommen.
  • Verpflichtende Audits und Sicherheitskontrollen:
    Nationale Aufsichtsbehörden haben das Recht, unangekündigte Audits durchzuführen, um die Einhaltung der NIS-2-Richtlinie zu überprüfen. Bei wiederholten Verstößen oder anhaltenden Sicherheitsmängeln können Unternehmen dazu verpflichtet werden, regelmäßig Berichte über ihre Sicherheitsmaßnahmen vorzulegen und umfangreiche Audits zu bestehen.
  • Betriebsuntersagung:
    In extremen Fällen, etwa wenn ein Unternehmen gravierende Sicherheitsmängel nicht behebt oder wenn wiederholte Verstöße vorliegen, können die Aufsichtsbehörden eine vorübergehende oder sogar dauerhafte Schließung des Unternehmens anordnen. Dies gilt vor allem dann, wenn die betroffenen Systeme oder Dienstleistungen als kritische Infrastruktur eingestuft sind und deren Ausfall schwerwiegende Folgen für die öffentliche Sicherheit haben könnte.
  • Persönliche Haftung von Führungskräften:
    Zusätzlich zur Haftung des Unternehmens können auch einzelne Führungskräfte für Verstöße zur Verantwortung gezogen werden. Dies gilt insbesondere, wenn Fahrlässigkeit oder mangelndes Engagement bei der Umsetzung der Sicherheitsanforderungen nachgewiesen werden kann. Hier drohen nicht nur finanzielle Sanktionen, sondern auch strafrechtliche Konsequenzen.

Neben diesen Sanktionen müssen Unternehmen auch gesetzliche Verpflichtungen erfüllen, die über die Cybersicherheitsanforderungen hinausgehen. Dazu gehören:

  • Meldepflichten:
    Sicherheitsvorfälle müssen innerhalb einer kurzen Frist (in der Regel 24 Stunden) an die zuständigen Behörden gemeldet werden. Auch geringfügige Vorfälle müssen dokumentiert und auf Anfrage der Aufsichtsbehörden zur Verfügung gestellt werden.
  • Kooperation mit Aufsichtsbehörden:
    Unternehmen sind verpflichtet, bei Sicherheitsvorfällen mit den Aufsichtsbehörden zu kooperieren, indem sie Informationen und Daten zur Verfügung stellen, um die Untersuchung zu unterstützen und weitere Schäden zu verhindern.

Aufsichts- und Durchsetzungsmaßnahmen

Die Durchsetzung der NIS-2 erfolgt durch nationale Aufsichtsbehörden. Diese haben die Befugnis, Audits durchzuführen und bei Nichteinhaltung Sanktionen zu verhängen. Unternehmen sind verpflichtet, mit den Behörden zu kooperieren und regelmäßige Berichte über ihre Sicherheitsmaßnahmen vorzulegen.

Fristen für die Registrierungspflicht § 33

Unternehmen, die unter die NIS-2-Richtlinie fallen, müssen sich bis zum 1. Januar 2024 bei den zuständigen Behörden registrieren. Bei Nichteinhaltung dieser Frist drohen empfindliche Strafen.

Zusammenhang Business Continuity

Sowohl Business Continuity als auch die NIS-2-Richtlinie haben das gemeinsame Ziel, Unternehmen widerstandsfähiger zu machen.

Während die NIS-2-Richtlinie sich speziell auf die Cybersicherheit konzentriert und Unternehmen verpflichtet, ihre IT-Systeme und -Netzwerke zu schützen, umfasst Business Continuity ein breiteres Spektrum an potenziellen Störungen. Dennoch ergänzen sich beide Konzepte ideal.

Denn ein erfolgreicher Schutz vor Cyberangriffen ist eine entscheidende Voraussetzung dafür, dass ein Unternehmen auch nach einem solchen Vorfall seinen Geschäftsbetrieb aufrechterhalten kann.

Ein umfassendes Business Continuity Management, das die Anforderungen der NIS-2-Richtlinie integriert, gewährleistet nicht nur eine hohe Verfügbarkeit der IT-Systeme, sondern schützt auch das gesamte Unternehmen vor erheblichen finanziellen Schäden und Reputationsverlusten.

Fazit

Die NIS-2-Richtlinie stellt Unternehmen vor neue Herausforderungen im Bereich Cybersicherheit. Es ist essenziell, frühzeitig Maßnahmen zu ergreifen, um den Anforderungen gerecht zu werden. Unternehmen sollten ihre IT-Sicherheitsstrategien überprüfen, Mitarbeiterschulungen durchführen und sicherstellen, dass sie mit den zuständigen Behörden in Kontakt stehen.