NIS2 und Cybersicherheit

Das Ziel der EU-Richtlinie NIS2 ist die Stärkung der Resilienz von Unternehmens-IT mit Schwerpunkt Cybersecurity. Kritische und wichtige Unternehmen in den Mitgliedsstaaten sollen sich besser abschotten und Cyberangriffen standhalten können. Bereits seit Januar 2023 ist die Richtlinie NIS2 in Kraft, sie löst die NIS („Network and Information Security“) Richtlinie aus 2016 ab. In Deutschland wird die Umsetzung der NIS2-Richtlinie mithilfe des „NIS2-Umsetzungsgesetzes“ (NIS2UmsuCG) geregelt, welches voraussichtlich im Oktober 2024 direkt in Kraft tritt.

Das Gesetz ist noch nicht vollständig verabschiedet. Die Basis dieser Publikation bilden die aktuellen Entwicklungen bis zum Januar 2024.

Mit NIS2 werden klarere Vorgaben und Regelungen für betroffene Unternehmen formuliert. Auch erweitert sich die Zielgruppe deutlich – es werden eindeutige Kriterien für die Betroffenheit von Unternehmen formuliert.

Welche Unternehmen sind betroffen?

Organisationen werden anhand ihrer Branche bzw. Sektoren, sowie ihrer Relevanz für das staatliche Gemeinwesen unterschiedlich kategorisiert:

 

  • Wesentliche Organisationen (“essential”) sind vor allem KRITIS-Unternehmen, also Betriebe mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall gravierende Folgen hätte. Dazu zählen Bereiche wie etwa Energie- und Wasserversorgung, Transport, Finanz- und Bankwesen, Gesundheit und öffentliche Verwaltung.
  • Wichtige Organisationen („important“) werden anhand ihrer Branche identifiziert: Post- und Kurierdienste, Abfall, Lebensmittel, Chemikalien, digitale Dienste (Suchmaschinen, Online-Marktplätze, Cloud-Services, soziale Netzwerke), Industrie (Maschinenbau, Fahrzeugbau etc.) sowie Forschung.

Weiterhin ist die Größe des Unternehmens relevant. Besonders wichtige Einrichtungen sind Unternehmen ab 250 Mitarbeitenden oder einem Jahresumsatz ab 50 Mio. EUR. Wichtige Unternehmen beginnen dagegen bereits bei 50 Mitarbeitenden oder einem Umsatz von 10 Mio. EUR. Die exakten Kriterien sind noch nicht finalisiert. Nur die Kriterien für KRITIS relevante Unternehmen stehen fest.

Folgende Unternehmen müssen sich unabhängig von ihrer Größe an die NIS2-Regelungen halten: Anbieter von DNS-Diensten, TLD-Namensregistern sowie öffentlicher elektronischer Kommunikationsnetze oder -dienste.

Für kleinere Unternehmen oder Unternehmen aus anderen Branchen greift NIS2 unmittelbar nicht. Jedoch können auch solche Firmen in das Fadenkreuz geraten, wenn sie Lieferanten oder Dienstleister für direkt betroffene Unternehmen sind. Denn diese werden, um die gesamte Lieferkette ihrer Produkte oder Dienstleistungen zu schützen, NIS2 Konformität einfordern.

Was ist zu tun?

Unternehmen müssen „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme (…) zu beherrschen“. Außerdem sollen „die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste“ verhindert oder möglichst gering gehalten werden.

Hierbei ist ein kombinierter Ansatz erforderlich: Zum einen müssen auf technischer Ebene entsprechende Security-Tools eingesetzt und best practices angewendet werden. Zum anderen müssen organisatorische Aufnahmen wahrgenommen und ein Prozess zur Behandlung von Sicherheitsvorfällen aufgesetzt werden, der auf allen Ebenen die Zuständigen informiert und die damit verbundenen Aktivitäten auslöst.

Der Gesetzgeber gibt vor, dass sich um diese Aufgaben das oberste Management kümmert – NIS2 ist also Chefsache. Maßnahmen sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenüber­greifenden Ansatz beruhen. Das NIS2-Umsetzungsgesetz formuliert folgende Mindestmaßnahmen für das gesamte Unternehmen:

  1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme müssen entworfen und dokumentiert werden.
  2. Die Behandlung von Sicherheitsvorfällen muss geplant und in Form eines funktionierenden Prozesses implementiert werden.
  3. Pläne zur Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, sowie ein Krisenmanagement, müssen erarbeitet und eingeführt werden.
  4. Die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern muss im Rahmen der Möglichkeiten gewährleistet werden.
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen, müssen identifiziert und angewendet werden.
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit werden etabliert und kontinuierlich durchgeführt.
  7. Es werden grundlegende Verfahren im Bereich der Cyberhygiene definiert und eingeführt, sowie durch Schulungen im Bereich der Cybersicherheit bekannt gemacht.
  8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung werden etabliert.
  9. Die Sicherheit des Personals wird berücksichtigt. Konzepte für die Zugriffskontrolle und Management von Anlagen liegen vor und werden umgesetzt.
  10. Es werden Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, zu gesicherter Sprach-, Video- und Textkommunikation sowie ggfs. zu gesicherter Notfallkommunikation innerhalb der Einrichtung eingerichtet.

Wie kann DATIS helfen?

Viele Unternehmen sind mit den Vorgaben und Verpflichtungen von NIS2 überfordert und wissen nicht, wie sie diese umsetzen können – erst recht in Zeiten von Fachkräftemangel und fehlenden IT-Mitarbeitern im eigenen Haus.

Mit DATIS Managed Service Provider mit eigenen Rechenzentren sind Sie bereits sehr gut aufgestellt, denn DATIS verfügt mit der ISO 27001 Zertifizierung bereits seit 2011 über Instrumentarien, die teilweise deutlich über die Anforderungen von NIS2 hinausgehen. Überzeugen Sie sich von unserem umfangreichen Angebot im Bereich der IT-Sicherheit.

Darüber hinaus bieten wir Ihnen an, Ihr technisches Umfeld zu beleuchten, Schwachstellen aufzudecken und Vorschläge zu erarbeiten, die damit verbundenen Risiken zu minimieren.

Haben wir Ihr Interesse geweckt? Nehmen Sie Kontakt
für einen individuellen Beratungstermin auf!

Maximilian Münch

Maximilian Münch

Business Development

  • LinkedIn

  • Xing