Was ist NIS2?
NIS2 ist eine Richtlinie des Europäischen Parlaments und Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union. Im Fokus steht die Informationstechnik in kritischen Anlagen sowie in weiteren Unternehmen und Organisationen. Ihr Schutz spielt eine zentrale Rolle für das Funktionieren des europäischen Binnenmarkts und die Versorgungssicherheit in der Bundesrepublik. Das betrifft unter anderem Teile der öffentlichen Verwaltung, aber auch die Versorgung mit Lebensmitteln, Strom und Wasser, die Entsorgung von Siedlungsabfällen oder Unternehmen der Finanzmarktinfrastruktur.
Welches Ziel verfolgt NIS2?
Die NIS2-Richtlinie soll durch die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft das Cybersicherheitsniveau in der Europäischen Union anheben. Darüber hinaus geht es darum, den Informationsaustausch zur Cybersicherheit über Ländergrenzen hinweg zu verbessern.
Wer ist von NIS 2 betroffen?
In der NIS2-Richtlinie werden 18 Sektoren genannt, unterteilt in „Sektoren mit hoher Kritikalität“ und „sonstige kritische Sektoren“. Eine deutsche Besonderheit: im aktuellen Referentenentwurf ist die öffentliche Verwaltung auf regionaler Ebene ausgenommen. In den Sektoren sind alle Unternehmen und Organisationen betroffen, die mehr als 50 Mitarbeitende und einen Jahresumsatz von mindestens 10 Millionen Euro haben. In Ausnahmefällen sind auch Unternehmen betroffen, die diese Schwellenwerte nicht erreichen. In Deutschland wurden fast 30.000 Unternehmen und Organisationen identifiziert, die NIS2 umsetzen müssen. Damit sind viel mehr Unternehmen und Organisationen betroffen als durch die regulatorischen Vorläufern NIS1, das IT-Sicherheitsgesetz und die KRITIS-Verordnung.
Welche Änderungen treten in Kraft?
- Haftung: Mit NIS2 wird die persönliche Haftung von Geschäftsführenden und Vorständ:innen eingeführt. Unter anderem kann diesen Personen vorübergehend untersagt werden, Leitungsaufgaben wahrzunehmen.
- Aufsichts- und Durchsetzungsmaßnahmen werden verstärkt. Dazu gehören unter anderem Geldbußen von bis zu zwei Prozent des Jahresumsatzes.
- Managementsysteme zum Risikomanagement und der Informationssicherheit sowie Maßnahmen zur Bewältigung von Sicherheitsvorfällen und zur Aufrechterhaltung des Betriebs in Notfällen müssen für die Gesamtorganisation etabliert werden. Auch Security-Schulungen für Mitarbeitende werden Pflicht und es müssen Verfahren für den Einsatz von Kryptographie umgesetzt werden.
- Lieferketten im Fokus: Betroffene Unternehmen und Organisationen müssen Lieferanten und Dienstleistern, die Teil ihrer Lieferkette sind, höhere Sicherheitsanforderungen auferlegen.
- Meldepflichten: Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden. Innerhalb der zwei folgenden Tage muss eine ausführliche Aktualisierung der Erstmeldung sowie die Bewertung des Vorfalls nach Schwere, Auswirkungen und Kompromittierung erfolgen. Innerhalb eines Monats ist eine Abschluss- oder Fortschrittsmeldung erforderlich.
Was müssen betroffene Unternehmen tun?
Der Gesetzgeber erwartet von allen Organisationen und Institutionen, dass sie prüfen, ob sie zur Umsetzung der NIS2-Richtlinie verpflichtet sind. Diese Einschätzung kann aufgrund eigener Sachstandsfeststellungen oder durch IT-Fachanwälte getroffen werden.
Der Gesetzgeber erwartet zudem von allen betroffenen Organisationen, dass sie sich spätestens drei Monate nach Veröffentlichung der nationalen Umsetzung beim BSI als betroffene Organisation registrieren. Die Frist hierfür wird voraussichtlich bis Ende Q1/2025 festgelegt.
Fällt die Bewertung der NIS2-Betroffenheit positiv aus, sollten Organisationen schnellstmöglich damit beginnen, sich mit den Anforderungen der Richtlinie vertraut zu machen, ihren individuellen Reifegrad und Handlungsbedarf ermitteln.
Eine Umsetzung der NIS2-Anforderungen in den Organisationen erfordert eine gesamtheitliche Betrachtung der bisherigen Managementaufgaben und -prozesse in den Bereichen Governance, Risk und Compliance, sowie der betrieblichen Kernprozesse. Anpassungen in diesen Bereichen und Projekte im Bereich der Cybersicherheit sind hochkomplex, nehmen Zeit in Anspruch und erfordern umfangreiches Know-how.
Wichtig ist aber auch, dass Organisationen die Umsetzung von NIS2 als Chance begreifen, ihre Resilienz gegen Cyberangriffe zu verbessern und Sicherheitsstrategien zu optimieren, um den Schutz kritischer Prozesse, Daten und Dienste zu gewährleisten.
Wie kann Bechtle helfen?
Die Bechtle Expert:innen haben für Organisationen ein spezifisches NIS2-Assessment entwickelt.
Konkret bedeutet das:
- Die Bechtle Expert:innen holen Organisation zu den vielfältigen Anforderungen von NIS 2 ab, sichten die Dokumente beim Kunden und ermitteln den Reifegrad der bisherigen Maßnahmen. Auf dieser Basis werden Risiken bewertet, Schwachstellen analysiert, konkrete Maßnahmen und ein Aktionsplan vorgeschlagen.
- Maßnahmen und Aktionsplan werden in einer ausführlichen Präsentation mit der Leitungsebene der Organisation diskutiert.
- Bechtle bietet neben jährlichen Folge-Assessments auch die Einführung eines Informationssicherheitsmanagementsystems (ISMS) sowie die Einführung von Systemen zum Risiko- und Business-Continuity-Management. Darüber hinaus können Managed Services, das Bechtle Security Operations Center (SOC) und eine Lernplattform zur Sensibilisierung der Mitarbeitenden inkludiert werden.
Ganz entscheidend ist bei alledem, dass Organisationen, die von NIS2 betroffen sind, Cybersicherheit als ganzheitliche Managementaufgabe betrachten und umsetzen müssen. Die Zeit von Insellösungen ist endgültig vorüber.
