Die neue NIS-2-Richtlinie für Unternehmen

Anfang des Jahres ist in der EU die neue Richtlinie für ein gemeinsames Cybersicherheitsniveau in den Mitgliedsstaaten der Union in Kraft getreten. Ihr Ziel ist die Stärkung der Cyberresilienz kritischer Infrastrukturen in der EU. Cyberresilienz bezeichnet die Fähigkeit von Unternehmen, Cybervorfällen vorzubeugen und ihnen standzuhalten.

Mit der NIS-2 will die EU Unternehmen dazu verpflichten, ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen zu erhöhen. Zu den Verpflichtungen in der NIS 2 Richtlinie zählen Maßnahmen zur Erhöhung des Schutzes vor Cyberangriffen, die Einhaltung von Sicherheitsstandards und die Verpflichtung, Systeme stets auf dem neuesten Stand zu halten.

Alle Unternehmen, die als Betreiber kritischer Infrastrukturen gelten, fallen unter diese Richtlinie. Zur kritischen Infrastruktur zählen Einrichtungen, Anlagen und Systeme, deren Funktionsfähigkeit wichtig für die Gesellschaft, die Sicherheit des Landes und der Wirtschaft ist. Ein Ausfall dieser Infrastruktur würde zu erheblichen Störungen und Risiken führen. Daher geraten Betreiber kritischer Infrastrukturen zunehmend ins Visier von Cyberkriminellen und werden Opfer von digitalen Erpressungsversuchen, Angriffen mit Schadsoftware oder Spionage.

Seit ihrem Inkrafttreten ist die NIS-2-Richtlinie EU Recht, die Mitgliedstaaten müssen jedoch die NIS-2 Directive noch bis spätestens Oktober 2024 in nationales Recht überführen. Die Umsetzung der NIS-2-Richtlinie und die Festlegung, welche Unternehmen als Betreiber von kritischer Infrastruktur eingestuft werden, ist jedem Mitgliedstaat selbst überlassen. In Deutschland legt das Bundesamt für Katastrophenschutz fest, welche Sektoren und Einrichtungen als kritische Infrastruktur gelten.

Das Bundesamt für Katastrophenschutz stuft Unternehmen als kritische Infrastruktur ein, wenn sie in der Energie- und Wasserversorgung tätig sind, Telekommunikations- und Informationstechnik bereitstellen, Teil der Nahrungsmittelversorgung sind, dem Transport- oder Logistiksektor angehören, Einrichtungen des Finanzwesens sind oder aus dem Gesundheitswesen stammen.

Alle Unternehmen, die unter die Bestimmungen des Bundesamts für Katastrophenschutz und damit unter die NIS-2 fallen, müssen die Anforderungen hinsichtlich Informationssicherheit, Risikomanagement und Cybersicherheitsniveau erfüllen. Um diese zu gewährleisten, müssen Unternehmen regelmäßig Penetrationstests durchführen (Tests, die herausfinden, wie leicht Angreifer in ein System eindringen können), Systeme zur Meldung von Cybervorfällen einrichten und eine Risikobewertung durchführen, die aufzeigt, wo im Unternehmen potenzielle Gefahren für die IT-Sicherheit bestehen.

Um diesen Anforderungen gerecht zu werden, enthält die NIS-2-Richtlinie die Regelungen, dass Unternehmen ein Risikomanagement einrichten. Diese neuen Bestandteile sind eine Reaktion auf die vorherige Richtlinie, die für viele Unternehmen schwer zu verstehen war und unklar ließ, was tatsächlich gefordert war und welche Verpflichtungen im Bereich der Cybersicherheit und Informationssicherheit zu erfüllen waren.

Weitere Bestimmungen in der NIS-2-RL betreffen die Sicherheit von Lieferketten (bzw. die Verpflichtung, Lieferketten stärker zu schützen) sowie Meldepflichten, die Unternehmen in die Verantwortung nehmen, auftretende Bedrohungen unverzüglich anzuzeigen.

Diese Meldepflichten übernehmen häufig Datenschutzbeauftragte. Falls du mehr über den betrieblichen Datenschutz herausfinden willst, dann schau doch mal bei unserem IHK-Zertifikatskurs Betrieblicher Datenschutzbeauftragter (IHK) vorbei.

Wie Unternehmen ein Cybermanagement aufbauen können, das solche Aufgaben übernimmt, erläutert die Norm ISO IEC 27032, während die Norm für Cybersecurity ISO 21434 Hinweise gibt, wie Unternehmen Fahrzeuge vor Cyberangriffen schützen können, um den Punkt Sicherheit von Lieferketten in der EU NIS-2-Richtlinie zu erfüllen.

Um sicherzustellen, dass die Cyber Security Standards von Unternehmen dem NIS-2 Status entsprechen, sollten sie zügig mit den Vorbereitungen beginnen, bis das NIS-2 Directive Proposal als nationales Recht in Kraft tritt.

Zunächst sollte das Augenmerk auf der Einrichtung eines Risikomanagements liegen, das in der Lage ist, Schwachstellen und mögliche Bedrohungen zu identifizieren. Anschließend benötigen Unternehmen ein Vorfallmanagement, das bei einem Vorfall Gegenmaßnahmen einleitet und alle Meldepflichten korrekt erfüllt.

Darüber hinaus müssen Unternehmen gemäß der NIS-2 technische und organisatorische Maßnahmen ergreifen, um die Sicherheit ihrer Anlagen, Netzwerke, Systeme und Lieferketten zu erhöhen. Zudem benötigen sie Pläne für Backups und die Business Continuity, um selbst im Krisenfall den Betrieb aufrechterhalten zu können. Unterstützung bei diesen Maßnahmen erhalten Unternehmen, durch die Zusammenarbeit mit einem internen oder externen Cybersecurity Advisor. Welches Fachwissen ein Cyber Security Advisor (IHK) mitbringen muss, erfährst du in unserem IHK Zertifikatslehrgang.