Die überarbeitete EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) enthält strenge Vorgaben zur Cybersicherheit und betrifft einen deutlich größeren Kreis von Unternehmen. Alleine in Deutschland sind es knapp 30.000 – auch kleine und mittelständische – Firmen.
Unternehmen aller Größen und Branchen werden heute permanent von Cyberkriminellen angegriffen. Daher liegt es in ihrem eigenen Interesse, sich mit aktuellen Sicherheitsmaßnahmen zu schützen. Bislang gab es dafür jedoch keine allgemein gültige Richtlinie innerhalb der EU. Die bisherigen Vorgaben zur Netzwerk- und Informationssicherheit (NIS) betrafen nur wenige Unternehmen und gingen angesichts der aktuellen Bedrohungslage nicht weit genug. Zudem war bei Nichteinhaltung mit keinen relevanten Konsequenzen zu rechnen. Entsprechend ist diese Richtlinie weitgehend unbekannt.
Eine neue Version soll dies nun ändern. NIS2 geht bezüglich der Vorgaben wesentlich weiter und schließt deutlich mehr Unternehmen in noch mehr Sektoren ein. Damit werden die Richtlinien zum Schutz der digitalen Infrastruktur wesentlich vielschichtiger und tiefgreifender. Es ist zu erwarten, dass künftig EU-weit mehr als 160.000 Unternehmen davon betroffen sind. In Deutschland sind es laut Schätzung des Bundesinnenministeriums rund 29.000 Unternehmen und öffentliche Einrichtungen – andere gehen von bis zu 40.000 Organisationen aus.
Die Schwankungen liegen daran, dass Unternehmen selbst prüfen müssen, ob sie unter die NIS2 fallen. Alle Firmen mit mindestens 50 Mitarbeiterinnen und Mitarbeitern und 10 Millionen Euro Umsatz im Jahr sind sicher dabei. Kritische Infrastrukturen, wichtige Lieferketten oder Konzernzugehörigkeiten erweitern den Kreis. Damit sind auch viele kleine und mittelständische Unternehmen davon betroffen. Die NIS2 sieht grundsätzlich zwei Klassen vor, »wesentliche« und »wichtige« Unternehmen, wobei für jede Klasse unterschiedliche Schwellenwerte definiert sind. Sobald nur eine Bedingung erfüllt ist, müssen die Anforderungen der jeweiligen Klasse vom Unternehmen umgesetzt und dokumentiert werden. Bei kritischer Infrastruktur gelten keine Schwellenwerte, da diese Unternehmen generell als wesentlich eingestuft werden.
Höhere Strafen. Bei NIS2 handelt es sich zwar »nur« um eine Richtlinie, die bis Oktober 2024 von allen EU-Mitgliedstaaten durch lokale Gesetzgebung umgesetzt werden muss. Doch jedes Land kann sogar noch strengere Vorgaben beschließen. Dies gilt auch für die vorgesehenen Strafen bei Nichteinhaltung. Die EU selbst spricht von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes [1]. Neben den deutlich höheren Strafen kann die Unternehmensleitung persönlich für Verstöße haften. Dies unterstreicht die wesentlich höhere Relevanz der NIS2. Da sie durch lokal geltendes Recht umgesetzt wird, sind auch bessere Kontrollen und Stichproben möglich.
Wie bei Richtlinien üblich, werden die notwendigen Maßnahmen recht vage beschrieben. Sie sollen nach dem aktuellen Stand der Technik interne Systeme und externe Schnittstellen umfassend vor Angriffen und Datendiebstahl sichern. Hinzu kommen Lösungen für Risikomanagement und Wiederherstellung. Daher müssen sich betroffene Unternehmen fundiert beraten lassen, um die Vorgaben zuverlässig zu erfüllen.
Herausforderung für kleine und große Unternehmen. Neben den technischen Anforderungen sind auch organisatorische Maßnahmen umzusetzen, wie das Melden von Vorfällen, die Berichterstattung und der Informationsaustausch darüber. Die dafür vorgesehenen kurzen Fristen können gerade für kleine und mittelständische Unternehmen mit kleinem IT-Team eine große Herausforderung darstellen. Bei einem Verstoß müssen sie innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls einen Frühwarnbericht vorlegen, eine erste Bewertung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Zusätzlich müssen sie die zahlreichen Vorgaben der neuen Richtlinie bewältigen, wobei sich ihre Systeme zunehmend über mehrere Cloud-Umgebungen erstrecken und eine große Anzahl von Mitarbeiterinnen und Mitarbeitern weiterhin im Homeoffice arbeitet.
Selbst für größere Organisationen sind die Vorgaben nicht einfach zu erfüllen, da sich ihre digitale Infrastruktur zunehmend über multiple Clouds und interne Rechenzentren erstreckt. Während das Front-End einer Anwendung etwa in einer Public Cloud läuft, befindet sich das Back-End in einem internen Rechenzentrum. Gleichzeitig loggen sich Mitarbeitende von immer mehr verschiedenen Orten aus in Systeme und Apps ein. Zur Compliance mit NIS2 benötigen daher viele Unternehmen einen Managed Service, der mehrere Cloud-, Computer- und Netzwerkumgebungen abdeckt.
Weitere Auswirkungen. Da die NIS2-Richtlinie für eine weitaus größere Gruppe von Unternehmen gilt als ihre Vorgängerin, werden sich die Auswirkungen auch in der Lieferkette bemerkbar machen. Zum Beispiel wird Cybersicherheit in Beschaffungsprozessen zu einem wichtigen Kriterium und kann darüber entscheiden, welche Unternehmen neue Aufträge erhalten. Vollständige Transparenz ist dafür eine wichtige Voraussetzung. So wird es für Unternehmen absolut notwendig sein, einen vollständigen Überblick darüber zu erhalten, was in ihren digitalen Prozessen und ihren digitalen Schnittstellen mit Kunden, Partnern und Lieferanten geschieht.
Aufgrund dieser zahlreichen Anforderungen benötigen Unternehmen einfach zu implementierende Mechanismen, die das Erlebnis von Kunden und Partnern nicht beeinträchtigen. Dies erfordert eine zentrale Konsole, über die sie ihr gesamtes Anwendungsportfolio verwalten können. Moderne Cloud-basierte Angebote für die Sicherheit und Bereitstellung von Anwendungen wie F5 Distributed Cloud Services können diesen Bedarf decken.
Fazit. Die strengen Vorgaben der NIS2 verlangen von vielen Unternehmen in der EU, die Cybersicherheit noch ernster als bisher zu nehmen. Die dafür benötigte Technologie steht aber heute schon bereit, um in diesem neuen regulatorischen Umfeld erfolgreich zu sein.
Stephan Schulz,
Regional Security Solution Architect
bei F5
[1] https://nis2directive.eu/