Illustration Absmeier foto freepik ki

Für zahlreiche deutsche Unternehmen war das Jahr 2024 war im Hinblick auf ihre Cybersicherheit herausfordernd: laut des Berichts des Bundesamtes für Sicherheit in der Informationstechnik (BSI) haben die Aggressivität sowie die Raffiniertheit, mit der Cyberkriminellen vorgehen, erheblich zugenommen [1]. So sind die Häufigkeit und Komplexität von Ransomware-Angriffen stark gestiegen. Um angesichts dieser Bedrohungen das Gesamtniveau der Cybersicherheit innerhalb der EU zu erhöhen, hat die EU die NIS2-Richtlinie verabschiedet.

Allein in Deutschland wird die NIS2-Richtlinie ca. 30 000 Unternehmen betreffen [2]. Nicht nur Unternehmen und Organisationen, die zu den kritischen Infrastrukturen (KRITIS) gehören oder mit ihnen verbunden sind, fallen in den Anwendungsbereich von NIS2, sondern auch als »besonders wichtige« und »wichtige« eingestufte Einrichtungen sind von der Richtlinie betroffen. Ob es sich bei einem Unternehmen um eine »besonders wichtige« oder »wichtige« Einrichtung handelt, hängt von Kennzahlen und Schwellenwerten mit Bezug auf den Jahresumsatz oder die Mitarbeiterzahl ab.

Die NIS2-Richtlinie stellt unter anderem in den Bereichen Zutrittskontrolle und Datenschutz neue verschärfte Anforderungen an Unternehmen. Beispielsweise müssen Benutzer authentifiziert und elektronisch gespeicherte oder übermittelte Daten vor Handlungen wie unbefugtem Zugriff, Veränderung oder Löschung besser geschützt werden.

Die Verbesserung der Netzwerk- und Systemsicherheit ist ebenfalls Bestandteil von NIS2. Unternehmen sollten die Angriffsfläche ihrer Netzwerk- und Informationssysteme minimieren und sicherstellen, dass der Betrieb der Systeme nicht durch die Ausnutzung einer einzigen Schwachstelle beeinträchtigt wird.

Bei Nicht-Erfüllung der Vorschriften der NIS2-Richtlinie drohen Sanktionen. So beträgt die Geldstrafe mindestens 10 Millionen oder 2 % des weltweit jährlichen Umsatzes, wenn es sich um eine »besonders wichtige« Einrichtung handelt. Die empfindlichen Geldstrafen sollten allerdings nicht die einzige Motivation für Unternehmen sein, ihre Cybersicherheit auf ein hohes Niveau zu bringen. So gibt es bereits seit etlichen Jahren immer mehr Angriffe durch Ransomware. Diese Angriffe haben in Deutschland branchenübergreifend enorme Schäden angerichtet und führten dadurch eindrücklich vor Augen, wie wichtig ein proaktiver Ansatz zur Cybersicherheit ist – unabhängig von Cyberschutzrichtlinien.

Gute Techniken zur Vorbeugung dieser Art von Angriffen sind die regelmäßige Sicherung der Daten auf einem externen Laufwerk oder in einem Cloud-Dienst. Falls ein Unternehmen von Ransomware betroffen ist, kann es dadurch seine Daten wiederherstellen, ohne den Forderungen des Angreifers nachzugeben.

Weitere wichtige Schutzmaßnahmen sind das regelmäßiges Patch-Management sowie Updates: Systeme müssen immer auf dem neuesten Stand sein, um Schwachstellen zu vermeiden, die Hacker ausnutzen können. IT-Abteilungen sollten über automatisierte Patch-Management-Systeme verfügen, um Updates zu verteilen, sobald sie veröffentlicht werden.

Als Reaktion auf die sich ständig wandelnden Cyberbedrohungen werden die Richtlinien zum Cyberschutz in Zukunft häufig aktualisiert werden. Unternehmen, die Cyberschutz proaktiv denken und dabei kontinuierlich beste Praktiken zum Cyberschutz umsetzen, wird es allerdings leichter fallen, konform mit diesen Richtlinien zu sein. NIS2 ist ein wichtiger Schritt in die richtige Richtung, um kritische Infrastrukturen in der EU widerstandsfähiger zu machen.

Andre Schindler, General Manager EMEA und SVP Global Sales bei NinjaOne

[1] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2024.pdf?__blob=publicationFile&v=3

[2] https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2024/241023_ita-sa_2024.html

NIS2-Richtlinie: Das müssen Unternehmen 2025 beachten

18. Januar 2025

Illustration Absmeier foto freepik

148 Milliarden Euro – so hoch lagen 2023 laut Branchenverband Bitkom e.V. die gesamtwirtschaftlichen Schäden durch Cyberangriffe in Deutschland [1]. Dies ist eine erschreckende Zahl, die verdeutlicht, wie stark Unternehmen bedroht sind. Was ist, wenn zum Beispiel ein mittelständisches Logistikunternehmen Opfer eines Angriffs wird, bei dem sensible Kundendaten und Lieferpläne kompromittiert werden? Die Folgen können weitreichend sein: Lieferausfälle, Vertrauensverlust und enorme Kosten zur Wiederherstellung von IT-Systemen. Solche Szenarien machen deutlich, warum die EU mit der NIS2-Richtlinie striktere Sicherheitsvorgaben einführt.

Durch die Einführung der NIS2-Richtlinie in den EU-Mitgliedstaaten stehen Unternehmen unter einem großen Handlungsdruck. In diesem Jahr wird daher sicherlich die NIS2-Umsetzung die Agenda vieler Unternehmen prägen. Denn auch wenn sich technische Themen noch relativ leicht umsetzen lassen, ist generell ebenfalls ein kultureller Wandel erforderlich.

Wer ist von der NIS2-Richtlinie betroffen?

Die NIS2-Richtlinie gilt insbesondere für mittelgroße und große Unternehmen in Branchen wie Energie, Verkehr, Gesundheitswesen und Finanzdienstleistungen. Neu hinzugekommen sind unter anderem Unternehmen aus Sektoren wie Trinkwasser, Abwasser, Verwaltung von IKT-Diensten, öffentliche Verwaltung und Weltraum. Auch Zulieferer und Dienstleister von Unternehmen, die direkt unter die NIS2 fallen, können betroffen sein; vor allem dann, wenn ihre Leistungen für kritische Prozesse essenziell sind.

Die Einstufung erfolgt anhand klarer Kriterien: Unternehmen mit mehr als 250 Mitarbeitern, einem Jahresumsatz über 50 Millionen Euro oder einer Jahresbilanzsumme von mehr als 43 Millionen Euro sind automatisch im Fokus von NIS2. Darüber hinaus können auch kleinere Unternehmen unter die Richtlinie fallen, wenn sie Betreiber kritischer Anlagen oder essenzieller Dienstleistungen sind.

Was verlangt die NIS2-Richtlinie konkret?

Die NIS2-Richtlinie fordert von betroffenen Unternehmen klare Maßnahmen zur Verbesserung ihrer Cybersicherheit. Ein zentrales Element ist das Risikomanagement, das technische, organisatorische und operative Maßnahmen umfassen muss. Dazu gehören:

Risikomanagement und Cyberhygiene: Unternehmen müssen Bedrohungen systematisch analysieren und präventive Maßnahmen ergreifen, darunter auch die regelmäßige Schulung aller Mitarbeiter.
Notfallpläne und Wiederherstellungsprozesse: Business-Continuity-Pläne sind verpflichtend und müssen regelmäßig getestet werden. Auch Backup-Management und Disaster-Recovery-Strategien sind Pflicht.
Lieferkettensicherheit: Die Sicherheit von Drittanbietern und Zulieferern ist ein integraler Bestandteil der neuen Vorgaben.
Vorfallmanagement: Sicherheitsvorfälle müssen zeitnah gemeldet und dokumentiert werden. Somit müssen Unternehmen ein Verfahren etablieren, um Cybervorfälle schnell zu erkennen, zu melden und zu bewältigen.

Neben diesen Maßnahmen fordert die NIS2 eine lückenlose Dokumentation und Nachvollziehbarkeit, um im Ernstfall die Einhaltung der Vorgaben nachweisen zu können. Hier stehen insbesondere Unternehmen vor großen Herausforderungen, die ihre Dokumentationen bislang in einzelnen Word- und Excel-Dokumenten vorgenommen haben. Diese stets aktuell und fehlerfrei zu halten, ist im Arbeitsalltag nahezu unmöglich.

So setzen Unternehmen die NIS2-Anforderungen um

Eine strategische Herangehensweise ist daher essenziell, um die NIS2-Vorgaben umzusetzen und Haftungsrisiken für die Geschäftsführung zu minimieren.

Projektteam aufstellen:
Ernennen Sie eine Art Taskforce, die die Einhaltung der NIS2 überwacht. Idealerweise besteht sie aus IT-Experten, Risikomanagern und Compliance-Verantwortlichen.
Gap-Analyse durchführen:
Identifizieren Sie Lücken zwischen dem Ist-Stand Ihrer Cybersicherheitsmaßnahmen und den NIS2-Vorgaben. Dies umfasst sowohl technische Systeme als auch organisatorische Prozesse.
Risikomanagementsystem etablieren:
Integrieren Sie ein umfassendes System zur Risikoanalyse und Business-Impact-Bewertung. Es sollte alle relevanten Bedrohungsszenarien berücksichtigen – von Cyberangriffen bis zu Naturkatastrophen.
Notfallpläne und Übungen:
Erstellen Sie detaillierte Business-Continuity-Pläne und testen Sie diese regelmäßig in Übungen, um die Reaktionsfähigkeit zu verbessern.
Lieferkettensicherheit sicherstellen:
Überprüfen Sie Verträge mit Drittanbietern und implementieren Sie Standards, die auch deren Sicherheitsmaßnahmen abdecken.

Warum spezialisierte Softwarelösungen der Schlüssel sind

Die Umsetzung der NIS2-Richtlinie ohne moderne Software ist kaum denkbar. Spezialisierte Tools machen es möglich, alle relevanten Prozesse – von der Risikoanalyse über die Dokumentation bis zur Berichterstattung – zentral und effizient zu verwalten. So können Unternehmen alle NIS2-Anforderungen strukturiert abarbeiten und schließlich erfüllen, ohne sich in manuellen Prozessen zu verlieren.

Ein weiterer Pluspunkt ist die Automatisierung: Zeitgemäße GRC-Tools dokumentieren alle Änderungen automatisch, erstellen Berichte auf Knopfdruck und bieten Schnittstellen zu anderen IT-Systemen. Neben der Erfüllung rechtlicher Anforderungen profitieren Unternehmen auch selbst von der Umsetzung. Sie sind besser vor Gefahren geschützt, können Sicherheitsthemen besser nachvollziehen und entlasten die Verantwortlichen im Alltag. Besonders für mittelständische Unternehmen, die oft keine eigenen IT-Abteilungen haben, bietet eine spezialisierte Software eine kosteneffiziente und skalierbare Lösung, um die NIS2-Anforderungen zu bewältigen.

Sicherheit und Resilienz mit System

Indem Unternehmen das Thema Cybersicherheit systematisch angehen, minimieren sie Risiken, sichern ihre Geschäftsprozesse und stärken das Vertrauen ihrer Kunden und Partner. Doch natürlich stellt die NIS2-Richtlinie viele Unternehmen vor die Herausforderung, ihre Cybersicherheitsstrategie grundlegend zu überdenken. Wer die Anforderungen nicht erfüllt, riskiert nicht nur hohe Strafen, sondern auch Risiken der persönlichen Haftung für die Geschäftsführung. Die Investition in eine spezialisierte Software-Lösung zur Umsetzung der NIS2-Anforderungen ist daher nicht nur eine Frage der Compliance, sondern auch eine strategische Entscheidung für eine sichere und resiliente Zukunft.

Sascha Kreutziger, Leiter Business Development bei HiScout, HiScout GRC-Software für Informationssicherheit, Datenschutz und BCM

[1] https://www.bka.de/DE/AktuelleInformationen/StatistikenLagebilder/Lagebilder/Cybercrime/2023/CC_2023.html

265 Artikel zu „NIS2“

News | IT-Security | Kommunikation | Services | Tipps

Fünf Tipps, wie Sie Ihre E-Mail-Security NIS2-compliant machen

31. Dezember 2024

E-Mail ist der wichtigste Kommunikationskanal in Unternehmen und gleichzeitig der beliebteste Angriffsvektor für Cyberkriminelle. Daher spielt E-Mail-Security eine zentrale Rolle für die Cybersicherheit. Mit der neuen NIS2-Richtlinie wachsen die Mindestanforderungen an Risikomanagement und Schutzmaßnahmen. Was müssen Unternehmen tun, um ihre E-Mail-Landschaft NIS2-compliant zu machen? Mit der NIS2-Richtlinie will die EU die Cybersicherheit wichtiger…