NIS2 – Mehr Cybersicherheit für Europa

Illustration Absmeier foto freepik

Die neue EU-Richtlinie »Netzwerk- und Informationssysteme 2« (NIS2) soll für mehr Cybersicherheit in Unternehmen, Behörden und Privathaushalten sorgen. Das Ziel ist es, insbesondere kritische Infrastrukturen in Zukunft besser vor Cyberattacken zu schützen. Mitgliedsstaaten müssen die Richtlinie bis Oktober 2024 in nationale Gesetze gießen. Dabei ist zu erwarten, dass in einigen Ländern die Richtlinien strenger umgesetzt werden als in anderen.

NIS2 soll dabei zweierlei gewährleisten. Zum einen die Sicherheit in Europa insgesamt verbessern und zum anderen die Sicherheitsmaßnahmen in der EU harmonisieren. Gerade dem Schutz von personenbezogenen Daten und der Privatsphäre von EU-Bürgern kommt eine zentrale Rolle zu. Dazu überführt NIS2 viele Vorgaben aus der EU-Datenschutzgrundverordnung (DSGVO) in neue Sicherheitsrichtlinien für Unternehmen. Das ambitionierte Ziel ist es, die Cybersicherheitslage in der EU zu maximieren und die Resilienz von Unternehmen, Organisationen und Behörden zu optimieren.

Unternehmen sollten sich jetzt auf NIS2 vorbereiten: Es ist höchste Zeit!

Generell können sich Organisationen dazu an vorhandenen Standards orientieren, die auch bei NIS2 eine Rolle spielen. Beispiele dafür sind der IT-Grundschutz des BSI, ISO 27002:2022 mit Maßnahmen und Kontrollen, Sektor-basierte ISO270X (Telekommunikation, Health-Care, Energie), technologiebasierte ISO270X (Cloud, Netzwerk, Storage, IoT) und ISO/IEC 27035 (Incident Management). Diese Standards bieten eine gute Orientierung, um sich auf die unweigerliche Umsetzung von NIS2 ab Oktober 2024 vorzubereiten.

NIS2 betrifft nahezu jedes Unternehmen in Deutschland, auch wenn die Richtlinie generell für die kritische Infrastruktur ausgelegt ist. Das liegt daran, dass nicht nur Unternehmen und Organisationen, die selbst zur kritischen Infrastruktur zählen, betroffen sind, sondern auch deren Zulieferer. Wenn zum Beispiel ein Catering-Unternehmen eine Vorstellung eines neuen Produkts begleitet, das in irgendeiner Art und Weise als kritisch für den Standort definiert ist, dann ist auch dieses Unternehmen an NIS2 gebunden.

Die Verantwortlichen in den Unternehmen tun also gut daran, sich bereits jetzt damit auseinandersetzen, was NIS2 für das eigene Unternehmen bedeutet. Die Umsetzung sicherheitsrelevanter Projekte verschlingt oft mehr Zeit und Ressourcen als ursprünglich geplant. Nicht selten gehen dabei auch mehr als 24 Monate ins Land. Es besteht also akuter Handlungsbedarf.

Nach einem Forschungspapier der Cyber Rescue Alliance aus dem Jahr 2022 sind nahezu alle Unternehmen weltweit bereits Ziel von Phishing-Angriffen geworden. Bei 12 % der erfolgreich durchgeführten Attacken konnten die Angreifer über ein Jahr lang auf sämtliche Unternehmensdaten zugreifen – um anschließend die Daten mittels Ransomware zu verschlüsseln. Ransomware-Angriffe, das hat uns die Erfahrung gelehrt, können für das wirtschaftliche Überleben eines Unternehmens ausschlaggebend sein. Insgesamt wurden drei Viertel aller Unternehmen bereits mit Ransomware angegriffen. Das ist eine Steigerung um fast zwei Drittel seit 2021. Gleichzeitig verlassen sich immer mehr Unternehmen im Bereich Sicherheit auf künstliche Intelligenz und maschinelles Lernen. Untersuchungen haben gezeigt, dass sich dadurch die Wahrscheinlichkeit Zero-Day-Bedrohungen zu erkennen auf fast 96 % erhöht. Die Bedeutung von KI/ML für die Haben-Seite der Cybersicherheit wird eher noch weiter steigen und nicht zuletzt bei der Umsetzung von NIS2 ein wertvolles Hilfsmittel sein.

NIS2: Zum Schutz kritischer Infrastrukturen in der EU

NIS2 richtet sich zunächst an die Betreiber kritischer Infrastrukturen (KRITIS). Diese werden als Unternehmen, Organisationen und Behörden definiert, die von großer Bedeutung für das Gemeinwesen sind. Vor allem die gesundheitliche Versorgung, das Energie- und Transportwesen sowie der Finanzsektor zählen dazu, aber auch alle Zulieferer und Partner dieser Unternehmen.

Es ist also davon auszugehen, dass in den nächsten Jahren so gut wie jedes deutsche Unternehmen die Richtlinien von NIS2 einhalten muss. Große Konzerne fordern in vielen Fällen ihre Lieferanten auf, einen Nachweis zu führen, wie sie IT-Sicherheit umsetzen, und ob Richtlinien und Vorgaben aus NIS2 eingehalten werden. Ist das nicht der Fall, droht der Verlust von Kunden und Aufträgen.

Aber auch Post- und Kurierdienste, Abfallwirtschaft, die Chemie-Branche, der Ernährungssektor, Industrie, digitale Dienste und die Forschung fallen unter NIS2, genauso wie Unternehmen, die sich weitgehend mit Raumfahrt beschäftigen. Zulieferer, die NIS2 nicht erfüllen, laufen in der Folge Gefahr, dass Kunden gezwungen sind, die bestehende Geschäftsbeziehung zu beenden. Denn durch die Resilienz-Anforderung in NIS2 muss ein KRITIS-Unternehmen den Zulieferer wechseln, um eigene Resilienz zu gewährleisten. Gerade kleinere und mittlere Zulieferer sollten das Thema deshalb besser nicht auf die lange Bank schieben, wenn sie nicht riskieren wollen, ihre Kunden zu verlieren.

Tatsächlich ist es aktuell so, dass etliche Unternehmen von der Einhaltung der NIS2-Richtlinien weit entfernt sind. Es fehlt an geeigneten Metriken, Audits und oft existiert kein Information Security Management System (ISMS). Will man die Richtlinien anforderungsgemäß umsetzen, müssen diese Voraussetzungen zwingend gegeben sein. Eine derartige Infrastruktur einzuziehen kann Jahre dauern.

Der Sinn hinter NI2 ist Resilienz – Denn Angriffe lassen sich nicht verhindern!

Die Umsetzung von NIS2 in Unternehmen sorgt nicht unbedingt dafür, dass ein Unternehmen alle Angriffe verhindern kann. Im Fokus von NIS2 steht denn auch die Resilienz der Unternehmen. Kommt es zu Angriffen, sollten Firmen und Organisationen auf der Basis von NIS2 in der Lage sein, diese möglichst erfolgreich abzuwehren. Der Aufbau von Cybersicherheitskapazitäten passiert innerhalb der EU einheitlich, und zwar gemäß der Standards, die den aktuellen Herausforderungen an die IT-Sicherheit gewachsen sind. So jedenfalls der Plan.

Es geht bei der Umsetzung von NIS2 schlussendlich um das eigene, wirtschaftliche Überleben eines Unternehmens. Nach einem Bericht des globalen Versicherers Hiscox steht ein Fünftel der Unternehmen, die Opfer einer Cyberattacke geworden sind, danach am Rande der Insolvenz. Grund genug, sich auf den Ernstfall vorzubereiten und folgende Fragen für sich zu beantworten:

  • Wann ist die nächste Cyberattacke voraussichtlich zu erwarten?
  • Ist das Unternehmen in der Lage, diesen Angriff abzuwehren und ist es ausreichend resilient, um den Geschäftsbetrieb aufrecht zu erhalten?
  • Ist das Unternehmen optimal auf Cyberangriffe vorbereitet?

Das Thema der eigenen Resilienz gegen Cyberattacken hat in jüngster Zeit immer mehr an Bedeutung gewonnen und seine Relevanz wird vermutlich in Zukunft weiter steigen. Kommt es zu einem Angriff, müssen alle Abteilungen vorbereitet sein, richtig reagieren und dabei die Geschäftsabläufe möglichst optimal am Laufen halten. Auf die Umsetzung solcher Maßnahmen konzentriert sich NIS2.

 

So können sich Unternehmen vorbereiten

Um sich auf die Herausforderungen von NIS2 vorzubereiten, werden die Verantwortlichen nicht um dedizierte Pläne für mehr Sicherheit und vor allem Resilienz herumkommen. Dabei hilft es, wichtige Informationen schon im Vorfeld zusammenzustellen und Fragen zu beantworten, die für die Einhaltung von NIS2 relevant sind:

  • Welche Assets gibt es im Unternehmen? Wer sind die Eigentümer? Wo liegen Schwachstellen und Risiken?
  • Welche Ziele könnten Angreifer im Unternehmen haben?
  • Gibt es Konzepte für neue Mitarbeiter und für solche, die das Unternehmen verlassen?
  • Wie und wo sind die Daten gespeichert, und wer arbeitet damit?
  • Sind Administratoren-Rechte reguliert und eingeschränkt?
  • Sind die Arbeitsabläufe erstellt, dokumentiert und getestet, die im Falle einer Cyberattacke greifen sollen?
  • Werden Sicherheitsvorfälle sorgfältig analysiert?
  • Gibt es ein Konzept für den Angriffsfall?
  • Gibt es Partner, die im Notfall schnell helfen?
  • Besteht die Möglichkeit, mit anderen Unternehmen zusammenzuarbeiten, um Anforderungen gemeinsam zu erfüllen?

Richtig vorgehen

Die Umsetzung von NIS2 verfolgt zwei Ziele. Organisationen sollen in der Lage sein, sich optimal vor Angriffen zu schützen und sie sollen aus zurückliegenden Angriffen lernen. Dies dient dazu, den Geschäftsbetrieb abzusichern und potenzielle Schäden so gering wie möglich zu halten. Wichtig sind in diesem Zusammenhang Positionen wie die des CISO oder des IT-Sicherheitsbeauftragten (ITSiBe). Die operative und die strategische Ebene miteinander zu verbinden, spielt eine genauso wichtige Rolle, wie die Definition der Ziele und der gewünschten Ergebnisse.

Jörn Koch, Senior Channel Development Manager, VIPRE Security Group