Illustration Absmeier foto freepik

148 Milliarden Euro – so hoch lagen 2023 laut Branchenverband Bitkom e.V. die gesamtwirtschaftlichen Schäden durch Cyberangriffe in Deutschland [1]. Dies ist eine erschreckende Zahl, die verdeutlicht, wie stark Unternehmen bedroht sind. Was ist, wenn zum Beispiel ein mittelständisches Logistikunternehmen Opfer eines Angriffs wird, bei dem sensible Kundendaten und Lieferpläne kompromittiert werden? Die Folgen können weitreichend sein: Lieferausfälle, Vertrauensverlust und enorme Kosten zur Wiederherstellung von IT-Systemen. Solche Szenarien machen deutlich, warum die EU mit der NIS2-Richtlinie striktere Sicherheitsvorgaben einführt.

Durch die Einführung der NIS2-Richtlinie in den EU-Mitgliedstaaten stehen Unternehmen unter einem großen Handlungsdruck. In diesem Jahr wird daher sicherlich die NIS2-Umsetzung die Agenda vieler Unternehmen prägen. Denn auch wenn sich technische Themen noch relativ leicht umsetzen lassen, ist generell ebenfalls ein kultureller Wandel erforderlich.

Wer ist von der NIS2-Richtlinie betroffen?

Die NIS2-Richtlinie gilt insbesondere für mittelgroße und große Unternehmen in Branchen wie Energie, Verkehr, Gesundheitswesen und Finanzdienstleistungen. Neu hinzugekommen sind unter anderem Unternehmen aus Sektoren wie Trinkwasser, Abwasser, Verwaltung von IKT-Diensten, öffentliche Verwaltung und Weltraum. Auch Zulieferer und Dienstleister von Unternehmen, die direkt unter die NIS2 fallen, können betroffen sein; vor allem dann, wenn ihre Leistungen für kritische Prozesse essenziell sind.

Die Einstufung erfolgt anhand klarer Kriterien: Unternehmen mit mehr als 250 Mitarbeitern, einem Jahresumsatz über 50 Millionen Euro oder einer Jahresbilanzsumme von mehr als 43 Millionen Euro sind automatisch im Fokus von NIS2. Darüber hinaus können auch kleinere Unternehmen unter die Richtlinie fallen, wenn sie Betreiber kritischer Anlagen oder essenzieller Dienstleistungen sind.

Was verlangt die NIS2-Richtlinie konkret?

Die NIS2-Richtlinie fordert von betroffenen Unternehmen klare Maßnahmen zur Verbesserung ihrer Cybersicherheit. Ein zentrales Element ist das Risikomanagement, das technische, organisatorische und operative Maßnahmen umfassen muss. Dazu gehören:

Risikomanagement und Cyberhygiene: Unternehmen müssen Bedrohungen systematisch analysieren und präventive Maßnahmen ergreifen, darunter auch die regelmäßige Schulung aller Mitarbeiter.
Notfallpläne und Wiederherstellungsprozesse: Business-Continuity-Pläne sind verpflichtend und müssen regelmäßig getestet werden. Auch Backup-Management und Disaster-Recovery-Strategien sind Pflicht.
Lieferkettensicherheit: Die Sicherheit von Drittanbietern und Zulieferern ist ein integraler Bestandteil der neuen Vorgaben.
Vorfallmanagement: Sicherheitsvorfälle müssen zeitnah gemeldet und dokumentiert werden. Somit müssen Unternehmen ein Verfahren etablieren, um Cybervorfälle schnell zu erkennen, zu melden und zu bewältigen.

Neben diesen Maßnahmen fordert die NIS2 eine lückenlose Dokumentation und Nachvollziehbarkeit, um im Ernstfall die Einhaltung der Vorgaben nachweisen zu können. Hier stehen insbesondere Unternehmen vor großen Herausforderungen, die ihre Dokumentationen bislang in einzelnen Word- und Excel-Dokumenten vorgenommen haben. Diese stets aktuell und fehlerfrei zu halten, ist im Arbeitsalltag nahezu unmöglich.

So setzen Unternehmen die NIS2-Anforderungen um

Eine strategische Herangehensweise ist daher essenziell, um die NIS2-Vorgaben umzusetzen und Haftungsrisiken für die Geschäftsführung zu minimieren.

Projektteam aufstellen:
Ernennen Sie eine Art Taskforce, die die Einhaltung der NIS2 überwacht. Idealerweise besteht sie aus IT-Experten, Risikomanagern und Compliance-Verantwortlichen.
Gap-Analyse durchführen:
Identifizieren Sie Lücken zwischen dem Ist-Stand Ihrer Cybersicherheitsmaßnahmen und den NIS2-Vorgaben. Dies umfasst sowohl technische Systeme als auch organisatorische Prozesse.
Risikomanagementsystem etablieren:
Integrieren Sie ein umfassendes System zur Risikoanalyse und Business-Impact-Bewertung. Es sollte alle relevanten Bedrohungsszenarien berücksichtigen – von Cyberangriffen bis zu Naturkatastrophen.
Notfallpläne und Übungen:
Erstellen Sie detaillierte Business-Continuity-Pläne und testen Sie diese regelmäßig in Übungen, um die Reaktionsfähigkeit zu verbessern.
Lieferkettensicherheit sicherstellen:
Überprüfen Sie Verträge mit Drittanbietern und implementieren Sie Standards, die auch deren Sicherheitsmaßnahmen abdecken.

Warum spezialisierte Softwarelösungen der Schlüssel sind

Die Umsetzung der NIS2-Richtlinie ohne moderne Software ist kaum denkbar. Spezialisierte Tools machen es möglich, alle relevanten Prozesse – von der Risikoanalyse über die Dokumentation bis zur Berichterstattung – zentral und effizient zu verwalten. So können Unternehmen alle NIS2-Anforderungen strukturiert abarbeiten und schließlich erfüllen, ohne sich in manuellen Prozessen zu verlieren.

Ein weiterer Pluspunkt ist die Automatisierung: Zeitgemäße GRC-Tools dokumentieren alle Änderungen automatisch, erstellen Berichte auf Knopfdruck und bieten Schnittstellen zu anderen IT-Systemen. Neben der Erfüllung rechtlicher Anforderungen profitieren Unternehmen auch selbst von der Umsetzung. Sie sind besser vor Gefahren geschützt, können Sicherheitsthemen besser nachvollziehen und entlasten die Verantwortlichen im Alltag. Besonders für mittelständische Unternehmen, die oft keine eigenen IT-Abteilungen haben, bietet eine spezialisierte Software eine kosteneffiziente und skalierbare Lösung, um die NIS2-Anforderungen zu bewältigen.

Sicherheit und Resilienz mit System

Indem Unternehmen das Thema Cybersicherheit systematisch angehen, minimieren sie Risiken, sichern ihre Geschäftsprozesse und stärken das Vertrauen ihrer Kunden und Partner. Doch natürlich stellt die NIS2-Richtlinie viele Unternehmen vor die Herausforderung, ihre Cybersicherheitsstrategie grundlegend zu überdenken. Wer die Anforderungen nicht erfüllt, riskiert nicht nur hohe Strafen, sondern auch Risiken der persönlichen Haftung für die Geschäftsführung. Die Investition in eine spezialisierte Software-Lösung zur Umsetzung der NIS2-Anforderungen ist daher nicht nur eine Frage der Compliance, sondern auch eine strategische Entscheidung für eine sichere und resiliente Zukunft.

Sascha Kreutziger, Leiter Business Development bei HiScout, HiScout GRC-Software für Informationssicherheit, Datenschutz und BCM

[1] https://www.bka.de/DE/AktuelleInformationen/StatistikenLagebilder/Lagebilder/Cybercrime/2023/CC_2023.html

265 Artikel zu „NIS2“

News | IT-Security | Kommunikation | Services | Tipps

Fünf Tipps, wie Sie Ihre E-Mail-Security NIS2-compliant machen

31. Dezember 2024

E-Mail ist der wichtigste Kommunikationskanal in Unternehmen und gleichzeitig der beliebteste Angriffsvektor für Cyberkriminelle. Daher spielt E-Mail-Security eine zentrale Rolle für die Cybersicherheit. Mit der neuen NIS2-Richtlinie wachsen die Mindestanforderungen an Risikomanagement und Schutzmaßnahmen. Was müssen Unternehmen tun, um ihre E-Mail-Landschaft NIS2-compliant zu machen? Mit der NIS2-Richtlinie will die EU die Cybersicherheit wichtiger…