Die überarbeitete NIS2-Richtlinie zur Netz- und Informationssicherheit weitet den Kreis der betroffenen Unternehmen deutlich aus und bezieht auch Zulieferer und Dienstleister für kritische Sektoren mit ein. Bei Nichteinhaltung sind nicht nur die Cybersicherheit des eigenen Unternehmens und die Reputation bei Partnern und Kunden in Gefahr – es drohen auch empfindliche Geldbußen.
Die digitale Transformation bietet Unternehmen jeder Größe enorme Chancen, birgt jedoch auch gewisse Risiken, da Cyberkriminalität und Sicherheitsbedrohungen beständig zunehmen. Die EU-Richtlinie zur Netz- und Informationssystemsicherheit (NIS) soll hier greifen und die allgemeine Cybersicherheit in der EU verbessern, indem sie Anforderungen an Unternehmen in kritischen Sektoren stellt. Die Richtlinie verpflichtet diese Unternehmen, geeignete Sicherheitsmaßnahmen zu ergreifen, um Netz- und Informationssysteme vor Cyberangriffen zu schützen und die Widerstandsfähigkeit dieser Systeme gegenüber Störungen zu erhöhen.
Erstmals im Jahr 2016 verabschiedet, wurde die Richtlinie 2020 überarbeitet und ist nun – deutlich ausgeweitet – als EU NIS-2-Richtlinie zum 16.1.2023 in Kraft getreten. Sie muss auch in Deutschland spätestens zum Oktober 2024 in nationales Recht umgesetzt werden. Aktuell gehen Fachleute davon aus, dass dies mit dem anstehenden IT-Sicherheitsgesetz 3.0 noch in diesem Jahr erfolgen wird. [1] Im Vergleich zum derzeit aktuellen deutschen IT-Sicherheitsgesetz 2.0 fordert die neue Version nicht wesentlich mehr. Wer heute schon das IT-Sicherheitsgesetz 2.0 erfüllen muss, für den ändert sich nicht viel.
Neu ist eine deutliche Ausweitung der betroffenen Unternehmen und Branchen eingeteilt in nun 18 Sektoren von Energieversorgung, Wasserversorgung und Abfallwirtschaft über Transport, Digitalwirtschaft, Finanzwesen und Gesundheit bis hin zu Lebensmittelversorgung, Chemie, Post und Kurierdiensten sowie weiten Teilen der fertigenden Industrie. Doch nicht nur Unternehmen in kritischen Sektoren sind davon betroffen, sondern aktuell wird geprüft, auch Zulieferer und Dienstleister, die diese Sektoren unterstützen, einzubeziehen. Die Einbeziehung dieser Akteure soll dazu beitragen, die gesamte Lieferkette und das Ökosystem der betroffenen Sektoren zu stärken und insgesamt ein höheres Maß an Cybersicherheit zu erreichen.
Im Prinzip betrifft NIS2 demnach nahezu alle Unternehmen mit einem Jahresumsatz von mehr als zehn Millionen Euro und mehr als 50 Mitarbeitenden. Allerdings sollen Unternehmen aus einigen Sektoren wie der Digitalwirtschaft und öffentlichen Verwaltung größenunabhängig reguliert werden. [2]
Durch die Implementierung der NIS2 werden die betroffenen Unternehmen dazu angehalten, ihre IT-Infrastrukturen und Systeme regelmäßig zu überprüfen, um Sicherheitslücken zu identifizieren. Außerdem müssen sie Notfallpläne entwickeln, um im Falle eines Cyberangriffs schnell reagieren und den Schaden begrenzen zu können. Vorfälle und Störungen, die erhebliche Auswirkungen auf die Netz- und Informationssysteme haben könnten, müssen darüber hinaus an zuständige nationale Behörden gemeldet werden. So sollen Cyberangriffe und Sicherheitslücken schnell erkannt und behoben werden können, um eine Beeinträchtigung der kritischen Infrastrukturen und Dienstleistungen zu verhindern. Indem Unternehmen diesen Anforderungen nachkommen, stärken sie nicht nur ihre eigene Cybersicherheit, sondern auch das Vertrauen ihrer Kunden, Partner und Investoren.
Die Richtlinie stellt klare Anforderungen an die Umsetzung von Cybersicherheitsmaßnahmen. Die Geschäftsführenden betroffener Unternehmen müssen die NIS2-Richtlinie nicht nur vollständig verstehen, sondern auch angemessene Ressourcen bereitstellen, um sie erfolgreich umzusetzen. Sie sind dafür verantwortlich, dass ihr Unternehmen die Anforderungen erfüllt und alle notwendigen Schritte unternimmt, um die Sicherheit von Netz- und Informationssystemen zu gewährleisten. Führungskräfte, die vorsätzlich oder fahrlässig gegen die Anforderungen der Richtlinie verstoßen, müssen mit Bußgeldern in empfindlicher Höhe rechnen: bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes. Mit NIS2 werden zudem auch verschärfte Kontrollmaßnahmen umgesetzt.
Umso bedeutsamer ist es, die NIS2-Richtlinie ernst zu nehmen. Neben einer Schulung und Sensibilisierung der Mitarbeitenden in Bezug auf Cybersicherheit, kann auch die Hilfe externer Experten sinnvoll sein, um die IT-Infrastruktur und Sicherheitsprozesse kontinuierlich zu überwachen, zu überprüfen und zu aktualisieren.
Hier sollte besonders auf die entsprechende Qualifikation externer Dienstleister geachtet werden. Für den Mittelstand stehen hier vor allem sehr gute Kenntnisse in Microsoft-Technologien für Security im Fokus. Als Nachweis können dabei die einschlägigen Microsoft-Auszeichnungen wie beispielsweise für die Advanced Specialization Threat Protection oder die Einstufung als Verified MXDR Solution Partner dienen. Auch eine Mitgliedschaft in der Microsoft Intelligent Security Association – kurz MISA – ist ein verlässlicher Hinweis auf entsprechendes Security-Know-how. Von besonderem Vorteil für den Mittelstand ist es zudem, wenn der IT-Dienstleister ein eigenes Cyber Defence Operations Center (CDOC) für seine Kunden betreibt. Damit können Mittelständler die notwendigen Kontroll- und Überwachungsmaßnahmen für NIS2 rund um die Uhr in die Hände von Experten legen. Diese können Bedrohungen rasch erkennen, geeignete Gegenmaßnahmen einleiten und über Meldepflichten unterrichten.
Durch eine proaktive Haltung und die frühzeitige Anpassung an die NIS2-Richtlinie kann nicht nur deren Einhaltung sichergestellt, sondern auch das Vertrauen von Kunden, Partnern und Investoren gestärkt werden. Das Unternehmen wird vor potenziellen Cyberangriffen und Sicherheitslücken geschützt und Führungskräfte minimieren das Risiko persönlicher Haftung und möglicher Geldbußen, die im Falle von Verstößen gegen die NIS2-Richtlinie verhängt werden können.
Viktor Neugebauer, Business Development