Was Unternehmen jetzt wissen müssen
Aufgrund der steigenden Bedrohungen und dem vermehrten Aufkommen von IT-Sicherheitsvorfällen hat die Europäische Union im Dezember 2022 die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit veröffentlicht (sog. NIS-2-Richtlinie). Diese trat am 16. Januar 2023 in Kraft und muss bis zum 17. Oktober 2024 von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Ziel der NIS-2-Richtlinie ist es, ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU zu etablieren und die Vorgaben der bisherigen NIS-1-Richtlinie zu verschärfen sowie auf neue Sektoren auszuweiten. Bisher gab es in Deutschland nur für Kritische Infrastrukturen (KRITIS) eine verbindliche Regulatorik. Mit der Umsetzung von NIS-2 werden erstmals große Bereich der freien Wirtschaft reguliert, welche bisher keinem gesetzlichen Handlungsdruck ausgesetzt waren.
Was bedeutet dies für Ihr Unternehmen?
Die EU NIS-2-Richtlinie umfasst 18 bisher nicht berücksichtigte Sektoren der Wirtschaft, welche zu 14 Sektoren in der deutschen Umsetzung zur Direktive (NIS2UmsuCG) zusammengefasst wurden. Diese Sektoren sind weiter untergliedert, was eine detaillierte Evaluierung der Geschäftstätigkeit von Unternehmen obligatorisch macht.
Weitergehend findet sich in den Anlagen zur NIS-2 Direktive eine Aufgliederung in Wesentliche" (besonders Wichtige) und Wichtige" Sektoren. Außerdem nennt die Richtlinie die Merkmale Mitarbeiter, Umsatz und Bilanzsumme als Faktoren zur Bestimmung der Anwendbarkeit von NIS-2.
|
Einteilung |
Sektor nach Anlage |
Anzahl Mitarbeiter |
Umsatz & Bilanzsumme |
|---|---|---|---|
|
Große Unternehmen |
Anlage 1 |
>250 |
EUR 50 Mio. & EUR 43 Mio. |
|
Mittlere Unternehmen |
Anlage 1 und Anlage 2 |
>50 |
EUR 10 Mio. & EUR 10 Mio. |
Bei der Evaluierung ist zu beachten, dass es sich um ein
oder" Kriterium zwischen Mitarbeiteranzahl und Umsatz &
Bilanz handelt. Kleinunternehmen (<50 Mitarbeiter) werden durch
das kommende Gesetz nicht betrachtet. Hierbei ist zu beachten, dass
bei Überschreiten der Grenzen eine direkte Umsetzung notwendig
wird. Grundsätzlich wird empfohlen eine Umsetzung von
Cybersicherheitsmaßnahmen frühzeitig zu
gewährleisten.
In der nachfolgenden Tabelle findet sich eine Übersicht über die Sektoren mit den möglichen Eingliederungen, wenn das Unternehmen als Großes oder mindestens als Mittleres klassifiziert wird. Die Bundesverwaltungen und verschiedene Digitale Infrastruktur (DNS, TLD, Cloud-DL, TSP) haben hierbei eine Sonderstellung, da Sie unabhängig ihrer Größe und aufgrund der Kritikalität direkt unter die Vorgaben der NIS-2 Direktive fallen.
|
NIS-2-Anlage |
Sektor |
Wesentliches Unternehmen |
Wichtiges Unternehmen |
|---|---|---|---|
|
Anlage 1 |
Energie |
G |
M |
|
Anlage 2 |
|
G, M |
Legende: G = Großes Unternehmen; M = Mittleres Unternehmen; U = Unabhängig der Größe
Maßnahmen und Pflichten für betroffene Unternehmen
Unternehmen, die unter die NIS-2-Richtlinie fallen, müssen diverse Maßnahmen und Pflichten umsetzen:
1. Risikomanagement
Unternehmen müssen umfassende Risikomanagementmaßnahmen implementieren, um die Schutzziele Verfügbarkeit", Vertraulichkeit" und Integrität" mit geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen zu schützen; dazu gehören z.B.:
- State-of-the-Art Risikoanalyse: Regelmäßige Bewertung der Risiken, denen die IT-Systeme ausgesetzt sind, unter Berücksichtigung der aktuellen Bedrohungslage.
- Sicherheitsvorfallbewältigung: Implementierung von Protokollen zur schnellen Reaktion und Eindämmung von Sicherheitsvorfällen (z.B. Einrichtung eines umfassenden SIEM – Security Information and Event Management – welches an ein Security Operations Center – SOC – angeschlossen ist, das rund um die Uhr Vorfälle überwacht und darauf reagiert).
- Backup- und Krisenmanagement: Regelmäßige Backups kritischer Daten und Entwicklung von Plänen zur Geschäftskontinuität im Falle eines Cybervorfalls (z.B. Disaster Recovery-und Business Continuity Management Maßnahmen, welche den Betrieb nach einem Angriff schnell wiederherstellen).
- Umfassendes Schwachstellenmanagement, welches bekannte Lücken nach internationalen Standards überwacht und entsprechende Gegenmaßnahmen empfiehlt
2. Supply Chain Management
Unternehmen müssen sicherstellen, dass ihre Lieferanten und Partner ebenfalls angemessene Sicherheitsstandards einhalten; z.B. durch:
- Überprüfung von Drittanbietern: Regelmäßige Sicherheitsüberprüfungen und Audits der IT-Sicherheitspraktiken von Drittanbietern.
- Verträge mit Sicherheitsklauseln: Aufnahme von Sicherheitsanforderungen in Verträge mit Lieferanten und Partnern.
3. Kryptografie und Verschlüsselung
Unternehmen müssen moderne Verschlüsselungstechniken einsetzen, um die Vertraulichkeit und Integrität sensibler Daten zu gewährleisten; dazu gehören z.B.:
- Verschlüsselung sensibler Daten: Nutzung von Verschlüsselung für gespeicherte Daten und während der Datenübertragung.
- Schlüsselmanagement: Sichere Verwaltung und Aufbewahrung von Verschlüsselungsschlüsseln.
4. Multi-Faktor-Authentifizierung (MFA)
Einführung von MFA für den Zugang zu allen Systemen und Daten. Üblicherweise wird in der MFA eine Kombination der vier Faktoren Wissen", Besitz", Inhärenz" und Standort" genutzt. Daraus ergibt sich eine Vielzahl von Möglichkeit zur Implementierung.
5. Meldepflichten
Unternehmen müssen sicherstellen, dass die Verpflichtung der Meldung von Sicherheitsvorfällen an zuständige Behörden innerhalb der Meldefristen eingehalten wird; z.B. durch:
- Einrichtung von Meldeverfahren: Entwicklung eines Meldeprozesses für Sicherheitsvorfälle, der sicherstellt, dass alle relevanten Informationen schnell und effizient weitergegeben werden.
- Regelmäßige Schulungen: Sensibilisierung der Mitarbeiter für die Meldepflichten und Schulung im Umgang mit Sicherheitsvorfällen.
Hierbei muss die Erstmeldung innerhalb von 24 Stunden erfolgen und innerhalb von 72 Stunden müssen weitere Maßnahmen zur Vorfallbehandlung verabschiedet sein.
6. Schulungspflichten für Geschäftsleitungen
Die Geschäftsleitung von Unternehmen muss die genannten Maßnahmen umsetzen bzw. die Umsetzung und Einhaltung überwachen. Dafür müssen die Führungskräfte regelmäßig geschult werden, um auf dem neuesten Stand der Cybersicherheit zu bleiben; z. B. durch:
- Cybersicherheitstraining: Regelmäßige Schulungsprogramme für Führungskräfte, um sicherzustellen, dass sie die neuesten Bedrohungen und Best Practices verstehen.
- Awareness-Kampagnen: Durchführung von Awareness-Kampagnen im gesamten Unternehmen, um eine Sicherheitskultur zu fördern.
Sanktionen bei Verstößen
Bei Verstößen gegen die NIS-2-Richtlinie drohen empfindliche Geldstrafen. Diese Strafen beginnen im niedrigen sechsstelligen Bereich (z.B. für eine fehlende Registrierung beim BSI) und erreichen bis zu 10 Millionen bzw. 2% des Jahresumsatzes bei wesentlichen Einrichtungen sowie 7 Millionen bzw. 1.4% des Jahresumsatzes bei wichtigen Einrichtungen. Somit gibt es in der Informationssicherheit das erste Mal gesetzlich geregelte Sanktionen, welche ein vergleichbares Ausmaß wie im Datenschutz annehmen.
Des Weiteren ist zu beachten, das leitende Angestellte für grobe Pflichtverletzungen, konkret die nicht Einhaltung und Unterstützung der benötigten Risikomaßnahmen nach NIS-2, haftbar gemacht werden können. Die Folgen wären Bußgelder und weitere rechtliche Konsequenzen.
Handlungsempfehlungen
- Prüfen Sie, ob die NIS-2-Richtlinie für Sie und Ihr
Unternehmen relevant ist und von Ihnen umgesetzt werden muss.
Prüfen Sie, ob ihr Unternehmen die Anforderungen der NIS-2-Richtlinie erfüllt. - Implementieren Sie Risikomanagementmaßnahmen, um die geforderten Sicherheitsmaßnahmen umzusetzen und schulen Sie Ihre Mitarbeiter entsprechend.
- Kontaktieren Sie Experten und lassen Sie sich ggf. von spezialisierten IT-Beratern unterstützen, um sicherzustellen, dass Ihr Unternehmen die regulatorischen Anforderungen erfüllt.
Mit unseren Dienstleistungen im Bereich Cyber Security sind wir Ihr zuverlässiger Partner, um regulatorische Anforderungen verlässlich zu erfüllen und Compliance-Risiken proaktiv zu managen.
Wir haben eine NIS-2 Fit-Gap-Analyse entwickelt, der es Unternehmen ermöglicht mit wenig Aufwand die benötigte Evaluierung zu erhalten. Kontaktieren Sie uns, um mehr über unsere Dienstleistungen zu erfahren.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
