Sicherheit

NIS2: Die Zeit drängt!

Was die EU-Richtlinie für deutsche Unternehmen bedeutet

28.07.2023 | Kaum ein Tag vergeht, an dem nicht über Datenlecks, Hackerangriffe und Sicherheitsvorfälle berichtet wird. Cybercrime hat sich in den vergangenen Jahren zu einem überaus lukrativen Wirtschaftszweig entwickelt, der erschreckend gut organisiert ist und Privatpersonen, Unternehmen und Behörden gleichermaßen bedroht.

KI-Technologien könnten Sicherheitsforschern zufolge die Lage zukünftig noch weiter verschärfen. Der finanzielle Schaden, den die deutsche Wirtschaft durch Cyberkriminalität erleidet, beläuft sich laut Bitkom jedes Jahr auf mehr als 200 Milliarden Euro.

Zeit, zu handeln!

Angesichts der zunehmenden Bedrohungen durch Cyberangriffe ist die Notwendigkeit von Sicherheitsmaßnahmen in der digitalen Welt dringender denn je.

Mehr Cybersecurity per Gesetz

Mit der Network Information Security Directive (NIS2) reagiert die EU auf die akute Bedrohungslage im digitalen Raum und verschärft die Anforderungen an Cybersicherheit auf EU-Ebene. Ziel ist es, die IT-Security-Standards Kritischer Infrastrukturen (KRITIS) im europäischen Raum zu vereinheitlichen und zu verbessern, indem deutlich mehr Sektoren und Organisationen eingeschlossen werden als bei NIS1. Denn immer häufiger rücken systemrelevante Bereiche des öffentlichen Lebens ins Visier der Kriminellen: Wie die Security-Forscher von Check Point Research ermittelten, erfolgten 2022 die meisten Angriffe auf Bildungs-, Forschung- und Regierungseinrichtungen sowie auf das Gesundheitswesen.

Erst Anfang des Jahres sahen sich zahlreiche Einrichtungen der kritischen Infrastruktur in Deutschland durch vermehrte Cyberangriffe bedroht – neben den Websites mehrerer Flughäfen waren unter anderem auch die Landespolizei Baden-Württemberg oder die Internetpräsenz des Deutschen Bundestages betroffen.

Bereits mit der Einführung der NIS-1-Richtlinie 2016 reagierte die Europäische Kommission auf die zunehmende Bedrohung durch Cyberkriminalität und verpflichtete KRITIS-Betreiber innerhalb der EU zur Implementierung angemessener Sicherheitsmaßnahmen. Doch wie sich gezeigt hat, waren die Vorgaben dieser Richtlinie nicht ausreichend. Weder sah NIS1 eine einheitliche Definition von KRITIS-Einrichtungen in den Mitgliedsstaaten vor, noch wurden die Auflagen überall gleichermaßen umgesetzt.

Die neue, erweiterte EU-Richtlinie NIS2 (EU 2022/2555) ist nun seit dem Frühjahr 2023 in Kraft und muss bis Oktober 2024 von den einzelnen Ländern in nationales Recht überführt werden. In Deutschland liegt das Gesetz zur Umsetzung von NIS2 – das NIS2UmsuCG – als zweiter Referentenentwurf vor. Die darin enthaltenen Änderungen hinsichtlich der Anforderungen an die Cybersecurity betreffen deutschlandweit etwa 30.000 Unternehmen.

Das ändert sich mit NIS2

Die neue EU-Richtlinie Netzwerk- und Informationssysteme 2 (NIS2) schließt deutlich mehr Unternehmen und Einrichtungen ein als noch ihr Vorgänger NIS1. Sie ergänzt die bisherigen "Sektoren mit hoher Kritikalität", wie etwa Gesundheitseinrichtungen, Energieversorger, Banken oder Cloud-Anbieter durch "Sonstige kritische Sektoren". Letztere umfassen zum Beispiel Post- und Kurierdienste, die Abfallwirtschaft, Lebensmittelproduzenten oder Forschungseinrichtungen. Für sie gelten zwar weniger strenge Vorschriften als für diejenigen mit hoher Kritikalität, doch müssen auch sie zukünftig die Einhaltung von NIS2 gewährleisten.

Zudem wird der Geltungsbereich der Richtlinie auf als "wichtig" eingestufte Unternehmen erweitert, die mindestens 50 Mitarbeitende beschäftigen und einen Jahresumsatz von mehr als 10 Millionen Euro erwirtschaften. Somit betrifft NIS2 auch kleine und mittelständische Unternehmen.

Ebenfalls neu ist die Regelung, dass zukünftig Zulieferer der von NIS2 betroffenen Einrichtungen die darin enthaltenen Anforderungen erfüllen müssen. Da die meisten Unternehmen in irgendeiner Form Teil einer Lieferkette sind, wird erwartet, dass kaum eines nicht von NIS2 betroffen sein wird.

Neben der Erweiterung des Adressatenkreis werden mit NIS2 außerdem die Anforderungen an die Sicherheit der betroffenen Unternehmen konkretisiert. Ziel ist es, die Resilienz kritischer Infrastrukturen und Dienste zu verbessern, indem strengere Vorgaben hinsichtlich Risikomanagement, Meldepflichten und Schulungsmaßnahmen durchgesetzt werden.

Herausforderungen und Chancen

Erhöhte Sicherheitsanforderungen: NIS2 legt für einen deutlich erweiterten Adressatenkreis höhere Sicherheitsanforderungen fest. Dies könnte zunächst zu zusätzlichen Kosten oder Anpassungsschwierigkeiten führen. Allerdings zwingt dies Unternehmen auch dazu, ihre Sicherheitsprozesse zu verbessern, um sich gegen Cyberbedrohungen besser zu wappnen.

Fachkräftemangel: Mit den gestiegenen Sicherheitsanforderungen werden gut ausgebildete IT-Sicherheitsexperten immer gefragter. Deutsche Unternehmen könnten vor der Herausforderung stehen, geeignete Fachkräfte zu finden und zu binden. Hier liegt auch die Chance für Bildungseinrichtungen und Unternehmen, in die Ausbildung von IT-Sicherheitsexperten zu investieren, um die wachsende Nachfrage zu bedienen und gleichzeitig ihre eigenen Sicherheitsmaßnahmen zu stärken.

Internationale Zusammenarbeit: NIS-2 erfordert auch eine verstärkte internationale Zusammenarbeit im Bereich der Cybersicherheit. Dies könnte zu einer erhöhten Komplexität führen, bietet jedoch auch die Möglichkeit, von den Erfahrungen und bewährten Praktiken anderer Länder zu lernen und Synergieeffekte zu nutzen.

Innovationsanreize: Unternehmen, die frühzeitig in fortschrittliche Sicherheitstechnologien und -prozesse investieren, könnten im Zuge von NIS2 das Vertrauen der Kunden stärken und Wettbewerbsvorteile gegenüber Unternehmen gewinnen, die sich nur zögerlich an die neuen Sicherheitsrichtlinien anpassen.

Die Uhr läuft

Die Einführung von NIS2 stellt deutsche Unternehmen zweifellos vor Herausforderungen im Bereich der Cybersicherheit. Die Richtlinie erfordert Anpassungen, Investitionen und eine erhöhte Sensibilisierung für die Bedeutung von IT-Sicherheit. Gleichzeitig birgt sie die Chance, die Sicherheitsinfrastrukturen zu verbessern und sich effektiv gegen die wachsende Bedrohungslage zu schützen.

Bis zur Überführung der NIS-2-Richtlinie in deutsches Recht sind es noch ein paar Monate, trotzdem sollten Unternehmen bereits jetzt handeln, um die Anforderungen erfüllen zu können – auch dann, wenn sie auf den ersten Blick nicht zu den betroffenen Einrichtungen zu zählen scheinen. Denn durch die Ausweitung des Adressatenkreises der Richtlinie Netzwerk- und Informationssysteme 2 zählen auch viele Unternehmen zu den kritischen Sektoren, die sich dessen (noch) nicht bewusst sind.

Bei Nichteinhaltung drohen Strafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes. Zudem können Geschäftsführer für die Umsetzung der Sicherheitsmaßnahmen in ihrer Einrichtung in die persönliche Haftung genommen werden.

Verlieren Sie also keine Zeit, sondern handeln Sie jetzt! Bei der Prüfung Ihres Security-Reifegrads sowie der Implementierung notwendiger Maßnahmen unterstützen Sie die Expertinnen und Experten der LEITWERK AG jederzeit gerne.

Kontakt

Anrede *

Vorname *

Nachname *

Ihre E-Mail-Adresse *

Telefon *

Unternehmen

Abteilung

Betreff *

Kommentar *

Technischer Notfall

Ich habe die Datenschutzbestimmungen zur Kenntnis genommen und die AGB gelesen und bin mit ihnen einverstanden. *