Ab Oktober 2024 muss die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit 2 (NIS2) in nationales Recht umgesetzt sein. Die Direktive zielt darauf ab, das Cybersicherheitsniveau von KRITIS-Unternehmen (kritische Infrastrukturen) in Europa zu erhöhen und über die Länder hinweg zu harmonisieren. Neu ist: Der Bezugsrahmen von NIS2 ist deutlich weiter gefasst, sodass nun mehr Unternehmen die Mindestanforderungen erfüllen müssen. Führungskräfte betroffener Firmen und Organisationen sollten sich jetzt informieren, sich mit der hauseigenen IT-Sicherheitsstrategie auseinandersetzen und – wo nötig – nachjustieren.
Erhöhung des Drucks zur Anhebung des Cyber-Sicherheitsniveaus
Um die Sicherheit kritischer Infrastrukturen (KRITIS) europaweit zu gewährleisten und zu vereinheitlichen, gibt es seit 2016 die Richtlinie zur Netz- und Informationssicherheit (NIS). Die am 16. Januar 2023 in Kraft getretene aktualisierte und erweiterte Fassung, NIS2, soll nun unter anderem den Druck noch einmal erhöhen und damit den Anstoß geben, die IT-Sicherheitsmaßnahmen europäischer Firmen, Organisationen und Institutionen flächendeckend auf ein einheitliches Niveau zu heben. Immerhin beweisen Cybersecurity-Vorfälle wie der Supply-Chain-Angriff auf den texanischen Software-Dienstleister SolarWinds im Jahr 2020, dass die Infiltration einer einzelnen Schwachstelle ausreicht, um global massiven Schaden anzurichten.
Noch gibt es zwischen den verschiedenen EU-Ländern deutliche Unterschiede bei der konkreten Implementierung von Cyber-Schutzmaßnahmen. Deutschland ist vergleichsweise gut aufgestellt und arbeitet bereits länger an einer Neuauflage des nationalen IT-Sicherheitsgesetzes, um es den sich stetig weiterentwickelnden Bedrohungsszenarien anzupassen. Die Version 3.0 soll Ende dieses Jahres als Gesetzesentwurf vorliegen und wird dann auch an den erweiterten Geltungsbereich von NIS2 angepasst sein. Andere EU-Nationen hinken bei diesem Prozess noch etwas hinterher.
Was hat sich geändert?
Die größte Änderung gegenüber der ursprünglichen Regelung: Mit NIS2 wird der Kreis der Unternehmen, die zu KRITIS zählen, deutlich erweitert. Die Anzahl der Sektoren, deren Unternehmen die Mindestanforderungen erfüllen müssen, hat sich von elf auf 18 erhöht. Zudem nimmt NIS2 auch kleinere Firmen ab 50 Mitarbeitern und zehn Millionen Euro Umsatz in den Fokus. Einige Betreiber sollen zudem unabhängig von ihrer Größe reguliert werden, wie etwa Teile der digitalen Infrastruktur und der öffentlichen Verwaltung.
Neu ist bei NIS2 ist auch die Entwicklung einer Schwachstellendatenbank auf EU-Ebene. Diese wird Schwachstellen, Informationen zu betroffenen Produkten und Diensten sowie Patches und Maßnahmen zur Risikominimierung enthalten. Daneben steigen die Anforderungen an die IT-Sicherheit selbst mit NIS2 an. Unter anderem müssen Unternehmen und Organisationen die Einhaltung der Cybersecurity-Richtlinien nun auch über ihre Lieferketten hinweg sicherstellen.
Bei Nichtbeachtung der Regelungen drohen Unternehmen höhere Strafen als zuvor. Vorgesehen sind – je nach Sektor – Strafen von mindestens sieben oder zehn Millionen Euro.
Was kommt nun auf Unternehmen zu?
Das klingt erst einmal nach vielen Veränderungen. Für Unternehmen, die (neu) von NIS2 betroffen sind, bedeutet das konkret zwei Dinge. Erstens: Sie müssen ihre nationale Cybersecurity-Behörde – in Deutschland das BSI (Bundesamt für Sicherheit und Informationstechnik) – unverzüglich über signifikante Störungen und Vorfälle unterrichten. Gegebenenfalls greift diese Informationsverpflichtung auch gegenüber den eigenen Kunden. Zweitens: Sie müssen Sicherheitsmaßnahmen nach „Stand der Technik“ implementieren.
Was „Stand der Technik“ genau bedeutet, ist dabei nicht ganz konkret definiert. Aller Voraussicht nach werden in der nationalen Übersetzung von NIS2 jedoch Vorgaben zur Einführung eines modernen Informationsmanagement-Systems (IMS) enthalten sein. Auch die Einführung von Best Practices, wie zum Beispiel einer ISO-Norm 27001 oder IT-Grundschutz, helfen dabei, Risiken im IT-Sicherheitsbereich zu verstehen und zu minimieren. Unterstützung können sich Unternehmen bei Managed Security Service Providern (MSSP) holen – externen Dienstleistern wie indevis, die Firmen bei der Realisierung von IT-Sicherheitsmaßnahmen beraten und Security-Systeme gegebenenfalls auch implementieren und betreiben.
IT-Sicherheit jetzt auf den Prüfstand stellen
Auch wenn Deutschland durch sein bereits existierendes IT-Sicherheitsgesetz im europäischen Ländervergleich gut dasteht, sollten Führungskräfte jetzt aktiv werden. Denn die Einführung von neuen Maßnahmen, etwa eines IMS, braucht Zeit, Investitionen und Budget. Verantwortliche sollten die neue Richtlinie also zum Anlass nehmen, sich jetzt mit der hauseigenen IT-Sicherheitsstrategie auseinanderzusetzen. Ähnlich wie bei der Datenschutzgrundverordnung 2018 gilt es, rechtzeitig den Änderungsprozess anzustoßen. Denn nur wenn alle mitziehen, gelingt es, den europäischen Raum wirksam gegen Cyberangriffe zu schützen und den wirtschaftlichen Erfolg langfristig sicherzustellen.