Noch bis Oktober 2024 haben betroffene Unternehmen Zeit, die Aktualisierung der EU NIS-Richtlinie, NIS-2, umzusetzen. Die EU reagiert damit auf den Anstieg der Cyber-Bedrohungen, verschärft die Anforderungen an IT-Systeme und deren Sicherheit und hat den Geltungsbereich deutlich erweitert. Für Unternehmen stellt es jedoch eine durchaus komplexe Aufgabe dar, die neuen Anforderungen umsetzen. Hier kann es sinnvoll sein, sich von einem externen Partner unterstützen zu lassen.
Die europäische NIS-2-Richtlinie, die Aktualisierung der NIS-Richtlinie (Network and Information Systems), ist bereits im Januar 2023 in Kraft getreten. Damit verfolgt die EU das Ziel, ein durchgängig hohes Sicherheitsniveau von Netz- und Informationssystemen und eine schnelle Reaktion auf Sicherheitsvorfälle zu gewährleisten. Die NIS-2 ist insofern folgerichtige Reaktion auf die steigende Bedrohungslage: Cyber-Angriffe werden zahlreicher und die Methoden stetig raffinierter und besser ausgefeilt.
In Deutschland ist fast jedes Unternehmen bereits mindestens einmal von Cyber-Kriminalität betroffen gewesen: 84 Prozent aller Unternehmen wurden laut Bitkom Research 2022 erwiesenermaßen Opfer einer Cyber-Attacke, weitere neun Prozent gehen von einem Angriff aus.
Ein klassisches Einfallstor bleibt der Emailverkehr: Zwei Drittel aller eingehenden Spam-Mails waren Cyber-Angriffe, durch deren Öffnen die besagte Schadsoftware auf das Endgerät des Nutzers geschleust wird. Die größte Bedrohung stellen hierbei Ransomware-Angriffe dar: Im Rahmen einer „digitalen Erpressung“ infiltrieren die Angreifer Systeme tiefgreifend und verschlüsseln Daten um zu deren Entschlüsselung ein Lösegeld zu verlangen.
Zudem zeigt sich laut BSI, dass Cyber-kriminelle Angreifer zunehmend den „Weg des geringsten Widerstands“ gehen und Opfer auswählen, die ihnen leicht angreifbar scheinen. Daher sind vor allem kleine und mittelständische Betriebe, Landes- und Kommunalbehörden, wissenschaftliche Einrichtungen und Schulen sowie Hochschulen in den Fokus von Ransomware-Angriffen geraten. Bemühungen und Investitionen für die Cyber-Resilienz werden in vielen KMU nicht umgesetzt. Zum Beispiel installieren nur 62 Prozent der Kleinstunternehmen regelmäßig Sicherheits-Updates.
Zahlreiche Unternehmen investieren deswegen verstärkt in Sicherheitsmaßnahmen. Mit der NIS-2-Richtlinie will die EU die Unternehmen daher im Kampf gegen Cyber-Angriffe unterstützen. Neuerungen sind vor allem die Erweiterung des Anwendungsbereichs, erhöhte Anforderungen an die Maßnahmen und verschärfte Meldepflichten bzw. Strafen. Damit sollen das Risiko von Cyber-Angriffen verringert und Unternehmen besser zum Umgang mit digitalen Bedrohungen sensibilisiert werden.
Anwendungsbereich und Sicherheitsmaßnahmen
Während die NIS-Richtlinie hauptsächlich auf kritische Infrastrukturen abzielte, deckt die NIS-2-Richtlinie eine breitere Palette von Sektoren ab. Ihr Anwendungsbereich unterteilt sich nun in „wesentliche Unternehmen“ und „wichtige Unternehmen“. Wesentliche Einrichtungen umfassen Sektoren wie Energie, Verkehr, Banken- und Finanzwesen, Gesundheit, Wasserversorgung, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt. Wichtige Einrichtungen umfassen Post- und Kurierdienste, Abfallwirtschaft, chemische Erzeugnisse, Lebensmittel, Hersteller von Medizintechnik, Elektronik, Optik, Maschinen sowie Kraftfahrzeugen, digitale Anbieter und Forschungseinrichtungen.
Die genaue Zuordnung erfolgt nach der Unternehmensgröße sowie des Tätigkeitsbereichs: Eine Einrichtung zählt dann als wesentlich, wenn sie in einem Sektor mit hoher Kritikalität tätig ist und mehr als 250 Beschäftigte oder mehr als 50 Millionen Euro Umsatz hat. Zu den wichtigen Einrichtungen zählen mittlere Unternehmen in Sektoren hoher Kritikalität sowie große und mittlere Unternehmen in den übrigen Sektoren.
Damit fallen nicht nur Betreiber kritischer Infrastrukturen, das heißt Einrichtungen, Anlagen und Systeme, deren Funktionsfähigkeit wichtig für die Gesellschaft, die Sicherheit des Landes und der Wirtschaft ist, unter die Richtlinie. Betroffen sind nun auch Anbieter digitaler Dienste wie DNS, Cloud Computing, Rechenzentren, Content Delivery, Managed IT, Managed Security und Trust Services, Online-Suchmaschinen und Social-Networking-Plattformen.
Auch die Anforderungen an Cyber-Sicherheitsmaßnahmen steigen durch NIS-2. Die Richtlinie legt verbindliche Vorgaben für technische und organisatorische Maßnahmen fest, um ein hohes Sicherheitsniveau von Netz- und Informationssystemen zu gewährleisten: Betroffene Unternehmen müssen geeignete Sicherheitsstandards, Risikomanagementverfahren und Vorfalls-Reaktionspläne implementieren.
Dies umfasst unter anderem die Einführung von Sicherheitsmaßnahmen wie Verschlüsselung, Zugangskontrollen und regelmäßige Sicherheitsaudits sowie die zeitnahe Meldung von Sicherheitsvorfällen an die zuständigen Behörden. Die EU schärft damit Verpflichtungen im Bereich der Cyber-Sicherheit und Informationssicherheit nach und räumt die zuvor bestehenden Unklarheiten der vorherigen Richtlinie aus.
Unternehmen und Organisationen, die unter die NIS-2-Richtlinie fallen, sind dadurch verpflichtet, erhebliche Sicherheitsvorfälle unverzüglich (innerhalb von 24 Stunden nach Kenntnisnahme) den nationalen Behörden zu melden. Innerhalb von 72 Stunden ist ein ausführlicher Bericht über den Vorfall, sowie nach einem Monat ein umfassender Fortschritts- und Abschlussbericht an die Behörde zu übermitteln.
Stärkere Zusammenarbeit und Umsetzung der Richtlinie auf nationaler Ebene
Die NIS-2-Richtlinie fördert zudem die Zusammenarbeit zwischen den Mitgliedstaaten. Dafür sollen Mechanismen für den Informationsaustausch, die Koordination von Sicherheitsmaßnahmen und die Unterstützung bei grenzüberschreitenden Sicherheitsvorfällen eingerichtet werden. Jeder EU-Mitgliedstaat ist dafür verantwortlich, die Anforderungen der Richtlinie in sein nationales Recht zu überführen, um eine konsistente Anwendung der Richtlinie zu ermöglichen.
Zunächst müssen die nationalen Gesetzgeber die Richtlinie analysieren und die erforderlichen Anpassungen in ihre nationalen Rechtsvorschriften vornehmen, etwa durch neue Gesetze oder die Aktualisierung bestehender. Bis 17. Oktober 2024 müssen die neuen Vorgaben auf nationaler Ebene umgesetzt sein. Durch die stärkere Zusammenarbeit der Mitgliedstaaten will die EU die Bedrohungen besser bekämpfen können und die Widerstandsfähigkeit ihrer Netzwerke und Informationssysteme stärken.
Bei der Missachtung oder Nichteinhaltung der NIS-2-Anforderungen drohen Unternehmen höhere Bußgelder und Strafen: Für wesentliche Einrichtungen können Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes verhängt werden. Für wichtige Einrichtungen beträgt das Bußgeld bis zu sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.
Herausforderungen für Unternehmen
Nicht nur die Meldepflicht mit ihren präzisen Vorgaben über den Ablauf, Inhalt und Zeitrahmen stellt für Unternehmen hinsichtlich der Umsetzung eine Herausforderung dar. Die größte Umstellung bringen vielmehr die zusätzlichen Sicherheitsanforderungen durch NIS-2 mit sich: Sie müssen „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen [zu] ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme […] zu beherrschen und die Auswirkungen von Sicherheitsvorfällen […] zu verhindern oder möglichst gering zu halten.”
Damit schreibt NIS-2 Firmen vor, ihre Sicherheitsmaßnahmen an den Stand der Technik sowie an die individuelle Gefährdungslage anzupassen. Die Schutzmaßnahmen müssen zudem einem gefahrenübergreifenden Ansatz folgen: Es gilt also nicht nur Cyber-Angriffe zu berücksichtigen, sondern alle Arten von Vorfällen, die die eigene IT-Umgebung gefährden können.
Vor allem die fristgerechte Implementierung stellt Unternehmen vor große Herausforderungen. Laut Cisco Cybersecurity Readiness Index 2023 haben bislang lediglich elf Prozent der Unternehmen eine bestmögliche Vorbereitung auf Cyber-Angriffe implementiert.
Unternehmen kämpfen u.a. mit dem Fachkräftemangel in der IT-Abteilung; laut Digital Office Index 2022 der Bitkom fehlt es jedem vierten Unternehmen am nötigen Personal. Zudem haben Unternehmen mit fehlender Verfügbarkeit von aktueller Sicherheitstechnik zu kämpfen: Hardwarekomponenten haben aktuell eine Lieferzeit von bis zu zwölf Monaten.
Externen Partner hinzuziehen
Mit Blick auf die Gesamtsituation ist es unabdingbar, so früh wie möglich mit der Umsetzung der NIS-2-Anforderungen zu beginnen. Unternehmen müssen zunächst prüfen, ob ihr Betrieb überhaupt von der Richtlinie betroffen ist: Ist man in den genannten Sektoren tätig, erreicht man die Schwellenwerte, dient man zur Ausführung einer kritischen Tätigkeit oder ist man Teil einer durch KRITIS betroffenen Lieferkette?
Ein externer Partner kann bei der Feststellung, ob NIS-2 für das jeweilige Unternehmen gilt und anzuwenden ist, unterstützen und dann helfen, die relevanten Anforderungen umzusetzen. Notwendig sind zum Beispiel die Erstellung und Implementierung von Risikoanalyse- und Sicherheitskonzepten für Informationssysteme, die Bewertung der Wirksamkeit der bereits bestehenden Risikomanagement-Maßnahmen und ein Konzept für die Bewältigung von Sicherheitsvorfällen. Backup- und Krisenmanagement müssen implementiert und die Meldefristen bekannt sein. Zudem müssen die Sicherheit der Lieferkette gewährleistet sein und regelmäßige Cybersicherheits-Schulungen stattfinden.
SRC verfügt über langjährige Erfahrung in Beratung und Prüfung der durch KRITIS und NIS vorgegebenen Anforderungen. Sie kann Unterstützung bei der korrekten Interpretation, Umsetzung sowie eine fortlaufende Umsetzungsprüfung von NIS-2 leisten. Bei Anpassungen und Aktualisierungen der Richtlinie sind Unternehmen so stets auf dem aktuellen Stand. Durch die Umsetzung von NIS-2 können Unternehmen ihre IT technisch sowie organisatorisch stärken. Die Standardisierung von Sicherheitsmaßnahmen kann die Wahrscheinlichkeit eines erfolgreichen Cyber-Angriffs reduzieren.
Die rechtzeitige Umsetzung der NIS-2-Richtlinie stellt für Unternehmen eine Herausforderung dar: Möglicherweise sind sie durch den erweiterten Geltungsbereich neu betroffen und für sie gelten nun verschärfte Anforderungen und Pflichten. Mit einem externen Partner gewinnen Unternehmen Klarheit, wo sie stehen und welche Maßnahmen ergriffen werden müssen, um ihr Sicherheitsniveau in der Breite angemessen zu erhöhen und die Compliance hinsichtlich der neuen EU-Richtlinie sicher zu stellen.
Florian Reichelt, SRC Security Research & Consulting GmbH