Mit der EU-NIS2-Direktive erhöhen sich die Mindestanforderungen an die Cyber-Sicherheit kritischer Infrastrukturen. Davon sind erheblich mehr Unternehmen betroffen als bisher. Was müssen Security-Verantwortliche jetzt wissen und wie bereiten sie sich am besten vor?
Cyber-Angriffe auf kritische Infrastrukturen sind besonders gefährlich. Daher hat die EU bereits 2016 Mindestanforderungen an die Cyber-Sicherheit in der Richtlinie zur Netz- und Informationssicherheit (NIS) definiert. Diese wird jetzt durch eine Neuauflage abgelöst.
Seit 16. Januar 2023 ist die NIS2-Direktive in Kraft – und bis Oktober 2024 haben die EU-Mitgliedsstaaten noch Zeit, sie in nationales Recht zu überführen. In Deutschland erfolgt dies durch das NIS2-Umsetzungsgesetz, das derzeit als zweiter Referentenentwurf vorliegt. Zu erwarten sind Änderungen am IT-Sicherheitsgesetz und der KRITIS-Verordnung. Viele Unternehmen fragen sich jetzt, was NIS2 für sie bedeutet.
Wer ist von NIS2 betroffen?
Der wichtigste Unterschied zur alten Gesetzgebung ist der deutlich erweiterte Wirkungsgrad. Sieben neue KRITIS-Sektoren kommen hinzu, sodass sich die Zahl von elf auf achtzehn erhöht. Während bisher nur große Organisationen aus dem direkten KRITIS-Umfeld betroffen waren, gilt NIS2 auch für privatwirtschaftliche Unternehmen – und zwar schon ab einer Größe von 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz.
Einige Unternehmen fallen unabhängig von ihrer Größe unter die Direktive, weil sie zu den sogenannten „Essential Entities“ zählen, die für das Allgemeinwohl besonders wichtig sind. Neu ist auch, dass betroffene Unternehmen die Cyber-Sicherheit ihrer Zulieferer überprüfen und sicherstellen müssen. Das ist wichtig, denn Lieferketten werden immer komplexer, und schon der Ausfall eines kleinen Bausteins kann heute zu kritischen Engpässen führen. Wie gefährlich Supply-Chain-Angriffe sein können, hat zum Beispiel der Solarwinds-Hack gezeigt. Alles in allem wirkt sich NIS2 also auf eine breite Masse an Unternehmen aus, von denen viele erst auf den zweiten Blick feststellen, dass sie betroffen sind.
Neuerungen durch NIS2
Die neue Direktive erhöht die Mindestanforderungen an die Cyber-Sicherheit und nimmt Geschäftsführer in die Pflicht. Sie haften dafür, dass die vorgeschriebenen Standards eingehalten werden. Falls es zu einem Cyber-Angriff kommt, gelten strenge Meldepflichten ähnlich wie bei der DSGVO. Unternehmen müssen den Vorfall dann innerhalb einer bestimmten Frist beim BSI melden.
Damit will der Gesetzgeber verhindern, dass Betroffene einen Cyber-Angriff vertuschen, um ihre Reputation zu schützen. Außerdem schärft NIS2 die europäische Rechtsprechung und vertieft die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern. So sollen zum Beispiel nationale Computer Emergency Response Teams eingerichtet werden, die grenzübergreifend miteinander kooperieren und Informationen austauschen. Parallel dazu soll eine Schwachstellendatenbank auf EU-Ebene aufgebaut werden.
Die aktuelle ToDo-Liste
NIS2 schreibt technische und organisatorische Security Maßnahmen nach Stand der Technik vor. Dazu zählt zum Beispiel eine Methodik, um Cyber-Risiken einzuschätzen und eine Strategie, um die Service- und Geschäftskontinuität zu sichern. Pflicht sind außerdem Maßnahmen zur Prävention, Detektion und Bewältigung von Cyber-Vorfällen. Im Grunde geht es darum, ein Informationssicherheits-Managementsystem (ISMS) aufzubauen. Dieses definiert Regeln, Prozesse, Methoden, Tools und Verantwortlichkeiten, um die Cyber-Sicherheit im Unternehmen zu steuern und zu kontrollieren.
Eine Orientierungshilfe bietet zum Beispiel der BSI-Grundschutz und die ISO/IEC 27001. Die meisten Unternehmen haben bisher nur Puzzleteile eines ISMS etabliert. Zunächst ist es daher wichtig, Lücken zu identifizieren und diese dann Schritt für Schritt zu schließen. Zahlreiche Rollen müssen besetzt und Policies definiert werden. All das ist meist aufwändiger als gedacht und erfordert Zeit.
Deshalb ist es empfehlenswert, das Thema möglichst bald in Angriff zu nehmen. Ein externer Dienstleister, der Erfahrung in der Einführung und Weiterentwicklung eines ISMS hat, kann dabei mit Rat und Tat unterstützen.
Was passiert, wenn Unternehmen die NIS2-Anforderungen ignorieren?
Ähnlich wie bei der DSGVO verleiht der Gesetzgeber seinen Anforderungen Nachdruck, indem er bei Verstößen hohe Bußgelder verhängt. Strafen und Enforcement Actions werden deutlich ausgeweitet – auf Maximalstrafen von mindestens sieben oder zehn Millionen Euro, je nach Sektor. Um die Einhaltung der NIS2-Anforderungen zu überprüfen, kann das BSI-Audits durchführen oder bei Dritten beauftragen.
Werden Defizite aufgedeckt, erhalten betroffene Unternehmen eine Frist, innerhalb der sie nachbessern müssen. Nicht zuletzt haften Geschäftsführer persönlich, wenn sich bei der forensischen Untersuchung eines Cyber-Vorfalls herausstellt, dass das Unternehmen Security-Vorgaben missachtet hat.
Wer bisher schon dem KRITIS-Bereich zugeordnet war, hat vermutlich vieles, was NIS2 fordert, bereits umgesetzt. Für Unternehmen, die neu dazukommen, fällt der Aufwand höher aus. Daher empfiehlt es sich, möglichst bald zu starten. Auch wenn NIS2 zunächst einmal Arbeit verursacht, lohnt sich die Investition. Denn die Cyber-Sicherheit zu erhöhen, ist angesichts der wachsenden Bedrohungslage unverzichtbar.
In der Praxis haben es Security-Verantwortliche oft schwer, Budget für Security-Maßnahmen freizuschlagen. Daher braucht es den Druck durch gesetzliche Vorgaben. NIS2 hängt das Thema Cyber-Security jetzt ganz oben auf Geschäftsleitungsebene auf und macht dadurch die Bahn frei für Veränderung. Security-Verantwortliche dürften es künftig also leichter haben, CEOs davon zu überzeugen, stärker in Cyber-Sicherheit zu investieren.
Um möglichst schnell und effizient zur NIS2-Compliance zu gelangen, empfiehlt sich die Zusammenarbeit mit einem erfahrenen Managed Security Services Provider. Er kann helfen, die Security-Strategie zu überprüfen, ein ISMS aufzubauen, geeignete Security-Technik auszuwählen und zu betreiben.
Dirk Wocke ist Compliance Manager und Datenschutzbeauftragter bei indevis.