Warum gibt es NIS2? Wer ist betroffen? Welche Maßnahmen müssen bis wann umgesetzt werden?
Die Bedrohungen durch Cyber-Angriffe wie Ransomware steigen immer weiter an. Erst Anfang Oktober 2024 meldete die Schwarz-Gruppe, zu welcher die Supermärkte Lidl und Kaufland gehören, dass sie täglich 350.000 Cyberangriffen ausgesetzt ist. (1)
Um insbesondere Unternehmen und Institutionen dagegen zu schützen und damit ihre Cyber- und Informationssicherheit zu stärken, veröffentlichte die Europäischen Union am 27. Dezember 2022 die NIS2-Richtlinie (The Network and Information Security (NIS) Directive). Bis zum 17. Oktober 2024 müssen die EU-Mitgliedsstaaten die Richtlinie in nationales Recht umsetzen. (2) Wichtige Unternehmen und Einrichtungen sind im Anschluss verpflichtet, diese Cybersicherheitsverordnung umzusetzen und sich nachweisbar gegen Cyberangriffe zu schützen.
Welche Unternehmen betroffen sind, welche Pflichten damit auf sie zukommen und wie welche Mittel sie haben, diese einzuhalten, lesen Sie hier.
DSGVO vs. NIS2: Unterschiede zwischen Richtlinien, Verordnungen und Rahmenwerken
Neben NIS2 gibt es viele andere Sicherheitsstandards wie DSGVO, NIST CSF, ISO 27001. Aber was unterscheidet Richtlinien, Verordnungen oder Rahmenwerke?
In der EU sind Richtlinien, wie NIS2, rechtliche Akte, die von den Mitgliedstaaten in nationales Recht umgesetzt werden müssen. Das ermöglicht länderspezifische Interpretationen.
Verordnungen wie die DSGVO hingegen sind in allen Mitgliedstaaten rechtlich bindend und gelten unmittelbar ohne Umsetzung.
Rahmenwerke wie NIST CSF, ISO 27001, SOC 2 und PCI DSS sind darüber hinaus weit verbreitete bewährte Praktiken, aber rechtlich nicht bindend. In diesem Zusammenhang ergänzt die NIS2-Richtlinie diese Rahmenwerke, indem sie strengere, umsetzbare Cybersicherheitsstandards in der gesamten EU festlegt.
Warum gibt es jetzt NIS2?
2016 wurde die NIS1-Richtlinie innerhalb der EU-Mitgliedsstaaten eingeführt. Sie verpflichtete die Mitgliedsstaaten dazu, Betreiber kritischer Dienste zu identifizieren und Sicherheitsverfahren sowie Meldepflichten für Sicherheitsvorfälle einzuführen. Die Umsetzung in den einzelnen Ländern war jedoch uneinheitlich, wodurch vergleichbare Unternehmen in verschiedenen Staaten unterschiedlich eingestuft wurden. Seit dem Inkrafttreten von NIS2 am 16. Januar 2023 schafft die EU nun Klarheit, indem sie genau festlegt, welche Unternehmen als kritische Dienste gelten und welche Anforderungen für sie gelten.
Dies soll dazu beitragen, dass Unternehmen ihre Sicherheitsmaßnahmen verbessern, strengere Sicherheitsstandards einführen und ihre IT-Systeme auf dem neuesten Stand halten, um so die Resilienz gegenüber Cyberangriffen zu stärken.
Für wen ist NIS2 relevant?
NIS2 wird für zwei Kategorien von Einrichtungen gelten:
-
Wesentliche Einrichtungen (Essential Entities), die kritische Sektoren wie Energie, Gesundheitswesen und digitale Infrastruktur umfassen.
-
Wichtige Einrichtungen (Important Entities), die Branchen wie Lebensmittelproduktion, Postdienste und Abfallwirtschaft abdecken.
Zu den wesentlichen Einrichtungen gehören Unternehmen aus Bereichen wie Energie, Gesundheitswesen, Finanzen, Verkehr, öffentliche Verwaltung. Digitale Plattformen, wie Suchmaschinen, soziale Netzwerke, Online-Marktplätze, aber auch Unternehmen aus der Lebensmittelproduktion, Abfallwirtschaft und Postdienste gehören zu den wichtigen Einrichtungen.
Weiterhin wird die Verpflichtung zu NIS2 an der Unternehmensgröße bemessen. So sind Unternehmen ab 50 Mitarbeitern und einem Umsatz von 10 Mio. im Jahr betroffen. (3) Darüber hinaus betrifft die NIS2-Richtlinie nicht nur Unternehmen, sondern auch deren Lieferketten, was zu einer erheblichen Erweiterung des Adressatenkreises führt.
Es wird erwartet, dass die NIS 2-Richtlinie ca. 29.000 Unternehmen in Deutschland und ca. 400.000 in Europa betrifft.
Allerdings müssen die Betroffenen nicht sofort reagieren, da die Frist zunächst nur für Regierungen der EU-Mitgliedsstaaten gilt. Sie werden voraussichtlich mehr Zeit für die Umsetzung haben, sobald die nationalen Gesetze verabschiedet sind. Die endgültigen nationalen Gesetze können Abweichungen enthalten, so dass betroffene Unternehmen die Entwicklungen in ihrem Land genau beobachten sollten.
4 zentrale To-Dos für Unternehmen unter NIS2
Die NIS2 Richtlinie betont die proaktiven Ansätze zur Cybersicherheit. Damit wird es für Organisationen unerlässlich, nicht nur auf Vorfälle zu reagieren, sondern Risiken bereits im Voraus zu mindern und nach Möglichkeit zu verhindern.
Die Richtlinie basiert auf vier zentralen Säulen: Unternehmensverantwortung, Risikomanagement, Meldepflichten und Geschäftskontinuität.
1. Unternehmensführung muss Cybersecurity zur strategischen Priorität machen
Cybersecurity ist nicht länger nur die Verantwortung der IT-Abteilungen, sondern auch eine strategische Priorität auf Vorstandsebene. Führungskräfte und Vorstandsmitglieder müssen nun direkt Verantwortung für die Cybersicherheitslage des Unternehmens übernehmen, anstatt diese Aufgaben allein der IT zu überlassen.
Das bedeutet auch, dass im Falle von Verstößen gegen die Anforderungen der Richtlinie die Geschäftsführung persönlich haftbar gemacht werden kann. Zudem können Unternehmen mit empfindlichen Strafen von bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes belegt werden.
2. Risikomanagement-Praktiken müssen robuster werden
Unternehmen müssen weiterhin mögliche Risiken gezielt minimieren.
Ein gutes Risikomanagement bedeutet, klare Abläufe für den Ernstfall zu haben, die Lieferkette abzusichern und Netzwerke sowie Daten zu schützen – zum Beispiel durch Verschlüsselung. Ein „Software Bill of Materials“ (SBOM) hilft darüber hinaus dabei, Schwachstellen in genutzter Fremdsoftware früh zu erkennen und ein Zero-Trust-Sicherheitsmodell sorgt dafür, dass jede Person und jedes Gerät überprüft wird, bevor sie auf das Netzwerk zugreifen dürfen. Darüber hinaus müssen diese Organisationen ihre Mitarbeiter gezielt in Cybersecurity schulen.
3. Notfallwiederherstellungspläne müssen für den Ernstfall implementiert werden
NIS2 legt großen Wert auf die Planbarkeit der Geschäftskontinuität und Notfallwiederherstellung (Business Continuity and Disaster Recovery – kurz: BCDR). Dabei wird betont, dass robuste Backup-Systeme und Strategien erforderlich sind, um auch im Falle eines Cyberangriffs schnell wieder einsatzbereit zu sein und Störungen zu minimieren. Zuverlässige Backup-Lösungen wie z. B. von Synology, die sowohl physische als auch virtuelle Workloads schützen und eine schnelle Wiederherstellung gewährleisten, sind entscheidend, um in der heutigen Bedrohungslage widerstandsfähig zu bleiben.
4. Strenge Meldepflichten müssen eingehalten werden
Schließlich verlangt NIS2 von Organisationen, dass sie Aufsichtsbehörden und Betroffene innerhalb von 24 bzw. 72 Stunden nach einem Cyberangriff informieren.
Schnelle Meldungen sollen helfen, die Auswirkungen von Angriffen zu minimieren, eine koordinierte Reaktion zwischen den Mitgliedstaaten und betroffenen Akteuren sicherzustellen und die Wiederherstellung zu beschleunigen. Diese strikten Zeitvorgaben ermutigen Unternehmen, Prozesse zur Identifizierung, Dokumentation und Meldung von Vorfällen effizient zu etablieren.
Fazit: Damit können betroffene Unternehmen starten
Die NIS2-Richtlinie verschärft die Maßnahmen zur Cybersicherheit in kritischen und wichtigen Sektoren, indem sie strengere Meldefristen und verbesserte Risikomanagementprozesse vorschreibt und härtere Strafen bei Nichteinhaltung vorsieht. Trotz der Tatsache, dass die NIS2-Richtlinie bis Oktober 2024 in lokales Recht umgesetzt wird, haben Unternehmen noch 1-2 Jahre Zeit, um sich vollständig vorzubereiten. Betroffenen Unternehmen wird dennoch geraten, schnell zu handeln.
Für den Start sollten sie eine spezielle Arbeitsgruppe bilden, die sich mit der Umsetzung der von NIS2 abgeleiteten Gesetze befasst, und ihre Cybersicherheits- sowie Datenschutzinfrastrukturen überprüfen. Um weitere Details über die NIS2-Richtlinie zu erhalten, sollten betroffene Organisationen das Amtsblatt der EU konsultieren, wo sie umfassende Informationen zu den Richtlinien finden können. Zusätzlich ist es ratsam, eine Beratung durch einen Experten auf diesem Gebiet in Betracht zu ziehen.
Darüber hinaus ist ein effektives Backup-Management ein Grundpfeiler der Cybersicherheit und spielt eine zentrale Rolle bei der Einhaltung der NIS2-Richtlinie. Es trägt dazu bei, die Widerstandsfähigkeit von Unternehmen gegenüber Cyber-Bedrohungen zu stärken und die Geschäftskontinuität zu gewährleisten.