Die ursprüngliche NIS-Richtlinie („Network and Information Security“) wurde überarbeitet und legt als NIS2 strengere Standards in puncto IT und Cybersecurity fest. Das NIS2-Umsetzungsgesetz soll in Deutschland dafür sorgen, dass die Vorgaben der EU angewendet werden. Kritiklos blieb die Richtlinie bisher nicht, da eine Einschränkung der Befugnisse des BSI befürchtet wird.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Dafür steht die NIS2-Richtlinie
Die NIS2-Richtlinie gilt nicht nur in Deutschland, sondern es handelt sich vielmehr um eine EU-weite Vorgabe. Die überarbeitete Version berührt weitere Sektoren und sieht deutlich schärfere Sicherheitsvorgaben vor. Um alle Vorgaben und Anforderungen einzuhalten, sollte TORUTEC als bewährter IT-Dienstleister des Unternehmens eingebunden werden. Denn: Das Thema Cybersecurity ist dringlicher denn je, wie vorangegangene Hackerangriffe auf öffentliche und private Infrastrukturen zeigen. Innerhalb der EU soll nun ein einheitlich hohes Niveau der Netzwerksicherheit erreicht werden. Dies erfordert proaktive Handlungen seitens der Unternehmen und Einrichtungen, die von der Richtlinie betroffen sind.
Wesentliche und wichtige Einrichtungen werden unterschieden
Die neue Richtlinie definiert Unternehmen als „wesentlich“, wenn sie in den folgenden Bereichen tätig sind:
- Energieproduktion, -verteilung und -speicherung
- Verkehr
- Trink- und Abwasser
- Digitale Infrastruktur
- IT-Dienstleistungen
- Banken und Finanzwesen
- Gesundheitssektor
- Forschungseinrichtungen
- Raumfahrt
- Öffentliche Verwaltung
Die „wichtigen“ Einrichtungen sind Unternehmen folgender Tätigkeitsbereiche:
- Abfallwirtschaft
- Herstellung von Kraftfahrzeugen, Maschinen, Transportmitteln, Computertechnik, Elektronik, Optik
- Post- und Kurierdienstleistungen
- Digitale Dienstleistungen
- Produktion und Vertrieb von Lebensmitteln
- Produktion und Vertrieb von chemischen Erzeugnissen
Für wen gilt die NIS2-Richtlinie?
Die IHK erklärt, für welche Unternehmen die NIS2-Richtlinie gültig ist. Demnach richtet sich die Pflicht zur Erfüllung der Anforderungen zur Cybersicherheit nach der Größe des jeweiligen Unternehmens sowie nach dessen Umsatz. Unterteilt werden mittlere und große Unternehmen:
- Mittlere Unternehmen: 50 bis 250 Mitarbeiter, Bilanzsumme unter 43 Mio. Euro, Umsatz zwischen 10 und 50 Mio. Euro
- Große Unternehmen: über 250 Mitarbeiter, Bilanzsumme über 43 Mio. Euro, Umsatz von mehr als 50 Mio. Euro
Für Unternehmen, die zu den digitalen Infrastrukturen zählen sowie für die öffentliche Verwaltung gelten die Größenbeschränkungen nicht. Sie müssen die Richtlinie ausnahmslos erfüllen. Zusätzlich kann es sein, dass auch andere Unternehmen indirekt von der Erfüllung der Vorgaben betroffen sind. Ein kleines Unternehmen, welches weniger als 50 Mitarbeiter beschäftigt, aber einen Umsatz von mehr als 10 Millionen Euro im Jahr erwirtschaftet, muss die NIS2-Richtlinie erfüllen. Dies gilt ebenso für Unternehmen, die für eine betroffene Firma tätig werden. Wichtig: Jeder Unternehmer muss selbst prüfen, ob er die Richtlinie erfüllen muss, es gibt keine separate Information über die Verpflichtung.
Diese Verpflichtungen ergeben sich aus der NIS2-Richtlinie
Unternehmen, die von der Richtlinie betroffen sind, müssen sich intensiv mit dem Thema Cybersicherheit beschäftigen und ihre internen Prozesse entsprechend anpassen. Die folgenden Pflichten sind dabei zu erfüllen:
- Definition des Unternehmens als wesentliche oder wichtige Einrichtung
- Registrierung des Unternehmens beim BSI (Bundesamt für Sicherheit in der Informationstechnik) innerhalb von drei Monaten
- Registrierung in anderen Mitgliedsstaaten bei Unternehmenstätigkeit in mehreren Staaten
- Meldung von Sicherheitsvorfällen bei der zuständigen Behörde
- Teilnahme wesentlicher Einrichtungen am Informationsaustausch des BSI
- Einhaltung der Sicherheitsanforderungen entsprechend der NIS2-Richtlinie
NIS2-Richtlinie: Aufgaben für Unternehmen
Unternehmen, die zur Zielgruppe der NIS2-Richtlinie gehören, sollen gegenüber Cyberangriffen widerstandsfähiger werden. Damit werden nicht nur sie selbst besser geschützt, sondern auch die gesamte Gesellschaft, deren Versorgung mit allem Nötigen sichergestellt wird. Betroffene Unternehmen müssen jedoch eine Vielzahl von Aufgaben übernehmen, wobei das zentrale Risikomanagement der wichtigste Punkt ist. Unternehmen sind demnach dazu verpflichtet, mit organisatorischen, technischen und operativen Maßnahmen die Sicherheit ihrer Netzwerke und Informationssysteme zu gewährleisten. Sie müssen die Auswirkungen von Sicherheitsvorfällen minimieren oder besser noch gänzlich verhindern. Als maßgeblich gilt dabei der aktuelle Stand der Technik, der durch die Einführung der Informationssicherheitsmanagementstandards gemäß ISO/IEC 27001 gewährleistet wird. Dieser internationale Standard hilft Unternehmen bei der Erkennung, Beurteilung und Behandlung von Sicherheitsrisiken.
Die Verpflichtung zum Risikomanagement
Das strukturierte Risikomanagement sorgt dafür, dass Unternehmen mögliche Bedrohungen schneller erkennen. Gefährdete Netz- und Informationssicherheitssysteme stehen im Fokus und werden gegen interne und externe Bedrohungen gesichert. Mögliche Risiken sind unter anderem:
- Verletzungen des Datenschutzes
- Cyberangriffe
- Ausfälle der Netzwerk- und Informationssicherheitssysteme
- menschliches Versagen
Unternehmen müssen mögliche Bedrohungen erkennen und analysieren. Die Bewertung der Risiken erlaubt es, spezielle Maßnahmen zur Abwehr zu installieren. Die NIS2-Richtlinie verfolgt dabei den Ansatz, dass möglichst viele Unternehmen bestmöglich geschützt werden müssen, um ein hohes Sicherheitsniveau auf EU-Ebene zu erreichen. Unternehmen können diesbezügliche Auskünfte und Umsetzungsrichtlinien beim BSI einholen.
Wichtig: Auch die Sicherheit in den Lieferketten darf dabei nicht vergessen werden, auch hier sind angemessene Vorkehrungen zu treffen. Es steht zu erwarten, dass Zertifizierungen zur Informationssicherheit eines Unternehmens künftig für die Auftragsvergabe maßgeblich sein werden, wie bereits jetzt die Automobilbranche mit dem TISAX-Label zeigt. Der Standard soll verhindern, dass über einen Zugriff auf die Informationssysteme der Zulieferer kritische Informationen abgefangen werden.
Die angemessene Behandlung von Sicherheitsvorfällen
Unternehmen müssen entsprechend der NIS2-Richtlinie nicht nur dafür sorgen, dass Cyberbedrohungen möglichst minimiert werden, sondern auch eine effektive Behandlung von Sicherheitsvorfällen garantieren. Ein effektives Maßnahmenprogramm mit eindeutigen Handlungsanleitungen und Vorgehensweisen im Ernstfall ist nötig. Der bereits erwähnte Standard ISO/IEC 27001 gilt dabei als fester Bestandteil jedes Sicherheitsmanagements. Darin sind qualifizierte Vorgaben zur raschen Erkennung und Behandlung von Sicherheitsvorfällen ebenso enthalten wie Maßnahmen, die zur Aufrechterhaltung des Betriebs während eines solchen Vorfalls zur Anwendung kommen. Entsprechend den NIS2-Anforderungen sind:
- eindeutige Kommunikationswege
- Eskalationsverfahren
- Notfallpläne
deutlich zu formulieren und für alle Beteiligten zugänglich zu machen. Zudem sind Richtlinie für Risiken und Informationssicherheit zu entwickeln sowie im Bedarfsfall anzuwenden. Dies zielt darauf ab, dass vor allem Unternehmen, die der kritischen Infrastruktur zugeordnet werden, auch im Risikofall den Geschäftsbetrieb aufrechterhalten. Maßnahmen für das Business Continuity Management sind zu formulieren und umzusetzen. Sie beinhalten unter anderem ein geeignetes Back-up sowie Maßnahmen zur Wiederherstellung nach dem Notfall.
Weitere Vorgaben für Unternehmen
Die NIS2-Richtlinie sieht zahlreiche weitere Vorgaben und sich daraus ergebende Maßnahme vor. Im Einzelnen geht es dabei um:
Einkauf: Werden IT- und Netzwerkkomponenten beschafft, sind die gängigen Sicherheitsaspekte zu berücksichtigen. Möglichst hohe Sicherheitsanforderungen sollen erfüllt werden.
Wirksamkeit: Unternehmen sollen nicht nur effektive Maßnahmen für mehr Cybersicherheit festlegen, sondern auch deren Umsetzung garantieren. Durch ein entsprechendes Risikomanagement ist es möglich, die NIS2-Anforderungen umzusetzen. Eine Bewertung der vorhandenen und der angestrebten Sicherheitsmaßnahmen ist dabei die Grundlage für die Festlegung einer Vorgehensweise bei Sicherheitsvorfällen. Gleichzeitig müssen die Maßnahmen in regelmäßigen Abständen auf ihre Wirksamkeit hin überprüft werden.
Verschlüsselung: Alle Kommunikationswege, die auf eine digitale Beteiligung setzen, müssen die nötige Verschlüsselung besitzen. Es geht hier um Sprach-, Video- und Textkommunikation, in deren Rahmen sichergestellt werden muss, dass keine vertraulichen Interna an Dritte gelangen können.
Personal: Die NIS2-Richtlinie legt fest, dass auch das Personal ausreichend gesichert sein muss. Zugangskontrollen sind neben der Sicherstellung des alleinigen Zugriffs auf sensible Daten durch befugtes Personal eine wichtige unternehmensinterne Sicherheitsmaßnahme. Auch die fachgerechte Verwaltung der Dokumente im Unternehmen muss gewährleistet werden.
Verschlüsselung: Unternehmen können bestimmte Daten verschlüsseln, um deren Sicherheit zu gewährleisten. Dafür muss es konkrete Vorgaben geben.
Cyber-Hygiene: Hygienemaßnahmen kennt jeder aus dem persönlichen Bereich – Duschen, Hände waschen und Zähne putzen gehören dazu. In Bezug auf die Informationssicherheit gibt es ebenfalls eine gewisse Hygiene, die sich auf den richtigen Umgang mit Passwörtern, auf das Erkennen von Phishing sowie den allgemeinen Umgang mit sensiblen Daten bezieht. Hygiene-Maßnahmen zur Cybersecurity sollen die Sicherheit mit IT-Systemen ebenso erhöhen wie den Umgang mit persönlichen Daten verbessern.
Authentifizierung: Nur befugte Personen dürfen Zugriff auf sensible Daten oder Forschungsergebnisse haben. Eine Multi-Faktor-Authentifizierung sowie weitere Maßnahmen zum Schutz vor unbefugten Zugriffen sind nötig, um Zugangsmechanismen so sicher wie möglich zu gestalten.
Kommunikation im Ernstfall: Im Fall einer Krise oder eines Sicherheitsvorfalls müssen gesicherte Notfall-Kommunikationssysteme vorhanden sein, die ihrerseits vor einem Zugriff durch Dritte geschützt sind.
