Cyberangriffe auf kritische Infrastrukturen sind besonders gefährlich. Daher hat die EU bereits 2016 Mindestanforderungen an die Cybersicherheit in der Richtlinie zur Netz- und Informationssicherheit (NIS) definiert. Diese wird jetzt durch eine Neuauflage abgelöst. Seit 16. Januar 2023 ist die NIS2-Direktive in Kraft – und bis Oktober 2024 haben die EU-Mitgliedsstaaten noch Zeit, sie in nationales Recht zu überführen. In Deutschland erfolgt dies durch das NIS2-Umsetzungsgesetz, das derzeit als zweiter Referentenentwurf vorliegt. Zu erwarten sind Änderungen am IT-Sicherheitsgesetz und der KRITIS-Verordnung. Viele Unternehmen fragen sich jetzt, was NIS2 für sie bedeutet.
Wer ist von NIS2 betroffen?
Der wichtigste Unterschied zur alten Gesetzgebung ist der deutlich erweiterte Wirkungsgrad. Sieben neue KRITIS-Sektoren kommen hinzu, sodass sich die Zahl von elf auf achtzehn erhöht. Während bisher nur große Organisationen aus dem direkten KRITIS-Umfeld betroffen waren, gilt NIS2 auch für privatwirtschaftliche Unternehmen – und zwar schon ab einer Größe von 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Einige Unternehmen fallen unabhängig von ihrer Größe unter die Direktive, weil sie zu den sogenannten ‚Essential Entities‘ zählen, die für das Allgemeinwohl besonders wichtig sind. Neu ist auch, dass betroffene Unternehmen die Cybersicherheit ihrer Zulieferer überprüfen und sicherstellen müssen. Das ist wichtig, denn Lieferketten werden immer komplexer, und schon der Ausfall eines kleinen Bausteins kann heute zu kritischen Engpässen führen. Wie gefährlich Supply-Chain-Angriffe sein können, hat z.B. der Solarwinds-Hack gezeigt. Alles in allem wirkt sich NIS2 also auf eine breite Masse an Unternehmen aus, von denen viele erst auf den zweiten Blick feststellen, dass sie betroffen sind.
Welche Neuerungen bringt NIS2?
Die neue Direktive erhöht die Mindestanforderungen an die Cybersicherheit und nimmt Geschäftsführer in die Pflicht. Sie haften dafür, dass die vorgeschriebenen Standards eingehalten werden. Falls es zu einem Cyberangriff kommt, gelten strenge Meldepflichten ähnlich wie bei der DSGVO. Unternehmen müssen den Vorfall dann innerhalb einer bestimmten Frist beim BSI melden. Damit will der Gesetzgeber verhindern, dass Betroffene einen Cyberangriff vertuschen, um ihre Reputation zu schützen. Außerdem schärft NIS2 die europäische Rechtsprechung und vertieft die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern. So sollen z.B. nationale Computer Emergency Response Teams eingerichtet werden, die grenzübergreifend miteinander kooperieren und Informationen austauschen. Parallel dazu soll eine Schwachstellendatenbank auf EU-Ebene aufgebaut werden.
Was sollten betroffene Unternehmen jetzt tun?
NIS2 schreibt technische und organisatorische Security Maßnahmen nach Stand der Technik vor. Dazu zählt z.B. eine Methodik, um Cyberrisiken einzuschätzen und eine Strategie, um die Service- und Geschäftskontinuität zu sichern. Pflicht sind außerdem Maßnahmen zur Prävention, Detektion und Bewältigung von Cybervorfällen. Im Grunde geht es darum, ein Informationssicherheits-Managementsystem (ISMS) aufzubauen. Dieses definiert Regeln, Prozesse, Methoden, Tools und Verantwortlichkeiten, um die Cybersicherheit im Unternehmen zu steuern und zu kontrollieren. Eine Orientierungshilfe bietet z.B. der BSI Grundschutz und die ISO/IEC27001. Die meisten Unternehmen haben bisher nur Puzzleteile eines ISMS etabliert. Zunächst ist es daher wichtig, Lücken zu identifizieren und diese dann Schritt für Schritt zu schließen. Zahlreiche Rollen müssen besetzt und Policies definiert werden. All das ist meist aufwändiger als gedacht und erfordert Zeit. Deshalb ist es empfehlenswert, das Thema möglichst bald in Angriff zu nehmen. Ein externer Dienstleister, der Erfahrung in der Einführung und Weiterentwicklung eines ISMS hat, kann dabei mit Rat und Tat unterstützen.
