Die NIS-2-Richtlinie steht vor der Tür. Insbesondere für Mittelständler, die meist über geringere personelle und finanzielle Ressourcen als Konzerne verfügen, stellt sie eine Herausforderung dar. Doch mit der richtigen Cyberresilienz-Strategie können sie diese Herausforderung meistern, betont Sicherheitsexperte Alexander Peters im Interview.
springerprofessional.de: Herr Peters, im Oktober soll die aktualisierte EU-Richtlinie zur Netz- und Informationssicherheit (NIS 2) in Kraft treten. Welche Unternehmen fallen grundsätzlich in ihren Geltungsbereich?
Alexander Peters: Die NIS-2-Richtlinie betrifft eine deutlich breitere Palette von Branchen und Unternehmen als die vorherige NIS-1-Richtlinie aus dem Jahr 2016. Zunächst umfasst sie nicht mehr nur große Unternehmen in Sektoren mit hoher Kritikalität, sondern auch mittelgroße Unternehmen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz von 10 Millionen Euro. Besonders betroffen sind Unternehmen in Sektoren wie Energie, Transport, Finanzwesen und Gesundheitswesen. Es sind aber auch weniger offensichtliche und neue Bereiche hinzugekommen, zum Beispiel Medien- und Streaming-Dienste, Rechenzentren (RZ) und Content Delivery Networks (CDN). In Deutschland könnten bis zu 30.000 Unternehmen erstmals in den Geltungsbereich fallen. Das bedeutet, dass viele Unternehmen, die bisher wenig Berührungspunkte mit strengen IT-Sicherheitsanforderungen hatten, nun in kurzer Zeit erhebliche Maßnahmen zur Sicherung ihrer IT-Infrastrukturen umsetzen müssen.
Welche Herausforderungen bringt NIS 2 insbesondere für Mittelständler mit sich?
Für mittelständische Unternehmen, die meist über geringere personelle und finanzielle Ressourcen als Konzerne verfügen, stellt die NIS-2-Richtlinie eine besondere Herausforderung dar. Besonders die Anforderungen an die Risikobewertung, das Incident Response Management und die Meldung von Sicherheitsvorfällen innerhalb sehr kurzer Fristen (24 Stunden) sind für kleinere Unternehmen oft schwer umsetzbar. Ein aktueller Bericht zur Bedrohungslage zeigt aber auch, wie wichtig eine robuste Cybersicherheitsstrategie gerade für sie ist. Kleine Unternehmen verzeichneten im Verhältnis gesehen die meisten Cyberangriffe und erreichten mit 40 Bedrohungen pro Benutzer (Threats Per User, TPU) im Q1 2024 einen Höchststand. Mitarbeiter sowohl kleiner als auch mittlerer Unternehmen sind mehr als doppelt so vielen Angriffsversuchen ausgesetzt als Anwender in großen Unternehmen. Auch die Einbindung der Lieferketten in die Sicherheitsstrategien und die Pflicht zur regelmäßigen Schulung und Sensibilisierung aller Mitarbeiter gehören zu den Auflagen, die nicht immer einfach zu erfüllen sind. Hinzu kommt die persönliche Haftung der Geschäftsleitung, die dafür sorgen muss, dass alle Vorgaben der NIS 2 umgesetzt werden. Das macht eine fundierte Auseinandersetzung der Führungsebene mit den Anforderungen und eine effektive Strategieentwicklung unverzichtbar. Genau das ist auch die Absicht dieser Haftungserweiterung: Das Thema soll in der Chefetage ankommen.
Welche Strafen drohen den Unternehmen bei Nichteinhaltung der Regelungen?
Die NIS-2-Richtlinie sieht strenge Sanktionen bei Verstößen vor. Neben hohen Geldstrafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes können Geschäftsführer persönlich haftbar gemacht werden. Das ist eine wesentliche Verschärfung gegenüber NIS 1. Die Geschäftsleitung muss aktiv in die Entwicklung und Umsetzung der Cybersicherheitsstrategie eingebunden sein. Dazu gehören die Durchführung regelmäßiger Risikoanalysen, die Implementierung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen und die Sicherstellung, dass alle Mitarbeiter entsprechend geschult sind. Die persönliche Haftung unterstreicht die Notwendigkeit, Cybersicherheit als integralen Bestandteil der Unternehmensführung zu betrachten. Einer unserer Umfragen zufolge kennt allerdings aktuell nur jeder fünfte der Befragten die Sanktionen bei Verstößen.
Wie sollten Unternehmen nun handeln? Wie sollte ihre NIS-2-konforme Cyberresilienz-Strategie aussehen?
Eine NIS-2-konforme Cyberresilienz-Strategie erfordert eine Kombination aus technischen und organisatorischen Maßnahmen.
Technische Maßnahmen: Unternehmen müssen zunächst eine umfassende Sicherheitsanalyse durchführen, um den Ist-Zustand ihrer IT-Infrastruktur zu bewerten. Darauf basierend müssen sie Risiko-Management-Systeme entwickeln, die Bedrohungen und Schwachstellen identifizieren und geeignete Gegenmaßnahmen definieren. Wichtige technische Maßnahmen umfassen die Implementierung von Backup- und Krisen-Management-Systemen (zum Beispiel "Sync & Recover") sowie die Integration von Partnerlösungen wie Crowdstrike, Netskope und Palo Alto für eine koordinierte Incident Response. Unternehmen müssen aber auch ihre E-Mail- und Collaboration-Tools absichern, um Phishing-Angriffe und andere Cyberbedrohungen abzuwehren. Spezialisierte, Cloud-basierte Lösungen, die einen Datenabfluss schnell erkennen, verkürzen die Reaktionszeiten bei Vorfällen erheblich. Dadurch können Unternehmen den Auflagen zur Incident Response als auch den Berichtspflichten besser gerecht werden.
Organisatorische Maßnahmen: Auf organisatorischer Ebene sind regelmäßige Schulungen und Sensibilisierungsmaßnahmen (Awareness Training und Human Risk Management) unerlässlich. Die Entwicklung eines Systems zur schnellen Erkennung und Meldung von Sicherheitsvorfällen, zur effektiven Krisenbewältigung und zur Aufrechterhaltung beziehungsweise Wiederherstellung des Geschäftsbetriebs ist ebenfalls entscheidend. Die Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Einhaltung der Meldepflichten gehören ebenso zu den wichtigen organisatorischen Maßnahmen.
Welche Lösungen sind auch für Unternehmen ohne eigene IT- oder Rechtsabteilung wirtschaftlich umsetzbar?
Für Unternehmen ohne eigene IT- oder Rechtsabteilung bietet sich die Nutzung Cloud-basierter Cybersecurity-Lösungen für das Human Risk Management und für ihre E-Mail- sowie Collaboration-Systeme an. So können Unternehmen die Anforderungen der NIS 2 durch integrierte Sicherheitsfunktionen erfüllen. Sie profitieren dann von Vorteilen wie Bedrohungserkennung, Backup-Management, maßgeschneiderten Schulungen und schnellen Reaktionszeiten, ohne dass dafür ein hoher personeller oder Integrationsaufwand notwendig ist.
Inwieweit sollten Unternehmen auf die Unterstützung von externen Experten zurückgreifen?
Angesichts der Komplexität der NIS-2-Richtlinie und der hohen Anforderungen an die Cybersicherheit ist es für viele Unternehmen sinnvoll, externe Experten hinzuzuziehen. Sie können nicht nur bei der Implementierung technischer Lösungen helfen. Sie unterstützen auch bei der Entwicklung einer langfristigen Cyberresilienz-Strategie, die nicht nur reaktiv die NIS-2-Anforderung umsetzt, sondern eine zukunftssichere und an die aktuelle Bedrohungslandschaft angepasste IT-Architektur schafft. Das ist besonders für kleinere und mittelständische Unternehmen wichtig, die das nötige Know-how für die fristgemäße Umsetzung nicht im Haus haben. Für die Umfrage "NIS 2, weshalb, warum?" wurden im Juli 2024 100 Unternehmensentscheider und IT-Verantwortliche befragt. Die Ergebnisse zeigen, dass bei 92 Prozent der Unternehmen die vorhandenen Infrastrukturen und Sicherheitsmaßnahmen nicht für die NIS-2-Compliance ausreichen und zum Teil erheblicher Investitionsbedarf besteht: 24 Prozent der Befragten planen Investitionen bis 50.000 Euro, 37 Prozent haben vor, bis zu 100.000 Euro auszugeben, und 31 Prozent gehen von einem Investitionsbedarf über 100.000 Euro aus. Diese Zahlen verdeutlichen den nicht zuletzt finanziellen Aufwand, den Unternehmen für die Umsetzung der NIS-2-Richtlinie betreiben (müssen). Dieser kann für kleinere und mittelständische Unternehmen durchaus eine Herausforderung sein. Investitionen in dieser Größenordnung gilt es abzusichern und so anzulegen, dass sie sich langfristig auszahlen. Schlussendlich stellt die NIS-2-Richtlinie vor allem kleinere und mittlere Unternehmen, die erstmals in ihren Geltungsbereich fallen, vor Herausforderungen. Eine NIS-2-konforme Cyberresilienz-Strategie, die sowohl technische als auch organisatorische Maßnahmen umfasst, hilft, eine Risikoanalyse vorzunehmen und einen Fahrplan zur vollständigen NIS-2-Konformität zu erarbeiten. Dabei kann die Unterstützung durch Cloud-basierte, Künstliche-Intelligenz-unterstützte (KI) Lösungen und externe Experten entscheidend sein. Mit ihrer Hilfe können Unternehmen die Anforderungen effizient und kosteneffektiv umsetzen und den Return on Investment (ROI) notwendiger Investitionen im Zusammenhang mit NIS-2 gewährleisten.