Die NIS-2-Richtlinie ist kein Grund zur Aufregung – vielmehr dient sie als Weckruf für Unternehmen, die ihre Cybersicherheit bislang vernachlässigt haben. Wer bereits in dieses Thema investiert, kann die neuen Anforderungen als Chance zur Weiterentwicklung sehen.
IT-Sicherheit ist heutzutage unverzichtbar. Immer mehr Geschäftsbereiche sind auf digitale Technologien angewiesen, was gleichzeitig die Anfälligkeit für Cyberattacken erhöht. Angriffe können Geschäftsbetriebe beeinträchtigen oder sensible Daten gefährden und somit zu finanziellen Einbußen oder Vertrauensverlusten bei Kunden und Partnern führen. Aus diesem Grund ist Cybersicherheit schon lange kein rein technisches Thema mehr. Viel eher hat es sich zu einem essenziellen Bestandteil des Risikomanagements entwickelt. Jede Einrichtung unabhängig ihrer Größe oder Branche muss sich mit diesen Gefahren auseinandersetzen, um Bedrohungen abzuwehren und handlungsfähig zu bleiben.
Mit einer starken Cyber-Security-Strategie gehen auch große Chancen einher. Denn eine solide Sicherheitsinfrastruktur minimiert einerseits die Gefahr von Cyberangriffen. Andererseits ermöglicht sie, neue Technologien und digitale Geschäftsmodelle effizient zu nutzen. Unternehmen steigern darüber hinaus ihre Resilienz und schaffen Vertrauen bei Kunden, Partnern und Investoren. IT-Schutz lanciert zu einem Wettbewerbsvorteil, der Firmen hilft, innovativ zu bleiben und sich in einem zunehmend vernetzten Marktumfeld erfolgreich zu behaupten.
Die NIS-1-Richtlinie, die sich vor allem an Betreiber Kritischer Infrastrukturen (Kritis) wie Energieversorger, Gesundheits- und Transportunternehmen richtet, verfolgte das Ziel, einen einheitlichen und hohen Sicherheitsstandard in der EU zu erreichen. Sie erfasste bereits die Festlegung von Mindestanforderungen und Meldepflichten für IT-Sicherheitsvorfälle. Davor verankerte in Deutschland das IT-Sicherheitsgesetz (IT-SiG) diese Vorgaben. Konkret fordert diese Regelung von Kritis-Unternehmen, ihre IT-Sicherheit gemäß den aktuellen Technologiestandards abzusichern sowie Vorfälle umgehend an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.
Mit der neuen NIS-2-Richtlinie, die noch dieses Jahr in Kraft treten soll, werden die Anforderungen ausgeweitet und verschärft. Während NIS-1 vor allem Kritis-Unternehmen betraf, richtet sich NIS-2 ebenfalls an Organisationen mit 50 Mitarbeitern und rund 10 Millionen Euro Jahresumsatz in bestimmten Sektoren. In diesem Rahmen bietet das BSI eine Betroffenheitsprüfung an, die Unternehmen nutzen können, um festzustellen, ob sie von den Regelungen betroffen sind. Damit müssen künftig mittlere Unternehmen aus Bereichen wie Post, Lebensmittel und digitale Dienste gleichfalls ein Informationssicherheits-Management-System (ISMS) implementieren. Zudem ist vorgesehen, dass Firmen ihre Sicherheitsrisiken selbst bewerten, sich bei den zuständigen Behörden registrieren und verpflichtet sind, Sicherheitsvorfälle unverzüglich zu melden. Weitere Anforderungen betreffen unter anderem das Risikomanagement, die Sicherheit der Lieferkette und den angemessenen Umgang mit IT-Zwischenfällen. Mit NIS-2 adressiert die EU die wachsende Bedrohung durch Cyberangriffe auf kritische Infrastrukturen und andere elementare Bereiche.
Es ist keine grundlegende Umstellung nötig
Für Unternehmen, die schon im Rahmen der NIS-1-Richtlinie und des IT-Sicherheitsgesetzes umfassende Sicherheitsvorkehrungen umgesetzt haben, bringt die NIS-2-Richtlinie zwar erweiterte Anforderungen mit sich. Eine echte Herausforderung stellt sie allerdings nicht dar, denn es ist keine grundlegende Umstellung nötig. Die Kernaufgaben – wie das Risikomanagement, die Meldung von sicherheitsrelevanten Vorfällen sowie die Einführung technischer und organisatorischer Sicherheitsmaßnahmen – bleiben im Wesentlichen bestehen. NIS-1-Verfechter werden feststellen, dass viele ihrer bestehenden Prozesse und Strukturen ebenso den neuen Vorgaben entsprechen. Ein paar Feinheiten sind dennoch zu berücksichtigen.
Ein wesentlicher Aspekt der neuen Richtlinie betrifft die detaillierten und ausgeweiteten Anforderungen an das Reporting und die Dokumentation von Sicherheitsmaßnahmen und Zwischenfällen. Während die Prüfpflichten für Kritis-Unternehmen auf der Nachweispflicht im Abstand von drei Jahren bestehen bleiben, gibt es neue Maßstäbe für Einrichtungen außerhalb dieser kritischen Anlagen. Kontinuierliche Prüfungen kommen jedoch nicht auf Organisationen zu. Sie sollten sich lediglich auf stichprobenartige Kontrollen durch die jeweiligen Behörden vorbereiten. Zur NIS-2-Pflichterfüllung müssen Unternehmen, die längst hohe Sicherheitsstandards verinnerlicht haben, allenfalls ihre Dokumentation aktualisieren und mit vereinzelten Prüfungen rechnen.
Neben den Anforderungen an die Prüf- und Dokumentationspflichten gewinnt in diesem Zusammenhang die erweiterte Aufsicht durch Behörden wie das BSI, das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und die Bundesnetzagentur zunehmend an Bedeutung. Diese erhalten durch die NIS-2-Richtlinie erweiterte Befugnisse zur Überwachung der Sicherheitsmaßnahmen und zur Meldung von Vorfällen. Viele Unternehmen sind mit den dahinterliegenden Prozessen eng vertraut. Mit der Richtlinie gilt auch für neu erfasste Einrichtungen die Abgabe von detaillierten Berichten über Sicherheitsvorfälle, regelmäßige Sicherheitsberichte zum Stand der Maßnahmen, Risikomanagement-Berichte über Risikobewertungen und Compliance-Berichte zur Einhaltung der NIS-2-Richtlinie. Diese Berichte sollten Verantwortliche vollständig und schnell erstellen, um die neuen Anforderungen zu erfüllen und die Sicherheit von Netzwerken und Informationen zu gewährleisten. Ansonsten ist mit Bußgeldern zu rechnen. Diese Bußgelder reichen unter NIS-2 von 100.000 Euro bis zu 20 Millionen Euro und können in einigen Fällen an den weltweiten Umsatz des Unternehmens gekoppelt sein. Doch mit einer Anpassung bestehender Sicherheitsvorkehrungen lassen sich ebenso die verschärften NIS-2-Regelungen gut umsetzen.