NIS2-UmsuCG: Wichtige Informationen im Überblick

NIS2-Umsetzungsgesetz: Mehr Sicherheit für infrastrukturkritische Sektoren

In der heutigen digitalen Ära sind Sicherheitsmaßnahmen von entscheidender Bedeutung, insbesondere für Unternehmen, die kritische Infrastrukturen betreiben oder digitale Dienste anbieten. Die Europäische Union reagiert auf diese Bedrohung mit NIS2 (Netzwerk- und Informationssicherheit). Die EU hat sich verpflichtet, den Schutz in verschiedenen Bereichen mit kritischer Infrastruktur deutlich zu verbessern. NIS2 soll „eine Kultur der Sicherheit in allen Sektoren, die für unsere Wirtschaft und Gesellschaft von entscheidender Bedeutung sind“ schaffen.

Zudem sollen in allen Staaten der EU einheitlich hohe Sicherheitsstandards gelten. Bereits 2022 wurde daher die sogenannte NIS2-Richtlinie eingeführt, die genau dieses Ziel verfolgt. Sie bringt deutlich mehr Verpflichtungen für betroffene Unternehmen und Organisationen mit sich als der Vorgänger. Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) überführt die EU-Vorgabe in deutsches Recht.

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie ist eine EU-weite Gesetzgebung, die auf die Sicherheit von Netzwerken und Informationssystemen abzielt. Sie stellt sicher, dass Betreiber wesentlicher Dienste und digitale Diensteanbieter angemessene Sicherheitsvorkehrungen treffen, um die Auswirkungen von Cyberangriffen zu minimieren und die Funktionsfähigkeit der digitalen Infrastruktur zu gewährleisten.

Was ist das NIS2UmsuCG?

Alle EU-Staaten haben nun bis zum Oktober 2024 Zeit, die NIS2-Richtlinie in nationales Recht umzusetzen. Deutschland ist spät dran und damit Schlusslicht in Europa. In deutsches Recht wird die europäische NIS2-Richtlinie durch das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) umgesetzt. Die Verkündung und das Inkrafttreten des NIS2UmsuCG erfolgen nach aktuellen Informationen voraussichtlich erst im Frühjahr 2025.

Bis dahin müssen alle betroffenen Unternehmen ihre IT-Sicherheitsvorkehrungen so implementiert haben, dass sie das NIS2UmsuCG erfüllen. Wir bieten Ihnen einen umfassenden Überblick über die NIS2-Richtlinie, ihren Geltungsbereich und die wesentlichen Anforderungen, die Sie und Ihr Unternehmen beachten müssen.

Das Bundesministerium des Innern und für Heimat hat im vergangenen Jahr bereits einen Referentenentwurf vorgelegt. Experten gehen davon aus, dass rund 30.000 Unternehmen und Organisationen betroffen sein werden. Ein deutlicher Anstieg zur bisherigen Regelung.

Warum wurde NIS2 eingeführt?

Die Einführung der überarbeiteten NIS-Richtlinie, bekannt als NIS2, war eine Reaktion auf die erheblichen Unterschiede in der Umsetzung der ursprünglichen NIS-Richtlinie innerhalb der Europäischen Union. Diese Unterschiede führten zu einer uneinheitlichen Bewertung und Klassifizierung von Unternehmen, die als Betreiber kritischer Dienste fungieren. Während einige Mitgliedstaaten bestimmte Unternehmen als kritisch einstufen und entsprechende Sicherheitsanforderungen an sie stellen, war dies in anderen Ländern nicht der Fall. Dies schuf ein ungleiches Sicherheitsniveau und erhöhte die Anfälligkeit für Cyberangriffe in der gesamten EU.

Die Neufassung der Richtlinie zielt darauf ab, einheitliche Kriterien und Standards zu schaffen, um die Fragmentierung zu beseitigen und einen kohärenten Schutzrahmen für alle Mitgliedstaaten zu gewährleisten. Unternehmen, die als Betreiber kritischer Dienste identifiziert werden, sind nun verpflichtet, strengere Maßnahmen zur Abwehr von Cyberbedrohungen zu ergreifen. Dazu gehört die Implementierung und kontinuierliche Verbesserung eines zukunftsfähigen Information Security Management Systems (ISMS), das sicherstellt, dass IT-Systeme stets auf dem neuesten Stand der Technik sind und den aktuellen Sicherheitsstandards entsprechen.

Zusätzlich zu den technischen Anforderungen müssen Unternehmen auch organisatorische Maßnahmen ergreifen, um ein umfassendes Sicherheitsmanagement zu gewährleisten. Dies beinhaltet die Schulung und Sensibilisierung der Mitarbeiter, die Einführung von Notfallplänen sowie die regelmäßige Überprüfung und Anpassung der Sicherheitsstrategien. Durch die Harmonisierung der Sicherheitsanforderungen innerhalb der EU wird ein höheres Schutzniveau für kritische Infrastrukturen angestrebt, was letztendlich die Resilienz der gesamten europäischen Wirtschaft gegenüber Cyberbedrohungen stärkt.

Wesentliche Änderungen im Vergleich zur NIS1

Im Vergleich zur vorherigen Version (NIS1) wurden in der NIS2-Richtlinie zahlreiche signifikante Änderungen vorgenommen, um den aktuellen Bedrohungen im Bereich der Cybersicherheit besser begegnen zu können und die Resilienz kritischer Infrastrukturen zu erhöhen.

Erweiterter Anwendungsbereich: Die NIS2-Richtlinie gilt nun für eine deutlich breitere Palette von Sektoren und Dienstleistern. Während NIS1 primär auf bestimmte Sektoren wie Energie, Verkehr, Bankwesen und Gesundheitswesen beschränkt war, umfasst NIS2 nun auch Sektoren wie die öffentliche Verwaltung, Raumfahrt, Wasserversorgung und -entsorgung sowie Hersteller von kritischen Produkten. Dies bedeutet, dass auch kleinere und mittlere Unternehmen, die in diesen erweiterten Sektoren tätig sind, unter die Richtlinie fallen und somit den erhöhten Sicherheitsanforderungen genügen müssen. Ein Beispiel hierfür ist ein mittelständisches Unternehmen, das spezielle Software für das Gesundheitswesen entwickelt und vertreibt. Unter NIS2 muss dieses Unternehmen nun strenge Sicherheitsvorkehrungen implementieren, um die Integrität und Verfügbarkeit ihrer Systeme zu gewährleisten.

Strengere Sicherheitsanforderungen: Die Sicherheitsanforderungen wurden erheblich verschärft, um den gestiegenen Bedrohungen durch Cyberangriffe gerecht zu werden. Unternehmen müssen nun umfassendere Maßnahmen zur IT-Sicherheit und zum Schutz kritischer Infrastrukturen umsetzen. Dazu gehören unter anderem regelmäßige Sicherheitsüberprüfungen, die Implementierung von Verschlüsselungstechnologien, die Etablierung von Sicherheitsrichtlinien und Schulungen für Mitarbeiter sowie die Einführung von Notfallplänen für den Fall eines Sicherheitsvorfalls. Beispielsweise muss ein Energieversorger sicherstellen, dass seine IT-Systeme regelmäßig auf Schwachstellen überprüft werden und dass es klare Protokolle gibt, wie im Falle eines Cyberangriffs vorzugehen ist, um die Versorgungssicherheit nicht zu gefährden.

Risikomanagement-Ansatz: Ein zentrales Element der NIS2-Richtlinie ist die Einführung eines systematischen Risikomanagements. Unternehmen sind verpflichtet, kontinuierlich potenzielle Bedrohungen zu identifizieren und zu bewerten sowie geeignete Maßnahmen zur Risikominderung zu ergreifen. Dies beinhaltet die Durchführung regelmäßiger Risikoanalysen, die Bewertung der Auswirkungen möglicher Sicherheitsvorfälle und die Entwicklung von Strategien zur Risikominimierung. Ein Beispiel hierfür ist eine Bank, die durch den Einsatz von Risikoanalyse-Tools und die Durchführung von regelmäßigen Penetrationstests sicherstellt, dass mögliche Schwachstellen in ihren Systemen frühzeitig erkannt und behoben werden. Darüber hinaus muss die Bank einen umfassenden Krisenmanagementplan entwickeln, der beschreibt, wie im Falle eines Cyberangriffs schnell und effektiv reagiert werden kann, um den Geschäftsbetrieb aufrechtzuerhalten und den Schaden zu minimieren.

Durch diese und weitere Änderungen soll die NIS2-Richtlinie dazu beitragen, die Cybersicherheit in der EU auf ein höheres Niveau zu heben und die Resilienz gegen Cyberbedrohungen zu stärken.

Geltungsbereich der NIS2-Richtlinie

Die NIS2-Richtlinie geht weit über den bisherigen Geltungsbereich hinaus. Konkret wird bei NIS 2 zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“ unterschieden. Auch die Unternehmensgröße spielt eine Rolle dabei. Die NIS2-Richtlinie richtet sich an zwei Hauptgruppen von Akteuren:

• Betreiber wesentlicher Dienste (OES): Unternehmen in Schlüsselbereichen wie Energie, Verkehr, Gesundheitswesen, Bankwesen und digitale Infrastruktur. Diese Unternehmen sind entscheidend für die Aufrechterhaltung wesentlicher Dienste und müssen daher robuste Sicherheitsmaßnahmen implementieren.

• Digitale Diensteanbieter (DSP): Plattformen, die Dienste wie Cloud-Computing, Online-Marktplätze und Suchmaschinen anbieten. Diese Anbieter müssen ebenfalls Sicherheitsvorkehrungen treffen, um die Verfügbarkeit und Integrität ihrer Dienste zu gewährleisten.

• Ausweitung auf weitere Branchen: Die NIS2-Richtlinie erweitert den Anwendungsbereich im Vergleich zur NIS1 erheblich, um auch Sektoren wie Wasser- und Abwasserwirtschaft sowie weitere digitale Dienstleister einzubeziehen. Kleine und mittlere Unternehmen (KMU) könnten ebenfalls betroffen sein, wenn sie als wesentliche Dienste oder digitale Diensteanbieter qualifiziert werden.

• Unterschieden werden mittlere und große Unternehmen: Die Grenze für mittlere Unternehmen liegt zwischen 50 und 250 Mitarbeitern, 10 bis 50 Millionen Euro Umsatz und einer Bilanzsumme kleiner als 43 Millionen Euro. Große Unternehmen haben dagegen mehr als 250 Mitarbeiter, mehr als 50 Millionen Euro Umsatz und eine Bilanzsumme größer als 43 Millionen Euro.

Pflichten der betroffenen Unternehmen

Unternehmen, die unter die NIS2-Richtlinie fallen, müssen eine Reihe von Pflichten erfüllen, um die Compliance sicherzustellen und die Sicherheit ihrer Netzwerke und Informationssysteme zu gewährleisten.

• Sicherheitsvorkehrungen: Unternehmen sind verpflichtet, angemessene technische und organisatorische Maßnahmen zur Gewährleistung der IT-Sicherheit zu implementieren. Dies umfasst den Einsatz von Firewalls, Intrusion-Detection-Systemen, regelmäßigen Sicherheitsüberprüfungen und Updates der verwendeten Software. Ein praktisches Beispiel hierfür wäre die Implementierung eines umfassenden Endpoint-Schutzes, der alle Endgeräte im Netzwerk absichert und potenzielle Bedrohungen frühzeitig erkennt und abwehrt.

• Risikomanagement: Die Einführung eines Risikomanagement-Ansatzes ist unerlässlich, um Risiken zu identifizieren und zu bewerten. Unternehmen sollten regelmäßige Risikoanalysen durchführen und Risikobewertungen dokumentieren. Praktische Beispiele umfassen die Durchführung von Penetrationstests, um Schwachstellen im System zu identifizieren, und die Entwicklung von Notfallplänen, die im Falle eines Sicherheitsvorfalls aktiviert werden können. Ein konkretes Beispiel wäre die Einrichtung eines Security Operations Centers (SOC), das rund um die Uhr potenzielle Bedrohungen überwacht und darauf reagiert.

• Meldepflichten: Unternehmen haben die Pflicht, schwerwiegende Sicherheitsvorfälle an die nationalen Behörden zu melden. Dies umfasst die zeitnahe Meldung von Cyberangriffen, Datenverlusten oder anderen sicherheitsrelevanten Vorfällen. Ein Beispiel hierfür wäre die Implementierung eines Incident-Response-Teams, das darauf spezialisiert ist, Sicherheitsvorfälle zu erkennen, zu analysieren und zu melden. Dieses Team sollte klare Protokolle und Kommunikationswege haben, um sicherzustellen, dass alle relevanten Informationen schnell und präzise an die Behörden weitergeleitet werden.

• Mindeststandards: Die Festlegung von Mindestanforderungen an die Sicherheitsstandards variiert je nach Sektor und ist entscheidend für die Einhaltung der NIS2-Richtlinie. Unternehmen müssen branchenspezifische Sicherheitsanforderungen erfüllen, die beispielsweise im Finanzsektor strenger sein können als im Bildungssektor. Ein praktisches Beispiel wäre die Implementierung von Verschlüsselungstechnologien zur Sicherung sensibler Daten im Gesundheitswesen oder der Einsatz von Zwei-Faktor-Authentifizierung (2FA) im Bankensektor.

• Verfügbarkeit und Untegrität: Unternehmen müssen sicherstellen, dass die von ihnen erbrachten Dienste verfügbar und integer sind. Dies bedeutet, dass die Systeme kontinuierlich überwacht und gewartet werden müssen, um Ausfälle zu verhindern und die Datenintegrität zu gewährleisten. Ein praktisches Beispiel hierfür wäre die Nutzung von Cloud-Backup-Lösungen, die eine schnelle Wiederherstellung von Daten im Falle eines Ausfalls ermöglichen. Zudem könnten Unternehmen redundante Netzwerkinfrastrukturen implementieren, um die Verfügbarkeit ihrer Dienste auch bei Hardware-Ausfällen sicherzustellen.

Durch die detaillierte Betrachtung und praktische Beispiele wird deutlich, wie umfassend und vielschichtig die Anforderungen der NIS2-Richtlinie sind. Unternehmen müssen proaktiv und strategisch vorgehen, um die verschiedenen Aspekte der IT-Sicherheit zu berücksichtigen und die Compliance zu gewährleisten.

Umsetzung der Richtlinie in der Praxis

Die Umsetzung der NIS2-Richtlinie erfordert eine proaktive Herangehensweise und die Zusammenarbeit verschiedener Abteilungen innerhalb eines Unternehmens.

• Bewertung der Betroffenheit: Identifizierung, ob das Unternehmen als OES oder DSP qualifiziert ist.

• Implementierungsplan: Entwicklung eines detaillierten Plans zur Umsetzung der erforderlichen Maßnahmen.

• Schulungen: Schulung der Mitarbeiter über die neuen Anforderungen und Best Practices.

• Sicherheitsbewusstsein: Förderung eines Sicherheitsbewusstseins auf allen Ebenen des Unternehmens.

• Regelmäßige Audits: Durchführung regelmäßiger Audits und Überprüfungen, um die Einhaltung der Richtlinie sicherzustellen.

• Technologische Unterstützung: Einsatz von spezialisierten Cybersicherheits-Tools und -Lösungen.

Fazit

Die NIS2-Richtlinie stellt eine wichtige Entwicklung im Bereich der Cybersicherheit dar und hat weitreichende Auswirkungen auf Unternehmen in Europa. Durch die Erfüllung der Anforderungen können Unternehmen nicht nur ihre eigene Sicherheit verbessern, sondern auch zur Resilienz des gesamten digitalen Ökosystems beitragen.

Artikel in überarbeiteter Form veröffentlicht am: 8. August 2024