Was ist NIS2 und welche Maßnahmen müssen Unternehmen jetzt ergreifen?

Was ist NIS2? Definition und Bedeutung der neuen Security-Richtlinie

2016 legte die NIS1-Richtlinie den Grundstein für den gemeinsamen Kampf der EU gegen Cyberangriffe. Mit zunehmender Digitalisierung und wachsenden Cyberbedrohungen wurde jedoch eine Aktualisierung notwendig.  

2023 trat deshalb die NIS2-Directive EU-weit in Kraft. Die offizielle Bezeichnung lautet „Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“.

Was bedeutet NIS? NIS steht für Network and Information Security.

Gilt NIS2 auch in Deutschland?

Neben dem KRITIS-Dachgesetz zielt NIS2 darauf ab, die Cyberresilienz und Reaktionsfähigkeit von Betrieben und Organisationen zu verbessern – auch in Deutschland. Die EU-Staaten hatten bis Oktober 2024 Zeit, das NIS2-Gesetz in nationales Recht umzusetzen.  

In Deutschland erfolgt dies voraussichtlich noch 2025 durch die Anpassung bestehender Gesetze und die Einführung neuer regulatorischer Anforderungen in Form des NIS2UmSuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), um die Vorgaben der EU-Richtlinie in deutsches Recht zu überführen.  

Für die Überwachung der Einhaltung des Gesetzes und die Unterstützung und Beratung für betroffene Einrichtungen ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig. Es hat zudem die Aufgabe, den Informationsaustausch zwischen den Organisationen und den zuständigen Behörden zu koordinieren, damit alle relevanten Akteure über aktuelle Bedrohungen und Sicherheitsvorfälle informiert sind und entsprechend reagieren können.

Wer von NIS2 betroffen ist, sollte sich frühzeitig mit der Umsetzung der NIS2-Anforderungen auseinandersetzen. Denn die Liste der Anforderungen ist lang.

Wie hängen die NIS2-Richtlinie und der Datenschutz zusammen?

Die NIS2-Richtlinie steht in engem Zusammenhang mit bestehenden Datenschutzgesetzen, insbesondere der Datenschutzgrundverordnung (DSGVO). Beide Regelwerke verfolgen das Ziel, die Sicherheit und den Schutz personenbezogener Daten zu gewährleisten, unterscheiden sich jedoch in ihrem Fokus. Während die DSGVO primär den Schutz personenbezogener Daten regelt, zielt NIS2 auf die Sicherstellung der allgemeinen Cybersicherheit ab.  

Dennoch gibt es Überschneidungen, insbesondere wenn es um die Sicherheit von Netz- und Informationssystemen geht, die personenbezogene Daten verarbeiten. So müssen Einrichtungen sicherstellen, dass ihre NIS2-Maßnahmen auch den Anforderungen der DSGVO entsprechen. Betreffen Sicherheitsvorfälle personenbezogene Daten, müssen sie außerdem nicht nur die NIS2-Meldepflichten beachten, sondern auch die Meldepflichten der DSGVO.

Was bedeutet NIS2 für verschiedene Branchen und Bereiche?

Je nach Gewerbe und Geschäftszweig variieren die Anforderungen der NIS2-Richtlinie. Kritische Infrastrukturen, wie Energieversorger und Finanzdienstleister, stehen unter besonderer Beobachtung, da ein Ausfall in diesen Bereichen erhebliche Auswirkungen auf die Gesellschaft haben könnte. Sie müssen deshalb erhebliche Ressourcen in ihre Cybersicherheitsmaßnahmen investieren.

Auch Organisationen, die bisher nicht unter die NIS-Richtlinie fielen, müssen sich nun auf die Einhaltung der EU-weiten NIS2-Directive vorbereiten. Dies betrifft insbesondere die Bereiche Lebensmittelproduktion, Chemie und digitale Dienstleistungen, die nun erstmals verpflichtet sind, umfangreiche Sicherheitsvorkehrungen zu treffen.

Welche Anforderungen kommen mit NIS2 auf Organisationen zu?

NIS2 hat weitreichende Auswirkungen auf Firmen, insbesondere in Bezug auf die Anforderungen an Cybersicherheitsmaßnahmen und die Notwendigkeit, diese in ihre bestehenden Strukturen zu integrieren.

Die Anforderungen lassen sich in fünf zentrale Kategorien unterteilen:

• Einrichtungen müssen ein umfassendes Risikomanagement und Sicherheitsmaßnahmen implementieren.

• Das NIS2-Gesetz verschärft die Meldepflichten für Sicherheitsvorfälle – Unternehmen müssen nicht nur den Vorfall selbst, sondern auch die ergriffenen Gegenmaßnahmen und deren Wirksamkeit dokumentieren und den zuständigen Behörden melden.  

• Die NIS2-Directive fordert eine engere Zusammenarbeit zwischen den Mitgliedstaaten sowie den betroffenen Organisationen und Behörden.  

• Die IT-Infrastruktur sollte durch Technische und organisatorische Sicherheitsmaßnahmen (TOM) gegen unbefugte Zugriffe geschützt sein. NIS2 verpflichtet Organisationen dazu, die Cybersicherheitsrisiken innerhalb der Lieferkette regelmäßig zu analysieren und zu minimieren.  

• Betroffene Unternehmen müssen ihre Teams mit Hilfe von Schulungsmaßnahmen für Cyberrisiken sensibilisieren.

In unserem Magazin beleuchten wir für Sie alle NIS2-Anforderungen im Detail.

Implementierung von NIS2: Maßnahmen und Schritte

Für Betriebe ist es entscheidend, frühzeitig Maßnahmen für NIS2 zu ergreifen, um die Anforderungen zu erfüllen. Die folgenden Schritte können bei der erfolgreichen Umsetzung der NIS2-Richtlinie unterstützen:

• Risikobewertung durchführen: Der erste Schritt zur Einhaltung der EU-weiten NIS2-Directive besteht darin, eine umfassende  durchzuführen. Einrichtungen müssen ihre Netz- und Informationssysteme auf potenzielle Schwachstellen und Bedrohungen hin analysieren und die entsprechenden Risiken bewerten.

• Sicherheitsplan implementieren: Basierend auf den Ergebnissen der Risikobewertung sollte ein Sicherheitsplan entwickelt werden, der spezifische NIS2-Maßnahmen zur Risikominimierung enthält. Dies umfasst sowohl technische als auch organisatorische Maßnahmen, wie die Implementierung von Sicherheitsprotokollen, die regelmäßige Überprüfung und Aktualisierung der Systeme sowie die Schulung der Mitarbeiter.

• Meldeverfahren etablieren: Organisationen müssen sicherstellen, dass sie über klare und effiziente Meldeverfahren für Sicherheitsvorfälle verfügen. Diese Verfahren sollten es ermöglichen, Vorfälle schnell zu erkennen, zu melden und entsprechende Gegenmaßnahmen einzuleiten.

• Mit Behörden und anderen Betrieben zusammenarbeiten: Das NIS2-Gesetz betont die Bedeutung der Zusammenarbeit. Firmen sollten daher enge Beziehungen zu den zuständigen Behörden sowie anderen Einrichtungen in ihrer Branche pflegen. Der Austausch von Informationen und bewährten Verfahren kann dazu beitragen, die allgemeine Sicherheitslage zu verbessern.

• NIS2-Maßnahmen regelmäßig prüfen und anpassen: Cybersicherheit ist ein fortlaufender Prozess. Organisationen sollten ihre Sicherheitsmaßnahmen regelmäßig überprüfen und an neue Bedrohungen und technologische Entwicklungen anpassen. Dies erfordert eine kontinuierliche Überwachung der Systeme sowie die Bereitschaft, flexibel auf neue Herausforderungen zu reagieren.

Beispiele für konkrete NIS2 Maßnahmen in der Unternehmenspraxis

Viele Organisationen haben bereits begonnen, ihre internen Sicherheitsrichtlinien und -prozesse an die Anforderungen der NIS2-Richtlinie anzupassen. Beispiele dafür sind unter anderem:

• Informationssicherheitsmanagementsystem (ISMS): Einführung eines ISMS nach anerkannten Standards wie ISO 27001 oder BSI IT-Grundschutz zur systematischen Verwaltung von Sicherheitsrisiken und kontinuierlichen Verbesserung der Sicherheitsmaßnahmen.

• Penetrationstests: Durchführung regelmäßiger Tests zur Identifizierung und Behebung potenzieller Schwachstellen in der IT-Infrastruktur.

• Incident-Response-Plan: Implementierung eines klar definierten Notfallplans zur Identifikation, Meldung und Behebung von Sicherheitsvorfällen, ergänzt durch regelmäßige Notfallübungen.

• Zugangskontrollen: Mehrstufige Authentifizierungsverfahren und rollenbasierte Zugriffskontrolle zur Minimierung des unbefugten Zugriffs auf sensible Daten und Systeme (Stichwort Need-to-Know-Prinzip).

• Datenverschlüsselung: Nutzung von Ende-zu-Ende-Verschlüsselung zum Schutz sensibler Unternehmensdaten.

• Überwachung der IT-Infrastruktur: Einsatz von Intrusion-Detection- und Intrusion-Prevention-Systemen zur frühzeitigen Erkennung von Bedrohungen und Angriffen.

• Backup- und Wiederherstellungslösungen: Implementierung robuster Datensicherung und Wiederherstellungssysteme zur Vermeidung von Datenverlusten und schnellen Reaktion auf Sicherheitsvorfälle.

• Cybersicherheits-Teams: Einführung von speziellen Sicherheitsteams für die Überwachung, Analyse und Reaktion auf Sicherheitsvorfälle. 

• Externe Cybersicherheitsdienstleister: Zusammenarbeit mit spezialisierten ISO 27001 Dienstleistern zur Identifizierung und Schließung von Sicherheitslücken.

• Schulungsmaßnahmen für Mitarbeiter: Regelmäßige Schulungen und Sensibilisierungsmaßnahmen können das Risiko menschlicher Fehler reduzieren, die oft eine Schwachstelle in der Cybersicherheitskette darstellen.

Welche Konsequenzen drohen bei Nichteinhaltung der NIS2-Richtlinie?

Bei Verstößen gegen die NIS2-Directive drohen empfindliche Strafen, die weit über die Sanktionen der ursprünglichen NIS-Richtlinie hinausgehen. Dies umfasst hohe Geldbußen, die je nach Schwere des Verstoßes und der Unternehmensgröße variieren können. Zudem müssen Wiederholungstäter weitere rechtliche Maßnahmen fürchten, einschließlich der möglichen Suspendierung ihrer Geschäftstätigkeit.

Erfahren Sie in unserem Magazin, welche Strafen bei NIS2 konkret drohen.

Vorteile bei Einhaltung von NIS2

Trotz der strengen Anforderungen und potenziellen Bestrafungen bietet die Einhaltung der EU-weiten NIS2-Richtlinie erhebliche Vorteile.

• Verbesserung der Cybersicherheit und des Risikomanagements: Durch die Implementierung der NIS2-Directive können Einrichtungen das Risiko von Sicherheitsvorfällen und deren potenziellen Auswirkungen auf das Geschäft reduzieren und bleiben auch in Krisensituationen handlungsfähig.

• Wettbewerbsvorteile und Kundenvertrauen: Die Einhaltung der NIS2-Anforderungen kann das Vertrauen in die Marke stärken. Zudem können Unternehmen, die sich aktiv um die Einhaltung bemühen, in der Lage sein, schneller auf neue regulatorische Anforderungen zu reagieren und sich somit einen Vorteil gegenüber Wettbewerbern zu verschaffen.

Wie geht es mit NIS2 in Deutschland weiter?

Das NIS2-Gesetz stellt einen wichtigen Schritt zur Verbesserung der Cybersicherheit in der EU dar, doch die Entwicklung in diesem Bereich ist dynamisch. Es ist zu erwarten, dass die NIS2-Richtlinie in den kommenden Jahren angepasst und erweitert wird, um neuen Bedrohungen und technologischen Entwicklungen Rechnung zu tragen.

Organisationen und Firmen müssen also flexibel bleiben und ihre Sicherheitsstrategien kontinuierlich anpassen, um auch den neuen Anforderungen gerecht zu werden. Wenn Sie Fragen zur NIS2-Richtlinie haben oder sich beraten lassen möchten, wie Sie NIS2 in Ihrer Organisation implementieren können, stehen Ihnen unsere ExpertInnen gern zur Seite.