NIS2-Richtlinie

Die NIS2-Richtlinie ist seit Monaten ein allgegenwertiges Thema. Die EU will mit der überarbeiteten Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS2) die Cybersicherheit verbessern.

Wir erklären, was es mit NIS2 auf sich hat und was dadurch auf Unternehmen zukommt.

Cybercrime weiter auf Rekordniveau

Es klingt schon fast nach einer alten Leier, wenn das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) mit seinem alljährlichen Bericht zur Lage der IT-Sicherheit in Deutschland wieder vor einem Cybercrime-Geschehen auf Rekordniveau warnt – so wie es auch beim BSI-Lagebericht 2023 wieder der Fall war.

Aber es ist nun einmal so: Die Akteure auf der Bühne der Internetkriminalität übertreffen sich jedes Jahr aufs Neue und entwickeln täglich neue Methoden, mit denen sie Einrichtungen und Unternehmen angreifen können, um an wertvolle Daten und womöglich auch an lukrative Lösegelder zu kommen.

Für die potenziellen Opfer bedeutet das: Sie sollten jederzeit gegenüber Angriffsversuchen wachsam sein. In der Realität ist das aber häufig nicht der Fall. In vielen Einrichtungen und Unternehmen ist die IT-Infrastruktur noch immer nicht angemessen geschützt; der IT-Sicherheit wird nicht der Stellenwert eingeräumt, den sie eigentlich haben sollte. Und genau das soll die NIS2-Richtlinie ändern.

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (auch: NIS-2-Richtlinie) bezeichnet ein EU-Regelwerk, das auf die Cybersicherheit von Einrichtungen und Unternehmen abzielt. Während die Abkürzung NIS für „Network and Information Security“ steht, verrät die Ziffer „2“, dass es sich um eine zweite Fassung der ursprünglich 2016 veröffentlichten NIS-Richtlinie handelt.

Das Ziel der neuen NIS2-Richtlinie ist es, Mindeststandards für die Cybersicherheit zu definieren und so die Resilienz einzelner Einrichtungen und Unternehmen – und dadurch auch der gesamten EU – zu verbessern. Es gilt, Unterschiede zwischen den Ländern und Sektoren zu minimieren und einen einheitlichen Maßnahmenkatalog gegen Cyberbedrohungen umzusetzen.

Darüber, weshalb es zu der überarbeiteten Fassung der Richtlinie zur Sicherheit von Netz- und Informationssystemen gekommen ist, lässt sich streiten. Während böse Zungen behaupten, der mäßige Erfolg des ersten Regelwerks sei der Grund, gibt es auch wohlwollende Stimmen, die sich darauf berufen, dass die sieben Jahre alte Richtlinie den seither neuen Herausforderungen im Bereich der Cybersicherheit nicht mehr gerecht wird.

Wen betrifft die NIS2-Richtlinie?

In die Pflicht genommen werden in erster Linie die Betreiber der sogenannten Kritischen Infrastrukturen (kurz: KRITIS). Warum? Weil diese für das Gemeinwohl extrem wichtig sind, stark von der Informations- und Kommunikationstechnologie abhängen und daher als Ziel von Cyberattacken besonders interessant erscheinen. Denn wird eine Einrichtung aus der Kategorie KRITIS durch eine Attacke lahmgelegt, sind die Auswirkungen oft weitreichend.

Die Angriffe können entweder politisch motiviert sein und sollen beispielsweise dem Gemeinwesen eines bestimmten Landes schaden; es ist aber genauso gut möglich, dass allein ein finanzielles Interesse hinter einer Attacke steckt, sprich: Die Angreifer erhoffen sich (besonders) hohe Lösegelder. Fakt ist, dass Betreiber kritischer Infrastrukturen einen Anstieg an Cyberangriffen erleben, wie unter anderem der Digitalverband Bitkom berichtet.

Neue Richtlinie mit zusätzlichen Sektoren

Wichtig zu wissen: Die NIS2-Richtlinie zieht den Kreis derer, die als KRITIS gewertet werden, nun deutlich größer, denn es kommen neue elementare Sektoren hinzu. Dabei wird wie folgt differenziert:

• „Essential Entities“ (deutsch: wesentliche Einrichtungen) mit den folgenden Sektoren:
  • Energie (mit Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff)
  • Transport (mit Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
  • Bankwesen
  • Finanzmärkte
  • Gesundheit
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • ICT Service Management
  • Öffentliche Verwaltung
  • Weltraum
• „Important Services“ (deutsch: wichtige Einrichtungen) mit den folgenden Sektoren:
  • Post und Kurier
  • Abfallwirtschaft
  • Chemikalien
  • Lebensmittel
  • Industrie
  • Digitale Dienste
  • Bildung und Forschung

Kleine Unternehmen sind von der Richtlinie kaum betroffen – es sei denn sie sind alleiniger Anbieter eines Dienstes  in einem Land und tragen entscheidend zur Aufrechterhaltung wesentlicher Aktivitäten der Gesellschaft oder ihrer Wirtschaft bei. Oder aber sie sind Teil von Lieferketten, in denen auch betroffene Unternehmen involviert sind. Ansonsten gilt die Richtlinie für Unternehmen und Organisationen der genannten Sektoren mit mindestens 50 Mitarbeitern und 10 Millionen Euro Jahresumsatz.

Was besagt die NIS2-Richtlinie?

Die NIS2-Richtlinie soll Einrichtungen und Unternehmen gewissermaßen zu ihrem Glück, nämlich einer umfassenden Cybersecurity, zwingen. Dafür ist ein umfassender Vorgabenkatalog definiert, den es entsprechend umzusetzen gilt. Im Wesentlichen geht es mit den vorgeschriebenen Maßnahmen darum, die Angriffsfläche zu minimieren, Angriffe frühzeitig zu erkennen, im Ernstfall schnell zu reagieren und Systeme vollständig wiederherstellen zu können. In der NIS2-Richtlinie werden 14 Punkte genannt, die von den betroffenen Unternehmen und Sektoren zu erfüllen sind:

• Policies (Richtlinien für Risiken und Informationssicherheit)
• Incident Management (Prävention, Detektion und Bewältigung von Cybervorfällen)
• Business Continuity (Business Continuity Management mit Backup Management, Desaster Recovery, Krisen-Management)
• Supply Chain (Sicherheit in der Lieferkette)
• Einkauf (Sicherheit in der Beschaffung von IT und Netzwerk-Systemen)
• Effektivität (Vorgaben zur Messung von Cyber- und Risiko-Maßnahmen)
• Training (Cyber-Security-Hygiene)
• Kryptographie (Vorgaben für Kryptographie und Verschlüsselung)
• Personal (Human Resources Security)
• Zugangskontrolle
• Asset Management (ISMS)
• Authentication (Einsatz von Multi-Faktor-Authentifizierung [MFA] und Single-Sign-On [SSO])
• Kommunikation (Einsatz sicherer Sprach-, Video- und Text-Kommunikation)
• Notfall-Kommunikation (Einsatz gesicherter Notfall-Kommunikations-Systeme)

Das umfangreiche Regelwerk geht noch genauer auf all diese Punkte ein. Für genauere Informationen empfehlen wir daher einen Blick in die NIS2-Richtlinie selbst, sprich die DIRECTIVE (EU) 2022/2555 des europäischen Parlaments.

Ab wann gilt die NIS2-Richtlinie?

Die NIS2-Richtlinie ist am 27. Dezember 2022 im Amtsblatt L333 der Europäischen Union veröffentlich worden und am zwanzigsten Tag nach ihrer Veröffentlichung, also dem 16. Januar 2023, in Kraft getreten; 21 Monate hatten die Mitgliedsstaaten ab diesem Tag Zeit, um die Richtlinie in nationales Recht zu überführen – als offizieller Stichtag galt der 14. Oktober 2024. Betroffene Einrichtungen und Unternehmen hätten die NIS2-Richtlinie entsprechend bis zu diesem Tag umgesetzt haben müssen. Eigentlich.

Tatsächlich konnte dieser Stichtag hierzulande nicht gehalten werden. Seit Juli 2024 liegt zwar ein mehr als 200 Seiten starker Gesetzesentwurf (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz; kurz: NIS2UmsuCG) zur Umsetzung von NIS2 vor, dieser muss aber noch durch den Bundestag und Bundesrat beschlossen werden. Nach aktuellem Stand ist ein Inkrafttreten von NIS2 in Deutschland im März 2025 vorgesehen.

Und ist die Richtlinie dann geltendes Recht, sollten Einrichtungen und Unternehmen die in dem Gesetz genannten Mindestanforderungen auch erfüllen, um nicht – gewissermaßen mutwillig – dagegen zu verstoßen. Kurzum: Der Countdown läuft. Es gilt, besser früher als später tätig zu werden, die eigene IT-Sicherheit entsprechend kritisch zu hinterfragen und gegebenenfalls aufzurüsten. Schließlich sollte ein möglichst hoher Schutz im eigenen Interesse liegen.

In sechs Schritten zur NIS2-Compliance

Die NIS2-Richtlinie umzusetzen, mag auf den ersten Blick eine Mammutaufgabe zu sein. Letztlich bietet diese Herausforderung aber auch die Möglichkeit, die IT-Sicherheit nachhaltig zu stärken. Mit den folgenden sechs Schritten können Organisationen diese Aufgabe bewältigen und den neuen Anforderungen gerecht werden:

1. Prüfen Sie Ihre Betroffenheit:
   Zunächst gilt es zu prüfen, ob das eigene Unternehmen überhaupt betroffen ist, und – wenn ja – welche Verpflichtungen gemäß der NIS2-Richtlinie zu erfüllen sind. Dies betrifft vor allem kritische Infrastrukturen und Unternehmen mit 50+ Mitarbeitern. Zudem müssen sich betroffene Unternehmen in nationalen Portalen registrieren.
2. Gleichen Sie Rahmenwerke ab:
   Der nächste Schritt besteht darin, bestehende Sicherheitsrahmenwerke wie ISO 27001 oder ähnliche Standards mit den Anforderungen der NIS2-Richtlinie abzugleichen. Unternehmen sollten sicherstellen, dass ihre aktuellen Maßnahmen mit den neuen Regelungen übereinstimmen, um Lücken frühzeitig zu identifizieren.
3. Etablieren Sie ein Projektteam:
   Die Verantwortung für die Einhaltung der NIS2-Vorgaben liegt nicht allein beim IT-Sicherheitsteam. Es ist ratsam, ein interdisziplinäres Team zu bilden, das von einem CISO geleitet wird. Das Team sollte Experten aus Bereichen wie Risikomanagement, IT-Architektur und Compliance umfassen
4. Machen Sie eine Bestandaufnahme:
   Ein zentraler Teil der Compliance ist das Management der IT-Ressourcen. Unternehmen müssen einen vollständigen Überblick über alle Technologien und Systeme haben, die in ihrer Infrastruktur eingesetzt werden. Eine zentrale Asset-Management-Lösung kann hier helfen. Zudem sollten regelmäßige Audits durchgeführt werden.
5. Nutzen Sie vorhandene Prüfergebnisse:
   Viele Unternehmen haben bereits im Rahmen anderer Regulierungen wie der DSGVO oder ISO 27001 Compliance-Prüfungen durchgeführt. Diese Ergebnisse können oft auf die NIS2-Vorgaben übertragen werden, was den Aufwand erheblich reduziert.
6. Vereinfachen Sie Ihre Infrastruktur:
   Eine der größten Herausforderungen bei der Umsetzung der NIS2-Richtlinie ist die Reduktion der Komplexität in der IT-Infrastruktur. Cloud-basierte Sicherheitsplattformen bieten eine effiziente Möglichkeit, die technische Komplexität zu minimieren.

Die NIS2-Compliance ist eine wichtige Investition in die IT-Sicherheit und Zukunftsfähigkeit von Unternehmen. Durch die frühzeitige Umsetzung der erforderlichen Maßnahmen sichern Organisationen nicht nur ihre IT-Infrastruktur ab, sondern stärken auch ihre Position im Kampf gegen immer komplexer werdende Cyberbedrohungen

IT-Experten helfen bei IT-Sicherheit

Viele der in der NIS2-Richtlinie genannten Vorgaben lassen sich mit einer Zero-Trust-Strategie in Kombination mit einem System für das Security Information and Event Management (SIEM) oder das Security Operations Center (SOC) bereits abdecken. Sie möchten genauer wissen, was es damit auf sich hat? Oder möchten Sie so ein System in Ihrem Unternehmen einrichten lassen? In jedem Fall sind Sie bei sämtlichen Anliegen rund um die Cybersicherheit bei den Experten aus dem IT-SERVICE.NETWORK genau richtig.

Die Fachleute aus unserem Netzwerk kennen sich mit den notwendigen Schutzmaßnahmen gegen Cyberbedrohungen aus und wissen auch  mit komplizierten Regelwerken wie der NIS2-Richtlinie etwas anzufangen. Nehmen Sie einfach Kontakt auf und lassen Sie sich zunächst völlig unverbindlich beraten – wir freuen uns auf Ihre Anfrage!

---

Weiterführende Links:
BSI, SECURITY INSIDER, ESET, SECURITY INSIDER, SECURITY INSIDER, SECURITY INSIDER, NIS2-Navigator, BMI, SECURITY INSIDER