Ab Oktober 2024 definiert die NIS2-Richtlinie erhöhte Cybersicherheitsstandards für bestimmte Unternehmen in der EU. Die bisherige Richtlinie „Network and Information Systems Directive“ (NIS) ist seit 2016 in Kraft. Die neue Richtlinie NIS2 fordert weitere Maßnahmen zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen in der EU. Für das deutsche NIS2-Umsetzungsgesetz liegt derzeit ein Referentenentwurf vor. Das Gesetz soll mit leichten Abweichungen und deutschen Anpassungen voraussichtlich ab Oktober 2024 in Kraft treten.
Betroffene Unternehmen
Die EU unterteilt Unternehmen in die Kategorien „Wesentlich“ und „Wichtig“:
- Als wesentliche Organisationen (essential) gelten hauptsächlich KRITIS-Unternehmen, also Betriebe von wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall massive Folgen hätte. Die NIS2-Richtlinie nennt hier elf Bereiche: Energie, Abwasser, Trinkwasser, digitale Infrastruktur, Bankwesen, Verwaltung von IKT-Diensten (B2B), Finanzmarktinfrastruktur, öffentliche Verwaltung, Gesundheitswesen, Weltraum und Verkehr.
- Zu den wichtigen Organisationen (important) zählen sieben Branchen: Post- und Kurierdienste, Abfallbewirtschaftung, Lebensmittel (Produktion, Verarbeitung und Vertrieb), Chemie (Produktion, Herstellung und Handel), digitale Dienste, Industrie (inklusive Maschinenbau, Fahrzeugbau, Datenverarbeitungsgeräten) sowie Forschung.
Betroffen sind öffentliche und private Einrichtungen der genannten 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens zehn Millionen Euro Jahresumsatz.
Kleine Unternehmen sind von der NIS2-Richtlinie eigentlich nicht betroffen. Jedoch gibt es Ausnahmen, bei denen die Unternehmensgröße keine Rolle spielt. Die NIS2-Vorgaben gelten demnach für alle Anbieter von DNS-Diensten, Top-Level-Domänen-Namensregistern sowie öffentlicher elektronischer Kommunikationsnetze.
Zusätzlich können auch KMU ins Visier geraten – und zwar dann, wenn sie als Dienstleister und Lieferanten für die direkt betroffenen Unternehmen tätig sind. Dann sind sie unter Umständen gezwungen, ebenso strenge Sicherheitsvorkehrungen einzuhalten, um die gesamte Lieferkette zu schützen. Beispielsweise kann ein Automobilhersteller seine Zulieferer verpflichten, bestimmte Cybersecurity-Technologien einzuführen, um selbst nicht gegen die EU-Vorgaben zu verstoßen.
Anforderung von NIS2
Die Richtlinie nennt verschiedene Bereiche und Maßnahmen, die mindestens abgedeckt werden müssen. Dazu gehören unter anderem:
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs durch Backup-Management und Wiederherstellung nach einem Notfall sowie Krisenmanagement
- Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
- Schulungen im Bereich der Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
Betroffene Unternehmen sollten sich ausführlich und zeitnah mit der NIS2-Richtlinie befassen, damit sie bis Oktober 2024 alle Anforderungen erfüllen. Bei Nichteinhaltung fallen nämlich Bußgelder und Sanktionen an.
Auch kleine Unternehmen sollten dem Thema Cybersecurity mehr Aufmerksamkeit schenken. Denn beispielsweise ein Awareness-Training oder ein Disaster-Recovery-Plan bringen im Ernstfall nur Vorteile mit sich. Gerne steht Ihnen die IT Works AG individuell zum Thema Cybersecurity zur Verfügung.