NIS2 Maßnahmen - Was müssen Unternehmen tun?

Was ist NIS2?

Die NIS2-Richtlinie ist eine EU-weite Richtlinie mit dem Ziel, die Cybersicherheit in Europa zu verbessern. Durch NIS2 Maßnahmen soll der Widerstand kritischer Infrastrukturen gegenüber Cyberbedrohungen erhöht werden. Sie baut auf der ursprünglichen NIS1-Richtlinie auf und erweitert deren Anwendungsbereich. Zudem erhöht sie die Anforderungen an die Cybersicherheit.

Am 16. Januar 2023 ist die NIS2-Richtlinie in Kraft getreten und muss bis zum 17. Oktober 2024 von den einzelnen EU-Staaten umgesetzt werden.

In Deutschland wird dies durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuGG) geschehen, das voraussichtlich am 17. Oktober 2024 in Kraft treten wird.

Welche Anforderungen der NIS2 sind tatsächlich neu?

Der Aufbau und die Nutzung von Governance-, Risk- und Compliance-Strukturen sowie internen Kontrollsystemen dürfte für die meisten (Groß-)Unternehmen keine Neuerung sein. Wer solche Strukturen bereits hat, kann und muss sie zur Konformität nutzen.

Als „neu“ zu bewerten ist der enorm erweiterte Geltungsbereich, der sich weit in die Lieferketten erstreckt. Zudem gibt es präzise Anforderungen an die Geschäftsführung, sowohl bei Sanktionen als auch im übergeordneten Risikomanagement. Diese NIS2 Maßnahmen umfassen auch die damit einhergehende Steuerung und Kontrolle von oben nach unten.

1. Erweiterte Anwendungsbereiche

NIS2 Maßnahmen umfassen nicht nur Betreiber wesentlicher Dienste, wie es bei NIS1 der Fall war, sondern auch:

  • Öffentliche Verwaltung, sowohl auf nationaler als auch auf regionaler Ebene
  • Unternehmen aus den Bereichen Post- und Kurierdienste, Abfallmanagement, Herstellung von Chemikalien, Lebensmitteln und Arzneimitteln.
  • Digitale Dienstleister. Dazu gehören Soziale Netzwerke, Online-Marktplätzen und Online-Suchmaschinen.

2. Strengere Sicherheitsanforderungen und Risiko-Management

Die NIS1 betonte die Notwendigkeit von Sicherheitsmaßnahmen, jedoch wurden die Details den Mitgliedstaaten überlassen. Die NIS2 hingegen präzisiert und verstärkt die Sicherheitsanforderungen, unter anderem:

  • Die Verpflichtung zum Risikomanagement für Betreiber wesentlicher Dienste und digitale Dienstleister.
  • Die konkrete Festlegung der nicht delegierbaren Gesamtverantwortung an das Top-Management – inklusive „Schulbankpflicht“ i.Z.m. Risiko-Maßnahmen und -Entscheidungen.
  • Angemessene technische und organisatorische Maßnahmen zu implementieren. Dazu gehören präventive sowie reaktive Maßnahmen, wie z. B. Zugangskontrollen, Verschlüsselung, Vorfallmanagement und Notfallwiederherstellungspläne.

3. Meldepflicht für Sicherheitsvorfälle

Unter der NIS1 mussten Sicherheitsvorfälle nur gemeldet werden, wenn sie erhebliche Auswirkungen auf die Kontinuität der betroffenen Dienste hatten. Ohne solche erheblichen Auswirkungen waren die Vorfälle nicht meldepflichtig.

Ohne diese erheblichen Auswirkungen waren Vorfälle nicht meldepflichtig. Dies bedeutet, dass nicht alle Vorfälle meldepflichtig waren. Die NIS2 führt hingegen detailliertere Meldepflichten ein:

  • Erhebliche Cybervorfälle müssen innerhalb von 24 Stunden nach der Erkennung gemeldet werden.
  • Ein detaillierter Bericht muss innerhalb von 72 erstellt werden.
  • Regelmäßige Updates sind erforderlich, solange die Untersuchung des Vorfalls andauert.

4. Verstärkte Aufsicht und Durchsetzung

Bei der NIS1 hatten die Mitgliedstaaten Spielraum bei der Umsetzung und Durchsetzung der Richtlinie. NIS2 Maßnahmen stärken hingegen die Befugnisse der nationalen Aufsichtsbehörden, durch die:

  • Einführung strengerer Überwachungs- und Durchsetzungsmechanismen.
  • Befugnis zur Durchführung von Audits, Vor-Ort-Inspektionen und zur Anforderung von Informationen.
  • Möglichkeit Sanktionen bei Nichteinhaltung zu verhängen, einschließlich Bußgeldern.

5. Stärkere Zusammenarbeit und Koordination auf EU-Ebene

Die NIS1 förderte die Zusammenarbeit zwischen den Mitgliedstaaten, jedoch blieb die konkrete Umsetzung offen. Die NIS2 hingegen führt neue Kooperationsmechanismen ein, unter anderem:

  • Die Einrichtung eines Netzwerkes (EU-CyCLONe), um die Reaktion auf grenzüberschreitende Cyberkrisen zu koordinieren.
  • Den verbesserten Informationsaustausch durch die Computer Security Incident Response Teams (CSIRTs) und die Europäische Agentur für Cybersicherheit (ENISA).

6. Berücksichtigung der Lieferkette und Drittparteien-Risiken

Während die NIS1 hauptsächlich die Betreiber wesentlicher Dienste in den Fokus stellte, verlangt die NIS2 von Unternehmen mehr. Sie müssen nun auch Risiken, die von Drittparteien und der Lieferkette ausgehen, in ihre Sicherheitsstrategien einbeziehen. Dies umfasst unter anderem:

  • Unternehmen müssen sicherstellen, dass auch ihre Lieferanten und Dienstleister angemessene Sicherheitsvorkehrungen treffen.
  • Einführung von Anforderungen zur Überwachung und Bewertung von Drittanbietern.

Was müssen betroffene Unternehmen konkret machen?

Durch NIS2 Maßnahmen haben Unternehmen eine erhöhte Verantwortung und müssen ihre Sicherheitsmaßnahmen und -prozesse gründlich überprüfen, anpassen und stärken.

Dazu gehört die Entwicklung und Implementierung umfassender Sicherheitsstrategien sowie die Schulung der Mitarbeiter in Sicherheitsfragen. Auch die regelmäßige Überprüfung der IT-Infrastruktur und die Zusammenarbeit mit Aufsichtsbehörden sowie anderen Unternehmen sind erforderlich.

Für Großunternehmen bedeutet dies:

1. Überwachung von Dienstleistern

Großunternehmen müssen sicherstellen, dass ihre Dienstleister die NIS2 Anforderungen erfüllen. Die konkreten Maßnahmen hierfür sind:

  • Due-Diligence Prüfungen: Unternehmen sollen bei der Auswahl von Dienstleistern
    gründliche Sicherheitsüberprüfungen durchführen.
  • Vertragliche Verpflichtungen: Sicherheitsanforderungen und Meldepflichten
    sollten vertraglich geregelt werden.
  • Regelmäßige Audits: Unternehmen sollen bei den Dienstleistern regelmäßige
    Sicherheitsbewertungen und Audits durchführen.
  • Monitoring-Systeme: Unternehmen sollen Systeme implementieren zur
    kontinuierlichen Überwachung der Sicherheitsleistung der Dienstleister.

2. Interne Sicherheitsmaßnahmen

Großunternehmen müssen umfassende Sicherheitsstrategien und -maßnahmen implementieren. Die konkreten Maßnahmen hierfür sind:

  • Risikomanagement: Unternehmen sollen regelmäßige Risikoanalysen durchführen, um Sicherheitsrisiken zu identifizieren und zu bewerten.
  • Technische Maßnahmen: Technologien wie Firewalls, Verschlüsselung und Intrusion Detection Systems (IDS) sollen beim Unternehmen eingesetzt werden.
  • Organisatorische Maßnahmen: Notfall- und Wiederherstellungspläne sollen
    entwickelt und implementiert werden.
  • Schulungen: Mitarbeiter sollen regelmäßig geschult werden, um ihre
    Sensibilisierung für Sicherheitsrisiken zu stärken.

3. Meldepflichten für Sicherheitsvorfälle

Sicherheitsvorfälle, die wesentliche Auswirkungen auf Dienste haben, müssen innerhalb 24 Stunden an die zuständigen nationalen Behörden gemeldet werden. Die konkreten Maßnahmen hierfür sind:

  • Notfallpläne: Unternehmen sollen Notfallpläne entwickeln, die klare Prozesse für die Meldung und Bewältigung von Sicherheitsvorfällen enthalten.
  • Meldesysteme: Unternehmen sollen automatisierte Systeme zur schnellen Erkennung und Meldung von Vorfällen implementieren, um sicherzustellen, dass Vorfälle innerhalb der vorgeschriebenen Frist gemeldet werden.
  • Dokumentation: Sowohl die Sicherheitsvorfälle als auch die ergriffenen Maßnahmen sollen detailliert aufgezeichnet werden.

Für betroffene Dienstleister bedeutet dies:

1. Sicherheitsstandards einhalten

Dienstleister müssen Sicherheitsmaßnahmen implementieren, die den NIS2 Anforderungen entsprechen. Die konkreten Maßnahmen sind:

  • IT-Infrastruktur: Dienstleister sollen ihre IT-Infrastruktur gegen Cyberangriffe aktualisieren und härten.
  • Sicherheitslösungen: Technische Lösungen wie Firewalls, Anti-Malware-Software und Verschlüsselung sollen implementiert werden.
  • Sicherheitsaudits: Dienstleister sollen regelmäßige Sicherheitstests und Audits durchführen, um die Effektivität der Sicherheitsmaßnahmen zu überprüfen.
  • Risikomanagement: Dienstleister sollen ein umfassendes Risikomanagement etablieren, um potenzielle Bedrohungen zu identifizieren und zu bewältigen

2. Vertragliche Anpassungen

Dienstleister sollen die Verträge mit den Kunden anpassen, um die Einhaltung der NIS2 Anforderungen sicherzustellen. Die konkreten Maßnahmen hierfür sind:

  • Vertragsklauseln: Spezifische Sicherheitsanforderungen und Meldepflichten sollen in den Verträgen integriert werden.
  • Kommunikation: Dienstleister sollen mit den Kunden transparent über die getroffenen Sicherheitsmaßnahmen und Verfahren zur Meldung von Vorfällen kommunizieren.

Fazit

Betroffene Unternehmen müssen umfassende Maßnahmen zur Verbesserung ihrer Cybersicherheit ergreifen. Dies beinhaltet sowohl technische als auch Maßnahmen im Hinblick auf die Organistaion.

Dazu gehören die Überwachung und Überprüfung von Dienstleistern sowie die Einhaltung strenger Meldepflichten. Unternehmen können ihre Sicherheitslage stärken und die Anforderungen der NIS2-Richtlinie erfüllen, indem sie diese Maßnahmen proaktiv umsetzen.
 

Wir, die fernao information security GmbH, sind Ihr Partner für den Schutz Ihrer Daten. Von der Planung über Risikomanagement bis zur Wahl der richtigen Schutzmaßnahmen – wir decken alles ab. Dabei setzen wir auf internationale Standards und Best-Practice-Ansätze. Für eine Beratung zur NIS2-Richtlinie stehen wir Ihnen gerne zur Verfügung. Nehmen Sie gern Kontakt zu uns auf!
Kontakt anfragen
 

Informieren Sie sich auch gern vorab über unsere Leistungen im Bereich Information Security Management System (ISMS).
Information Security Management System (ISMS)

Autor: Dominik Baum (fernao information security GmbH)

Hier finden Sie weitere Beiträge zum Thema NIS2!

NIS2: Wer ist betroffen?

NIS2-Folgen: Unternehmen drohen hohe Bußgelder

NIS2: Umgang mit IT-Sicherheitsvorfällen im Unternehmen

NIS2 Security: Effiziente Angriffserkennung & Reporting

< Zurück zur Übersicht
Home | Insights | Blog | NIS2 Maßnahmen - Was müssen Unternehmen tun?