Die Uhr tickt: Es sind noch 171 Tage, bis die neue EU-Richtlinie zum Schutz kritischer Netzwerk- und Informationssysteme – kurz NIS2 – in deutsches Recht übergeführt werden muss. Europaweiter Stichtag ist der 17. Oktober 2024. In Deutschland arbeitet das Bundesinnenministerium (BMI) bereits an dem neuesten Referentenentwurf für das NIS2-Umsetzungsgesetz. Wir informieren über den aktuellen Stand der Entwicklungen und geben Tipps, wie Unternehmen nun handeln sollten.
Inhalt
NIS2-Ziele und -Eckpfeiler
Stand des Gesetzgebungsverfahrens
Handlungsempfehlungen - Was ist jetzt zu tun?
Fazit
NIS2-Ziele und -Eckpfeiler
Unternehmen, die zur kritischen Infrastruktur (KRITIS) zählen, rücken seit der „Zeitenwende“ verstärkt in den Fokus und werden immer öfter Opfer von Cybersicherheitsvorfällen. Doch nicht nur KRITIS-Unternehmen sind das Ziel Cyberkrimineller. Auch immer mehr kleinere und mittelständische Unternehmen sehen sich mit Cyberangriffen konfrontiert. Die Folgen sind häufig hohe Schadenssummen, die Lahmlegung von betrieblichen Prozessen sowie Reputationsschäden.
Das Streben nach einem höheren Sicherheitsniveau und entsprechenden Kontrollinstanzen im gesamten EU-Binnenmarkt ist daher verständlich und richtig. Die nötigen Schritte werden mit Umsetzung der NIS2-Richtlinie in allen Mitgliedsländern ab Oktober 2024 ergriffen.
Die neue Richtline knüpft an bestehende EU-Vorgaben an. So gilt für Unternehmen und Organisationen, die der kritischen Infrastruktur (KRITIS) zugerechnet werden, schon jetzt die NIS1-Richtlinie. Umgesetzt wurde sie in Deutschland 2016 mit dem IT-Sicherheitsgesetz 2.0. Eine der wesentlichen Neuerungen durch NIS2: Der Kreis der regulierten Unternehmen wird deutlich ausgeweitet. Zudem müssen diese noch umfangreichere Maßnahmen zum Schutz ihrer Netzwerk- und Informationssysteme ergreifen.
Zu den NIS2-Eckpfeilern gehören:
- Umfangreichere Maßnahmen für die IT-Security
Unter NIS2 müssen Unternehmen ab Oktober über ein ISO 27001-konformes Managementsystem für Informationssicherheit (ISMS) verfügen. Vorgeschrieben sind dann auch technische Lösungen zum Erkennen, Priorisieren und Abwehren von Cyberrisiken (Threat Intelligence-Systeme) sowie gemanagte XDR-Systeme (Extended Detection & Response). Hinzu kommen weitere Anforderungen, etwa im Hinblick auf das Business Continuity Management und die Backup- und Recovery-Systeme. Verlangt werden auch ein Identitäts-Management mittels Multi-Faktor-Authentifizierung und Single Sign-on sowie der Einsatz von Kryptographie.
- Erweiterte Meldepflichten bei Cyber-Security-Vorfällen
Um im Ernstfall schnell handeln zu können, werden die Meldepflichten verschärft. Künftig müssen Cyber-Security-Vorfälle innerhalb von 24 Stunden an die nationale Überwachsungsbehörde gemeldet werden. In Deutschland wird dies das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein.
- Strengere Kontrollen und höhere Bußgelder
Kontrollen und Nachweispflichten werden verschärft. Für KRITIS-Unternehmen waren in der NIS2-Richtlinie alle zwei Jahre Audits vorgesehen. Im neuesten Referentenentwurf wird nun ein Kontrollzyklus von drei Jahren vorgeschlagen. Das harmoniert mit anderen Audits wie dem zum Nachweis der ISO 27001-Konformität.
Wichtig: Bei Nichteinhaltung der Vorgaben drohen hohe Bußgelder. Verantwortlich für das Risikomanagement ist die Geschäftsleitung, diese soll bei Verstößen künftig persönlich haftbar gemacht werden können.
Stand des Gesetzgebungsverfahrens
Der Bundestag hat das NIS2-Umsetzungsgesetz noch nicht beschlossen. Dem Gesetzgeber liegen bisher der ursprüngliche Vorschlag für das zu ratifizierende Umsetzungsgesetz, ein Diskussionspapier sowie zwei Weiterentwicklungen des Gesetzesvorschlags vor: die Referentenentwürfe des BMI.
Zu den noch diskutierten Punkten gehört der Adressatenkreis. Sicher ist, dass im Vergleich zum IT-Sicherheitsgesetzt 2.0 weit mehr Unternehmen betroffen sein werden. Der aktuelle Entwurf unterscheidet drei Kategorien von Unternehmen, die unterschiedlich hohe Anforderungen zu erfüllen haben werden: schon bisher bestehende KRITIS-Unternehmen sowie weitere, „besonders wichtige“ und „wichtige“ Einrichtungen und Unternehmen.
Zu den „wichtigen“ Einrichtungen sollen beispielsweise Anbieter von digitalen Diensten wie Suchmaschinen und sozialen Netzwerken gehören sowie Hersteller und Lieferanten chemischer Stoffe. Allein im „Sektor Chemie“ kommen voraussichtlich rund 22.000 Unternehmen hinzu, die ihre Netzwerk- und Informationssicherheit erstmals wie beschrieben nachweisen müssen. Ob Ihr Unternehmen dazugehört, erfahren Sie hier.
Die neue Richtlinie wird weit über den Adressatenkreis hinauswirken. So ist geplant, dass NIS2-Unternehmen auch die Netzwerk- und Informationssicherheit ihrer Zulieferer regelmäßig bewerten und sicherstellen müssen. Dies wird die Reichweite und Relevanz der neuen Regelungen massiv ausweiten.
Handlungsempfehlungen - Was ist jetzt zu tun?
NIS2 kommt, soviel ist sicher, auch wenn es noch Spielräume für Anpassungen gibt und noch etwas Zeit bis zur finalen Gesetzgebung verbleibt. Bereiten Sie Ihr Unternehmen besser heute als morgen auf die neue NIS2-Welt vor. Unsere Handlungsempfehlungen dafür:
- Technische und organisatorische Maßnahmen nach Vorlaufzeit priorisieren
Es bleiben sechs Monate, Ihr Unternehmen auf NIS2 vorzubereiten. Viel Zeit ist das nicht. Um beispielsweise ein Informationssicherheits-Managementsystem (ISMS) aufzubauen, benötigen Sie mindestens 120 Tage. Deshalb kommt es jetzt darauf an, noch umzusetzende technische und organisatorische Maßnahmen nach Vorlaufzeit zu priorisieren und durchzustarten. Wir empfehlen hierbei die technischen Maßnahmen höher zu priorisieren als organisatorische, denn: Im Falle eines Cyberangriffs, welcher durch umgesetzte NIS2-Anforderungen hätte verhindert werden können, haften Sie. Daher ist es wichtig, dass Ihre IT zum Inkrafttreten der NIS2-Richtlinie abgesichert ist.
Erste Maßnahmen sollten sich hier auf eine passende Endpoint Detection and Response (EDR) und Network Detection and Response (NDR) Lösung sowie auf ein Security Information and Event Management (SIEM) fokussieren.
- Kontinuierliche Prozesse für das IT-Sicherheitsmanagement etablieren
Mit Einmalmaßnahmen ist es nicht getan. NIS2-konformes IT-Sicherheitsmanagement ist eine Daueraufgabe, sie erfordert kontinuierliche Prozesse zur Risikobewertung und -abwehr. Diese sind schon aus Selbstschutzgründen unverzichtbar, denn für Verstöße und Verfehlungen haftet die Unternehmensführung ab Oktober 2024 sogar persönlich. Daher planen Sie Ihre Maßnahmen langfristig und setzen Sie nicht auf kurzfristige Workarounds. ACP steht Ihnen hierbei als verlässlicher Partner jederzeit zur Seite.
- Nicht auf Zeit spielen
Die EU-Richtlinie tritt am 17. Oktober 2024 in Kraft, die nationale Umsetzung könnte in Deutschland später erfolgen. Dennoch sollten Sie nicht auf Zeit spielen. NIS2 gilt ab Oktober in Europa. Wenn es bis dahin keine nationale Umsetzung gibt, bewegen sich Unternehmen in einem Graubereich. Bei Verstößen, die durch Einhaltung der NIS2-Vorgaben hätte verhindert werden können, greift im Zweifel EU-Recht und es drohen hohe Bußgelder.
- Auf Nummer sicher gehen: Die ACP Secure Fabric nutzen!
Um NIS2-ready zu werden, müssen Sie die Welt nicht neu erfinden. Alles, was Sie für Ihre Netzwerk- und Informationssicherheit brauchen, finden Sie in der ACP Secure Fabric. Hier profitieren Sie von einem 360°-Portfolio mit herstellerunabhängigen IT-Security-Lösungen, die Sie modular für Ihr Unternehmen zusammenstellen können. Dabei beraten und unterstützen wir Sie gerne.
Fazit
Die Zeit läuft, der NIS2-Handlungsdruck steigt. Unternehmensverantwortliche sollten durchstarten und Ihre Organisation jetzt fit für die neuen Anforderungen machen. Die Lösungen liegen auf dem Tisch. Wer sie zeitnah installiert, erspart sich später unnötige Hauruckaktionen und sichert seinen Betrieb gegen steigende Cyberrisiken ab.
Sie brauchen Unterstützung bei der Umsetzung? Kommen Sie auf uns zu und vereinbaren Sie ein Beratungsgespräch mit Ihrem ACP Experten!
