Guideline zur NIS2-Richtlinie: Was Sie jetzt tun sollten!

4 Min. Lesezeit
29. April 2024

Die Uhr tickt: Bis Oktober 2024 muss die aktualisierte EU-Richtlinie zum Schutz kritischer Netzwerk- und Informationssysteme – kurz NIS2 – in deutsches Recht übergeführt werden. Europaweiter Stichtag ist der 17. Oktober 2024. In Deutschland arbeitet das Bundesinnenministerium (BMI) bereits an dem neuesten Referentenentwurf für das NIS2-Umsetzungsgesetz. Wir informieren über den aktuellen Stand der Entwicklungen und geben Tipps, wie Unternehmen nun handeln sollten.

 

Inhalt

NIS2-Ziele und -Eckpfeiler
Stand des Gesetzgebungsverfahrens
Handlungsempfehlungen - Was ist jetzt zu tun?
Fazit

 

 

NIS2-Ziele und -Eckpfeiler

Unternehmen, die zur kritischen Infrastruktur (KRITIS) zählen, rücken seit der „Zeitenwende“ verstärkt in den Fokus und werden immer öfter Opfer von Cybersicherheitsvorfällen.  Doch nicht nur KRITIS-Unternehmen sind das Ziel Cyberkrimineller. Auch immer mehr kleinere und mittelständische Unternehmen sehen sich mit Cyberangriffen konfrontiert. Die Folgen sind häufig hohe Schadenssummen, die Lahmlegung von betrieblichen Prozessen sowie Reputationsschäden.

Das Streben nach einem höheren Sicherheitsniveau und entsprechenden Kontrollinstanzen im gesamten EU-Binnenmarkt ist daher verständlich und richtig. Die nötigen Schritte werden mit Umsetzung der NIS2-Richtlinie in allen Mitgliedsländern ab Oktober 2024 ergriffen.

Die neue Richtline knüpft an bestehende EU-Vorgaben an. So gilt für Unternehmen und Organisationen, die der kritischen Infrastruktur (KRITIS) zugerechnet werden, schon jetzt die NIS1-Richtlinie. Umgesetzt wurde sie in Deutschland 2016 mit dem IT-Sicherheitsgesetz 2.0. Eine der wesentlichen Neuerungen durch NIS2: Der Kreis der regulierten Unternehmen wird deutlich ausgeweitet. Zudem müssen diese noch umfangreichere Maßnahmen zum Schutz ihrer Netzwerk- und Informationssysteme ergreifen.

Zu den NIS2-Eckpfeilern gehören:

  • Umfangreichere Maßnahmen für die IT-Security
    Unter NIS2 müssen Unternehmen ab Oktober über ein ISO 27001-konformes Managementsystem für Informationssicherheit (ISMS) verfügen. Vorgeschrieben sind dann auch technische Lösungen zum Erkennen, Priorisieren und Abwehren von Cyberrisiken (Threat Intelligence-Systeme) sowie gemanagte XDR-Systeme (Extended Detection & Response). Hinzu kommen weitere Anforderungen, etwa im Hinblick auf das Business Continuity Management und die Backup- und Recovery-Systeme. Verlangt werden auch ein Identitäts-Management mittels Multi-Faktor-Authentifizierung und Single Sign-on sowie der Einsatz von Kryptographie.

  • Erweiterte Meldepflichten bei Cyber-Security-Vorfällen
    Um im Ernstfall schnell handeln zu können, werden die Meldepflichten verschärft. Künftig müssen Cyber-Security-Vorfälle innerhalb von 24 Stunden an die nationale Überwachsungsbehörde gemeldet werden. In Deutschland wird dies das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein.

  • Strengere Kontrollen und höhere Bußgelder
    Kontrollen und Nachweispflichten werden verschärft. Für KRITIS-Unternehmen waren in der NIS2-Richtlinie alle zwei Jahre Audits vorgesehen. Im neuesten Referentenentwurf wird nun ein Kontrollzyklus von drei Jahren vorgeschlagen. Das harmoniert mit anderen Audits wie dem zum Nachweis der ISO 27001-Konformität.

    Wichtig: Bei Nichteinhaltung der Vorgaben drohen hohe Bußgelder. Verantwortlich für das Risikomanagement ist die Geschäftsleitung, diese soll bei Verstößen künftig persönlich haftbar gemacht werden können.

 

Gilt NIS2 für Ihr Unternehmen und welche Anforderungen müssen Sie erfüllen?
Antworten auf diese und weitere Fragen liefert unsere ACP NIS2-Checkliste. Überprüfen Sie Ihren aktuellen IT-Sicherheitsstatus und haben sofort Klarheit.
 

 

Stand des Gesetzgebungsverfahrens

Der Bundestag hat das NIS2-Umsetzungsgesetz noch nicht beschlossen. Dem Gesetzgeber liegen bisher der ursprüngliche Vorschlag für das zu ratifizierende Umsetzungsgesetz, ein Diskussionspapier sowie zwei Weiterentwicklungen des Gesetzesvorschlags vor: die Referentenentwürfe des BMI.

Zu den noch diskutierten Punkten gehört der Adressatenkreis. Sicher ist, dass im Vergleich zum IT-Sicherheitsgesetzt 2.0 weit mehr Unternehmen betroffen sein werden. Der aktuelle Entwurf unterscheidet drei Kategorien von Unternehmen, die unterschiedlich hohe Anforderungen zu erfüllen haben werden: schon bisher bestehende KRITIS-Unternehmen sowie weitere, „besonders wichtige“ und „wichtige“ Einrichtungen und Unternehmen.

Zu den „wichtigen“ Einrichtungen sollen beispielsweise Anbieter von digitalen Diensten wie Suchmaschinen und sozialen Netzwerken gehören sowie Hersteller und Lieferanten chemischer Stoffe. Allein im „Sektor Chemie“ kommen voraussichtlich rund 22.000 Unternehmen hinzu, die ihre Netzwerk- und Informationssicherheit erstmals wie beschrieben nachweisen müssen. Ob Ihr Unternehmen dazugehört, erfahren Sie hier.

Die neue Richtlinie wird weit über den Adressatenkreis hinauswirken. So ist geplant, dass NIS2-Unternehmen auch die Netzwerk- und Informationssicherheit ihrer Zulieferer regelmäßig bewerten und sicherstellen müssen. Dies wird die Reichweite und Relevanz der neuen Regelungen massiv ausweiten.

 

Handlungsempfehlungen - Was ist jetzt zu tun?

NIS2 kommt, soviel ist sicher, auch wenn es noch Spielräume für Anpassungen gibt und noch etwas Zeit bis zur finalen Gesetzgebung verbleibt.  Bereiten Sie Ihr Unternehmen besser heute als morgen auf die neue NIS2-Welt vor. Unsere Handlungsempfehlungen dafür:

  • Technische und organisatorische Maßnahmen nach Vorlaufzeit priorisieren
    Es bleiben sechs Monate, Ihr Unternehmen auf NIS2 vorzubereiten. Viel Zeit ist das nicht. Um beispielsweise ein Informationssicherheits-Managementsystem (ISMS) aufzubauen, benötigen Sie mindestens 120 Tage. Deshalb kommt es jetzt darauf an, noch umzusetzende technische und organisatorische Maßnahmen nach Vorlaufzeit zu priorisieren und durchzustarten. Wir empfehlen hierbei die technischen Maßnahmen höher zu priorisieren als organisatorische, denn: Im Falle eines Cyberangriffs, welcher durch umgesetzte NIS2-Anforderungen hätte verhindert werden können, haftet die Unternehmensführung. Daher ist es wichtig, dass Ihre IT zum Inkrafttreten der NIS2-Richtlinie abgesichert ist. 
    Erste Maßnahmen sollten sich hier auf eine passende Endpoint Detection and Response (EDR) und Network Detection and Response  (NDR) Lösung sowie auf ein Security Information and Event Management (SIEM) fokussieren.

  • Kontinuierliche Prozesse für das IT-Sicherheitsmanagement etablieren
    Mit Einmalmaßnahmen ist es nicht getan. NIS2-konformes IT-Sicherheitsmanagement ist eine Daueraufgabe, sie erfordert kontinuierliche Prozesse zur Risikobewertung und -abwehr. Diese sind schon aus Selbstschutzgründen unverzichtbar, denn für Verstöße und Verfehlungen haftet die Unternehmensführung ab Inkrafttreten sogar persönlich. Daher planen Sie Ihre Maßnahmen langfristig und setzen Sie nicht auf kurzfristige Workarounds. ACP steht Ihnen hierbei als verlässlicher Partner jederzeit zur Seite.

  • Nicht auf Zeit spielen
    Die EU-Richtlinie tritt am 17. Oktober 2024 in Kraft, die nationale Umsetzung könnte in Deutschland später erfolgen. Dennoch sollten Sie nicht auf Zeit spielen. NIS2 gilt ab Oktober in Europa.

  • Auf Nummer sicher gehen: Die ACP Secure Fabric nutzen!
    Um NIS2-ready zu werden, müssen Sie die Welt nicht neu erfinden. Alles, was Sie für Ihre Netzwerk- und Informationssicherheit brauchen, finden Sie in der
    ACP Secure Fabric. Hier profitieren Sie von einem 360°-Portfolio mit herstellerunabhängigen IT-Security-Lösungen, die Sie modular für Ihr Unternehmen zusammenstellen können. Dabei beraten und unterstützen wir Sie gerne.  

 

Fazit

Die Zeit läuft, der NIS2-Handlungsdruck steigt. Unternehmensverantwortliche sollten durchstarten und Ihre Organisation jetzt fit für die neuen Anforderungen machen. Die Lösungen liegen auf dem Tisch. Wer sie zeitnah installiert, erspart sich später unnötige Hauruckaktionen und sichert seinen Betrieb gegen steigende Cyberrisiken ab.

Sie brauchen Unterstützung bei der Umsetzung? Kommen Sie auf uns zu und vereinbaren Sie ein Beratungsgespräch mit Ihrem ACP Experten!

 

Jetzt Beratungsgespräch vereinbaren

 ACP WebTalks

zur NIS2-Richtlinie

3 Themen, 2 Speaker, 1 Schwerpunkt

ACP WebTalk-Reihe zur NIS2-Richtlinie

 

Zur Aufzeichnung