29. Februar 2024
Die Bedrohung durch Hackerangriffe ist so hoch wie noch nie, warnt das Bundesamt für Sicherheit in der Informationstechnik. Mit der NIS2 will die EU wichtige Unternehmen und Einrichtungen widerstandsfähiger gegen Cyberangriffe machen. Bis zum 17. Oktober 2024 muss die neue Richtlinie von den EU-Mitgliedsstaaten in nationales Recht übersetzt werden. Welchen Sicherheitsanforderungen welche Unternehmen künftig gerecht werden müssen, erklärt Cybersecurity-Experte Jacques Kruse Brandao von TÜVIT.
Herr Kruse Brandao, was ist die NIS2?
Jacques Kruse Brandao: NIS steht für „Network Information Security“, also für alles, was in einem Unternehmen an Kommunikation passiert, was an Hard- oder Software verwendet oder an Daten geteilt wird. Die NIS2 löst die bisherige NIS-Richtlinie ab, verschärft die Anforderungen an die Cybersecurity und betrifft zugleich deutlich mehr Unternehmen. Während sich die bisherige Richtlinie vornehmlich auf kritische Infrastrukturen wie Energieversorger oder das Finanzwesen konzentrierte, kommen nun etwa auch Post- und Kurierdienste, Fahrzeug- und Maschinenbauer, der Lebensmittelsektor und digitale Dienste hinzu. Also Onlinemarktplätze, Suchmaschinen, Social-Media-Plattformen und die Data-Center hinter diesen Unternehmen, deren Ausfall uns alle massiv betreffen würde. Die NIS2 gilt dabei für Unternehmen ab 50 Mitarbeitenden und zehn Millionen Euro Umsatz aus 18 Branchen und Bereichen, die die Richtlinie definiert. Teile der digitalen Infrastruktur und die öffentliche Verwaltung werden unabhängig von der Größe erfasst..
Wie viele Unternehmen wird die NIS2 voraussichtlich betreffen?
In Deutschland fallen schätzungsweise 29.000 Unternehmen unter die NIS2, in Europa etwa 400.000. Letztlich wird die Richtlinie aber wesentlich mehr Unternehmen betreffen. Denn die direkt betroffenen Betriebe müssen die Cybersecurity ihrer Lieferketten nun ebenfalls in den Blick nehmen. Automobilhersteller könnten künftig auch ihre mittelständischen Zulieferer dazu verpflichten, entsprechende Cybersecurity-Maßnahmen einzuführen, um selbst nicht gegen die EU-Vorgaben zu verstoßen.
Jacques Kruse Brandao ist Global Head of Advocacy bei TÜVIT. Der Diplom-Ingenieur beschäftigt sich seit 20 Jahren mit Identifikationsverfahren und Cybersecurity und operiert dabei oft als „Übersetzer“ zwischen der technischen und der regulativen Seite der IT-Sicherheit.
Welche weiteren neuen Anforderungen stellt die NIS2?
Unternehmen müssen ihre Mitarbeitenden in puncto Cybersecurity schulen, sie etwa über entsprechende Programme für Phishing-Mails sensibilisieren, um hier eine entsprechende Acht- und Wachsamkeit aufzubauen. Außerdem soll bei Verstößen gegen die Anforderungen die Geschäftsführung persönlich haftbar gemacht werden. Diese trägt also künftig die Verantwortung für die Umsetzung der Sicherheitsmaßnahmen und kann sie nicht länger an Dritte delegieren. Grundsätzlich gilt: Cybersecurity-Management wird für die betroffenen Unternehmen zur Pflicht. Sie müssen zunächst eine Risikoanalyse durchführen, welche Geräte und Software sie verwenden, klären, wer welchen Zugang zu den internen Systemen hat und welches Risiko damit verbunden ist, und daraufhin geeignete Sicherheitsmaßnahmen implementieren. Dann geht es darum, Strukturen für einen möglichen Cyberangriff zu schaffen: Wer kümmert sich darum, dass bestimmte IT-Systeme vom Netz genommen werden, wer informiert Behörden, Geschäftspartnerinnen und -partner sowie Kundinnen und Kunden ? Denn mit der NIS2 werden auch strenge Meldepflichten eingeführt. Die Aufsichtsbehörden müssen innerhalb von 24 Stunden über den Vorfall und binnen 72 Stunden über die ergriffenen Gegenmaßnahmen informiert werden. Bei Verstößen gegen diese oder andere Anforderungen drohen empfindliche Strafen von bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes. Die Anforderungen vollumfänglich umzusetzen ist für Unternehmen also elementar, um Strafen zu vermeiden und um die Folgen von Cyberangriffen zu minimieren und so zu gewährleisten, dass Produktion und Geschäftsbetrieb nach einer solchen Attacke möglichst uneingeschränkt weiterlaufen können. .
Laut der NIS2 müssen betroffenen Betriebe auch die Cybersecurity ihrer Lieferketten in den Blick nehmen.
Wie können und sollten sich Unternehmen auf die NIS2 vorbereiten?
Mit der Umsetzung der NIS2 in nationales Recht im Oktober sind Übergangsfristen vorgesehen, die je nach Mitgliedsland unterschiedlich ausfallen können. Betroffene Betriebe sollten sich aber nicht zurücklehnen und bis zum Ende dieser Fristen warten. Denn die Meldefristen für Cybervorfälle werden bereits zwölf Monate nach der Umsetzung greifen, einige Mitgliedsländer wie Tschechien wollen auch die weiteren Verpflichtungen nach diesem Zeitraum bindend machen. Firmen, die in diesen Ländern Niederlassungen betreiben oder etwa als Zulieferer mit dortigen Unternehmen in einer Geschäftsbeziehung stehen, werden dann also ebenfalls bereits von den Auflagen der NIS2 erfasst. Grundsätzlich gilt dabei: Unternehmen werden von den Aufsichtsbehörden nicht etwa benachrichtigt, sondern müssen selbst entscheiden, ob sie in den Geltungsbereich der NIS2 fallen. Ab dem entsprechenden Stichtag müssen sie sich bei der zuständigen nationalen Behörde registrieren, Vorfälle melden und die notwendigen Anforderungen einhalten. Und bei vielen Unternehmen gibt es nach wie vor Lücken in der Cybersecurity. Von der NIS2 betroffene Betriebe sollten daher jetzt aktiv werden, um die erforderlichen Maßnahmen zu implementieren, und sich bei deren Umsetzung gegebenenfalls auch Unterstützung von außen holen.
© Adobe StockFristen und Vorgaben: Unternehmen sollten sich rechtzeitig und proaktiv auf die NIS2-Anforderungen vorbereiten und sich gegebenenfalls Unterstützung von außen holen.