Sicherheitsvorfall

27 Feb NIS2 – was bedeutet das für Unternehmen?

Posted at 16:15h in Allgemein by

Bis zum 17.10.2024 muss der deutsche Gesetzgeber die europäische Cybersicherheits- und Resilienzrichtlinien NIS2 (Network und Informationen Security) und CER (Critical Entities Resilience Directive) in deutsches Recht eingebunden haben.

Der Anwendungsbereich wurde deutlich erweitert und umfasst nun 18 Industriesektoren.

An diese Sektoren werden umfassende Anforderungen an das Risikomanagement und die Cybersicherheit gestellt. Innerhalb der einzelnen Sektoren (mit Ausnahme des ITK-Bereiches) betrifft dies Unternehmen mit mehr als 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz.

Im Detail bedeutet das:

  • >50 Mitarbeiter oder 10 Millionen € Jahresumsatz  -> wichtige Einrichtungen (important entities)
  • >250 Mitarbeiter oder 50 Millionen € Jahresumsatz -> besonders wichtige Einrichtungen ( essential entities)

Der Unterschied dieser beiden Gruppen ist, dass nur die letztere zum aktiven Nachweis des Einhaltens der Regularien verpflichtet ist.

Der ITK-Bereich bildet hier eine Ausnahme. Für superkritische Dienste, wie z.B. Domain-Name-Services spielt die Unternehmensgröße keine Rolle.

Auch bei den Lieferketten gibt es spezielle Regularien. Indirekt betroffene Unternehmen, die aber kritische Lieferanten eines betroffenen Unternehmens sind, werden ebenfalls als unmittelbar betroffen angesehen.

NIS2 hat zum Ziel, eine unterbrechungsfreie Versorgung der Bevölkerung mit lebenswichtigen Gütern und Leistungen sicherzustellen. Dieser Resilienzanspruch der Daseinsvorsorge ist aus dem Sozialstaatsprinzips des Grundgesetzes abgeleitet.

Neu bei NIS2 ist nicht die Einbindung von mehr als doppelt so viele Sektoren, sondern auch die erheblich verschärften Bußgelder. Die Aufsichtsbehörden werden erstmals im April 2025 und dann alle zwei Jahre die regulierten Unternehmen melden müssen. Das Bußgeld wird nach prozentual vom weltweiten Jahresumsatz ermittelt. Des Weiteren wird eine Geschäftsleiterverantwortung eingeführt. Geschäftsführer haften also künftig persönlich.

Die Meldepflicht wird ebenfalls verschärft. Binnen 24 Stunden muss eine vorläufige Meldung erfolgen, spätestens nach 72 Stunden muss eine qualifizierte Meldung über einen Vorfall vorliegen.

Was sind nun die NIS2 Anforderungen:

  • Erstellung von Konzepten in Bezug auf die Risikoanalyse und für die Sicherheit der IT-Systeme
  • Bewältigung von Sicherheitsvorfällen (Incident Response Maßnahmen)
  • Aufrechterhaltung des Betriebes (inkl. Backup-Management und Wiederherstellung nach einem Vorfall)
  • Sicherheit der Lieferketten
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und IT-Systemen
  • Konzepte und Bewertung der Wirksamkeit von Risikomanagementmaßnahmen in der Cybersicherheit (Krisensimulation)
  • Grundlegende Schulungen (Awareness) in der Cybersicherheit
  • Konzepte und Verfahren für den Einsatz von Kryptografie (ggf. Verschlüsselung)
  • Sicherheit des Personals, Zugriffskontrolle und das Management von Anlagen
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung, sichere Sprach-, Video- und Textkommunikation sowie gesicherte Notfallkommunikationseinrichtungen.

Die meisten Unternehmen werden um diese Maßnahmen nicht herumkommen. Zumal die Umsetzung auch für zukünftige Geschäftspartner eine wesentliche Rolle spielen wird.

Die Umsetzung wird die gesamte deutsche Wirtschaft eine Summe von ca. 1,5 Mrd. € kosten. Daher ist es für jedes Unternehmen wichtig sich genau anzuschauen, wie die Regularien umgesetzt werden können.

Maßnahmen zur Cyber-Resilience lassen sich in der Regel direkt und einfach etablieren. Incident Response Handbücher und -Pläne sind ein erster Schritt. Mittels Krisensimulation lassen sich die eigenen Spielregeln überprüfen und anpassen. Mitarbeitersensibilisierung ist ein essenzieller und wichtiger Punkt. Aktuell starten erfolgreiche Cyberangriffe am Mitarbeiterarbeitsplatz via Phishingmail oder Downloads. Awareness Training und Phishing-Kampagnen sollten zur Regelmäßigkeit werden.

Einen umfangreichen Schutz vor Cyberangriffen geben die Themen Schwachstellenmanagement oder umfangreiche SOC-Services. Mittels etablierter SIEM und xDR Systeme sind Angriffe und Anomalien in Echtzeit erkenn- und beherrschbar.

Betroffene Unternehmen sollten vor der Umsetzung keine Angst haben. NIS2 gibt einen sinnvollen Handlungskatalog vor, der die Unternehmen, seine kritischen Assets und seinen Fortbestand vor massiven Angriffen schützt. Diese Maßnahmen sind als Investition in eine gesicherte Zukunft zu sehen.