NIS-2 Compliance für Unternehmen
Was Sie wissen müssen.
abtis GmbH / 27. September 2023
Die Cybersicherheit ist in der heutigen digitalisierten Welt ein zentrales Thema für Unternehmen aller Größen und Branchen. Mit der Einführung der NIS-2 Richtlinie durch die Europäische Union werden die Anforderungen an die Cybersicherheit für eine breite Palette von Unternehmen deutlich erhöht. In diesem Leitfaden möchten wir Ihnen einen umfassenden Überblick über die NIS-2 Richtlinie geben und dabei speziell auf die Unterstützungsleistungen eingehen, die abtis als Managed Security Service Provider (MSSP) anbietet.
Wer ist betroffen?
Die NIS-2 Richtlinie betrifft eine Vielzahl von Unternehmen und Sektoren, von der Energieversorgung bis hin zu digitalen Diensten wie Cloud-Computing-Anbietern. Unternehmen mit einem Jahresumsatz von mehr als zehn Millionen Euro und mehr als 50 Mitarbeitenden sollten besonders aufmerksam sein.
NIS 2 ist für mittlere und große KRITIS-Unternehmen relevant, während in bestimmten Branchen die Unternehmensgröße für die Anwendbarkeit der Richtlinie keine Rolle spielt.
Haftung und Sanktionen
Ein besonders wichtiger Aspekt der NIS-2 Richtlinie ist die Einführung von Haftungsnormen für Führungskräfte. Bei Verstößen gegen erweiterte Cybersicherheitspflichten ist eine persönliche Haftung eingeführt werden. Es drohen Geldbußen in Höhe von bis zu 2 Prozent des Jahresumsatzes für Betreiber wesentlicher Dienste und 1,4 Prozent des Jahresumsatzes für Anbieter wichtiger Services. Diese Haftungsregelungen erhöhen die Bedeutung der Informationssicherheit im Risikomanagement der betroffenen Unternehmen erheblich und machen deutlich, dass die Einhaltung der NIS-2 Richtlinie nicht nur eine organisatorische, sondern auch eine persönliche Verantwortung ist.
Mit diesen neuen Haftungsregelungen wird die Dringlichkeit für Unternehmen, sich mit der NIS-2 Richtlinie auseinanderzusetzen, nochmals verstärkt. Die Einhaltung der Richtlinie ist somit nicht nur aus betrieblicher, sondern auch aus persönlicher Sicht für die Führungskräfte von höchster Bedeutung.
Erweiterte Bestimmungen und Handlungsempfehlungen
Die NIS-2 Richtlinie enthält auch Regelungen, die sich in zukünftigen nationalen Gesetzen wie dem deutschen IT-Sicherheitsgesetz 3.0 wiederfinden werden. Unternehmen sind beispielsweise verpflichtet, ein Risikomanagement-Konzept zu entwickeln, Notfallpläne einzuführen und ein System für die schnelle Meldung von Vorfällen an die zuständigen Behörden zu etablieren. Darüber hinaus müssen Unternehmen Schutzkonzepte für ihre Lieferketten entwickeln, um Cyberangriffe über Zulieferer zu verhindern.
Die NIS-2 Richtlinie erweitert auch die Befugnisse der nationalen Behörden. So kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) künftig sogar die Wahrnehmung von Leitungsaufgaben für bestimmte Personen untersagen, wenn diese den Anordnungen des BSI nicht nachkommen.
Was ist umzusetzen?
Die NIS-2 Richtlinie konzentriert sich auf drei Hauptbereiche:
- Governance & Awareness: Die Leitungsorgane sind für die Überwachung und Billigung von Cybersicherheitsmaßnahmen verantwortlich.
- Risikomanagement: Unternehmen müssen Risiken für ihre Netz- und Informationssysteme bewerten und geeignete Maßnahmen ergreifen.
- Meldepflichten: Bei erheblichen Sicherheitsvorfällen müssen die zuständigen Behörden innerhalb von 24 Stunden informiert werden.
Unternehmensstrategie für NIS-2 Konformität
Für Firmen, die von der NIS-2 Richtlinie betroffen sind, ist es ratsam, als ersten Schritt eine gründliche Analyse des aktuellen Zustands ihrer Cybersicherheit vorzunehmen. Dabei sollten Kernfragen wie "Wie ist unser aktueller Stand in Sachen Cybersicherheit?" und "Wie robust sind unsere bestehenden Systeme?" im Mittelpunkt stehen. Angesichts der Komplexität moderner IT-Systeme ist es nicht mehr praktikabel, Angriffserkennung manuell durchzuführen. Deshalb ist die Einführung spezieller Angriffserkennungstools unverzichtbar, um den Vorgaben sowohl des IT-Sicherheitsgesetzes 2.0 als auch der NIS-2 Richtlinie gerecht zu werden.
Schwerpunkt auf Zugriffskontrolle und Sicherheitsmechanismen
Die NIS-2 Richtlinie stellt Governance und Compliance in den Fokus und hebt dabei die Bedeutung von Role Management, Access Management und User Lifecycle Management hervor. Veraltete Berechtigungssysteme müssen modernisiert werden, um den Anforderungen an heutige Geschäftsrollen und automatisierte Berechtigungsprozesse gerecht zu werden. Dies erleichtert eine rasche Reaktion im Falle von Sicherheitszwischenfällen.
Darüber hinaus spielt das Management des Zugriffs eine kritische Rolle in der IT-Sicherheitsstrategie. Firmen, die auf Multi-Faktor-Authentifizierung (MFA) verzichten, sind besonders anfällig für Phishing-Attacken. Ein ganzheitliches Identitätsmanagement, das Single Sign-On und MFA umfasst, ist daher nicht nur wünschenswert, sondern essenziell. Dies gewinnt insbesondere an Bedeutung, wenn man die Herausforderung betrachtet, im Notfall einen Passwort-Reset über alle Systeme und Benutzerkonten hinweg durchführen zu müssen.
Mit diesen Überlegungen auf strategischer und technischer Ebene sind Unternehmen gut gerüstet, um die Anforderungen der NIS-2 Richtlinie zu erfüllen und ihre allgemeine Sicherheitslage zu verbessern.
Wichtige Termine
- Ab dem 11. August 2023: Nationale Umsetzung der NIS-2 Richtlinie durch die EU-Mitgliedstaaten.
- Ab dem 11. Februar 2024: Mittelständische Unternehmen, Zulieferer und Dienstleister in kritischen Sektoren müssen sicherstellen, dass sie die Anforderungen der NIS2-Richtlinie erfüllen. Dies kann beinhalten, dass sie ihre Sicherheitsmaßnahmen überprüfen, aktualisieren und regelmäßig kontrollieren, um ein hohes Maß an Cybersicherheit zu gewährleisten.
- Bis zum 17. Oktober 2024: NIS-2 muss als Richtlinie mitgliedstaatlich umgesetzt sein.
Fazit
Die NIS-2 Richtlinie stellt eine wichtige Grundlage für die Cybersicherheit in der EU dar. Mit der Expertise von abtis als MSSP können Sie sicherstellen, dass Ihr Unternehmen nicht nur die gesetzlichen Anforderungen erfüllt, sondern auch optimal gegen Cyber-Risiken geschützt ist.
