Angesichts der zunehmenden Häufigkeit von Sicherheitsvorfälle wie das Leaken von Kundendaten, Ransomware-Angriffe auf wichtige Einrichtungen und Ausfälle der städtischen Infrastruktur häufiger werden, sind die Folgen nicht nur finanziell verheerend, sondern können auch das gesellschaftliche Leben gefährden.
Besonders für Unternehmen, die täglich mit sensiblen Daten und geschäftskritischen Informationen umgehen, sind zuverlässige Sicherheitsstandards unerlässlich. Hier kommt die EU-Richtlinie zu Netzwerk- und Informationssicherheit 2 (NIS-2) zum Tragen, ein hohes Maß an Cybersicherheit auf EU-Ebene zu gewährleisten und den Binnenmarkt zu stärken. Das nationale Recht soll im NIS2-Umsetzungsgesetz (NIS2UmsuCG) geregelt und welches im Herbst 2024 verabscheidet werden soll.
Grundlage für die Regulatorik
Die Regulierung kritischer Infrastrukturen in Deutschland basiert seit 2015 auf dem BSI-Gesetz (BSIG) und der KRITIS-Verordnung (KritisV). Im Mai 2021 trat nach langem Vorlauf und den seit 2015 gewonnenen Erfahrungen das IT-Sicherheitsgesetz 2.0 in Kraft. Die KRITIS-Verordnung wurde mehrfach überarbeitet.
Seit 2020 hat die EU die Vorgaben für kritische Infrastrukturen mit der EU NIS 2 und der Cyber Resilience Act (CRA) tiefer und verbindlicher gestaltet. Diese Vorgaben sollen in Deutschland durch die NIS2-Umsetzungsgesetze und das KRITIS-Dachgesetz im Oktober 2024 in nationales Recht umgesetzt werden, gemäß der aktuellen Planung.
| NIS2-Umsetzung | KRITIS-Dachgesetz | |
|---|---|---|
| Fokus | Cybersecurity | Resilienz |
| Name | NIS2UmsuCG | KRITIS-Dachgesetz |
| Hauptgesetz | ändert BSIG | eigenes Gesetz |
| Unternehmen | Betreiber kritischer Anlagen, Einrichtungen, Bundesverwaltung | Betreiber kritischer Anlagen, Bundesverwaltung |
| Referentenentwürfe | viele | zwei |
| Tritt in Kraft (Plan) | Oktober 2024 | Oktober 2024 |
| Behörde | BSI | BBK |
| Basiert auf | EU NIS2 | EU RCE |
* Quelle: https://www.openkritis.de/it-sicherheitsgesetz/index.html
Was ist NIS2?
NIS2 steht für die überarbeitete Richtlinie der Sicherheit von Netz- und Informationssystemen, die am 27. Dezember 2022 von der EU verabschiedet wurde. Diese Richtlinie legt spezielle Anforderungen für Unternehmen fest, die kritische Dienstleistungen erbringen. Ziel ist es, ein hohes Niveau an Netzwerk- und Informationssicherheit zu gewährleisten und die Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen.
Was ist NIS2UmsuCG?
NIS2UmsuCG ist ein nationales Gesetz und dient der Umsetzung der NIS2-Richtlinie in den jeweiligen Mitgliedsstaaten der Europäischen Union. Es konkretisiert die Anforderungen der EU NIS2-Richtlinie und passt sie an die nationalen Gegebenheiten an. Das NIS2UmsuCG legt fest, wie die Richtlinie in die Praxis umgesetzt werden soll, einschließlich spezifischer Maßnahmen, Verantwortlichkeiten und Meldepflichten für betroffene Unternehmen.
Ein wesentlicher Unterschied liegt in der Spezifität: Die NIS2-Richtlinie gibt den Mitgliedsstaaten Spielraum bei der Umsetzung, während das NIS2UmsuCG klare Vorgaben und Maßnahmen definiert, die speziell an die nationalen Bedürfnisse und Strukturen angepasst sind. Dadurch kann es zu Unterschieden in den Anforderungen und Verfahren zwischen den einzelnen Mitgliedsstaaten kommen.
Konkrete Anforderungen an Unternehmen
Nachfolgend findest Du eine Checkliste einiger zentralen Anforderungen der NIS2-Richtlinie:
- Entwickle umfassende Risikomanagementstrategien
- Führe regelmäßige Risikoanalysen und Bedrohungsbewertungen durch
- Implementiere Sicherheitsprotokolle und Verfahren zur Risikominderung.
- Installiere und warte Firewalls und Intrusion-Detection-Systeme
- Verwende Verschlüsselungstechniken für Datenübertragung und -speicherung
- Implementiere strenge Zugangskontrollen und Authentifizierungsmechanismen
- Überwache und protokolliere Netzwerkaktivitäten kontinuierlich
- Führe regelmäßige Sicherheitsüberprüfungen und Penetrationstests durc
- Schule Mitarbeiter:innen regelmäßig zu Cybersicherheitsrisiken und -praktiken
- Fördere ein Bewusstsein für Phishing-Angriffe und Social Engineering
- Implementiere Sicherheitsrichtlinien und -verfahren und stelle sicher, dass alle Mitarbeiter:innen diese kennen und befolgen
- Entwickle einen Notfallplan für Cyberangriffe, der klare Handlungsanweisungen enthält
- Richte ein Incident-Response-Team ein, das für die Bewältigung von Sicherheitsvorfällen verantwortlich ist
- Teste und aktualisiere den Notfallplan regelmäßig
- Führe Übungen und Simulationen von Cyberangriffen durch, um die Reaktionsfähigkeit zu verbessern
- Melde Sicherheitsvorfälle unverzüglich an die zuständigen Behörden
- Führe eine interne Dokumentation aller Vorfälle und der ergriffenen Maßnahmen
- Stelle sicher, dass die Meldewege und -verfahren klar definiert und bekannt sind
- Überprüfe und bewerte die Sicherheitspraktiken Deiner Lieferant:innen und Dienstleister:innen
- Schließe Sicherheitsanforderungen in Verträge mit Lieferant:innen ein
- Führe regelmäßige Audits und Überprüfungen der Lieferant:innen durch, um die Einhaltung der Sicherheitsstandards sicherzustellen
- Führe regelmäßige interne und externe Audits durch, um die Einhaltung der NIS2-Anforderungen zu überprüfen
- Lasse Dein Unternehmen von anerkannten Stellen zertifizieren, um die Erfüllung der Sicherheitsstandards nachzuweisen
Vorteile des NIS2-Standards
Die NIS2-Richtlinie bringt zahlreiche Vorteile mit sich, die über die bloße Erfüllung gesetzlicher Anforderungen hinausgehen:
- Erhöhte Sicherheit: Durch die Implementierung der geforderten Maßnahmen wird die IT-Sicherheit Deines Unternehmens signifikant gesteigert. Dies reduziert das Risiko von Cyberangriffen und Datenverlusten. Mehr Informationen: European Union Agency for Cybersecurity, ENISA
- Vertrauenswürdigkeit: Es signalisiert Kund:innen und Geschäftspartner:innen, dass Dein Unternehmen hohe Sicherheitsstandards einhält. Dies kann entscheidend sein, um langfristige Geschäftsbeziehungen aufzubauen und zu festigen. Mehr Informationen: European Commission
- Wettbewerbsvorteil: In vielen Branchen wird die Einhaltung von Sicherheitsstandards zunehmend zur Voraussetzung für Geschäftsabschlüsse. Mit einer NIS2 positioniert sich Dein Unternehmen als zuverlässiger und sicherer Partner. Mehr Informationen:National Institute of Standards and Technology, NIST
- Regelkonformität: Die Einhaltung gesetzlicher Vorgaben schützt Dein Unternehmen vor möglichen Sanktionen und rechtlichen Konsequenzen im Falle von Sicherheitsvorfällen. Mehr Informationen: GDPR.eu
Fazit
Die NIS2-Richtlinie stellt einen bedeutenden Schritt zur Verbesserung der Cybersicherheit in Europa dar. Für Unternehmen ist es unerlässlich, die Anforderungen dieser Richtlinie zu verstehen und umzusetzen. NIS2 bietet nicht nur einen umfassenden Schutz vor Cyberbedrohungen, sondern stärkt auch das Vertrauen Deiner Geschäftspartner:innen und Kund:innen.
Die connect- Professional führt derzeit eine Umfrage zum Status-Quo der NIS2-Umsetzung in Unternehmen durch. Die Umfrage umfasst fünf Themenblöcke mit insgesamt maximal 21 Fragen (je nach gegebenen Antworten), die Beantwortung dauert zwischen zehn und 15 Minuten. Viele der möglichen Antworten werden dabei in einer zufallsgenerierten Reihenfolge angezeigt, um eine Gewichtung auszuschließen. Wenn Du teilnehmen möchtest, dann klicke hier.
