2023 / ISMS / Strategie / Wirtschaft

NIS2: Was ist das und warum müssen Unternehmen reagieren?

Die EU macht Ernst und möchte mit der neuen Richtlinie für Sicherheit von Netz- und Informationssystemen einen neuen Standard setzen. Doch was hat es damit auf sich und wie genau setzt sich dieser neue Standard eigentlich zusammen? Das haben wir uns auch gefragt und uns die NIS2 für Sie einmal im Detail angesehen. Hier gibt es alles, was Sie darüber wissen müssen.

Was genau ist die NIS2?

Wie eingangs bereits erwähnt, handelt es sich bei der NIS2 um eine Richtlinie für mehr Sicherheit von Netz- und Informationssystemen. Die Abkürzung NIS2 legt also die Cyber Security Mindeststandards innerhalb von Europa fest. Diese wurden bereits Ende des letzten Jahres besprochen, um Informationssysteme besser gegenüber Hackerangriffen zu schützen.

Prinzipiell ist das ein nobler und sinnvoller Gedanke, der auch gleich dafür sorgt, dass Sicherheitsstandards in der gesamten EU entsprechend umgesetzt werden müssen. Auf diese Weise hat nicht mehr jedes Land seine eigenen Richtlinien und Regeln, sondern setzt mit der NIS2 entsprechende Maßnahmen um. Das ist praktisch, da es das Prozedere deutlich vereinfacht. Zumindest in der Theorie.

Nach dem Beschluss bezüglich der NIS2 haben die EU-Länder nun noch Zeit, die Richtlinien der NIS2 in nationales Recht zu verwandeln. Ende 2024 wird es also spätestens so weit sein, dass auch in Deutschland neue Regularien für Unternehmen gelten. Am besten ist es daher, wenn Sie sich bereits jetzt damit befassen und beschäftigen, wie die NIS2 bei Ihnen im Unternehmen bestmöglich umgesetzt werden kann.

Warum ist die Richtlinien notwendig?

Kurz gesagt, ist sie nicht notwendig. In einer perfekten Welt würde jedes Unternehmen gesondert darauf achten, eine höchstmögliche Informationssicherheit gewährleisten zu können. In der Praxis ist dies aber nicht der Fall, da wirtschaftliche Interessen häufig dafür sorgen, dass im Bereich der IT-Sicherheit gespart wird. 

Das wiederum führt dazu, dass es so etwas wie die NIS2 benötigt, um für entsprechende Mindestanforderungen zu sorgen. Die dürfen von den Unternehmen natürlich gerne übertroffen werden. Doch gerade im Bereich der kritischen Infrastruktur, sollten wirtschaftliche Interessen natürlich nicht dafür sorgen, dass die Sicherheit der IT-Systeme vernachlässigt wird.

Genau dafür ist die NIS2 notwendig. Sie soll garantieren, dass EU-weit ein Mindeststandard gilt, der die Informationssicherheit erst einmal grundlegend gewähren kann und somit auf EU-Ebene dafür sorgt, dass dieser überall gleich stark ausfällt. Allein dadurch erhalten Unternehmen innerhalb der EU schon einen entsprechenden Mehrwert, auf den sich auch die jeweiligen Kunden verlassen können. Die NIS2 erinnert an die DSGVO, die auch feste Richtlinien setzt und EU-weit für mehr Klarheit sorgt. Auch wenn die Sache mit dem Datenschutz anfangs ein wenig kompliziert und verwirrend erschien.

Was beinhaltet die NIS2?

Die NIS2 baut auf die eben bereits erwähnte Einheitlichkeit innerhalb von Europa. Außerdem verpflichtet die Richtlinie natürlich auch zur Umsetzung, ist also keine Ansammlung von freiwilligen Maßnahmen. Ähnlich wie die DSGVO beinhaltet die NIS2 zudem strengere Meldepflichten von Sicherheitsvorfällen. Diese müssen nach bekannt werden innerhalb von 24 Stunden gemeldet werden, mit einem abschließenden Bericht über den jeweiligen Vorfall.

Interessanter ist in diesem Zusammenhang aber, dass eine Haftung der Geschäftsführung vorgesehen ist. Und genau wie auch bei der DSGVO gibt es bei entsprechenden Vorfällen empfindliche Strafen, die tatsächlich auch wehtun. Nationale Behörden erhalten zudem mehr Befugnisse, um all das auch überwachen und sicherstellen zu können. 

Allerdings wird die NIS2 nicht in jeder Branche angewandt. Auch wenn die neue Richtlinie den Kreis noch einmal erweitert, wird nicht jeder Geschäftsbereich direkt davon betroffen sein. Zusätzlich wird zwischen »Essential« und »Important« Services unterschieden. Direkt betroffen ist natürlich die kritische Infrastruktur, welches unter »Essential« fällt und folgendes beinhaltet.

Essential

  • Digitale Infrastruktur
  • Energiesektor
  • Finanzmarkt
  • Gesundheitsbranche
  • Raumfahrt
  • Verkehr
  • Verwaltung
  • Wasser & Abwasser

Important

  • Abfallwirtschaft
  • Chemische Produkte
  • Digitale Dienste
  • Post- und Kurierdienste
  • Verarbeitende/herstellende Industrie

Welche Maßnahmen werden vorausgesetzt?

Im Wesentlichen geht es bei der NIS2 darum, bestimmte Richtlinien bezüglich der Cybersicherheit in den betroffenen Branchen und Unternehmen umzusetzen. Diese sollen für einen erhöhten Schutz sorgen, sodass es zu weniger Zwischenfällen und Vorfällen kommt. Das jedenfalls ist erst einmal der grundlegende Gedanke der NIS2 und so werden dann auch bestimmte Maßnahmen vorausgesetzt.

Dazu gehören feste Richtlinien (Policies) für Risiken und die Informationssicherheit. Gesorgt werden muss für eine Sicherheit in der Zuliefererkette. Prävention und Bewältigung von Vorfällen im Bereich des Sicherheitsmanagements. Anwendungen zur Messung der eigenen Sicherheit, wie Pentests und Audits. Multi-Faktor-Authentifizierungen, für mehr Sicherheit im System selbst. Ein vorab festgelegtes Krisenmanagement. Sowie der Einsatz von einer, der Branche angebrachten, Form der Verschlüsselung.

Umgesetzt werden kann dies von den jeweiligen Unternehmen meist durch eine Zero-Trust-Strategie und einem SOC (Security Operations Center). Allgemein sorgt NIS2 dafür, dass mehr, von mehr Branchen umgesetzt werden muss. Was in Zeiten, in denen jeder das Ziel eines Hacks werden kann, aber tatsächlich auch angebracht erscheint. Vor allem deshalb, weil Themen wie die Cybersicherheit innerhalb der EU eher vernachlässigt als ausgebaut wurden.

Was bedeutet die NIS2 für Unternehmen?

Genau genommen wird alles noch einmal verschärft. Waren unter der NIS nur Strafen von 150.000 Euro vorgesehen, sind es nun bis zu 1,4 Prozent des Jahresumsatzes. Auch muss deutlich schneller reagiert werden. Innerhalb von 24 Stunden, nachdem ein Sicherheitsvorfall bekannt geworden ist, muss dieser auch schon gemeldet werden. Die zuständigen Behörden erwarten also frühzeitige Berichte, und zwar im gesamten Zeitraum des Sicherheitsvorfalls, inklusive eines Abschlussberichtes.

Aufsichtsbehörden schauen somit wohl deutlich genauer hin und innerhalb der EU wird ein fester und strenger Standard für Sicherheitsrichtlinien in IT-Infrastrukturen geschaffen. Das ist auch für Unternehmen wichtig und wird ihnen helfen, Geschäfte schneller zum Abschluss zu bringen, da die Richtlinien verlangte Anforderungen oft bereits vollumfänglich voraussetzen.

Was wichtig bleibt und ist, sind Penetrationstests, um die Sicherheit auf Dauer gewährleisten zu können. Nur so wird sichergestellt, dass alle Systeme der NIS2 genügen, aber auch grundlegend abgesichert sind. Denn eine Sache möchte mit der NIS2 wohl niemand, eine Strafe, die einen Prozentsatz vom Jahresumsatz nach sich zieht.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.