NIS-2 nimmt Unternehmen in die Pflicht
15.07.2024 | NIS-2
Ausgangsituation und Hintergründe
„Die Bedrohung im Cyberraum ist so hoch wie nie zuvor. Kleine und mittlere Unternehmen (KMU) sowie besonders Kommunalverwaltungen und kommunale Betriebe wurden überproportional häufig angegriffen.“[1]
Zusammenfassend sieht das BSI, Bundesamt für Sicherheit in der Informationstechnologie, für 2023 bereits eine „angespannte bis kritische Lage“ und stellt fest, dass Cyberangriffe nicht nur zunehmend professioneller werden, sondern auch neue Risiken durch künstliche Intelligenz entstehen.
Eva Wolfangel hat in ihrem bemerkenswerten Buch „Ein falscher Klick“[2] bereits 2022 Angriffsvektoren beschrieben und deutlich gemacht, dass Cyberkriminalität nicht nur große Unternehmen und staatliche Einrichtungen angeht, sondern jeden.
Das BSI sieht hier eine im weiterhin starken Wachstum befindliche „cyberkriminelle Schattenwirtschaft“ mit einer „cyberkriminellen Wertschöpfungskette“, in der Angriffe mit Ransomware durchaus als Hauptbedrohung zu sehen sind.
Dabei gehen Angreifer oft den Weg des geringsten Widerstandes und wählen verstärkt Opfer aus, die ihnen leicht angreifbar erscheinen. Da überrascht es kaum, dass im Jahr 2023 vermehrt kleine und mittlere Unternehmen, Behörden, wissenschaftliche Einrichtungen sowie Schulen und Hochschulen Opfer von Angriffen wurden (BSI).
Die Frage ist nicht ob, sondern wann!
Es sind nicht nur die immer wieder leider sehr erfolgreichen bösen Nachrichten in Form einer vertrauenswürdig erscheinenden E-Mail oder in den sozialen Medien (das beste Beispiel für den „falschen Klick), es sind bösartige Websites mit verlockendem Angebot zum Download und nicht zuletzt direkte, gezielte Angriffe über Schwachstellen in den IT-Systemen und der Software.
Nicht selten werden aber auch der Cyberkriminalität ungewollt Zugänge geöffnet, die es sehr leicht machen, einen Angriff auszuführen. Nicht vorhandene oder nicht wirksame Zutrittsberechtigungen zu Räumen sind ebenso kritisch zu sehen wie kaum gesicherte Remote-Zugänge, wie z. B. Wartungszugänge in der Industrie oder Authentifizierungsprozesse, die kaum einen echten Schutz vor Angriffen bieten.
Cyberresilienz[3] ist das Gebot der Stunde!
Als Antwort drauf reagiert die EU mit der NIS-2-Richtlinie, die bis zum 17. Oktober 2024 in Deutschland mit dem NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) in nationales Recht umgesetzt werden muss, um die Cybersicherheit zu vereinheitlichen und zu stärken. Das NIS-2-Umsetzungsgesetz erweitert die deutsche KRITIS-Regulierung.
Mit der Einführung der NIS-2-Richtlinie sind Organisationen verpflichtet,
- sich selbst einzustufen,
- sich bei der zuständigen Behörde zu registrieren,
- Sicherheitsvorfälle zu melden und
- eine Reihe von Sicherheitsmaßnahmen zu ergreifen, einschließlich Risikomanagement, Sicherheit in der Lieferkette und angemessene Reaktion auf Sicherheitsvorfälle.
Die Richtlinie erhöht den regulatorischen Druck auf die betroffenen Unternehmen massiv und „wird große Teile der deutschen Wirtschaft mit knapp 30 Tausend Unternehmen betreffen“ (www.openkritis.de).
Abgrenzung: NIS-2, DORA, KRITIS
Das Ziel der NIS-2-Richtlinie ist es, sicherzustellen, dass Organisationen, die für das reibungslose Funktionieren unserer Gesellschaft wichtig sind, ein hohes Maß an digitaler Sicherheit erreichen.
Das inhaltlich zum NIS-2 ähnliche DORA (Digital Operational Resilience Act) wiederum zielt auf die Stärkung der Betriebsstabilität digitaler Systeme im Finanzsektor ab. Damit sollen regulatorische Lücken geschlossen werden, z. B. werden die Anforderungen zum Business Continuity Management (BCM) erweitert.
KRITIS-Unternehmen sind Organisationen und Einrichtungen, die das BSI als „kritische Infrastruktur für das staatliche Gemeinwesen einstuft, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden". Das KRITIS-Dachgesetz fordert u. a. IT-Sicherheit nach dem Stand der Technik und einen Nachweis dazu alle zwei Jahre.
NIS-2: Ist mein Unternehmen betroffen?
Einfach ausgedrückt gilt die NIS-2-Richtlinie für Einrichtungen, die Dienstleistungen in der EU erbringen oder dort tätig sind und Dienste in einem Sektor mit hoher Kritikalität oder Dienste in einem sonstigen kritischen Sektor[4] anbieten, und insbesondere jene mit mindestens 50 Mitarbeitenden bzw. einem Jahresumsatz ab 10 Millionen Euro.
Unabhängig von der Größe gilt diese Richtline für eine lange Reihe von Einrichtungen, die z. B. öffentlich zugängliche Kommunikationsdienste anbieten und/oder Dienste mit einem wesentlichen Systemrisiko bereitstellen. §2(2a-f) der NIS-2-Richtlinie listet weitere Ausnahmen auf.
NIS-2 definiert im Anhang elf Sektoren mit hoher Kritikalität und sieben sonstige kritische Sektoren:
Sektoren mit hoher Kritikalität (Anlage I) |
Sonstige Kritische Sektoren (Anlage II) |
1. Energie 2. Verkehr 3. Bankwesen 4. Finanzmarktinfrastrukturen 5. Gesundheitswesen 6. Trinkwasser 7. Abwasser 8. Digitale Infrastruktur 9. Verwaltung von IKT-Diensten (Business-to-Business) 10. Öffentliche Verwaltung 11. Weltraum |
1. Post- und Kurierdienste 2. Abfallbewirtschaftung 3. Produktion, Herstellung und Handel mit chemischen Stoffen 4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln 5. Verarbeitendes Gewerbe/Herstellung von Waren 6. Anbieter digitaler Dienste 7. Forschung |
Basierend auf der Unternehmensgröße und/oder des Jahresumsatzes bestimmt der Sektor der bereitgestellten Dienste die Einstufung der Einrichtung nach NIS-2:
Mitarbeiterzahl oder |
Jahresumsatz |
Dienste gemäß |
Einstufung der Einrichtung |
>= 50 |
> 10 Mio. EUR |
Anlage I oder II |
Wichtige Einrichtungen |
>= 250 |
> 50 Mio. EUR |
Anlage I |
Wesentliche Einrichtungen |
Unabhängig von der Einstufung als wesentliche oder wichtige Einrichtung ist die Geschäftsleitung der Einrichtung persönlich für die NIS-2-Compliance verantwortlich. Es drohen Sanktionen und hohe Strafen durch die Aufsichtsbehörden.
Unterschiede entsprechend der Einstufung gibt es bei den Aufsichts- und Durchsetzungsregelungen: Als wesentlich eingestufte Einrichtungen werden durch die Aufsichtsbehörde (BSI) umfänglich und laufend überwacht, während wichtige Einrichtungen nur bei vorliegenden Nachweisen von Verstößen überprüft werden.
Risikomanagement als Grundpfeiler der NIS-2-Compliance
Unternehmen, die als wesentliche oder wichtige Einrichtungen eingestuft werden, sind verpflichtet, angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu verhindern
oder zu minimieren. §21(1).
Die NIS-2-Richtlinie fordert, sehr ähnlich zu KRITIS, somit technische und organisatorische Maßnahmen (TOM) gemäß dem sogenannten „Stand der Technik“.
Das NIS-2-Umsetzungsgesetz und die EU NIS-2-Direktive definieren Risiko-Management und Sicherheitsmaßnahmen, die betroffene Einrichtungen umsetzen müssen. Die Anforderungen aus §30 BSIG-E (NIS2UmsuCG) beschreiben Maßnahmen nach Stand der Technik und dem IT-Risk- Management (IT-RM), aber auch einige sehr konkrete technische Maßnahmen.
Durch ein strukturiertes Risikomanagement auf Basis von z.B. ISO 27001:2024 (ISMS[5]), sollen Unternehmen potenzielle Bedrohungen und Schwachstellen in ihren Netz- und Informationssystemen frühzeitig erkennen.
Dies umfasst sowohl interne als auch externe Bedrohungen, wie etwa Cyberangriffe, Datenschutzverletzungen, Systemausfälle oder menschliches Versagen.
NIS-2-Compliance. Jetzt handeln!
Wir beraten und unterstützen Sie bei der GAP-Analyse, Planung und Umsetzung Ihrer angemessenen und verhältnismäßigen NIS-2-Compliance.
Ihren Weg zur NIS-2-Compliance begleiten wir von Anfang bis Ende auf Augenhöhe und unterstützen Sie in der Kommunikation mit den Aufsichtsbehörden.
Autor: Dr. Peter Samulat
[1] (BSI, Bericht zur Lage der IT-Sicherheit in Deutschland 2023), S. 11
[2] Wolfangel, Eva: Ein falscher Klick: Hackern auf der Spur: Warum der Cyberkrieg uns alle betrifft - Wie wir uns gegen Angriffe aus dem Internet schützen. Penguin Verlag, München, 2022.
[3] Die Fähigkeit einer Einrichtung, kritische Funktionen während und nach Cyberangriffen aufrechtzuerhalten und sich von diesen zu erholen.
[4] Siehe nachfolgende Tabelle
[5] Information Security Management System
In unserem Blogartikel liegt uns die Gleichberechtigung aller Geschlechter am Herzen. Wir formulieren unsere Blogs stets genderneutral, um alle LeserInnen gleichermaßen anzusprechen und zu inkludieren.