NIS2-Richtlinie: Der praktische 10-Punkte-Plan

Die NIS2-Richtlinie, eine Weiterentwicklung der ursprünglichen Richtlinie mit dem Namen NIS (Network and Information Security) von 2016, zielt darauf ab, die Cybersicherheit innerhalb der Europäischen Union zu verbessern und zu harmonisieren. Sie wurde am 16. Januar 2023 veröffentlicht und ist bis zum 17. Oktober 2024 zwingend in nationales Recht umzusetzen.

• Dezember 2020: Die EU-Kommission schlägt die NIS2-Richtlinie vor.
• Dezember 2022: Das EU-Parlament und der Rat der EU verabschieden die NIS2-Richtlinie.
• Januar 2023: Die NIS2-Richtlinie tritt in Kraft.
• März 2023: Die Entwurfsarbeiten für das deutsche Umsetzungsgesetz (NIS2UmsuCG) beginnen.
• Dezember 2023: Der neueste Entwurf des NIS2UmsuCG wird veröffentlicht.
• Mai 2024: Das Gesetzgebungsverfahren (Verbändeabstimmung) in Deutschland beginnt.
• Oktober 2024: Die Frist zur Umsetzung der NIS2-Richtlinie in nationales Recht soll laut Plan am 17. Oktober 2024 enden.
• 2025: Die Implementierung ist abgeschlossen und Bundesamt für Sicherheit in der Informationstechnik (BSI) überwacht die Einhaltung der NIS2-Vorgaben.

Die NIS2-Richtlinie lässt sich gut mit einer Hausordnung vergleichen: Sie stellt ein umfassendes Regelwerk dar, das alle Bewohner (Unternehmen) zur Einhaltung von Sicherheitsmaßnahmen verpflichtet, während der Hausmeister (Dienstleister) dafür sorgt, dass diese Regeln befolgt werden, um das Gebäude (die EU) zu schützen und funktionsfähig zu halten. Die Unternehmen als Bewohner tragen die Verantwortung für ihre eigenen Bereiche und müssen zur allgemeinen Sicherheit beitragen.

Wie genau die Hausordnung funktioniert, können Sie sich in unserer Aufzeichnung vom 4. IT Security Roundtable anschauen.

Die NIS2-Richtlinie bringt einige wesentliche Neuerungen mit sich: Beispielsweise müssen Unternehmen nun Sicherheitsvorfälle innerhalb von 24 Stunden melden und es gibt strengere Anforderungen an die Cybersicherheitsmaßnahmen. Zusätzlich werden mehr Einrichtungen und Sektoren als zuvor einbezogen, darunter auch kleine und mittlere Unternehmen. Kritische und hochkritische Sektoren wie Energie und Versorgungswirtschaft, Transport, Finanzmärkte und Gesundheitswesen sind besonders betroffen. Diese Erweiterung und eine Unterscheidung in „wesentliche“ und „wichtige Einrichtungen“ soll eine homogenere und robustere Cybersicherheitslandschaft in der gesamten EU schaffen​. Zudem führt die NIS2-Richtlinie auch viele Einzelmaßnahmen, die Unternehmen in Deutschland bereits umsetzen, in ein einheitliches Regelwerk zusammen.

Wer von den Anforderungen der NIS2-Richtlinie betroffen ist, kann mit dem folgenden 10-Punkte-Plan einen Überblick über die Aufgaben gewinnen, die es für eine rechtssichere Umsetzung zu erfüllen gilt.

1. Systeminventur – Eine solide Basis schaffen: Die NIS2-Richtlinie erfordert eine vollständige Inventarisierung der IT-Systeme und Assets eines Unternehmens. Dies beinhaltet die Identifizierung, Dokumentation und regelmäßige Aktualisierung aller Hard- und Softwarekomponenten. Ohne eine System-Inventur laufen Unternehmen Gefahr, kritische Schwachstellen und ungesicherte Systeme zu übersehen, was zu erhöhten Sicherheitsrisiken und möglichen Cyberangriffen führen kann. Zudem drohen rechtliche Konsequenzen und hohe Geldbußen.
    
2. System-Monitoring – Frühwarnsysteme und Schwachstellenscans: Gemäß der NIS2-Richtlinie müssen Unternehmen kontinuierliche Überwachungsmechanismen einführen, um potenzielle Sicherheitslücken frühzeitig zu erkennen. Dazu gehören ein Schwachstellenmanagement und die Nutzung von Systemen zur Angriffserkennung (SzA). Unternehmen sollten automatisierte Tools einsetzen, die Netzwerke und Systeme auf Anomalien und verdächtige Aktivitäten überwachen, um im Ernstfall schnell reagieren zu können. Fehlt ein effektives Frühwarnsystem, bleiben Bedrohungen womöglich zu lange oder gänzlich unentdeckt. Neben den Geldstrafen sind vor allem wirtschaftliche Schäden und der Verlust des Vertrauens von Kunden und Partnern schmerzliche Folgen.
    
3. Schadenserkennung – Automatisierte Detection- und Response-Maßnahmen: Automatisierte Systeme zur Erkennung und Reaktion auf sicherheitsrelevante Ereignisse sind nach der NIS2-Richtlinie essenziell. Dies umfasst das Patch-Management, mit dem sich bekannte Schwachstellen schließen lassen, sowie Angriffserkennungssysteme, die verdächtige Aktivitäten identifizieren und sofortige Maßnahmen einleiten, um Schäden abzuwenden oder einzudämmen. Ohne automatisierte Detection- und Response-Maßnahmen ist es nicht möglich, Sicherheitsvorfälle rechtzeitig zu erkennen und zu beheben, was wiederum zu erheblichen Schäden und Betriebsunterbrechungen führen kann.
    
4. Sensibilisierung – Richtlinien und Schulungen für Mitarbeiter: Unternehmen müssen klare Cybersicherheitsrichtlinien entwickeln und regelmäßig Schulungen für alle Mitarbeiter durchführen. Ziel ist es, das Bewusstsein für Cybergefahren zu erhöhen und sichere Verhaltensweisen zu fördern. Schulungsprogramme sollten Themen wie Passwortsicherheit, Phishing-Erkennung und sichere Nutzung von IT-Ressourcen abdecken. Wer jedoch auf eine umfassende Sensibilisierung und Schulung der Mitarbeiter verzichtet, öffnet Cyberkriminellen Tür und Tor. Hinzu kommt, dass ein menschlicher Fehler, der durch Aufklärung und Training rund um NIS2-Anforderungen vermeidbar gewesen wäre, nicht nur das Unternehmen schwächt, sondern auch die einzelnen Teammitglieder verunsichert.
    
5. Transparenz – Überwachung und Risikobewertung von IT-Systemen: Eine kontinuierliche Überwachung der IT-Systeme und regelmäßige Risikobewertungen sind von der NIS2-Richtlinie vorgeschrieben, damit sich Sicherheitslücken frühzeitig erkennen und beheben lassen. Tools wie Endpoint Detection and Response (EDR) und Security Information and Event Management (SIEM) helfen dabei, Sicherheitsvorfälle in Echtzeit zu identifizieren und zu analysieren. Ohne transparente Überwachung und Risikobewertung können Sicherheitslücken unentdeckt bleiben und ausgenutzt werden.
    
6. Notfallpläne – Response-Maßnahmen vorbereiten und implementieren: Unternehmen müssen umfassende Notfallpläne gemäß der NIS2-Richtlinie entwickeln, um im Falle eines Cyberangriffs schnell reagieren zu können. Dies beinhaltet die regelmäßige Überprüfung und Aktualisierung der Pläne sowie Übungen zur Krisenbewältigung. Was, wenn Unternehmen das nicht tun? Dann wären sie im Ernstfall nicht in der Lage, auf Sicherheitsvorfälle angemessen zu reagieren, was nicht nur längere Ausfallzeiten, sondern auch größere Schäden nach sich ziehen kann.
    
7. Kommunikationswege – Interne und externe Kommunikation im Notfall: Klare Kommunikationswege sind entscheidend, um im Notfall effektiv zu kommunizieren. Unternehmen sollten Protokolle für die interne und externe Kommunikation entwickeln, die sicherstellen, dass alle relevanten Parteien, einschließlich Mitarbeiter, Kunden und Partner, schnell und transparent informiert werden. Regelmäßige Schulungen und Notfallübungen unterstützen die Umsetzung dieser Kommunikationsstrategien. Ohne klar definierte Kommunikationswege werden im Krisenfall wichtige Informationen nicht schnell genug weitergegeben, was die Koordination und Reaktion auf Sicherheitsvorfälle erheblich erschwert.
    
8. Supply-Chain-Risiken – Ganzheitliches Management gefragt: Das Management der Risiken entlang der gesamten Lieferkette ist ein zentraler Bestandteil der NIS2-Richtlinie. Unternehmen müssen darauf achten, dass ihre Lieferanten und Dienstleister den gleichen hohen Sicherheitsstandards folgen. Wenn Unternehmen ihre Supply-Chain nicht ausreichend prüfen, können Schwachstellen bei Drittanbietern unentdeckt bleiben, die Cyberkriminelle nutzen, um nicht nur ein Unternehmen zu schädigen.
    
9. Persönliche Haftung der Geschäftsführung: Die NIS2-Richtlinie legt die Verantwortung für die Einhaltung der Cybersicherheitsmaßnahmen in die Hände der Geschäftsführung. Manager können persönlich haftbar gemacht werden, wenn Sicherheitsvorgaben nicht erfüllt werden. Dies soll sicherstellen, dass das Top-Management die Bedeutung der Cybersicherheit anerkennt und entsprechende Maßnahmen umsetzt. Ohne die Einbindung der Geschäftsführung ist die NIS2-Umsetzung in deutschen Unternehmen kaum realisierbar. Entscheidungen würden nicht rechtzeitig getroffen und Maßnahmen wohl nur unzureichend umgesetzt.
    
10. Rechtliche Konsequenzen bei Nichteinhaltung: Unternehmen, die die Anforderungen der NIS2-Richtlinie nicht erfüllen, müssen mit hohen Geldbußen und möglichen Betriebsverboten rechnen. Diese rechtlichen Konsequenzen sollen für die Einhaltung der Sicherheitsstandards sorgen und eine abschreckende Wirkung auf potenzielle Verstöße haben. Unternehmen sollten daher proaktiv Maßnahmen ergreifen, um den Vorgaben der NIS2-Richtlinie zu entsprechen. Ansonsten droht neben Bußgeldern, wirtschaftlicher Schaden und Reputationsverlust.

Durch die detaillierte Umsetzung dieser zehn Punkte können Unternehmen die Anforderungen der NIS2-Richtlinie erfüllen und ihre Cybersicherheitsstrategien verbessern, um sich gegen zunehmende Cyberbedrohungen zu schützen.

Die Umsetzung der NIS2-Richtlinie ist für deutsche Unternehmen von entscheidender Bedeutung, da sie die Cybersicherheit erheblich stärkt und somit die Resilienz gegenüber zunehmenden Cyberbedrohungen erhöht. Angesichts der steigenden Digitalisierung und der damit verbundenen Risiken müssen Unternehmen umfassende Sicherheitsmaßnahmen implementieren, um sich vor potenziellen Angriffen zu schützen. Wer die NIS2-Richtlinie innerhalb der Frist umsetzen will, sollten Unternehmen mit einer Selbstbewertung der Betroffenheit beginnen. Warten Sie nicht und hoffen Sie auch nicht auf Verzögerungen im Gesetzgebungsverfahren, denn das Thema wird definitiv kommen. Machen Sie lieber jetzt schon einen konkreten NIS2-Umsetzungsplan, der die entsprechenden Maßnahmen priorisiert und eine Schritt-für-Schritt-Realisierung vorsieht. Bestimmen Sie die erforderlichen Ressourcen, sowohl finanziell als auch personell, und dokumentieren Sie alle Prozesse. Wichtig ist auch, darüber hinaus zu gewährleisten, dass die Sicherheitsstandards kontinuierlich erfüllt werden.