Die Network and Information Security Directive (NIS) ist eine EU-Richtlinie, die darauf abzielt, die Cybersicherheit in gesellschaftlich bedeutsamen Sektoren, also den Kritischen Infrastrukturen (KRITIS), zu stärken. Die aktuelle Version dieser Richtlinie, NIS-2, bringt einige wichtige Veränderungen, die Unternehmen in diesen Sektoren betreffen. „Sie sollten schon jetzt die erforderlichen Schritte unternehmen, um die Cybersicherheit zu stärken, und sicherstellen, dass ihre wertschöpfenden Prozesse bei IT-Sicherheitsvorfällen und Cyberangriffen weiterhin verfügbar sind“, sagt Thomas Pfützenreuter, IT-Auditor bei Independent Consulting + Audit Professionals GmbH iAP – ein Unternehmen von Ecovis in Berlin.
Start der NIS-2 und nationale Umsetzung
Die NIS-2-Richtlinie wurde am 16. Januar 2023 verabschiedet. Alle EU-Mitgliedsstaaten müssen sie bis zum 17. Oktober 2024 in nationales Recht umsetzen. In Deutschland gibt es bereits einen Entwurf für die Umsetzung. Er geht über die NIS-2-Anforderungen der EU hinaus. Der Gesetzgeber erweitert die Anforderungen aus NIS-1 von 2016 durch das IT-Sicherheitsgesetz 2.0 und das KRITIS-Gesetz 2.0. Welche Unternehmen der KRITIS zuzuordnen sind, legen die jeweiligen Mitgliedsstaaten selbst fest – in Deutschland ist das Bundesamt für Katastrophenschutz für die Festlegung zuständig. Betroffen von der NIS-2-Richtlinie sind grundsätzlich alle Unternehmen mit
- mindestens 50 Mitarbeiterinnen und Mitarbeitern oder
- einem Jahresumsatz von mindestens zehn Millionen Euro,
Zu den KRITIS zählen Unternehmen, die
- in der Energie- und Wasserversorgung tätig sind,
- Telekommunikations- und Informationstechnik bereitstellen,
- Teil der Nahrungsmittelversorgung sind,
- dem Transport- oder Logistiksektor angehören,
- Einrichtungen des Finanzwesens sind oder
- aus dem Gesundheitswesen stammen.
Betroffene Betriebe müssen die NIS-2-Sicherheitsanforderungen auf Basis eines Risikomanagements umsetzen. Dabei müssen sie nachweisen, dass sie die Wahrscheinlichkeit und die Auswirkung eines Cyberangriffs miteinbezogen haben.
Das bedeutet, dass Unternehmen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen müssen, mit denen sie die Risiken für die Sicherheit ihrer Netz- und Informationssysteme vollständig beherrschen. Sie müssen die Auswirkungen von Sicherheitsvorfällen abwenden und so gering wie möglich halten können.
Alle Sicherheitsmaßnahmen müssen sich dabei am Stand der Technik und der aktuellen individuellen Gefährdungslage orientieren. Die Schutzmaßnahmen müssen somit gefahrenübergreifend die gesamte IT und Cybersicherheit berücksichtigen, um alle Arten von IT-Vorfällen in der eigenen Umgebung zu kontrollieren und die Verfügbarkeit wesentlicher Dienstleistungsprozesse sicherzustellen. Die Wirksamkeit dieser Sicherheitsmaßnahmen ist regelmäßig, beispielsweise jährlich, zu prüfen und zu bewerten. Die Sicherheitsanforderungen verlangen Maßnahmen vor, während und nach einem IT-Sicherheitsvorfall. Dazu gehören auch grundlegende Praktiken der Cyberhygiene: Beschäftigte in Organisationen sollten sicherheitsorientierte Denk- und Verhaltensweisen verinnerlichen, um potenzielle Gefahren aus dem Internet einzudämmen. „Ein besonderes Augenmerk liegt auf der Absicherung der Lieferkette, der Partnerunternehmen, Lieferanten, Dienstanbieter und Kunden und dabei ganz besonders deren Netzzugänge“, erklärt Pfützenreuter.
Was Unternehmen tun müssen
Unternehmen müssen sich bei der zuständigen Behörde registrieren und ihre Kontaktdaten hinterlegen. Sicherheitsvorfälle, die zu schweren Betriebsstörungen führen, sind meldepflichtig. Die betroffenen Sektoren unterliegen behördlicher Aufsicht: Externe Kontrollen und Prüfungen werden regelmäßig und ad hoc durchgeführt.
Die NIS-2-Richtlinie ist ein bedeutender Schritt zur Stärkung der Cybersicherheit in der EU. „Unternehmen in den betroffenen Sektoren sollten die verbleibende Zeit nutzen, um sich auf die Umsetzung der erforderlichen Sicherheitsmaßnahmen vorzubereiten und mit erfahrenen Experten ein umfassendes Risikomanagement über alle Unternehmensbereiche aufzubauen. Das ist entscheidend, um die Verfügbarkeit kritischer Dienstleistungen zu gewährleisten und die Risiken von Cyberangriffen zu minimieren“, sagt Pfützenreuter.