NIS-2: Die kommende Cybersecurity-Richtlinie

NIS-2 verschärft die Cybersecurity-Anforderungen für betroffene Unternehmen erheblich.

Die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) soll die Cybersicherheit in der Europäischen Union weiter verbessern und sicherstellen, dass sowohl kritische als auch wesentliche Einrichtungen vor steigenden Bedrohungen im digitalen Raum geschützt werden.

NIS-2 baut mit verschärften Anforderungen auf der NIS-1 Richtlinie auf und ist ein integraler Bestandteil der europäischen Digitalstrategie. Ziel von NIS-2 ist es, sowohl die Sicherheit als auch das Vertrauen der Bürger in die Digitalisierung zu steigern, indem klare Leitlinien und Maßnahmen für eine stärkere Cybersicherheit festgelegt werden, die für Unternehmen aller Branchen gelten, um die wachsenden und immer professioneller werdenden Cyberbedrohungen abwehren zu können.

Insbesondere in Bezug auf das Schwachstellenmanagement, die Detektions- und Reaktionsanforderungen verschärft NIS-2 die geforderten Sicherheitsstandards erheblich und macht Führungskräfte für die Einhaltung persönlich haftbar. 

Ziel dieses Blog-Artikels ist es, Entscheidern und IT-Verantwortlichen in Unternehmen, 

• einen umfassenden Überblick über die verschärften Anforderungen der NIS-2 Richtlinie zu geben.
• eine fundierte Grundlage zur Umsetzung der neuen Sicherheitsstandards zu bieten und auf die notwendigen operativen Maßnahmen hinzuweisen.
• die notwendigen Schritte darzustellen, die erforderlich sind, um bis zum Stichtag im Jahr 2025 als Unternehmen richtlinienkonform aufgestellt zu sein und so rechtliche bzw. finanzielle Konsequenzen sowie Reputationsschäden zu vermeiden.
• die Vorteile einer erfolgreichen Umsetzung der NIS-2 Vorgaben für die Stärkung der eigenen Resilienz ggü. Cyberbedrohungen darzustellen.
  
  

Mit voranschreitender Digitalisierung wächst die Gefahr von Cyberangriffen.

Die Digitalisierung bietet Unternehmen in Europa erhebliche Wachstums- und Effizienzpotenziale. Die Möglichkeit, Prozesse zu automatisieren, neue Geschäftsmodelle zu entwickeln und datengetrieben zu agieren, hat in den vergangenen Jahren europaweit zu einem enormen Innovationsschub geführt. Aber mit der voranschreitenden Digitalisierung wächst auch die Cyberbedrohung für Unternehmen und die Gefahr von Cyberangriffen, die zu gefährlichen Störungen, erheblichen Schäden und finanziellen Einbußen führen können. Besonders durch Remote-Arbeit und der zunehmenden Vernetzung von Produktionsanlagen, Stichwort: Industrie 4.0, steigt die Angriffsfläche für Cyberkriminelle. Diese Entwicklung wird durch die Einführung von Technologien wie dem Internet der Dinge (IoT) und künstlicher Intelligenz beschleunigt, was neue Anforderungen im Bereich der Cybersicherheit erfordert.

Angesichts dieser Bedrohungslage zielt NIS-2 darauf ab, die Widerstandsfähigkeit (Resilienz) von Unternehmen gegenüber Cyberangriffen zu stärken und eine schnellere Reaktion auf Cybersicherheitsvorfälle zu ermöglichen.

Die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit, kurz NIS-2, ist eine Reaktion auf die stetig zunehmende Gefahr durch Cyberkriminalität. Durch sie soll die Cybersicherheit in der Europäischen Union verstärkt, die Widerstandsfähigkeit (Resilienz) von Unternehmen und kritischer Infrastrukturen gegenüber Cyberangriffen optimiert, eine schnellere Reaktion auf Cybersicherheitsvorfälle ermöglicht und ein einheitlicher Sicherheitsstandard etabliert werden.

NIS-2 löst die im Jahr 2016 in Kraft getretene NIS-1 Richtlinie ab und führt umfangreichere Sicherheitsvorgaben und strengere Vorschriften ein, die für viele Unternehmen relevant sind. Sie zielt darauf ab, bestehende Sicherheitslücken zu schließen und proaktive Maßnahmen zu fördern, die auf eine fortlaufende Verbesserung der Sicherheitslage abzielen.

Für Unternehmen bedeutet NIS-2, dass sie Cybersicherheit als strategisches Element ihrer Geschäftsplanung verstehen müssen, das regelmäßig überprüft und angepasst werden sollte.

NIS-2: Antwort auf die wachsende Bedrohungslage im digitalen Raum

Dass laut aktuellen Studien jedes zweite Unternehmen in Europa in den letzten Jahren von einem Cyberangriff betroffen war, verdeutlicht die Dringlichkeit, mit der neue Sicherheitsstandards eingeführt werden müssen. Denn die Angriffe werden immer komplexer, und die Angreifer verwenden immer hochentwickeltere Tools, um Netzwerke zu kompromittieren und sensible Daten zu stehlen. Zudem nutzen Cyberkriminelle, die oft in organisierten Gruppen agieren und gezielte Angriffe durchführen, vermehrt Schwachstellen in Lieferketten aus, um Zugang zu großen Unternehmensnetzwerken zu erhalten. Hinzu kommen Bedrohungen aus dem Ausland, insbesondere in Zeiten geopolitischer Spannungen, in denen staatlich finanzierte Hackergruppen ihre Aktivitäten verstärken, um gezielt kritische Infrastrukturen in der EU anzugreifen.

Durch die Umsetzung der NIS-2 Anforderungen sollen kritische Infrastrukturen geschützt und die Sicherheitsstandards in wesentlichen Wirtschaftssektoren erhöht werden. Ziel ist es, die Verfügbarkeit und Sicherheit von kritischen Dienstleistungen sicherzustellen und die Effizienz von Geschäftsprozessen zu erhöhen, indem sie auf standardisierte und bewährte Verfahren setzen.

Sind Sie von NIS-2 betroffen?

Die NIS-2 Richtlinie betrifft sowohl „wesentliche“ als auch „wichtige“ Einrichtungen. Darunter fallen Unternehmen und Organisationen, die für die Gesellschaft und Wirtschaft besonders kritische Dienstleistungen erbringen, wie beispielsweise Energieversorger, Finanzinstitute, Gesundheitsdienstleister, Lebensmittelhersteller und IT-Dienstleister, wie Cloud-Anbieter und Internet-Exchange-Points.

Um die zunehmende Abhängigkeit von digitalen Dienstleistungen und Cloud-Lösungen zu berücksichtigen, nimmt die NIS-2 Richtlinie neben den direkten Anbietern kritischer Dienstleistungen auch deren Zulieferer und dabei die gesamte Lieferkette in die Pflicht. Damit wird ein systemischer Ansatz verfolgt, der die Wertschöpfungskette umfassend betrachtet.

Unternehmen sind selbst dafür verantwortlich zu prüfen, ob sie den Anforderungen von NIS-2 unterliegen. Es erfolgt keine Benachrichtigung von offizieller Seite. Eine Überprüfung kann über das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgen. Unternehmen sollten diese Prüfung so früh wie möglich durchführen, um ausreichend Zeit für die Umsetzung der notwendigen Maßnahmen zu haben. Gerade für kleine und mittlere Unternehmen (KMU) kann die Umsetzung eine Herausforderung darstellen, weshalb der Aufbau interner Kompetenzen oder die Zusammenarbeit mit spezialisierten Dienstleistern empfohlen wird.

Anforderungen der NIS-2 Richtlinie

Die NIS-2 Richtlinie definiert klare Anforderungen in den Bereichen

• Schwachstellenmanagement:
  Unternehmen sind verpflichtet, regelmäßig Schwachstellenscans durchzuführen und die identifizierten Schwachstellen entsprechend ihrer Kritikalität zu priorisieren und zu beheben. Dies ist notwendig, um Sicherheitslücken zu minimieren und potenziellen Angreifern keine Angriffsflächen zu bieten. Neben automatisierten Schwachstellenscans sind auch manuelle Penetrationstests eine wichtige Maßnahme, um sicherzustellen, dass alle potenziellen Einfallstore identifiziert werden. Ein solides Schwachstellenmanagement umfasst auch die Entwicklung und Umsetzung von Maßnahmenplänen, die sicherstellen, dass kritische Schwachstellen zeitnah geschlossen werden.
• Netzwerküberwachung und Detektion:
  Unternehmen müssen den Netzwerkverkehr, Anmeldevorgänge und administrative Aktivitäten überwachen, um potenzielle Bedrohungen frühzeitig zu erkennen. Die Implementierung eines SIEM-Systems (Security Information and Event Management) ist hier ein zentraler Bestandteil. Diese Systeme ermöglichen, Bedrohungen zu erkennen und liefern darüber hinaus wertvolle Informationen für die forensische Analyse im Nachgang eines Vorfalls. Die Kombination mit modernen Threat-Intelligence-Feeds kann darüber hinaus die Erkennungsrate erhöhen und die Bedrohungslage in Echtzeit besser einschätzen lassen.
• Reaktionsfähigkeit:
  Eine schnelle Reaktion auf Sicherheitsvorfälle ist essenziell. Unternehmen müssen Incident-Response-Pläne entwickeln und entsprechende Teams schulen, um sicherzustellen, dass Sicherheitsvorfälle innerhalb der vorgeschriebenen Meldefristen (in der Regel 24 bis 72 Stunden) gemeldet werden. Ein Incident Response Plan (IRP) ist daher unerlässlich, um standardisierte Abläufe zu etablieren, die eine effektive Reaktion ermöglichen. Darüber hinaus sind regelmäßige Übungen sinnvoll, um die Mitarbeitenden auf den Ernstfall vorzubereiten. Eine effektive Incident-Response-Strategie trägt dazu bei, die Auswirkungen von Vorfällen zu minimieren und hilft dabei, wertvolle Erkenntnisse zu gewinnen, um die Sicherheitsmaßnahmen kontinuierlich zu verbessern.

Die NIS-2 Richtlinie erfordert von betroffenen Unternehmen in der Regel umfangreiche technische, organisatorische und personelle Anpassungen.

Weitere Informationen zu den Anforderungen und Herausforderungen von NIS-2:

In den NIS-2 Expertentalks werden die Anforderungen und Herausforderungen der kommenden Cybersecurity-Richtlinie mit einem der führenden NIS-2 Experten diskutiert, der bereits diverse Unternehmen in ganz Deutschland bei der Umsetzung der neuen Cybersecurity-Richtlinie beraten und unterstützt hat. Folge für Folge erhalten Sie hilfreiche Hinweise und wertvolle Impulse aus der Praxis für die erfolgreiche Umsetzung der NIS-2 Richtlinie in Ihrem Unternehmen.

Konsequenzen bei Nichteinhaltung

Die Nichteinhaltung der NIS-2 Vorgaben kann erhebliche finanzielle und rechtliche Konsequenzen nach sich ziehen. Unternehmen, die es versäumen, die erforderlichen Sicherheitsmaßnahmen rechtzeitig zu implementieren, können mit Geldbußen von bis zu 10 Millionen Euro oder 2 % ihres weltweiten Jahresumsatzes geahndet werden. Zudem können leitende Angestellte auf C-Level-Ebene, im Falle von grober Fahrlässigkeit persönlich haftbar gemacht werden. Dies zeigt, wie ernst die EU die Umsetzung der Richtlinie nimmt und wie wichtig es ist, dass das Thema Cybersicherheit als fortlaufender Prozess, der ständig an neue Bedrohungen angepasst werden muss, auch für das Management hohe Priorität hat.

 Weitere Informationen zu den NIS-2 und den möglichen Konsequenzen

Schritte zur Umsetzung von NIS-2

Um sicherzustellen, dass Unternehmen bis zum Stichtag in diesem Jahr alle Anforderungen der NIS-2 Richtlinie erfüllen, sind eine systematische Planung und die rechtzeitige Umsetzung der erforderlichen Maßnahmen notwendig. Hier sind die zentralen Schritte:

1. Projektinitiierung und Stakeholder-Beteiligung
   Unternehmen sollten NIS-2 als eigenständiges Projekt aufsetzen und die dafür notwendigen internen und externen Stakeholder identifizieren. Dazu gehört auch die Einbindung der Bereiche Recht, Compliance und Risikomanagement. Es ist wichtig, dass alle relevanten Abteilungen und Verantwortlichen an einem Strang ziehen, um die Umsetzung effektiv und effizient zu gestalten. Das Top-Management sollte dabei aktiv involviert sein, um den Prozess zu unterstützen und sicherzustellen, dass das Thema Cybersicherheit als strategische Priorität behandelt wird.
2. Bestandsaufnahme und Risikobewertung
   Die iterative und strukturierte Erfassung des Ist-Zustands der sicherheitsrelevanten Assets mit Hilfe der NIS-2 Checkliste bildet die Grundlage für eine fundierte GAP-Analyse und Risikobewertung. Hierbei werden alle bestehenden Schwachstellen erfasst und bewertet, um die notwendigen Maßnahmen zu priorisieren. Eine detaillierte Asset-Management-Strategie hilft dabei, alle kritischen Systeme und deren Abhängigkeiten im Blick zu behalten. Diese Bestandsaufnahme sollte regelmäßig aktualisiert werden, um neue Risiken schnell zu identifizieren und geeignete Gegenmaßnahmen zu ergreifen.
3. Durchführung eines Maturity Assessments
   Ein 360° Maturity Assessment hilft, den aktuellen Stand der Organisation im Hinblick auf das geforderte Detektion, Reaktionsfähigkeit und das Schwachstellenmanagement zu bewerten. Diese umfassende Bewertung ist notwendig, um mögliche Lücken zu identifizieren und gezielt zu schließen. Auch der Abgleich mit bestehenden Zertifizierungen, wie z.B. ISO 27001, kann hierbei hilfreich sein, um bereits umgesetzte Maßnahmen zu berücksichtigen und die Umsetzungslücken klar zu identifizieren. Ein solches Assessment bietet eine strukturierte Grundlage, um die Cybersicherheitsmaßnahmen fortlaufend zu verbessern und die eigene Resilienz auf zukünftige Bedrohungen vorzubereiten.
4. Schulung und Sensibilisierung der Mitarbeitenden
   Die Sensibilisierung der Mitarbeitenden spielt eine wichtige Rolle, um eine umfassende Sicherheitskultur zu etablieren. Regelmäßige Schulungen zum sicheren Verhalten im Umgang mit IT-Systemen sind unerlässlich, um Risiken zu minimieren. Die Förderung eines „Security by Design“-Gedankens und die Einbindung von Sicherheit in alle Prozesse kann dazu beitragen, Sicherheitslücken von Anfang an zu verhindern. Schulungen sollten nicht nur einmalig stattfinden, sondern kontinuierlich wiederholt werden, um sicherzustellen, dass alle Mitarbeitenden auf dem neuesten Stand bleiben und die aktuelle Bedrohungslage verstehen.
5. Erstellung einer Roadmap und rechtzeitige Umsetzung
   Auf Basis der Ergebnisse des Assessments sollte eine detaillierte Roadmap erstellt werden, um die verbleibenden Lücken zu schließen. Hierbei geht es insbesondere um die permanente Detektion, das Schwachstellenmanagement und die Reaktionsanforderungen. Wichtig ist, dass die Maßnahmen in Etappen geplant und umgesetzt werden, um eine kontinuierliche Verbesserung der Sicherheitslage zu gewährleisten. Eine klare Zeitplanung, die regelmäßige Meilensteine festlegt, hilft dabei, die Umsetzung im Blick zu behalten und sicherzustellen, dass alle Anforderungen bis zum Stichtag erfüllt sind.
   
   

NIS-2 als Chance zur Stärkung der Cyber-Resilienz

Die NIS-2 Richtlinie erfordert von betroffenen Unternehmen in der Regel umfangreiche technische, organisatorische und personelle Anpassungen. Gleichzeitig bietet die Umsetzung von NIS-2 aber auch die Chance, die eigene Cyber-Resilienz nachhaltig zu stärken. Denn bei der Umsetzung der NIS-2 Vorgaben geht es nicht allein darum, den gesetzlichen Anforderungen zu genügen, sondern vor allem um den Aufbau eines nachhaltigen Sicherheitskonzeptes, das das eigene Unternehmen in seiner Gesamtheit widerstandsfähiger macht. Denn wenn Cybersicherheit als integralen Bestandteil der Geschäftstätigkeit betrachtet wird, sind Unternehmen besser in der Lage, schnell auf Bedrohungen zu reagieren und die Auswirkungen von Sicherheitsvorfällen zu minimieren. Eine proaktive Cybersicherheitsstrategie kann zudem dazu beitragen, operative Risiken zu senken, Geschäftsprozesse zu optimieren und langfristig Kosten zu sparen.

Etengo als Partner für die Umsetzung von NIS-2

Bei der Umsetzung der NIS-2 Richtlinie kommt spezialisierten Dienstleistern wie Etengo – auch angesichts der knappen Zeitleiste – eine wichtige unterstützende Rolle zu. Denn mit einem Netzwerk von über 40.000 spezialisierten IT-Expert:innen kann Etengo jedem Unternehmen, das die NIS-2 Anforderungen umsetzen muss, kurzfristig die notwendigen Kapazitäten zur Verfügung stellen, die für die Implementierung der erforderlichen Sicherheitsmaßnahmen nötig sind und so dabei helfen, dass die gesetzlichen Vorgaben fristgerecht erfüllt werden. Von der Einrichtung von SIEM-Systemen über das Schwachstellenmanagement bis hin zur Incident Response bietet Etengo eine umfassende Unterstützung für eine erfolgreiche NIS-2 Compliance.

Dabei unterstützt Etengo sowohl mit technischem Know-how als auch mit strategischer Beratung, um die Umsetzung der NIS-2 Anforderungen optimal in die Unternehmensprozesse zu integrieren. So ist sichergestellt, dass Unternehmen nicht nur kurzfristig die gesetzlichen Vorgaben erfüllen, sondern - durch die enge Zusammenarbeit mit erfahrenen Fachkräften und Beratern - langfristig von einer höheren Cyber-Resilienz profitieren, die auf Basis einer maßgeschneiderten Sicherheitsstrategie auf ihre spezifischen Bedürfnisse zugeschnitten ist.

Fazit

Die NIS 2 Richtlinie ist ein wichtiger Schritt zur Stärkung der Cybersicherheit von Unternehmen in der Europäischen Union. Unternehmen, die sich rechtzeitig auf die Anforderungen vorbereiten und die notwendigen Maßnahmen umsetzen, schützen sich nicht nur vor hohen Bußgeldern, sondern stärken auch ihre Widerstandsfähigkeit gegen Cyberangriffe.

Die Zeit bis NIS-2 in Kraft tritt ist knapp. Deshalb ist es wichtig, jetzt zu handeln und mit geeigneten Partnern die NIS-2 Anforderungen erfolgreich umzusetzen. 

Wenn Sie Fragen zur Umsetzung von NIS-2 haben oder Hilfe bei der Implementierung benötigen, zögern Sie nicht, uns zu kontaktieren. Handeln Sie jetzt, um die Cyber-Resilienz Ihres Unternehmens zu stärken.