Die NIS2-Richtlinie verschärft die Mindestanforderungen an die IT-Sicherheit kritischer Infrastrukturen und betrifft erheblich mehr Unternehmen als bisher. Welche Neuerungen kommen auf Sie zu? Und was müssen Sie jetzt tun, um gut vorbereitet zu sein? Hier finden Sie Antworten auf die wichtigsten Fragen.
Die NIS2-Richtlinie: Was Unternehmen jetzt wissen müssen
Die NIS2-Richtlinie (Netzwerk und Informationssysteme) ist ein Rechtsakt, in dem ein von den EU-Ländern zu erreichendes Ziel festgelegt wird, der Mindestanforderungen an die Cybersicherheit kritischer Infrastrukturen definiert. Die EU-Kommission will damit das Cybersicherheits-Niveau in der Europäischen Union verbessern und die internationale Zusammenarbeit bei der Bekämpfung von Cyberangriffen stärken. NIS2 ist seit dem 16. Januar 2023 in Kraft und muss bis zum 17. Oktober 2024 von den Mitgliedsstaaten in nationales Recht umgesetzt werden. Die neue Richtlinie betrifft circa 30.000 Unternehmen in Deutschland und bringt neue Pflichten mit sich.
Unternehmen definieren mit NIS2 und intelligentem Angriffsflächen-Management ihre Sicherheitsstrategien neu, da Cybercrime zu einem lukrativen Geschäftsmodell geworden ist. Deswegen ist es wichtig, sich gegen Cyberbedrohungen zu wappnen, Cyberrisiken als Geschäftsrisiken zu erkennen und frühzeitig darauf zu reagieren.
Im wöchentlichen Business-Podcast der Solutions by Handelsblatt Media Group "So klingt Wirtschaft - Zukunftsthemen für Unternehmen" spricht Hannes Steiner darüber, was gerade die deutsche Wirtschaft zu einem so attraktiven Angriffsziel macht. Denn Hacker haben es verstärkt auf deutsche Firmen abgesehen. Hören Sie, welche einfachen Schritte Ihr Unternehmen sicherer machen.
Das deutsche Gesetz zur Umsetzung von NIS2 (NIS2UmsuCG) liegt mittlerweile als zweiter Referentenentwurf vor. Dieser wird derzeit abgestimmt und muss dann noch das Gesetzgebungsverfahren auf Bundesebene durchlaufen. NIS2UmsuCG ist ein Artikelgesetz, das bestehende KRITIS-Gesetze in Deutschland anpasst – vor allem das BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik).
Um gut vorbereitet zu sein, sollten Unternehmen nicht auf den finalen deutschen Gesetzestext warten, sondern das Thema jetzt angehen. Denn Security-Maßnahmen einzuführen, kostet Zeit, und auf den letzten Drücker werden meist die Berater-Ressourcen knapp.
Die NIS2-Richtlinie überarbeitet die NIS-Richtlinie von 2016 und löst sie ab. Das sind die wichtigsten Änderungen:
Unternehmen müssen selbst klären, ob sie unter die NIS2-Richtlinie fallen, und sich gegebenenfalls beim BSI registrieren. Die folgenden Kriterien sind entscheidend:
Sie waren bisher schon KRITIS
Damit sind Sie automatisch von NIS2 betroffen. Die deutsche Umsetzung definiert „Betreiber kritischer Anlagen“ als eigene Kategorie.
Sie fallen in einen der 18 Sektoren
Außerdem beschäftigen Sie mindestens 50 Mitarbeitende und haben mindestens zehn Millionen Euro Jahresumsatz.
Besonders wichtige vs. wichtige Einrichtungen
Die NIS2-Richtlinie unterscheidet zwischen besonders wichtigen Einrichtungen (Essential Entities) und wichtigen Einrichtungen (Important Entities) sowie mittleren Unternehmen und großen Unternehmen. Diese Einteilung hat Auswirkungen auf die Höhe der Sanktionen und die Aufsicht durch die Behörden.
Unternehmensgröße
Folgende Schwellenwerte gelten für die Sektoren:
Sonderfälle
Einige Sonderfälle aus dem Bereich der besonders wichtigen Einrichtungen sind unabhängig von ihrer Größe von der NIS2-Richtlinie betroffen. Dazu zählen zum Beispiel qualifizierte Vertrauensdienste, TLD-Registries und DNS-Dienste.
Dann sind auch Sie indirekt von NIS2 betroffen. Denn die Richtlinie schreibt KRITIS-Betreibern sowie besonders wichtigen und wichtigen Einrichtungen der 18 Sektoren vor, dass sie die Cybersecurity in Ihrer Lieferkette betrachten müssen. Wer weiterhin Aufträge erhalten will, muss davon ausgehen, dass Diskussionen zur Cybersicherheit in Vertragsverhandlungen künftig zur Normalität werden.
NIS2 betont Cyberrisikomanagement als Teil des unternehmerischen Risikomanagements. Und das aus gutem Grund, denn Cyberangriffe sind heute das größte Geschäftsrisiko. Gerade im Bereich der kritischen Infrastrukturen ist es wichtig, den Betrieb sicherzustellen. Daher nimmt die NIS2-Richtlinie CEOs in die Verantwortung: Sie müssen Maßnahmen zum Cyberrisikomanagement billigen und deren Umsetzung überwachen. Geschäftsführer, die ihrem Cyberrisikomanagement nicht nachkommen, haften persönlich die entstandenen Gefährdungen und/oder Schäden.
Für CEOs, die sich bisher wenig mit Cybersicherheit auseinandergesetzt haben, ist Cyberrisiko-Management Neuland. In der Praxis bedeutet das: Sie müssen Cyberrisiken erkennen, bewerten und entscheiden, welche für das Unternehmen akzeptabel sind und welche nicht. Dabei gilt es, Eintrittswahrscheinlichkeit und das zu erwartende Schadensausmaß für das eigene Unternehmen zu betrachten. Eine wichtige Voraussetzung bilden regelmäßige Meetings mit dem/der Security-Verantwortlichen. Laut einer Trend Micro-Studie sprechen immerhin bereits 51 Prozent der befragten IT-Teams einmal wöchentlich mit der Geschäftsleitung über Cyberrisiken.
IT-Security-Verantwortliche stehen vor der Herausforderung, die NIS2-Richtlinie umzusetzen. In Artikel 21 listet die Direktive die Mindestanforderungen an die Cybersicherheit auf. Dazu zählen neben Cyberrisiko-Management zum Beispiel Backup-Management, Incident-Management, Konzepte und Verfahren für den Einsatz von Kryptographie sowie Zugriffskontrollen und Identitätsmanagement. Die gute Nachricht: Wenn Sie bereits gängige Security Best Practices etabliert haben, können Sie viele der Anforderungen abhaken.
Für das Cyberrisiko-Management müssen CISOs/IT-Security-Verantwortliche in der Lage sein, der Geschäftsleitung jederzeit verständlich darzulegen, wie der aktuelle Risiko-Status aussieht, welche Risiken am dringlichsten sind und welche Maßnahmen das Unternehmen ergreifen sollte. Cyberrisikomanagement muss kontinuierlich erfolgen, da sich die Angriffsfläche und das Bedrohungsumfeld ständig ändern.
Trend Micro unterstützt mit modernster Security-Technologie bei der NIS2-Umsetzung.
Cyberrisiko-Management leicht gemacht mit ASRM
Attack Surface Risk Management (ASRM) von Trend Micro ermittelt automatisiert und KI-gestützt den Risiko-Score Ihrer IT-Umgebung. Dabei nimmt die Technologie die Angreifer-Perspektive ein: Sie sammelt interne Daten aus den angeschlossenen Sensoren und korreliert sie mit Security-Informationen aus unzähligen externen Quellen, darunter Veröffentlichungen von Regierungsbehörden, Polizeiorganisationen, Security-Unternehmen und Analysten. In einem Dashboard behalten Sie den Überblick. Sie sehen dank einer Ampeldarstellung sofort, wie gefährlich die ermittelten Risiken sind. Die Lösung alarmiert Sie, sobald ein bestimmter Schwellenwert überschritten ist, und zeigt Details an – etwa, welche Systeme betroffen sind. Außerdem erhalten Sie Handlungsempfehlungen zu Gegenmaßnahmen und können Risiken sogar automatisiert adressieren.
Schadensausmaß mindern mit XDR
Da es nie möglich sein wird, alle Risiken zu beseitigen, müssen Sie trotz bester Sicherheitsvorkehrungen immer damit rechnen, dass es zum Angriff kommt. Um das Schadensausmaß zu mindern, sollten Sie in der Lage sein, den Vorfall schnell zu erkennen und zu stoppen. Am besten gelingt dies mit Trend Micro XDR (Extended Detection and Response). Die Technologie schafft Transparenz in der gesamten IT-Umgebung, sammelt Bedrohungsinformationen aller angeschlossenen Systeme und korreliert sie KI-gestützt zu verwertbaren Warnungen. Die Zahl der False Positives minimiert sich. So sehen Sie auf einen Blick, was passiert ist, welche Systeme betroffen sind und wo Handlungsbedarf besteht.
So spielen ASRM und XDR zusammen
Sowohl ASRM als auch XDR sind in die Cybersecurity-Plattform Trend Vision One integriert. dort lassen sie sich zentral überwachen und steuern. Beide Technologien greifen auf dieselben Sensoren zu und kommunizieren miteinander. Wenn das ASRM ein Risiko erkennt, kann das XDR dieses genauer untersuchen. Umgekehrt wird der Risiko-Status im ASRM sofort angepasst, wenn das XDR Anzeichen für einen Cyberangriff aufdeckt. Zusammen ermöglichen es die beiden Technologien, sowohl die Eintrittswahrscheinlichkeit als auch das Schadensausmaß eines Cyberangriffs zu mindern.
Trend Micro als Leader eingestuft
Forrester Wave™: Endpoint Security, Q4 2023
Trend Micro erhielt die höchste Punktzhal in der Kategorie Strategie sowie Bestnoten für Innovation, Roadmap und Akzeptanz.
Eine detaillierte Übersicht der Anwendbarkeit von Trend Micro-Angeboten in einzelnen Bereichen des NIS2UmsuCG finden Sie im aktuellen Whitepaper. Die einzelnen Komponenten, sowie deren Voraussetzungen sind dabei modular kombinierbar und können bedarfsorientiert beschafft und betrieben werden.
Um sicherzustellen, dass Ihr Unternehmen die NIS2-Richtlinie erfüllt, müssen Sie die regulatorischen Anforderungen genau kennen, die ergriffenen Maßnahmen dokumentieren und ihre Wirksamkeit überprüfen. Außerdem sollten Sie Schulungen durchführen, um die Mitarbeitenden für die NIS2-Compliance zu sensibilisieren. Für dem Fall, dass Sie von einem Cyberangriff betroffen sind, brauchen Sie ein Verfahren, um den Vorfall fristgerecht innerhalb von 24 Stunden an das BSI zu melden.
Erst, wenn das deutsche Umsetzungsgesetz zu NIS2 verabschiedet ist, stehen die finalen Anforderungen in Deutschland fest. Bis dahin ist es empfehlenswert, sich mit dem aktuellen Stand der Gesetzgebung zum IT-Sicherheitsgesetz vertraut zu machen.
Im Falle eines erheblichen Sicherheitsvorfalls müssen Unternehmen unverzüglich Meldungen abgeben, einschließlich einer Frühwarnung innerhalb von 24 Stunden und einer detaillierten Meldung innerhalb von 72 Stunden. Bei Verstößen gegen die gesetzlichen Vorgaben drohen erhebliche Bußgelder: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen und bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes für wichtige Einrichtungen. Darüber hinaus können Zwangsgelder bis zu 100.000 Euro verhängt werden.
Erfahren Sie alle juristischen Details und bereiten Sie Ihr Unternehmen optimal auf die neuen gesetzlichen Anforderungen vor. Laden Sie unser ausführliches Whitepaper herunter!
Auch wenn die finale deutsche Gesetzgebung zu NIS2 noch aussteht, ist jetzt schon klar: NIS2 wird sich unter die DSGVO einordnen. Bei Vorfällen, die beide Gesetze betreffen, richtet sich das Strafmaß nach der DSGVO. Der Bußgeldrahmen für besonders gravierende Verstöße ist hier doppelt so hoch und liegt bei bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes.
FAQs
Wer kontrolliert die Umsetzung der NIS2-Richtlinie?
In Deutschland ist die zuständige Aufsichtsbehörde das BSI. Unternehmen, die zu den besonders wichtigen Einrichtungen oder den KRITIS-Betreibern zählen, müssen dem BSI gegenüber alle zwei Jahre nachweisen, dass sie die NIS2-Maßnahmen umgesetzt haben. Das BSI legt nach der Registrierung des Unternehmens fest, wann der erste Audit stattfindet – spätestens aber vier Jahre, nachdem das neue Gesetz in Kraft getreten ist. Die Audits werden von externen Prüfern durchgeführt, ähnlich wie bisher die KRITIS-Prüfungen. Wenn die Prüfer Mängel feststellen, haben Unternehmen anschließend Gelegenheit, diese innerhalb einer bestimmten Frist zu beheben.
Welche Strafen drohen bei Verstößen gegen die NIS2-Richtlinie?
Wer die NIS2-Pflichten nicht erfüllt, muss mit empfindlichen Sanktionen rechnen. Die deutsche Umsetzung der Richtlinie sieht unterschiedliche Bußgelder für wichtige Einrichtungen sowie KRITIS-Betreiber und besonders wichtige Einrichtungen vor. Bei allgemeinen Tatbeständen gelten für alle Gruppen dieselben hohen Strafen.
Haben Sie Fragen?
Sprechen Sie uns gerne an!
Nehmen Sie mit mit uns Kontakt auf, denn wir unterstützen Sie gerne auf dem Weg zur NIS2-Konformität
Die zur Verfügung gestellten Informationen dienen lediglich der Information und ersetzen keine individuelle juristische Beratung.