NIS2: Schutz kritischer Infrastrukturen in Europa
EU hat NIS2 beschlossen und die EU-Staaten müssen die Richtlinie bis Oktober 2024 in nationales Recht überführen. Was kommt auf Unternehmen zu?
Hintergrund der neuen Richtlinie ist eine dynamische Bedrohungslandschaft, die sich zunehmend auf die Netzwerke von Unternehmen auswirkt. Zudem haben die einzelnen EU-Mitgliedstaaten die erste NIS-Richtlinie unterschiedlich umgesetzt. Daher will die EU einen einheitlicheren Ansatz für den Schutz von Kritischen Infrastruktur (KRITIS) schaffen, da ein großer Cyberangriff enorme Auswirkungen einzelne Mitgliedstaaten, aber auch auf den Rest der Union haben könnte.
Ende Dezember 2022 wurde die NIS2-Richtlinie verabschiedet und in der EU offiziell gemacht. Danach haben die Mitgliedsstaaten 21 Monate Zeit, die Richtlinie in nationales Recht zu wandeln. Das heißt aber nicht, dass Unternehmen bis dahin mit der Umsetzung der neuen Maßnahmen warten können. Denn bereits 18 Monate nach der Verabschiedung müssen die von der Richtlinie betroffenen Organisationen in der Lage sein, diese einzuhalten. Das scheint ein langer Zeitraum zu sein, aber die Vergangenheit zeigt, dass viele Unternehmen sich schwer damit tun, neue Maßnahmen und Verfahren einzuführen.
Was auf Mitgliedstaaten zukommt
Im Gegensatz zur DSGVO-Richtlinie, die personenbezogene Daten der Bürger schützt, zielt die NIS2-Richtlinie auf den Schutz von Wirtschaftsdaten ab. Im Rahmen der neuen Gesetzgebung müssen die Mitgliedstaaten unter anderem eine nationale IT-Sicherheitsstrategie und ein nationales Gesetz entwerfen. Dieses soll Anforderungen an das Risikomanagement und die Berichterstattung der Unternehmen, die unter die NIS2-Richtlinie fallen, stellen. Außerdem soll auf nationaler Ebene eine Kontaktstelle dafür eingerichtet werden.
Zusätzlich zu den Sektoren, die schon in der NIS-Richtlinie enthalten waren, erstreckt sich die neue NIS2 unter anderem auf die Lebensmittelbranche, Fracht- und Schifffahrtsunternehmen, Telekommunikations- und Datenanbieter, Social-Media-Plattformen und Anbieter von Rechenzentren, sowie Unternehmen, die in der Abfall- und Abwasserwirtschaft tätig sind, außerdem Produktionsunternehmen, die für die Wirtschaft des Landes wichtig sind.
Die unter die Richtlinie fallenden Unternehmen werden in zwei Kategorien unterteilt: essenzielle Unternehmen (z. B. Telekommunikationsunternehmen, Versorgungsunternehmen und Banken) und wichtige Unternehmen (z. B. Lebensmittelunternehmen und Frachtunternehmen). Unternehmen mit weniger als 250 Beschäftigten oder einem Jahresumsatz von weniger als 50 Millionen Euro sind jedoch von der Richtlinie ausgenommen.
Aufgrund des Konzepts der Verantwortung für die Lieferkette ist jedoch davon auszugehen, dass auch kleinere Unternehmen, die Zulieferer für die von der Richtlinie erfassten Sektoren sind, NIS2 einhalten müssen. Darüber hinaus erstreckt sich die Richtlinie auch auf öffentliche Verwaltungen, doch ist derzeit noch unklar, ob dies beispielsweise für Kommunen gilt.
Wirksames Risikomanagement für Unternehmen
NIS2 stellt neue Anforderungen an die betroffenen Unternehmen und Organisationen. Dazu gehören das Fachwissen und die Verantwortung der Führungskräfte, ein wirksames Risikomanagement, einschließlich Risikoanalyse und Reaktion auf Vorfälle, sowie die Meldung und Behandlung von Cyber-Vorfällen. Das Management ist somit für die Einhaltung der NIS2-Richtlinie durch die Firma verantwortlich und kann bei Verfehlung zur Rechenschaft gezogen werden. Das Unternehmen oder die Organisation selbst muss verschiedene Anforderungen an die IT-Sicherheit erfüllen, einschließlich der Umsetzung von Sicherheitsmaßnahmen und internationalen Standards, wie ISO27001 oder dem NIST-Framework.
Unternehmen, welche die NIS2-Richtlinie nicht einhalten, können mit Geldstrafen von bis zu zehn Millionen Euro oder zwei Prozent des gesamten weltweiten Jahresumsatzes belegt werden. Es ist wichtig, darauf hinzuweisen, dass es, wie bei der DSGVO-Richtlinie, kein NIS2-Etikett oder eine Liste geben wird, an die sich die Unternehmen halten müssen. Es liegt an der Organisation selbst, Maßnahmen zu ergreifen, um die Einhaltung der Datensicherungsbestimmungen zu gewährleisten. Anbieter von Sicherheitslösungen können somit zwar helfen, aber es ist Sache des Unternehmens, die notwendige Berichterstattung einzurichten.
Technologie allein greift zu kurz
Die NIS2-Richtlinie beschreibt nur, nur wie ein angemessenes Schutzniveau aussieht. Sie enthält jedoch keine konkreten Checklisten. Sie lässt sich daher auf verschiedene Weise interpretieren. Man darf jedoch davon ausgehen, dass Unternehmen zumindest Firewall- und Intrusion-Prevention-Technologien in ihrem Netzwerk benötigen, sowie Endpunktsicherheit und die Implementierung von Multi-Faktor-Authentifizierung, Datenverschlüsselung und Zugangsbeschränkung.
Nicht alles lässt sich mit Technologie lösen. Unternehmen sollten sich laut Check Point Software Technologies einen Überblick verschaffen und einen Plan aufstellen, anstatt nur nach einer schnellen Lösung zu suchen. Folgende Aspekte sind zu beachten:
- IT-Sicherheit sollte für die Unternehmensleitung Priorität haben und sich die Führungskräfte ihrer Verantwortung bewusst sein.
- Eine Analyse des Staus quo mündet in einen Fahrplan mit klaren Zielen und Zeitvorgaben für die Umsetzung.
- Identifikation und Priorisierung der Vermögenswerte, einschließlich Informationen, Prozessen und Systemen.
- Konzeption eines Sicherheitsrahmens auf Basis von ISO2001 oder NIST incl. Risikomanagement für Vermögenswerte und Abläufe.
- Automatisierung von Prozessen und Routinen. So sollte beispielsweise die IT-Sicherheit immer Teil neuer Systeme und Cloud-Einführungen sein.
- Konsolidierung der Sicherheitsfunktionen und -lösungen. Dies vereinfacht den Betrieb und senkt Kosten.
- Einführung eines Meldeprozesses, der den NIS2-Anforderungen entspricht und für die Entschärfung von Angriffen und Bedrohungen tatsächlich benutzt wird.