
Europaweit gilt die NIS2-Richtlinie bereits seit dem 18. Oktober 2024, derzeit läuft die Umsetzung in nationales Recht. Die Konsequenzen sind aber schon jetzt klar: Viel mehr und vor allem auch viele kleinere und mittlere Unternehmen müssen ihre Vorkehrungen für den Schutz vor Cyberangriffen deutlich erhöhen, neue Geschäftsprozesse implementieren und neuen Meldepflichten nachkommen. Und zwar selbstständig, denn eine behördliche Aufforderung dazu gibt es nicht.
Viele Branchen erstmalig betroffen
Hohe Anforderungen an die Network and Information Security (NIS) gelten bereits seit 2016 in einigen als kritisch eingestuften Branchen wie der Energiewirtschaft, für alle Verkehrsträger, für Banken und Finanzdienstleister sowie für das Gesundheitswesen. Und natürlich für alle Anbieter im Bereich Digitale Infrastruktur. Neu hinzu kommen jetzt Betriebe der Trinkwasser-Versorgung und der Abwasser-Entsorgung, die Anbieter von ITK-Diensten, die öffentlichen Verwaltungen sowie alle Firmen, die sich um die Bodeninfrastrukturen der Raumfahrt kümmern. Neu hinzukommen auch alle Post- und Kurierdienste, Produktion, Herstellung und Handel mit chemischen Stoffen, Anbieter digitaler Dienste wie Suchmaschinen, Marktplätze oder Social Media-Plattformen sowie alle Forschungseinrichtungen.
Maschinen- und Fahrzeugbau neu dabei
Die höchste Anzahl von Firmen, die ihre Cybersicherheit deutlich verbessern müssen, dürfte im verarbeitenden Gewerbe liegen wie dem Maschinenbau, der Automobilwirtschaft und dem sonstigen Fahrzeugbau sowie in der Herstellung von medizinischen, optischen und elektronischen Geräten und Ausrüstungen. Auch wenn sie nicht selbst unmittelbar betroffen sind, müssen die Lieferanten aller vorgenannten Branchen damit rechnen, dass ihre Kunden auch an sie künftig höhere Anforderungen stellen. Insofern vergrößert sich der Kreis der Betroffenen deutlich. Die neue Gesetzgebung unterscheidet dabei große Unternehmen (ab 250 Mitarbeitende oder mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme. Diese gelten als wesentliche Einrichtungen. Mittelgroße Unternehmen zwischen 50 und 249 Mitarbeitende werden wichtige Einrichtungen genannt.
Großes Maßnahmenpaket gefragt
Betroffene Unternehmen müssen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Sicherheitsrisiken eines Cyberangriffs zu beherrschen und die Auswirkungen von Vorfällen zu verhindern oder möglichst gering zu halten. Die Angemessenheit wird anhand einer Risikobetrachtung geprüft, wo unter anderem individuell die Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere betrachtet wird. Zu den Maßnahmen gehören laut der Richtlinie mindestens: Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme, Bewältigung von Sicherheitsvorfällen, Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement, Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern, Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen einschließlich Management und Offenlegung von Schwachstellen, Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit, grundlegende Verfahren im Bereich der Cyberhygiene (zum Beispiel Updates) und Schulungen im Bereich der Cybersicherheit, Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung, Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen, Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Verantwortung bei Geschäftsführung
Die Richtlinie legt eine klare Verantwortung für die Umsetzung und Überwachung der Maßnahmen bei der Geschäftsführung, allgemein „Leitungsorgane“ genannt. Hinzukommt die Verpflichtung, selbst an Schulungen teilzunehmen sowie diese den Mitarbeitenden anzubieten. Ziel dabei ist es, ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen zu erwerben.
Melde- und Berichtspflichten bei Vorfällen
Sicherheitsvorfälle müssen durch die betroffenen Unternehmen gemeldet werden. Die in der Richtlinie vorgesehenen Fristen können sich im Umsetzungsgesetz von Deutschland noch ändern, eine schnelle Reaktionsfähigkeit wird dennoch notwendig sein. Innerhalb von 24 Stunden ab Kenntnis des Vorfalls wird eine Frühwarnung erwartet, innerhalb von 72 Stunden eine Meldung als erste Bewertung des Vorfalls und deren Auswirkungen sowie spätestens nach einem Monat ein Abschlussbericht mit ausführlicher Beschreibung des Vorfalls, der Ursachen sowie Abhilfemaßnahmen. Die Details zum Ablauf und der deutschen Meldestelle sind noch nicht im Detail bekannt.
Registrierung ist Unternehmenspflicht
Betroffene Unternehmen müssen sich bei der nationalen Behörde registrieren. Eine Aufforderung dazu erfolgt nicht, die Registrierung gilt als Bringschuld. Aber auch hierzu sind die Details noch nicht festgelegt. Werden insbesondere die notwendigen Maßnahmen nicht eingehalten und gegen die Meldepflichten verstoßen, können hohe Geldstrafen auf die Unternehmen zukommen. Als Höchstbeträge für mögliche Geldstrafen wurden in der Richtlinie 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes im vorigen Jahr für wesentliche Einrichtungen festgesetzt. Für wichtige sind es 7 Millionen Euro oder 1,4 Prozent.
Kontrollen jederzeit möglich
Von den Aufsichtsbehörden können Vor-Ort-Kontrollen durchgeführt, Nachweise angefordert und Anweisungen mit Fristeinhaltung gegeben werden. Dabei erfolgt dies bei wichtigen Einrichtungen reaktiv, zum Beispiel nach Hinweisen auf Verstöße. Für wesentliche Einrichtungen ist die Aufsicht proaktiv mit zusätzlichen regelmäßigen wie auch unangekündigten Sicherheitsprüfungen.
Achtung: Selbstständig handeln!
Unternehmen werden nicht von Behörden darüber informiert, ob sie von der NIS-2-Richtlinie betroffen sind. Ein Experte rät: „Prüfen Sie daher nach, ob Sie in Bezug auf Ihre Größe und Branche dazuzählen.“ Ist dies der Fall, liegt die Verantwortlichkeit bei der Geschäftsführung. Im Unternehmen müssen passende Personen festgelegt werden, die die Vorgaben operativ umsetzen. Es ist sehr empfehlenswert, sich für die Umsetzung fachkundige Unterstützung durch IT-Dienstleister oder Experten für Cybersicherheit und Datenschutz zu holen.
Autor:
Volksbank in Ostwestfalen – Bild © issaronow – adobe stock