DDOS-Angriffe, Ransomware-Attacken, Cyberspionage oder Datendiebstahl – die Cyberkriminalität in Deutschland wächst täglich und verursacht Schäden im dreistelligen Milliardenbereich. Dennoch bleiben viele Unternehmen und Einrichtungen, vor allem auch KMUs, hinter den Anforderungen an Cybersicherheit zurück.
Um Betriebe, insbesondere jene der kritischen Infrastruktur, stärker in die Pflicht zu nehmen, hat sich die EU-Kommission entschlossen, ihre „Richtlinie über die Sicherheit von Netz- und Informationssystemen“ zu überarbeiten und weiterzuentwickeln. Das Ergebnis ist die NIS-2-Richtlinie, die in Zukunft auch in Deutschland verpflichtend werden soll.
Für betroffene Unternehmen bedeutet das, sich auf diese Gesetzesänderung vorzubereiten und sich in Sachen Cybersicherheit auf den neuesten Stand zu bringen. Denn bei Nichteinhaltung drohen hohe Bußgelder bis hin zu einer Geschäftsführerhaftung.
Was ist die NIS-2-Richtlinie?
Die NIS-2-Richtlinie ist eine überarbeitete Version der 2016 eingeführten "Richtlinie über die Sicherheit von Netz- und Informationssystemen" (NIS). Ihr Ziel ist es, die Cybersicherheitsstandards in der EU zu verbessern, damit Unternehmen und Organisationen besser gegen Angriffe und Ausfälle geschützt sind. Die ursprüngliche NIS-Richtlinie war der erste europaweite Vorstoß, ein hohes Maß an Sicherheit in essenziellen Sektoren sicherzustellen. Mit NIS-2 wird dieser Ansatz erweitert und verschärft, um besser auf die immer komplexer werdenden Cyberbedrohungen zu reagieren.
Inhaltlich fokussiert sich die Neuauflage auf eine Verstärkung der bestehenden nationalen Cybersicherheitsstrategie. Hierbei stehen besonders Unternehmen und Organisationen im Mittelpunkt, die für kritische Infrastrukturen verantwortlich sind, da deren Ausfall oder Beeinträchtigung massive Folgen für die Gesellschaft haben könnte.
Durch die verschärften Anforderungen werden in Deutschland etwa 30.000 Unternehmen von der NIS-2-Richtlinie erfasst – deutlich mehr als zuvor. Gerade jene Betriebe, die bislang noch nicht von einer verpflichtenden Umsetzung der IT-Sicherheitsmaßnahmen betroffen waren, müssen nun aktiv werden und die geforderten Maßnahmen umsetzen.
"Cybersicherheit ist zentral für unsere Gesellschaft und betrifft jeden von uns."
Bundesinnenministerin Nancy Faser
Wer ist von der NIS-2-Richtlinie betroffen?
Die neue NIS-2-Richtlinie betrifft deutlich mehr Unternehmen und Organisationen als ihr Vorgänger. Das bedeutet, dass sich zukünftig deutlich mehr Betriebe mit dieser Regelung auseinandersetzen müssen. Dabei wird bei den betroffenen Sektoren in zwei Bereiche unterschieden:
Darüber hinaus ist die Unternehmensgröße als Kriterium definiert, um betroffene Einrichtungen zu identifizieren. Dabei gibt es zwei Kategorien:
- Mittlere Unternehmen mit mindestens 50 bis maximal 250 Beschäftigten und einem Umsatz zwischen zehn und 50 Millionen Euro oder mit einer Jahresbilanzsumme von maximal 43 Millionen Euro.
- Große Unternehmen mit über 250 Beschäftigten und mehr als 50 Millionen Euro Umsatz oder einer Jahresbilanz von mehr als 43 Millionen Euro.
Unabhängig davon können Unternehmen dennoch von der NIS-2-Richtlinie betroffen sein. Dazu gehören – unabhängig ihrer Größe – Vertrauensdiensteanbieter (Anbieter, die elektronische Dienste wie z. B. digitale Signaturen bereitstellt, um sichere und rechtsverbindliche elektronische Transaktionen zu ermöglichen), bestimmte Anbieter öffentlicher elektronischer Kommunikationsnetze, kritische Infrastrukturen (KRITIS) sowie die öffentliche Verwaltung.
Besonders zu beachten ist, dass mit NIS-2-Richtlinie nun auch in größerem Maße die Zulieferer in die Pflicht genommen werden. Grund dafür ist, dass die neue Richtlinie eine Absicherung der gesamten Lieferkette vorsieht – sowohl hinsichtlich der digitalen Systeme wie auch der physischen Umwelt ebenjener. Das bedeutet, dass Zulieferbetriebe ihre IT-Sicherheit möglicherweise in ähnlichem Ausmaß aufstellen müssen wie die betroffene Einrichtung selbst.
Wie sollen die neuen Anforderungen umgesetzt werden?
Es gibt verschiedene Maßnahmen, durch welche die NIS-2-Richtlinie umgesetzt werden können. Dazu gehören:
Ein Projektteam zusammenstellen:
Aufgrund der hohen Anforderungen ist es ratsam, ein Projektteam zur Umsetzung der NIS-2-Richtlinie zusammenzustellen und die Verantwortlichen zu benennen. Über dieses Team können die Maßnahmen zur Informationssicherheit koordiniert werden. Neben IT- und Sicherheitsexperten sollte auch die Geschäftsführung involviert sein. Zusätzlich bietet es sich an, wenn auch der Datenschutzbeauftragte oder ein rechtlicher Berater involviert sind.
Sollte bislang wenig Verständnis für den Bereich IT-Sicherheit bestehen, empfiehlt sich zudem ein gemeinsames Cybersicherheitstraining.
Ein Informationssicherheits-Managementsystem einführen:
Falls noch nicht vorhanden, sollte jetzt ein Informationssicherheits-Managementsystems (ISMS) eingeführt werden. Ein ISMS besteht aus verschiedenen Richtlinien, Verfahren und Maßnahmen, die dafür sorgen, dass sensible Informationen geschützt werden und Sicherheitsrisiken kontrolliert und minimiert sind. Es kann dabei helfen, potenzielle Bedrohungen frühzeitig zu identifizieren.
Zu den Themen, die dabei in den Blick genommen werden sollen, gehören:
Meldeprozesse definieren und Meldepflichten beachten:
Die Verpflichtung zur Meldung eines Cybersicherheitsvorfalles werden in den NIS-2-Richtlinie noch einmal verschärft. Schwere Sicherheitsvorfälle müssen zukünftig innerhalb von 24 Stunden gemeldet werden, eine detaillierte Analyse muss innerhalb von weiteren 72 Stunden nach der Erstmeldung folgen. Ein umfassender Bericht ist schließlich nach einem Monat fällig.
Mit Blick auf diese knapp bemessenen Zeitfenster kann es für Unternehmen hilfreich sein, einen Meldeprozess zu etablieren oder den bestehenden Prozess nachzujustieren. Schließlich muss sichergestellt werden, dass die relevanten Informationen auch im definierten Zeitrahmen vorliegen.
Vorbereitung auf strengere Kontrollen:
Strengere Durchsetzungsmechanismen sollen dafür sorgen, dass die NIS-2-Richtlinie auch im geforderten Maß umgesetzt wird. Nach gesetzlichem Inkrafttreten der NIS-2-Richtlinie haben die Aufsichtsbehörden mehr Befugnisse, um Unternehmen zu überwachen und bei Nichteinhaltung Sanktionen zu verhängen. Dabei drohen deutlich höhere Bußgelder als zuvor.
Hinweis: Unabhängig davon, ob Dein Unternehmen die NIS-2-Richtlinie erfüllen muss, ist es sinnvoll, sich mit dem Thema "Datenschutz" auseinanderzusetzen. Denn selbst wenn Dein Unternehmen nicht zur kritischen Infrastruktur gehört, kann es ein attraktives Ziel für Cyberkriminelle sein.
Bis wann müssen die Anforderungen umgesetzt werden?
EU-weit ist die neue Richtlinie bereits seit Anfang 2023 in Kraft und sollte bis Oktober 2024 in den Mitgliedsstaaten in nationales Recht umgesetzt werden. In Deutschland verzögert sich der Prozess jedoch. Zwar wurde das NIS2-Umsetzungsgesetz im Juli 2024 im Bundeskabinett beschlossen, allerdings muss das Gesetz noch durch Bundestag und Bundesrat final bestätigt werden. Voraussichtlich wird das Gesetz nun im ersten Quartal 2025 in Kraft treten und ab dem zweiten Quartal 2025 verbindlich sein.
Datenschutzgerechte Kollaborationssoftware: Ein Baustein für NIS-2-konforme Cybersicherheit
Die Einführung der NIS-2-Richtlinie setzt neue Standards für Cybersicherheit und verpflichtet Unternehmen, insbesondere in kritischen Sektoren, ihre Sicherheitsmaßnahmen umfassend zu prüfen. Im Fokus steht dabei auch die Auswahl der richtigen Softwarelösungen. Wenn die genutzten Tool-Anbieter und Dienstleister geeignete technische und organisatorische Maßnahmen bezüglich der Informationssicherheit getroffen haben und diese entsprechend – bspw. über ein ISO 27001-Zertifikat – nachweisen können, ist schon viel erreicht.
Einen besonders wachen Blick sollte dabei auf die genutzte Kollaborationssoftware geworfen werden. Gerade in der Projektarbeit werden viele sensible Daten verarbeitet, daher ist ein sicherer Schutz dieser Informationen essenziell. Doch die NIS-2-Konformität bedeutet nicht, dass gleich jede Art von Projektmanagementsoftware aus dem Unternehmen verbannt werden muss. Im Gegenteil, Softwarelösungen wie Stackfield bieten nicht nur die notwendige Sicherheit, sondern unterstützen Unternehmen aktiv bei der Einhaltung der Richtlinie.
Datensicherheit und Verschlüsselung:
Stackfield bietet eine echte Ende-zu-Ende-Verschlüsselung sowohl für die Kommunikation als auch für den Dateiaustausch. Dies unterstützt Unternehmen, die Vertraulichkeit und Integrität ihrer Daten zu gewährleisten – eine zentrale Anforderung der NIS-2-Richtlinie. Sie fordert explizit, dass Daten, insbesondere bei der Übertragung und Speicherung, vor unbefugtem Zugriff geschützt werden.
Zugriffskontrolle und Rechteverwaltung:
Die NIS-2-Richtlinie setzt strenge Kontrollen für den Zugriff auf Netzwerke und Systeme voraus. Stackfield ermöglicht detaillierte Zugriffsrechte und Rollenverteilungen, was bedeutet, dass nur autorisierte Nutzer auf bestimmte Informationen und Funktionen zugreifen können. Das minimiert das Risiko von Datenlecks oder unautorisierten Zugriffen.
Datenschutz nach DSGVO-Vorgaben:
Ein klares Bekenntnis zu den Datenschutzrichtlinien ist ebenfalls Teil der NIS-2-Richtlinien, insbesondere im Umgang mit personenbezogenen Daten. Das deutsche Unternehmen Stackfield speichert alle Daten in zertifizierten Rechenzentren innerhalb der EU, was es Unternehmen erleichtert, die rechtlichen Anforderungen in Bezug auf Datensicherheit und -schutz zu erfüllen. Dabei haben selbst die Stackfield-Mitarbeiter keinen Zugriff auf die Unternehmensdaten. Zudem ist das Unternehmen mehrfach ISO-zertifiziert und hat das BSI C5 Testat erhalten.
Kollaborations- und Kommunikationssicherheit:
Der Schutz der internen Kommunikationskanäle ist ein weiterer Schwerpunkt der NIS-2-Richtlinie. Dabei sollen alle Informationen aus den Kommunikationskanälen von unbefugtem Zugriff geschützt werden. In Stackfield sind die Kommunikationsoptionen nicht nur bereits integriert, sodass keine weiteren Tools notwendig sind, sondern auch mehrfach auf ihre Sicherheit zertifiziert.
Welche Konsequenzen drohen bei Nichterfüllung?
Die Konsequenzen bei Nichtbeachtung der NIS-2-Richtlinie sind nicht zu unterschätzen. In einem ersten Schritt kann die Aufsichtsbehörde Aufsichts- und Durchsetzungsmaßnahmen gegen die betroffenen Einrichtungen einleitet, beispielsweise in Form von Anordnungen und Nachprüfungen. Dabei sind auch empfindliche Bußgelder nicht ausgeschlossen. Abhängig vom Einzelfall kann sich die Bußgeldsumme laut aktuellem Rahmen auf bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Vorjahresumsatzes belaufen.
Schmerzhaft kann es zudem für die Geschäftsleitung werden, die laut den Vorgaben der Richtlinie explizit in Haftung genommen werden soll. Sollte sich diese nicht explizit um die Umsetzung der gesetzlichen Maßnahmen kümmern, ist vorgesehen, sie persönlich in Rechenschaft zu ziehen. Das hat nicht nur rechtliche Konsequenzen, denn bei Fehlverhalten soll die Unternehmensführung auch mit ihrem Privatvermögen haften müssen.
Zu beachten ist, dass die Unternehmen selbst in der Pflicht sind, herauszufinden, ob sie unter die NIS-2-Richtlinie fallen oder nicht. Eine Behörde, die sich um die Verwaltung und Umsetzung der Richtlinie kümmert, soll es nach aktuellem Stand nicht geben.
Fazit: Die NIS-2-Richtlinie wird die IT-Sicherheit in vielen Unternehmen verändern
Mit der kommenden NIS-2-Richtlinie werden die bisherigen Anforderungen an die Cybersicherheit noch einmal deutlich nachgeschärft und gleichzeitig auf mehr Bereiche ausgeweitet. Besonders bemerkbar wird sich das bei jenen Unternehmen und Einrichtungen machen, die von der bisherigen Gesetzeslage nicht berührt wurden. Vor allem Zulieferbetriebe und KMUs sind jetzt aufgefordert, in Sachen IT-Sicherheit nachzujustieren.
Gerade – aber nicht ausschließlich – für sie ist es entscheidend, dass sie sich mit den NIS-2-Richtlinie auseinandersetzen und rasch entsprechende Maßnahmen einleiten. Mit sinnvollen Investitionen wie beispielsweise Mitarbeiterschulungen, sicherer Software oder einer effizienteren Sicherheitskultur durch ein ISMS kann bereits viel dafür getan werden, um die künftigen gesetzlichen Regelungen zu erfüllen.