Die Entwicklung von NIS2, der neuen EU-Richtlinie zur Cybersicherheit, hat ihren Ursprung im Jahr 2016, als das EU-Parlament mit der ersten Fassung der NIS-Richtlinie Mindeststandards für die Cybersicherheit von Betreibern kritischer Infrastrukturen festlegte. Angesichts der sich verschärfenden Cybersicherheitslage, insbesondere durch vermehrte Ransomware-Angriffe, war eine Überarbeitung dringend erforderlich.
Fraglich ist, ob die Einführung von NIS2 nun einen erheblichen Unterschied mit sich bringt. Dieser Frage wollen wir in diesem Blogbeitrag nachgehen.
Neuer Geltungsbereich
Ein wesentlicher Unterschied zur ursprünglichen NIS-Richtlinie ist der stark erweiterte Geltungsbereich von NIS2. Während die erste Richtlinie hauptsächlich für wesentliche kritische Infrastrukturen wie Energieversorger, Wasserwerke und Krankenhäuser galt, bezieht sich NIS2 auch auf weitere kritische Sektoren. Dazu zählen nun auch Postdienstleister, Abfallwirtschaftsunternehmen und viele andere. Darüber hinaus müssen auch die Lieferketten dieser Betriebe den neuen Vorgaben entsprechen. Dies bedeutet, dass auch Unternehmen wie Logistiker, Entsorger und Software-Lieferanten, die in Verbindung mit kritischen Infrastrukturen stehen, die strengen Sicherheitsanforderungen erfüllen müssen. Diese Erweiterung unterstreicht die umfassende Tragweite der Richtlinie.
Verschärfte Anforderungen an organisatorische und technische Maßnahmen
NIS2 fordert von Unternehmen deutlich strengere organisatorische und technische Maßnahmen. Ein zentrales Element ist dabei die Risikoanalyse, die sich auf das Risikomanagement und die damit verbundenen Effekte wie Business Continuity, Krisen- und Notfallmanagement konzentriert. Unternehmen müssen ihre Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen überprüfen und verbessern, beispielsweise durch Breach- und Attack-Simulationen. Zudem sind neue Technologien erforderlich, um den Anforderungen gerecht zu werden, darunter Systeme zur Angriffserkennung.
Auch der Schutz der Informationssysteme wird durch NIS2 wesentlich verstärkt. Die Richtlinie gibt nicht nur allgemeine Vorgaben, sondern schreibt auch konkrete Maßnahmen wie die Integration einer Multi-Faktor-Authentifizierung vor. Technische Maßnahmen werden durch organisatorische Maßnahmen ergänzt, wie etwa Schulungen zur Erhöhung des Sicherheitsbewusstseins der Mitarbeiter. Dies ist besonders im Hinblick auf die neuen Meldepflichten von Bedeutung: Jeder erhebliche Sicherheitsvorfall muss innerhalb von 24 Stunden gemeldet werden.
Scharfe Konsequenzen bei Nichteinhaltung
Die Sanktionen bei Verstößen gegen NIS2 sind erheblich und orientieren sich an den Bußgeldern der Datenschutzgrundverordnung (DSGVO). Wesentliche Einrichtungen können mit Strafzahlungen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Vorjahresumsatzes belegt werden. Für weitere kritische Unternehmen drohen Strafen von bis zu 7 Millionen Euro oder 1,4 Prozent des Vorjahresumsatzes. Diese strikten Vorgaben zeigen deutlich, dass die EU die Einhaltung der Richtlinie sehr ernst nimmt und Verstöße hart sanktioniert.
Handlungsempfehlungen
Unternehmen sollten jedenfalls prüfen, ob sie oder ihre Kunden von den neuen Vorgaben betroffen sind. Besonders der Schutz der Lieferketten ist ein zentraler Aspekt von NIS2. Dies bedeutet, dass auch Unternehmen, die nicht direkt unter die betroffenen Sektoren fallen, dennoch Maßnahmen ergreifen müssen, um die Anforderungen ihrer Kunden zu erfüllen. Es ist daher ratsam, sich auf bevorstehende Vertragsverhandlungen gut vorzubereiten und umfassende Sicherheitsmaßnahmen zu implementieren.
Obwohl die Umsetzung von NIS2 in einigen Ländern möglicherweise erst im Herbst 2024 erfolgt, sollten Unternehmen die erforderlichen Maßnahmen nicht auf die lange Bank schieben. Die Implementierung eines umfassenden Risikomanagements und die Einführung technischer Maßnahmen wie Multi-Faktor-Authentifizierung sind komplex und zeitaufwendig. Auch die Aktualisierung von Lieferantenverträgen sollte nicht unterschätzt werden. Unternehmen sollten daher zeitnah mit der Umsetzung beginnen, um die Fristen einhalten zu können.
Ausblick
Die Einführung von NIS2 zeigt deutlich, dass Cybersecurity nun endgültig Chefsache ist. Kein Geschäftsführer kann es sich leisten, dieses strategische Thema zu delegieren und aus der Verantwortung zu ziehen. Die Vernachlässigung der Cybersicherheit birgt nicht nur das Risiko von Hackerangriffen, sondern auch von erheblichen Compliance-Verstößen und entsprechenden Bußgeldern. Fahrlässigkeit kann durch die Geschäftsführerhaftung zudem persönliche Konsequenzen haben.
Die Empfehlung lautet daher, das Thema Cybersicherheit sehr ernst zu nehmen, die Umsetzungsfristen im Auge zu behalten und die richtigen Partner für die Umsetzung ins Boot zu holen. Nur so können Unternehmen den hohen Anforderungen von NIS2 gerecht werden und ihre Systeme sowie ihre Lieferketten effektiv schützen.