NIS2-Compliance: Diese Vorgaben müssen betroffene Unternehmen erfüllen

„Warum müssen wir immer erst aus Schaden klug werden?“ – mit dieser rhetorischen Frage kritisierte BSI-Chefin Claudia Plattner unlängst die aus ihrer Sicht immer noch unzureichenden nationalen Vorkehrungen beim Cyberschutz. Defizite gibt es der Leiterin des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zufolge vor allem bei der Koordination der auf Bundes- und Landesebene verantwortlichen Stellen, die im Krisenfall eine flächenbrandartige Ausbreitung von Systemausfällen verhindern soll.

NIS2-Richtlinie bringt erweiterte Security-Pflichten auch für mittlere Unternehmen

Zwei bedeutende Schritte in diese Richtung stellen das KRITIS-Dachgesetz und die NIS2-Richtlinie dar. Mit der zum Oktober 2024 festgelegten Umsetzung in deutsches Recht treten nicht nur in Deutschland, sondern EU-weit höhere Sicherheitsstandards für Netz- und Informationssystemen in Kraft. Ein wesentliches Unterscheidungsmerkmal beider Gesetze stellen die unterschiedlichen Geltungsbereiche dar. Während das Dachgesetz die Stärkung der Widerstandskraft kritischer Infrastrukturen durch erweiterte Betreiberpflichten und sektorenübergreifende Ziele beabsichtigt, sieht NIS2 die Einhaltung entsprechender Compliance-Vorgaben bereits für mittlere Unternehmen vor, die auch jenseits klassischer kritischer Infrastrukturen angesiedelt sind. Es ist davon auszugehen, dass für ungefähr 30.000 betroffene Unternehmen die Security-Pflichten steigen werden. Als erstes sollten Unternehmen also ermitteln, ob sie dem neuen Geltungsbereich von NIS2 unterliegen und gemäß der Unterscheidungskriterien nach Unternehmensgröße und Sektorenzugehörigkeit als „wichtige“ oder „besonders wichtige“ Einrichtungen gelten. Als Orientierungshilfe empfehlen wir Ihnen unsere NIS2-Checkliste.

NIS2-Konformität: Darum ist sie so wichtig

Das Ziel der NIS2-Richtlinie besteht im Wesentlichen darin, die Widerstandsfähigkeit europäischer Unternehmen gegen Cyberangriffe zu erhöhen. Betroffene Einrichtungen müssen sich zur Einhaltung eines Maßnahmenkatalogs verpflichten, welcher spezifische Vorgaben der zu treffenden technischen und organisatorischen Vorkehrungen sowie zum Meldewesen bei Sicherheitsvorfällen enthält. Wenngleich eine vollumfängliche NIS2-Compliance in erster Linie als strategische Investition in die eigene Sicherheit und Risikominimierung begriffen werden sollte, steht über allem doch die regulatorische Pflicht, deren vorsätzliche oder fahrlässige Missachtung empfindliche Verwaltungsstrafen nach sich ziehen kann. Je nach Einstufung können die Sanktionen bei wichtigen Einrichtungen zwischen 100.000 Euro und bis zu 7 Mio. Euro oder 1,4 Prozent des globalen Umsatzes ausmachen. Bei besonders wichtigen Einrichtungen erhöht sich die Obergrenze sogar auf bis zu 10 Mio. Euro beziehungsweise 2 Prozent des globalen Umsatzes.

NIS2-Compliance schreibt konkrete Informations- und Meldepflichten vor

Ein ganz entscheidender Punkt der NIS2-Compliance besteht darin, dass diese ein proaktives Handeln seitens der Unternehmen voraussetzt. Das bedeutet, dass sich die Mehrzahl der Einrichtungen und Betreiber selbst identifizieren und beim BSI registrieren müssen. Für besonders wichtige und wichtige Einrichtungen sowie DNS-Registries ist hierfür eine dreimonatige Frist vorgesehen. Da dieser Schritt jedoch kaum ohne umfängliche Vorbereitungen möglich ist, sollten betroffene Unternehmen jedoch nicht bis Oktober 2024 damit warten.

Gefahrenübergreifender Ansatz bedingt umfangreiche Maßnahmen beim Risikomanagement

Von der Manipulation physischer Sicherheitsbarrieren bis zum digitalen Angriff: Ein umfassendes Verständnis für potenzielle Schwachstellen und Bedrohungen bildet eine der wichtigsten Voraussetzungen, um wirksame Maßnahmen für die Sicherheit von Anlagen und Informationssystemen zu entwickeln. Der gefahrenübergreifende Ansatz von NIS2 schreibt daher eine detaillierte Risikoanalyse vor, aus der sich weitere verpflichtende Maßnahmen zum Informationssicherheitsmanagement (ISMS) ableiten:

• Implementierung und Aufrechterhaltung eines kontinuierlichen Schwachstellen- und Incident Managements und Dokumentation über die Umsetzung dieser Maßnahmen
• Business Continuity Management (BCM): Um im Krisenfall die Betriebskontinuität aufrechterhalten zu können, müssen Einrichtungen entsprechend Vorsorge treffen, zum Beispiel durch Vorhalten von Daten-Backups
• Meldepflichten: Kommt es in wichtigen beziehungsweise besonders wichtigen Einrichtungen zu relevanten Sicherheitsvorfällen, muss innerhalb von 24 Stunden eine Erstmeldung erfolgen. Auch die Folge-, Zwischen- und Abschlussmeldung unterliegt konkreten inhaltlichen und zeitlichen Vorgaben. Bei erheblichen Sicherheitsvorfällen kann das BSI darüber hinaus Einrichtungen anweisen, auch potenziell betroffene Kunden oder die Öffentlichkeit zu informieren.
• Governance: NIS2-Compliance bedeutet, neben der Definition von Richtlinien und Sicherheitsprozessen auch die damit einhergehenden Verantwortlichkeiten klar zu definieren. Die Geschäftsleitung muss daher die Risikomanagementmaßnahmen billigen und haftet für Schäden, die bei Verletzung der NIS2-Pflichten entstehen
• Schulungs- und Awareness-Programme: Um das Bewusstsein des Personals für Fragen der cyberphysischen Sicherheit zu erhöhen, müssen regelmäßig Schulungen zum Thema durchgeführt werden, die gegenüber dem BSI nachzuweisen sind
• Implementierung geeigneter technischer Sicherheitsmaßnahmen: Zum Schutz von Anlagen, IT-Landschaft und Prozessen sollte ein engmaschiges Netz aus physischer und digitaler Zugriffs- und Zutrittskontrolle aufgespannt werden. Hierzu zählen beispielsweise die Nutzung von Verschlüsselungstechniken, Single Sign-on-Lösungen (SSO) sowie die Mehrfaktoren-Authentifizierung (MFA)
• Lieferketten-Sicherheit: Zusätzlich zu den betriebsinternen Maßnahmen gilt es, auch Lieferanten und Service-Anbieter auf mögliche Schwachstellen zu prüfen