ASSA ABLOY Blog

NIS2 in der öffentlichen Verwaltung: Anforderungen und Umsetzung

Geschrieben von ASSA ABLOY | 05.06.2024

Die Abhängigkeit von digitalen Technologien wächst rasant, während die Bedrohungen der Cybersicherheit zunehmend komplexer werden. Als Teil der Kritischen Infrastruktur (KRITIS) steht die öffentliche Verwaltung somit vor der Herausforderung, Daten effektiv zu schützen und trotzdem vernetzt und flexibel zu bleiben. 

Die NIS2-Richtlinie soll hier maßgeblich unterstützen – macht manches jedoch auch komplizierter. Was hinter NIS2 steckt, welche Aufgaben mit der EU-weiten Richtlinie auf die öffentliche Verwaltung zukommen und wie Sie die notwendigen Maßnahmen erfolgreich umsetzen, erfahren Sie in diesem Artikel.

NIS2 soll Kritische Infrastruktur schützen helfen

Die NIS2-Richtlinie ist ein wesentlicher Schritt in Richtung einer verstärkten Cybersicherheit innerhalb der Europäischen Union. Sie baut nicht nur auf der ursprünglichen NIS-Richtlinie (kurz für: Richtlinie zur Netzwerk- und Informationssicherheit) auf – vielmehr erweitert sie diese, um die EU besser auf die ständig wachsenden und sich entwickelnden Cyberbedrohungen vorzubereiten. 

Ziel ist, ein einheitliches und hohes Sicherheitsniveau für Netzwerk- und Informationssysteme im gesamten Staatenbündnis zu gewährleisten. Dementsprechend gilt NIS2 für alle Mitgliedstaaten der EU. 

Betroffen sind jene Sektoren und Branchen, die Teil der Kritischen Infrastruktur sind. Dazu gehören Unternehmen und Organisationen aus den Bereichen Energie, Transport, Bankwesen, Gesundheitswesen, Wasserversorgung, digitale Infrastrukturen und vielen weiteren Sektoren. 

Um NIS2 umzusetzen, ist eine Reihe an Schritten und Strategien zur Steigerung der Cybersicherheit notwendig. Unternehmen und Einrichtungen müssen geeignete technische und organisatorische Maßnahmen ergreifen, mit denen sie Risiken für ihre Netzwerk- und Informationssysteme vermeiden beziehungsweise managen und schwere Vorfälle melden können. Um die NIS2-Richtlinie umzusetzen, liegt die Verantwortung damit nicht nur bei den EU-Mitgliedstaaten, sondern vor allem auch bei den betroffenen Organisationen. 

Wann tritt NIS2 in Deutschland voraussichtlich in Kraft?

NIS2 ist seit dem 16. Januar 2023 gültig – zumindest theoretisch. In der Praxis haben die EU-Staaten bis zum 18. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. In Deutschland existiert NIS2 allerdings bisher nur als sogenannter Referentenentwurf. Ein konkretes Gesetz steht noch aus.

Inwiefern betrifft NIS2 die öffentliche Verwaltung?

Neben den oben erwähnten Sektoren hat NIS2 auch weitreichende Implikationen für die öffentliche Verwaltung innerhalb der Europäischen Union. Ursprünglich sah es so aus, als würde die öffentliche Verwaltung besonders stark von den Neuerungen betroffen sein. Dies liegt an der kritischen Rolle, die sie innehat, um wesentliche gesellschaftliche Funktionen aufrechtzuerhalten. Hinzu kommt die zunehmende Digitalisierung von Verwaltungsprozessen. Das schafft neue Angriffsflächen für Cyberbedrohungen und macht die öffentliche Verwaltung somit besonders verwundbar. 

Zwar gilt der Sektor weiterhin als ausgesprochen risikobehaftet, wird von NIS2 jedoch voraussichtlich weniger streng in die Pflicht genommen, als lange vermutet. 

Laut dem momentanen Entwurf der Richtlinie sind folgende Einheiten der öffentlichen Verwaltung betroffen:

  • Stellen des Bundes: Diese umfassen Bundesbehörden und -ministerien, die zentrale administrative Aufgaben erfüllen und somit direkt unter die Richtlinie fallen.
  • Stiftungen, Körperschaften und Anstalten des öffentlichen Rechts: Diese Organisationen sind  rechtlich zwar unabhängig, aber im öffentlichen Auftrag tätig und somit ebenfalls von NIS2 betroffen.
  • Öffentliche Unternehmen, die mehrheitlich im Eigentum des Bundes stehen: Manche Unternehmen sind zwar wirtschaftlich tätig, zählen aber aufgrund ihrer Mehrheitsbesitzverhältnisse zum öffentlichen Sektor. Sie fallen ebenfalls unter die NIS2-Richtlinie. Das schließt Betreiber Kritischer Infrastrukturen ein, die in Bereichen wie Energie, Verkehr oder Wasserversorgung tätig sind.

Welche Folgen hat die Nichterfüllung der Richtlinie?

Die Konsequenzen von Verstößen gegen NIS2 sind derweil nicht zu unterschätzen. Bußgelder und Sanktionen sollen dafür sorgen, dass die betroffenen Einrichtungen und Unternehmen die NIS2-Richtlinie einhalten. 

Neben den erheblichen finanziellen Belastungen können diese Strafen auch den Ruf der jeweiligen Organisation schädigen. Es ist daher im Interesse der öffentlichen Verwaltung, die Vorgaben der Richtlinie ernst zu nehmen und proaktiv umzusetzen.

NIS2-Anforderungen an die öffentliche Verwaltung 

Bislang mussten sich öffentliche Verwaltung und Betreiber Kritischer Infrastrukturen bereits an bestimmte Cybersicherheitsvorschriften halten. Diese früheren Verpflichtungen umfassten grundlegende Sicherheitsmaßnahmen zum Schutz vor Cyberangriffen, die Meldung signifikanter Sicherheitsvorfälle an die zuständigen nationalen Behörden sowie die Einhaltung branchenspezifischer Sicherheitsstandards. 

Die genauen Anforderungen variierten jedoch je nach Sektor und Land. Die Folge: Es existierte keine einheitliche Umsetzung der Cybersicherheitsmaßnahmen.

Mit der Einführung der NIS2-Richtlinie ergeben sich nun erweiterte und präzisierte Verpflichtungen für die öffentliche Verwaltung. Das müssen betroffene Unternehmen und Organisationen beachten.

Informationssicherheitsbeauftragte ernennen

Während größere Organisationen bereits Informationssicherheitsbeauftragte ernannt haben könnten, verlangt dies NIS2 nun explizit. Die Beauftragten spielen eine zentrale Rolle in der Entwicklung, Implementierung und Überwachung der Cybersicherheitsstrategien und -maßnahmen innerhalb ihrer Organisationen.

Registrierungspflichten wahrnehmen

Die NIS2-Richtlinie sieht vor, dass sich alle relevanten Einrichtungen in einem nationalen Register anmelden. Das soll eine bessere Übersicht und Kontrolle der für die nationale Sicherheit kritischen Dienste ermöglichen sowie die Zusammenarbeit zwischen den Einrichtungen und den zuständigen Behörden fördern.

Enger mit anderen Akteuren zusammenarbeiten

NIS2 fokussiert sich stark auf die Kooperation und den Informationsaustausch zwischen betroffenen Einrichtungen und nationalen Cybersicherheitsbehörden. Das beinhaltet nicht nur die Meldung von Sicherheitsvorfällen, sondern auch den regelmäßigen Austausch über Bedrohungen, Schwachstellen und bewährte Praktiken.

BSI-Sicherheitsmaßnahmen implementieren

Eine wesentliche Neuerung ist die Forderung, dass die Sicherheitsmaßnahmen den Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI), speziell dem IT-Grundschutz, zu entsprechen haben. Mit dieser Anforderung sollen Organisationen ein hohes Maß an Sicherheit erreichen und aufrechterhalten – basierend auf anerkannten Best Practices und Richtlinien.

Ihr Weg zu einem etablierten Risikomanagement

Um das Risikomanagement zu verbessern, können Sie in Ihrer Organisation verschiedene strategische und technische Maßnahmen ergreifen. Dazu gehört, regelmäßige Risikoanalysen durchzuführen und so potenzielle Sicherheitslücken proaktiv zu identifizieren. 

Auf Grundlage dieser Analysen können Sie gezielte Sicherheitsmaßnahmen entwickeln und implementieren, die sowohl präventive als auch reaktive Komponenten umfassen. Schulen Sie außerdem Ihre Mitarbeitenden, um das allgemeine Sicherheitsbewusstsein zu fördern. 

Mit digitalen Zugangskontrollen zur erfolgreichen NIS2-Umsetzung

Kurz gesagt: Damit Sie die NIS2-Anforderungen im öffentlichen Bereich erfolgreich umsetzen können, sollten Sie das Thema Cybersicherheit ganzheitlich betrachten. Das schließt nicht nur digitale, sondern auch physische Schutzmaßnahmen ein. 

Denn NIS2 verlangt, dass Organisationen der öffentlichen Verwaltung relevante Räumlichkeiten vor unbefugtem Zutritt schützen und entsprechende Authentifizierungsmaßnahmen für ihr Personal einführen. Angemessene Konzepte für die Zugangskontrolle sind deshalb ein zentraler Aspekt, um die cyberphysische Resilienz der öffentlichen Verwaltung zu stärken. 

Digitale Zutrittskontrollsysteme wie SCALA von ASSA ABLOY bieten dabei erhebliche Vorteile in Bezug auf Sicherheit, Flexibilität und Effizienz. Sie ermöglichen es, Zutrittsrechte zentral zu verwalten und anpassen zu können. So erhält nur autorisiertes Personal Zugang zu bestimmten Räumlichkeiten oder Systemen. Das ist besonders relevant für öffentliche Verwaltungen, die mit sensiblen Daten arbeiten und verschiedene Sicherheitszonen innerhalb ihrer Einrichtungen haben. 

Ein weiterer Vorteil digitaler Zutrittskontrollen ist die Möglichkeit, Zutrittsereignisse zu protokollieren und auszuwerten. Dadurch können Sie bei eventuellen Sicherheitsvorfällen schneller reagieren und regulatorische Anforderungen durch eine lückenlose Nachweisführung einfacher einhalten.

So machen Sie sich bereit für NIS2

Sie möchten mehr über die Bedeutung physischer Schutzmaßnahmen für digitale Sicherheit erfahren? In unserem kostenlosen Whitepaper NIS2-Anforderungen für Unternehmen: Wie Firmen mit digitaler Zutrittskontrolle ihre cyberphysische Resilienz erhöhen können" erhalten Sie detaillierte Informationen und praktische Tipps zur Umsetzung von NIS2.

Ihr Schlüssel zu erhöhter Cybersicherheit

Die NIS2-Richtlinie schließt mehr Sektoren und Organisationen ein, verschärft die Sicherheitsanforderungen und sieht ebenso für die öffentliche Verwaltung zusätzliche Verpflichtungen vor – auch wenn diese nicht so streng ausfallen wie ursprünglich angenommen. 

Um den erweiterten Anforderungen gerecht zu werden und zur Cybersicherheit in der EU beizutragen, sind öffentliche Einrichtungen und Unternehmen dazu angehalten, ihre Sicherheitssysteme zu überprüfen und zu aktualisieren. Ein besonderer Fokus liegt dabei unter anderem auf der Erhöhung der cyberphysischen Resilienz. Hier spielen digitale Zutrittskontrollsysteme eine entscheidende Rolle. Solche Lösungen verbessern die Sicherheit Ihrer Einrichtung, da Sie Zutrittsrechte zentral verwalten und Zutrittsereignisse protokollieren können.

Zusammenfassend lässt sich sagen, dass NIS2 die öffentliche Verwaltung vor neue Herausforderungen stellt. Die Richtlinie ist aber gleichzeitig auch eine Chance, die Sicherheitsstandards zu verbessern und das Vertrauen der Öffentlichkeit in digitale Dienste zu stärken. Durch proaktive Maßnahmen und die Implementierung moderner Sicherheitstechnologien können öffentliche Organisationen sich effektiv gegen Cyberbedrohungen wappnen – und so einen wichtigen Beitrag zur allgemeinen Cybersicherheit in der EU leisten.