NIS2 Cybersecurity-Regulierung betrifft auch mittlere Organisationen

Im Zuge der fortschreitenden Digitalisierung und Vernetzung steigt auch die Bedrohung von Wirtschaftsunternehmen durch Cyberangriffe. Einen Großteil der Berichterstattung machen dabei Attacken auf Großkonzerne, Behörden und Gesundheitseinrichtungen aus, doch tatsächlich sind diese öffentlichkeitswirksamen Fälle nur eine Seite der Medaille.

checkliste-betroffene-unternehmen-nis2

Immer mehr KMUs geraten ins Visier von Cyberkriminellen

So kommt der im März 2024 veröffentlichte Threat Report des Sicherheitssoftware-Entwicklers Sophos zu dem Ergebnis, dass in zunehmendem Maße kleine und mittlere Unternehmen (KMUs) ins Fadenkreuz der Hacker geraten. Angesichts der Tatsache, dass laut Angaben der Weltbank mehr als 90 Prozent der Unternehmen weltweit in diese Kategorie fallen, lässt sich das Ausmaß der Schäden erahnen, das Daten- oder Identitätsdiebstähle hier verursachen. 762.000 US-Dollar Lösegeld in Folge von Ransomware-Attacken oder Datenerpressung zahlten deutsche Unternehmen innerhalb der letzten 24 Monate im Schnitt laut aktueller Angaben des Cybersecurity-Technologieunternehmens Cybereason.

Ausnutzung von Sicherheitslücken: Lieferkette ist bevorzugter Einstiegspunkt für Hacker

Nicht eingerechnet sind dabei die Folgekosten, die durch das Ausnutzen von Sicherheitslücken entlang der Lieferkette entstehen. Wie vulnerabel Unternehmen gerade an dieser Stelle sind, zeigt ebenfalls die Ransomware-Studie von Cybereason auf, der zufolge die Angreifer in 41 Prozent aller Fälle „über einen Lieferanten“ ins Unternehmen eindringen konnten. Besonders gravierend sind die Auswirkungen dann, wenn das betroffene Unternehmen einen wichtigen Teil der Lieferkette von Einrichtungen darstellt, die aufgrund ihrer Bedeutung für die Versorgung der Bevölkerung zu den kritischen Infrastrukturen zählt.

Die NIS2-Richtlinie betrifft nicht nur kritische Infrastrukturen

Im Zuge dieser Entwicklungen werden die zum Schutz kritischer Infrastrukturen implementierten Gesetze und Vorschriften laufend angepasst und erweitert. Zwei wichtige Updates stehen deutschen Unternehmen im Oktober 2024 ins Haus.

Um die Widerstandsfähigkeit der Kritischen Infrastrukturen zu stärken und sie besser gegen sektorübergreifende Störungen zu schützen, wird zum einen im Oktober 2024 das KRITIS-Dachgesetz eingeführt. Dieses Gesetz überführt die EU-Richtlinie zur Resilienz kritischer Einrichtungen in nationales Recht und ergänzt das bestehende BSI-Gesetz sowie die KRITIS-Verordnung. Damit einher gehen zusätzliche Anforderungen für Betreiber kritischer Anlagen in Bezug auf Meldepflichten, physische Sicherheit, Personalmanagement sowie Krisen- und Business Continuity Management.

Die überarbeitete "Network and Information Security"-Richtlinie NIS2 geht noch einen Schritt weiter. Zusammen mit einem differenzierten System für Betreiber, das Organisationen in „wichtige“ und „besonders wichtige Einrichtungen“ einteilt, werden unterschiedliche Ebenen von Verpflichtungen eingeführt, darunter strengere Aufsichts- und Durchsetzungsmaßnahmen sowie einheitliche Sanktionen für alle Mitgliedsstaaten. War die KRITIS-Gesetzgebung bislang insbesondere auf größere Institutionen zugeschnitten, werden Cybersicherheit und -Resilienz nun auch für die breite Masse der Unternehmen relevant. Die mit NIS2 einhergehende Ausweitung des Anwendungsbereichs auf 18 relevante Sektoren sowie niedrigere Schwellenwerte bei Unternehmensgröße und -umsatz haben zur Folge, dass künftig über 30.000 Unternehmen von NIS2 betroffen sein werden. In besonderen Fällen können selbst kleinere Organisationen zur Einhaltung der NIS2-Maßnahmen verpflichtet sein.

Finden Sie anhand unserer kurzen Checkliste heraus, ob auch Ihr Unternehmen in den Anwendungsbereich von NIS2 fällt.