NIS2-Richtlinie: Mit diesen Maßnahmen steigern Unternehmen ihre cyberphysische Resilienz

Cyber-Attacken auf Organisationen und Unternehmen sind weiter auf dem Vormarsch und zählen zu den Delikten mit dem höchsten Schadenspotenzial. Allein in Deutschland lag die durch den Digitalverband Bitkom für das Jahr 2022 errechnete Summe der Cybercrime-Schäden bei 203 Mrd. Euro und war damit doppelt so hoch wie noch im Jahr 2019.

Cyber-Bedrohungen betreffen oft ganze Lieferketten

Doch in Zeiten umfassend vernetzter Infrastrukturen und Lieferketten haben Sicherheitsvorfälle längst nicht nur Folgen für die betroffene Einrichtung. Handelt es sich um ein Unternehmen der kritischen Infrastruktur, das wesentliche Dienste erbringt, kann deren Ausfall auch die Leistung abhängiger Sektoren beeinträchtigen und damit – selbst über Ländergrenzen hinweg – die Versorgungssicherheit der Bevölkerung bedrohen.

NIS2 bringt verschärfte Mindestanforderungen an Cybersicherheit

Um die Cyber-Resilienz von Unternehmen zu stärken, die wesentliche Dienste in KRITIS-Schlüsselsektoren erbringen, wurde daher bereits im Jahr 2016 mit der ersten Richtlinie zur „Network and Information Security“ (kurz: NIS) ein entsprechendes Maßnahmenbündel für den gesamten EU-Raum erlassen. Allerdings erreichte dieser Ansatz nicht sein volles Potenzial, da die Umsetzung in nationales Recht nicht einheitlich erfolgte und von den einzelnen Mitgliedsstaaten der EU unterschiedliche Anwendungsbereiche und Risikomanagementmaßnahmen definiert wurden. Die im Januar 2023 in Kraft getretene novellierte Richtlinie NIS2 steht daher ganz im Zeichen der Harmonisierung des Cybersicherheits-Niveaus aller EU-Mitgliedsstaaten. Obwohl die Umsetzung wieder Aufgabe der Länder ist, gewährt NIS2 hierbei doch deutlich weniger Spielräume und legt für die nationalen Behörden strengere Aufsichtsmaßnahmen und Durchsetzungsanforderungen sowie einheitliche Sanktionsregelungen in allen Mitgliedsstaaten fest. Verstärkt wird in diesem Zusammenhang auch die Rolle der EU-Agentur für Cybersicherheit (ENISA).

Deutliche Ausweitung des Anwendungsbereichs der NIS2-Richtlinie

Eine wesentliche Änderung betrifft den Anwendungsbereich der Richtlinie. Um die Sicherheit kritischer Infrastrukturen noch umfassender zu gewähren, umfasst dieser mit nun 18 Sektoren ein deutlich breiteres Spektrum. Unterschieden wird dabei in Sektoren und Teilsektoren mit „hoher Kritikalität“ und „sonstigen“ kritischen Sektoren, die der Systematik der Wirtschaftszweige

in der Europäischen Gemeinschaft (NACE) folgen. Dem aktuellen Stand des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) stellen sich die Sektoren wie folgt dar:

Sektoren und Teilsektoren mit hoher Kritikalität

Sonstige kritische Sektoren und Teilsektoren

Energie

Stromversorgung, Fernwärme/-kälte, Kraft- stoff/Heizöl, Gas

 

Transport / Verkehr

Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr

Transport / Verkehr

Post und Kurier

Finanz / Versicherung

Banken, Finanzmarkt-Infrastruktur

Chemie

Herstellung, Handel, Produktion

Gesundheit

Dienstleistungen, Referenzlabore, F&E, Pharma (NACE C Abt. 21), Medizinprodukte

Forschung

Forschungseinrichtungen

Wasser / Abwasser

Verarbeitendes Gewerbe

Medizin / Diagnostika; DV, Elektro, Optik (NACE C Abt. 26 und 27); Maschinenbau (NACE C 28), Kfz/Teile (NACE C 29),

Fahrzeugbau (NACE C 30)

Informationstechnik und Telekommunikation

IXPs, DNS, TLD, Cloud Provider, RZ-Dienste, CDNs, TSP, elektronische Kommunikation/ Dienste, Managed Services und Security Services

Digitale Dienste Marktplätze, Suchmaschinen, soziale Netzwerke

Weltraum

Bodeninfrastrukturen

 

 

Lebensmittel

Großhandel, Produktion, Verarbeitung

 

Entsorgung

Abfallbewirtschaftung

 

Ob und wie NIS2 auf ein Unternehmen anwendbar ist, wird neben diesen Tätigkeitsbereichen auch durch seine Größe und Wirtschaftsleistung beeinflusst. Eine Einrichtung gilt dann in der NIS2-Logik als „besonders wichtig“, wenn ihre Tätigkeit in einem Sektor mit hoher Kritikalität (linke Spalte) stattfindet, mehr als 250 Mitarbeiter beschäftigt und einen Umsatz von mehr als 50 Millionen Euro erwirtschaftet. Als „wichtige“ Einrichtungen gelten Organisationen und Unternehmen, die einem der beiden Sektoren zugerechnet werden können und mehr als 50 Beschäftigte oder einen Jahresumsatz von mehr als 10 Millionen Euro haben. Abgesehen hiervon können allerdings auch kleinere Betriebe von NIS2 betroffen sein, sofern ihr Ausfall erhebliche Konsequenzen für Wirtschaft und öffentliche Versorgung hätte, beispielsweise digitale Dienste, die der eIDAS-Verordnung unterliegen. Kleinstbetriebe, mit weniger als 9 Beschäftigten und einem Umsatz unter 2 Millionen Euro sind davon ausgenommen.

NIS2-Richtlinie: Einstufung der Unternehmen

Besonders wichtige Einrichtung

Wichtige Einrichtung

Sektor in Anhang I mit mindestens 250 Beschäftigten oder über 50 Mio. Jahresumsatz sowie einer Bilanzsumme von über 43 Mio. Euro

Sektoren in Anhang I + II mit mindestens 50 Beschäftigten oder über 10 Mio. Euro Jahresumsatz und Bilanzsumme

Bestimmte Sonderfälle, z. B. qTSP, TLD, DNS, TK-Anbieter, kritische Anlagen, Zentralregierung

Vertrauensdienste / Trust Service Provider (TSP)

NIS2: Anforderung an Unternehmen

Die Liste der Anforderungen, die „wichtige“ und „besonders wichtige“ Unternehmen erfüllen müssen, ist umfangreich:

  • Ausgearbeitete Konzepte für die Risikoanalyse und Sicherheit von IT-Systemen sowie zur Bewältigung von Sicherheitsvorfällen
  • Maßnahmen zur Aufrechterhaltung des Betriebs (Business Continuity Management) durch Krisenmanagement und Backup-Maßnahmen zur Datenwiederherstellung
  • Sicherheit in der Lieferkette (Umgang mit Geschäftspartnern und Dienstleistern, Sicherheitsmaßnahmen bei Erwerb und Entwicklung von Informationssystemen)
  • Sicherheit in der Beschaffung, Entwicklung und Wartung von IT und Netzwerk-Systemen inklusive Schwachstellen-Management
  • Vorgaben zur Messung von Cyber- und Risikomaßnahmen
  • Schulungen zur IT-Sicherheit und grundlegende Verfahren der Cyberhygiene (z. B. Zero-Trust-Grundsätze, Software-Updates, Gerätekonfiguration, Netzwerksegmentierung, Identitäts- und Zugriffsmanagement oder Sensibilisierung der Nutzer) 
  • Kryptographie und Verschlüsselung von Daten
  • Sicherheit des Personals einschließlich Konzepten für Zugriffskontrolle und Anlagenmanagement (ISMS / Informationssicherheitsmanagementsystem)
  • Sichere Authentifizierung und Kommunikation

Umsetzung der NIS2-Vorgaben – darum sollten Unternehmen jetzt aktiv werden

Sobald NIS2 in nationales Recht umgesetzt ist, werden allein in Deutschland rund 30.000 Unternehmen davon betroffen sein. Derzeit liegt das NIS2-Umsetzungsgesetz als Referentenentwurf vor, der bis zum Ablauf der Frist am 17. Oktober 2024 die Gesetzgebung auf Bundesebene durchlaufen haben muss. Dabei gilt es allerdings zu beachten, dass es sich bei dem genannten Termin um einen Stichtag handelt, der auch verbindlich für Einrichtungen und Organisationen gilt. Eine Übergangsphase ist nicht vorgesehen – ebenso wenig wie Benachrichtigungen von behördlicher Seite, dass die NIS2-Vorgaben für ein Unternehmen gelten! Sofern nicht bereits geschehen, sollten Einrichtungen daher umgehend mit der Überprüfung beginnen, ob die Richtlinie auf sie anwendbar ist, denn Risikoanalysen, Lieferkettenkontrolle, Sicherheitsmaßnahmen und die Auswahl geeigneter Produkte brauchen erfahrungsgemäß ihre Zeit!

NIS2 und die Bedeutung der physischen Sicherheit

Auch wenn NIS2 auf die Sicherheit von Netzwerken und Informationssystemen ausgerichtet ist, geht es dabei keineswegs nur um digitale Sicherheitsmaßnahmen. Basierend auf einem gefahrenüber­greifenden Ansatz („all hazards approach“), der auch die zunehmende Vernetzung von Produkten im „Internet der Dinge“ (IoT) als mögliche Angriffspunkte berücksichtigt, kommt daher auch dem Schutz der Infrastrukturen vor physischen Angriffen eine hohe Bedeutung zu. Laut der Cyber-Behörde ENISA gilt der physische Zugang gar als „größte Hintertür“ für mögliche Sicherheitsvorfälle ein, deren Bedeutung immer noch vernachlässigt werde. Besonders vulnerabel sind in diesem Zusammenhang frei zugängliche Terminals, Arbeitsspeicher oder Monitore, die so zu besonders leichten Zielen für Vandalismus-Attacken werden, beispielsweise durch „böswillige USB-Geräte“. Unternehmen sollten sich also eingehend mit dem aktuellen Stand ihrer physischen Sicherheitsvorkehrungen befassen und auch diese im Bedarfsfall dem von der Richtlinie eingeforderten „Stand der Technik“ anpassen.

Die cyberphysische Resilienz erhöhen: Erfahren Sie mehr im Whitepaper

Angefangen beim stufenweisen Aufbau von Absicherungsmaßnahmen nach dem „Zwiebelschalenprinzip“, wie sie etwa die Normenreihe EN 50600 für Rechenzentren beschreibt, können Unternehmen ihr Sicherheitsniveau vor allem durch die Kombination elektronischer Schließ- und Zutrittskontrollsysteme erheblich steigern. Welche Synergien sich durch gemeinsame Verwendung der flexiblen Schließlösung eCLIQ sowie dem Zutrittskontrollsystem SCALA und der drahtlosen Aperio-Technologie ergeben, beschreibt das Whitepaper „NIS2-Anforderungen für Unternehmen: Wie Firmen mit digitaler Zutrittskontrolle ihre cyberphysische Resilienz erhöhen können“ von ASSA ABLOY. Neben allerhand Wissenswertem zur NIS2-Richtlinie und ihrer Anforderungen finden Sie dort auch ausführliche Informationen zu den genannten Schließlösungen sowie praktische Tipps, wie sich Schwachstellen in der Schließtechnik aufspüren und schließen lassen.

Jetzt kostenlos herunterladen:

Neuer Call-to-Action