Cyber-Attacken auf Organisationen und Unternehmen sind weiter auf dem Vormarsch und zählen zu den Delikten mit dem höchsten Schadenspotenzial. Allein in Deutschland lag die durch den Digitalverband Bitkom für das Jahr 2022 errechnete Summe der Cybercrime-Schäden bei 203 Mrd. Euro und war damit doppelt so hoch wie noch im Jahr 2019.
Doch in Zeiten umfassend vernetzter Infrastrukturen und Lieferketten haben Sicherheitsvorfälle längst nicht nur Folgen für die betroffene Einrichtung. Handelt es sich um ein Unternehmen der kritischen Infrastruktur, das wesentliche Dienste erbringt, kann deren Ausfall auch die Leistung abhängiger Sektoren beeinträchtigen und damit – selbst über Ländergrenzen hinweg – die Versorgungssicherheit der Bevölkerung bedrohen.
Um die Cyber-Resilienz von Unternehmen zu stärken, die wesentliche Dienste in KRITIS-Schlüsselsektoren erbringen, wurde daher bereits im Jahr 2016 mit der ersten Richtlinie zur „Network and Information Security“ (kurz: NIS) ein entsprechendes Maßnahmenbündel für den gesamten EU-Raum erlassen. Allerdings erreichte dieser Ansatz nicht sein volles Potenzial, da die Umsetzung in nationales Recht nicht einheitlich erfolgte und von den einzelnen Mitgliedsstaaten der EU unterschiedliche Anwendungsbereiche und Risikomanagementmaßnahmen definiert wurden. Die im Januar 2023 in Kraft getretene novellierte Richtlinie NIS2 steht daher ganz im Zeichen der Harmonisierung des Cybersicherheits-Niveaus aller EU-Mitgliedsstaaten. Obwohl die Umsetzung wieder Aufgabe der Länder ist, gewährt NIS2 hierbei doch deutlich weniger Spielräume und legt für die nationalen Behörden strengere Aufsichtsmaßnahmen und Durchsetzungsanforderungen sowie einheitliche Sanktionsregelungen in allen Mitgliedsstaaten fest. Verstärkt wird in diesem Zusammenhang auch die Rolle der EU-Agentur für Cybersicherheit (ENISA).
Eine wesentliche Änderung betrifft den Anwendungsbereich der Richtlinie. Um die Sicherheit kritischer Infrastrukturen noch umfassender zu gewähren, umfasst dieser mit nun 18 Sektoren ein deutlich breiteres Spektrum. Unterschieden wird dabei in Sektoren und Teilsektoren mit „hoher Kritikalität“ und „sonstigen“ kritischen Sektoren, die der Systematik der Wirtschaftszweige
in der Europäischen Gemeinschaft (NACE) folgen. Dem aktuellen Stand des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) stellen sich die Sektoren wie folgt dar:
Sektoren und Teilsektoren mit hoher Kritikalität |
Sonstige kritische Sektoren und Teilsektoren |
Energie Stromversorgung, Fernwärme/-kälte, Kraft- stoff/Heizöl, Gas |
|
Transport / Verkehr Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr |
Transport / Verkehr Post und Kurier |
Finanz / Versicherung Banken, Finanzmarkt-Infrastruktur |
Chemie Herstellung, Handel, Produktion |
Gesundheit Dienstleistungen, Referenzlabore, F&E, Pharma (NACE C Abt. 21), Medizinprodukte |
Forschung Forschungseinrichtungen |
Wasser / Abwasser |
Verarbeitendes Gewerbe Medizin / Diagnostika; DV, Elektro, Optik (NACE C Abt. 26 und 27); Maschinenbau (NACE C 28), Kfz/Teile (NACE C 29), Fahrzeugbau (NACE C 30) |
Informationstechnik und Telekommunikation IXPs, DNS, TLD, Cloud Provider, RZ-Dienste, CDNs, TSP, elektronische Kommunikation/ Dienste, Managed Services und Security Services |
Digitale Dienste Marktplätze, Suchmaschinen, soziale Netzwerke |
Weltraum Bodeninfrastrukturen |
|
|
Lebensmittel Großhandel, Produktion, Verarbeitung |
|
Entsorgung Abfallbewirtschaftung |
Ob und wie NIS2 auf ein Unternehmen anwendbar ist, wird neben diesen Tätigkeitsbereichen auch durch seine Größe und Wirtschaftsleistung beeinflusst. Eine Einrichtung gilt dann in der NIS2-Logik als „besonders wichtig“, wenn ihre Tätigkeit in einem Sektor mit hoher Kritikalität (linke Spalte) stattfindet, mehr als 250 Mitarbeiter beschäftigt und einen Umsatz von mehr als 50 Millionen Euro erwirtschaftet. Als „wichtige“ Einrichtungen gelten Organisationen und Unternehmen, die einem der beiden Sektoren zugerechnet werden können und mehr als 50 Beschäftigte oder einen Jahresumsatz von mehr als 10 Millionen Euro haben. Abgesehen hiervon können allerdings auch kleinere Betriebe von NIS2 betroffen sein, sofern ihr Ausfall erhebliche Konsequenzen für Wirtschaft und öffentliche Versorgung hätte, beispielsweise digitale Dienste, die der eIDAS-Verordnung unterliegen. Kleinstbetriebe, mit weniger als 9 Beschäftigten und einem Umsatz unter 2 Millionen Euro sind davon ausgenommen.
Besonders wichtige Einrichtung |
Wichtige Einrichtung |
Sektor in Anhang I mit mindestens 250 Beschäftigten oder über 50 Mio. Jahresumsatz sowie einer Bilanzsumme von über 43 Mio. Euro |
Sektoren in Anhang I + II mit mindestens 50 Beschäftigten oder über 10 Mio. Euro Jahresumsatz und Bilanzsumme |
Bestimmte Sonderfälle, z. B. qTSP, TLD, DNS, TK-Anbieter, kritische Anlagen, Zentralregierung |
Vertrauensdienste / Trust Service Provider (TSP) |
Die Liste der Anforderungen, die „wichtige“ und „besonders wichtige“ Unternehmen erfüllen müssen, ist umfangreich:
Sobald NIS2 in nationales Recht umgesetzt ist, werden allein in Deutschland rund 30.000 Unternehmen davon betroffen sein. Derzeit liegt das NIS2-Umsetzungsgesetz als Referentenentwurf vor, der bis zum Ablauf der Frist am 17. Oktober 2024 die Gesetzgebung auf Bundesebene durchlaufen haben muss. Dabei gilt es allerdings zu beachten, dass es sich bei dem genannten Termin um einen Stichtag handelt, der auch verbindlich für Einrichtungen und Organisationen gilt. Eine Übergangsphase ist nicht vorgesehen – ebenso wenig wie Benachrichtigungen von behördlicher Seite, dass die NIS2-Vorgaben für ein Unternehmen gelten! Sofern nicht bereits geschehen, sollten Einrichtungen daher umgehend mit der Überprüfung beginnen, ob die Richtlinie auf sie anwendbar ist, denn Risikoanalysen, Lieferkettenkontrolle, Sicherheitsmaßnahmen und die Auswahl geeigneter Produkte brauchen erfahrungsgemäß ihre Zeit!
Auch wenn NIS2 auf die Sicherheit von Netzwerken und Informationssystemen ausgerichtet ist, geht es dabei keineswegs nur um digitale Sicherheitsmaßnahmen. Basierend auf einem gefahrenübergreifenden Ansatz („all hazards approach“), der auch die zunehmende Vernetzung von Produkten im „Internet der Dinge“ (IoT) als mögliche Angriffspunkte berücksichtigt, kommt daher auch dem Schutz der Infrastrukturen vor physischen Angriffen eine hohe Bedeutung zu. Laut der Cyber-Behörde ENISA gilt der physische Zugang gar als „größte Hintertür“ für mögliche Sicherheitsvorfälle ein, deren Bedeutung immer noch vernachlässigt werde. Besonders vulnerabel sind in diesem Zusammenhang frei zugängliche Terminals, Arbeitsspeicher oder Monitore, die so zu besonders leichten Zielen für Vandalismus-Attacken werden, beispielsweise durch „böswillige USB-Geräte“. Unternehmen sollten sich also eingehend mit dem aktuellen Stand ihrer physischen Sicherheitsvorkehrungen befassen und auch diese im Bedarfsfall dem von der Richtlinie eingeforderten „Stand der Technik“ anpassen.
Angefangen beim stufenweisen Aufbau von Absicherungsmaßnahmen nach dem „Zwiebelschalenprinzip“, wie sie etwa die Normenreihe EN 50600 für Rechenzentren beschreibt, können Unternehmen ihr Sicherheitsniveau vor allem durch die Kombination elektronischer Schließ- und Zutrittskontrollsysteme erheblich steigern. Welche Synergien sich durch gemeinsame Verwendung der flexiblen Schließlösung eCLIQ sowie dem Zutrittskontrollsystem SCALA und der drahtlosen Aperio-Technologie ergeben, beschreibt das Whitepaper „NIS2-Anforderungen für Unternehmen: Wie Firmen mit digitaler Zutrittskontrolle ihre cyberphysische Resilienz erhöhen können“ von ASSA ABLOY. Neben allerhand Wissenswertem zur NIS2-Richtlinie und ihrer Anforderungen finden Sie dort auch ausführliche Informationen zu den genannten Schließlösungen sowie praktische Tipps, wie sich Schwachstellen in der Schließtechnik aufspüren und schließen lassen.
Jetzt kostenlos herunterladen: