NIS2-Richtlinie: Umsetzung in Deutschland

Was Unternehmen jetzt tun können

Cyberkriminalität wie Datendiebstahl oder Sabotage nimmt immer größere Ausmaße an. In den letzten Jahren entstand der deutschen Wirtschaft dadurch ein Schaden von über 200 Milliarden Euro im Jahr – so das Ergebnis einer Studie, die im Auftrag des Branchenverbands Bitkom durchgeführt wurde. Demnach waren im Jahr 2022 über 70 Prozent der mehr als 1.000 befragten Unternehmen von analogen oder digitalen Angriffen betroffen.

server-firma-personen-admins

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt in seinem jüngsten Bericht zur Lage der IT-Sicherheit in Deutschland 2023 diese Tendenz: Nie zuvor gab es eine so hohe Gefährdung im Cyberraum. Demnach ist es nicht überraschend, dass sich über 50 Prozent der Unternehmen von Cyberattacken bedroht fühlen. Die Zahl der Sicherheitsvorfälle ist in den letzten Jahren kontinuierlich gestiegen.

Auf diese besorgniserregende Entwicklung hat die EU reagiert und Anfang 2023 eine aktualisierte Richtlinie zur „Network and Information Security" (NIS) herausgebracht. Die NIS2-Richtlinie enthält zahlreiche Maßnahmen, mit denen Unternehmen ihre Cybersicherheit stärken und sich somit besser vor Cyberattacken schützen können. Die Richtlinie, die bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden soll, gilt für alle EU-Mitgliedsstaaten. Betroffen sind Unternehmen aus 18 verschiedenen Sektoren.

Die NIS2-Richtlinie ist eine Richtlinie, die Betreiber kritischer Infrastrukturen in der EU vor Cyberkriminalität schützen soll. Sie betrifft verschiedene Branchen und sieht analoge und physische Maßnahmen vor, um die Cybersicherheit zu erhöhen.

Aktuell befindet sich die neue Richtlinie noch im Referentenentwurf. Dieser muss bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Ab diesem Stichtag gelten die darin festgelegten Maßnahmen für alle betroffenen Einrichtungen und Organisationen ohne Übergangsphase.

Was besagt die neue NIS2-Richtlinie und welche Unternehmen sind betroffen?

Die NIS2-Richtlinie ist eine Überarbeitung der ursprünglichen NIS-Richtlinie aus dem Jahr 2016. In der neuen Fassung fallen die Mindestanforderungen an die IT-Sicherheit betroffener Einrichtungen deutlich strenger aus. Diese umfassen nicht nur digitale, sondern auch physische Sicherheitsmaßnahmen. Darüber hinaus gilt die überarbeitete NIS-Richtlinie nicht mehr nur für Betreiber kritischer Infrastrukturen, sondern betrifft auch andere Sektoren. Damit sind deutlich mehr Unternehmen (Schätzung: ca. 30.000 Betriebe) von der Umsetzung der neu aufgelegten Richtlinie betroffen.

Kritische Infrastrukturen und weitere Sektoren gelten aufgrund der möglichen wirtschaftlichen und gesellschaftlichen Folgen als besonders gefährdet:

  • Energieversorgung (Kraftwerke, Stromnetze)
  • Wasserversorgung und Abwasserentsorgung
  • Transport und Verkehr (Flughäfen, Schienennetze)
  • Gesundheitswesen (Krankenhäuser, Labore)
  • Finanz- und Versicherungswesen
  • Informationstechnik und Telekommunikation

Anlagen in folgenden Branchen gelten ebenfalls als gefährdet und kritisch:

  • Produktionsunternehmen bzw. verarbeitendes Gewerbe (Maschinen-, Fahrzeugbau)
  • Lebensmittelgroßhandel, Lebensmittelproduktion und -verarbeitung
  • Digitale Dienste (Marktplätze, Soziale Netzwerke)

Die NIS2-Richtlinie und ihre Umsetzung in Deutschland gilt für alle Unternehmen, die diesen Sektoren zuzuordnen sind und einen Jahresumsatz von mehr als 10 Millionen Euro aufweisen. Darüber hinaus sind auch andere Betreiber kritischer Infrastrukturen sowie kleinere Betriebe betroffen, wenn deren Ausfall erhebliche Auswirkungen auf Wirtschaft und öffentliche Versorgung hätte.

Anforderungen bei der Umsetzung der NIS2-Richtlinie in Deutschland

Der Artikel 21 der neuen NIS-Richtlinie besagt, dass Unternehmen geeignete technische, operative und organisatorische Maßnahmen ergreifen müssen, um die Risiken für die Netz- und Informationssicherheit zu kontrollieren. Ziel ist es, „die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten”. Wie diese Maßnahmen in der Praxis aussehen, hängt von verschiedenen Faktoren ab. So beeinflussen zum Beispiel der Stand der Technik und die individuelle Gefährdungslage einer Einrichtung das Vorgehen.

In jedem Fall müssen die Maßnahmen einem gefahrenübergreifenden Absatz – einem sogenannten „all hazards approach" – folgen. Das bedeutet, dass Unternehmen nicht nur die Netz- und Informationssysteme vor Cyberangriffen schützen müssen, sondern auch ihre physische Umgebung. Das kann beispielsweise ein Serverraum oder Hochsicherheitsbereich sein, in dem ein physischer Zugriff auf sensible Daten oder Systeme möglich ist.

Im Rahmen der neu aufgelegten NIS-Richtlinie müssen Betreiber aus den betroffenen Sektoren bestimmte Anforderungen erfüllen. Hierzu gehören unter anderem:

  • Verschlüsselung von Daten
  • Zugriffskontrolle mit sicherer Authentifizierung
  • Entwicklung von Konzepten zur Risikoanalyse und IT-Sicherheit (auch für den Ernstfall)
  • Management von Schwachstellen
  • Krisenmanagement
  • Maßnahmen zur Wiederherstellung von Daten
  • Schulungen des Personals

Maßnahmen, die Unternehmen zur Umsetzung der NIS2-Richtlinie ergreifen können

Zunächst ist es für die Betreiber der betroffenen Unternehmen wichtig, einen allgemeinen Sicherheitscheck durchzuführen, um möglichen Sicherheitsvorfällen frühzeitig entgegenzuwirken. Dabei spielen physische Sicherheitsmaßnahmen wie Schließanlagen eine wichtige Rolle. Sie müssen umfassend und sorgfältig auf Ihre Sicherheit hin überprüft werden. Dies gilt umso mehr, je älter die Anlagen sind. 

Konkret sollte ein Schließsystem folgende Kriterien erfüllen:

  1. Vorhandensein eines umfassenden Sicherheitskonzepts
  2. Aktualität der Türtechnik
  3. Gültigkeit des Patentschutzes
  4. Funktionsfähigkeit bei Unterbrechung der Stromzufuhr
  5. Nachvollziehbarkeit der Zutrittsereignisse
  6. Autorisierung von Zugangsberechtigungen
  7. Reaktion auf Schlüsselverluste

Ein ganzheitlicher Schutz vor Cyberangriffen kann sowohl physische Sicherheitsmaßnahmen (wie Zugangskontrollen, Überwachung) als auch IT-basierte Sicherheitslösungen (wie elektronische Schließanlagen, digitale Zutrittskontrollen) erfordern. Oft können Einrichtungen die verschiedenen Maßnahmen miteinander kombinieren und – nach dem sogenannten „Zwiebelschalenprinzip“ –  stufenweise aufeinander aufbauen, um die Cybersicherheit zu erhöhen.

Wie ASSA ABLOY Sie bei der Umsetzung der NIS2-Richtlinie unterstützt

Die sicherheitstechnischen Lösungen von ASSA ABLOY helfen Ihnen dabei, Schwachstellen in der Schließtechnik und Zutrittskontrolle zu schließen, aber gleichzeitig möglichst flexibel zu bleiben. Das elektronische Schließsystem eCLIQ sowie das Zutrittskontrollsystem SCALA sorgen dafür, dass Ihr Arbeitsumfeld den Anforderungen der neuen NIS-Richtlinie gerecht wird.

eCLIQ als Schließlösung für alle Anforderungen

Mit dem rein elektronischen Schließsystem eCLIQ bietet ASSA ABLOY eine flexible Schließlösung für nahezu jeden Bedarf und jedes Objekt. Über 60 Zylindertypen stehen zur Verfügung, um Briefkästen, Aktenschränke, Aufzüge oder Einfahrtstore des Geländes vor unerwünschtem Zutritt und unberechtigtem Zugriff zu schützen. 

Einmal in die Anlage integriert, können Sie die Zugriffsrechte digital ändern und diese an die aktuellen Anforderungen Ihres Betriebes anpassen. Dazu gehören auch räumliche oder zeitliche Zutrittsbeschränkungen – zum Beispiel für Reinigungspersonal oder Handwerker, welche nicht ständig Zutritt auf Gebäude haben müssen. 

Die einfache und effektive Handhabung über die gesamte Lebensdauer der Anlage hinweg macht eCLIQ zur idealen Lösung für kritische Infrastrukturen. Für die Installation sind weder bauliche Veränderungen noch Verkabelungen nötig, da die Energieversorgung über Standard-Batterien erfolgt. Regelmäßige Wartungen sind ebenfalls nicht erforderlich. Ehemalige Mitarbeiter sollen keinen Zugriff mehr auf Räumlichkeiten haben? Sie können nicht mehr benötigte Schlüssel ganz einfach und schnell deaktivieren.

1_Einfache_Schluesellverwaltung_CLIQ

Mit der digitalen Zutrittskontrolle SCALA alle Türen im Blick behalten

Ob als kleinste Variante SCALA solo mit nur einer Hardwarekomponente oder als Client-Server-Lösung SCALA net für beliebig viele Türen: die SCALA Zutrittskontrolle bietet für jeden Einsatzbereich die passende Lösung. Auch ein nachträgliches Upgrade auf eine höhere Version ist jederzeit möglich. Über die frei skalierbare digitale Zutrittskontrolle kann von der Türzentrale aus der Zustand der Tür kontrolliert und geregelt werden. Ein RFID-basiertes Medium sorgt zudem dafür, dass nur berechtigte Personen Zutritt erhalten.

SCALA net ermöglicht Betrieben die Überwachung spezifischer Zonen, eine Zeitschaltung und das Steuern der Aufzüge. Durch weitere Lizenzen lässt sich die Lösung flexibel erweitern und ist damit eine sichere und anpassbare Lösung für kritische Infrastrukturen.

Cyberphysische Resilienz durch digitale Zurtittskontrolle gewährleisten

Mit strengeren Sicherheitsanforderungen und einem erweiterten Anwendungsbereich zielt die neue NIS-Richtlinie darauf ab, die Cyberresilienz von Unternehmen zu stärken. Sie gilt für kritische Infrastrukturen und Betriebe aus verschiedenen Branchen. Bis zur endgültigen Fassung des NIS2-Umsetzungsgesetzes, welche voraussichtlich am 17. Oktober 2024 vorliegt, können noch einige Änderungen in der Richtlinie erfolgen. Dennoch sollten Unternehmen bereits jetzt erste technische und organisatorische Maßnahmen ergreifen, um Angriffe auf die Cybersicherheit des Unternehmens zu minimieren.

Innovative Lösungen wie das eCLIQ-Schließsystem und das SCALA-Zutrittskontrollsystem von ASSA ABLOY unterstützen die Unternehmen dabei, die Anforderungen der NIS2-Richtlinie zu erfüllen: Die Kombination aus physischen Sicherheitsmaßnahmen, einer flexiblen Zutrittskontrolle sowie einer nahtlosen Integration in Ihre bestehende Sicherheitsinfrastruktur sorgt für eine schnelle und effiziente Umsetzung.

Sie wollen mehr rund um digitale Zutrittskontrollen für mehr cyberphysische Sicherheit erfahren? Weitere Informationen rund um die NIS2-Richtlinie und mögliche Maßnahmen zur effektiven Umsetzung in Deutschland finden Sie in unserem Whitepaper:

Neuer Call-to-Action