Am 17. Oktober tritt die NIS-2-Richtlinie in Kraft, die die Sicherheit und Resilienz von Netz- und Informationssystemen in kritischen Sektoren stärken soll. Sie ergänzt die ursprüngliche Richtlinie aus dem Jahr 2016, vor allem hinsichtlich der Digitalisierung im öffentlichen und privaten Sektor und der rasanten Entwicklung von Konnektivitäts- und Mobilitätstechnologien. Der Schwerpunkt liegt auf der Resilienz gegenüber Cyberangriffen, indem sie Organisationen zur Entwicklung von Instrumenten, Prozessen und Fähigkeiten verpflichtet, die Bedrohungen vorbeugen und bei der schnellen Reaktion auf Angriffe unterstützen.
Artikel 21 der NIS-2-Richtlinie
Die NIS-2-Richtlinie führt strengere Anforderungen an die Cybersicherheit und das Risikomanagement ein. So fordert Artikel 21 von den EU-Mitgliedstaaten, sicherzustellen, dass öffentliche und private Organisationen durch die Umsetzung von Strategien und Best Practices ihr Risikomanagement optimieren. Darunter fallen die folgenden Maßnahmen:
- Risikoanalyse und Sicherheit von Informationssystemen,
- Incident Management und Reporting,
- Geschäftskontinuität durch Backup- und Disaster-Recovery-Tools,
- Krisenmanagement,
- Sicherheit der Lieferkette,
- Sicherheit bei der Beschaffung, Entwicklung und Wartung von Systemen,
- grundlegende Methoden der Computerhygiene und Schulungen zur Cybersicherheit,
- Kryptografie und Verschlüsselungstechnologien,
- Sicherstellung, dass nur berechtigtes Personal Zugriff auf sensible Daten hat, Zugangskontrollen und fachgerechte Verwaltung von Assets,
- Zero-Trust-Modelle bei Zugriffsanfragen.
Neue Kontroll- und Handlungsabläufe gemäß der NIS-2-Richtlinie
Da inzwischen alle Arten von Organisationen ins Visier von Cyberkriminellen geraten können, erweitert die NIS-2-Richtlinie die Sektoren, für die besondere Maßnahmen für die Cybersicherheit gelten. Die Unterscheidung zwischen Betreibern wesentlicher und digitaler Dienste entfällt. Stattdessen kategorisiert die Richtlinie Unternehmen aus allen besonders kritischen Sektoren als„wesentlich“ oder „wichtig“. Dazu gehören Sektoren wie öffentliche Verwaltung, Energie, Verkehr, Finanzen, Gesundheit, Trink- und Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten und Weltraum.
Die NIS-2-Richtlinie zielt darauf ab, die EU-Mitgliedstaaten durch die Schaffung vernetzter Kontroll- und Handlungsabläufe auf schwerwiegende Cyber-Sicherheitsszenarien vorzubereiten. Jedes Land ist dazu verpflichtet, ein Computer Security Incident Response Team (CSIRT) und eine nationale Behörde für Netz- und Informationssysteme einzurichten, die bei der Erkennung schwerwiegender Cyber-Risiken zusammenarbeiten.
Auswirkungen der NIS-2-Richtlinie auf die IKT-Lieferkette
Organisationen, die als Betreiber wesentlicher Dienste gelten, sind dazu verpflichtet, Sicherheitsmaßnahmen umzusetzen und ihre Resilienz zu maximieren. Die Einhaltung der NIS-2-Richtlinie erfordert die Entwicklung von Tools und Fähigkeiten in den Bereichen Governance, Risikomanagement und Lieferkette. Daher muss die Geschäftsführung Maßnahmen für die Optimierung des Risikomanagements einführen und regelmäßige Schulungsprogramme für alle Mitarbeiter anbieten.
Die NIS-2-Richtlinie sieht eine umfassende Risikobewertung und die Umsetzung geeigneter Maßnahmen vor, um diesen Risiken wirksam zu begegnen. Von besonderer Bedeutung sind dabei die Risiken im Zusammenhang mit der Lieferkette und der IT. Organisationen müssen kontinuierlich die Resilienz der Unternehmen in ihrer Lieferkette überprüfen. Für die Gewährleistung der Geschäftskontinuität ist es entscheidend, dass alle Beteiligten sowohl die Fähigkeiten als auch die Schwachstellen ihrer Partner, einschließlich der Cloud-Provider, berücksichtigen.
Im Rahmen dieser Anforderungen legt die NIS-2-Richtlinie besonderen Fokus auf kritische Sektoren wie Cloud Computing, Rechenzentren, Content-Delivery-Netzwerke, Managed Services und Managed Security Services.
Vorteile der Maßnahmen
Investitionen in die von der Richtlinie geforderten Maßnahmen bieten messbare Vorteile für die Unternehmen. Dazu zählen beispielsweise eine verbesserte Abwehrbereitschaft, eine effektivere Geschäftskontinuität, eine erhöhte Cyber-Resilienz, ein geringeres finanzielles Risiko bei Cybervorfällen und eine geringere Haftung.
Bei Nichteinhaltung der NIS-2-Richtlinie riskieren Unternehmen die vorübergehende Entziehung von Lizenzen oder Genehmigungen und ein Betriebsverbot. Hohe Geldstrafen sind ebenfalls möglich: bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes für als wesentlich kategorisierte Unternehmen und bis zu sieben Millionen Euro oder 1,4 Prozent des Umsatzes für als wichtig kategorisierte Unternehmen.
Umsetzung der Maßnahmen
Die Umsetzung der NIS-2-Richtlinie erfordert Schulungen für das Personal, Anpassungen der Sicherheitsrichtlinien und Investitionen in Technologie. Unabhängig von den Unterschieden zwischen den einzelnen Sektoren benötigen Unternehmen einen genauen Projektplan, der die betroffenen Bereiche identifiziert und eine Reihe spezifischer Schritte und Maßnahmen für die Stärkung der Sicherheit vorsieht.
Neben dem Projektplan ist es für Unternehmen wichtig, Reaktions- und Wiederherstellungspläne zu entwickeln oder zu aktualisieren, die bei sicherheitsrelevanten Vorfällen zum Einsatz kommen. Regelmäßige Simulationsübungen sowie die Schulung und Sensibilisierung des Personals für Cybersicherheit unterstützen die effektive Umsetzung. Kontinuierliches Monitoring und eine regelmäßige Bewertung der Sicherheitsmaßnahmen sind ein weiteres wichtiges Mittel für den Schutz der Systeme.
Insgesamt stellt die NIS-2-Richtlinie einen bedeutenden Schritt in Richtung Cybersicherheitsstrategie dar und legt den Schwerpunkt auf die Resilienz und den Schutz der Lieferkette. Die Einführung der strengen Anforderungen führt dazu, dass Organisationen ihre Sicherheitsmaßnahmen verbessern, Risiken effektiver managen und ihre Resilienz stärken. Durch diese Maßnahmen vermeiden sie nicht nur empfindliche Strafen, sondern profitieren auch von entscheidenden Vorteilen, die zum Image und zur Wettbewerbsfähigkeit des Unternehmens beitragen. Investitionen in Schulungen, die Anpassung von Sicherheitsrichtlinien und fortschrittliche Technologien sind daher unerlässlich, um ein robustes und widerstandsfähiges Sicherheitssystem aufzubauen, das den modernen Herausforderungen gewachsen ist.
