ArtikelSecurity

NIS2-Richtlinie: komplexes Regelwerk für mehr IT-Security

Autor/Redakteur: Daniel Graßer, Senior Director Security Services bei plusserver/gg

Komplexere Regeln, erweiterter Anwendungsbereich, viele neue und damit rechtlich unklare Begriffe – die NIS2-Richtlinie (Network and Information Security Directive 2) der EU wird in der Wirtschaft gefürchtet. So schätzen Experten, dass sich mindestens 29.000 Unternehmen erstmals mit den neuen Pflichten zur Cybersecurity beschäftigen müssen.

Quelle: plusserver

Mehr Unternehmen fallen unter die NIS2-Richtlinie

Kleinere Unternehmen mit weniger als 50 Mitarbeitenden oder mit weniger als 10 Millionen Euro Jahresumsatz stehen nicht in der Umsetzungspflicht. Keine Ausnahme gilt jedoch für Organisationen im Bereich kritischer Infrastruktur, beispielsweise aus den Bereichen Energie, Verkehr, Banken und Finanzen, Gesundheit sowie digitale Dienstleistungen.

Die NIS2-Richtlinie zielt darauf ab, die Resilienz gegenüber Cyberangriffen zu erhöhen und das Sicherheitsniveau innerhalb der Mitgliedsstaaten zu harmonisieren. Sie enthält eine Vielzahl an zusätzlichen Regeln, die den bisherigen KRITIS-Unternehmen zum größten Teil bekannt sein sollte. Ein wichtiges Element ist dabei die Meldepflicht: Unternehmen müssen erhebliche Zwischenfälle innerhalb von 72 Stunden an die nationalen Behörden melden, um die Auswirkungen schnell minimieren zu können.

Maßnahmen für die NIS2-Umsetzung

Generell fordert die Richtlinie, dass Unternehmen und öffentliche Verwaltungen geeignete technische und organisatorische Maßnahmen der Cybersecurity umsetzen. Dies umfasst die Sicherung von Netzwerken und Systemen sowie die Implementierung von Sicherheitsrichtlinien.

Hilfreich ist die Orientierung an branchenspezifischen Sicherheitsstandards (B3S), die vom BSI anerkannt sind. Sie erlauben es Unternehmen aus den jeweiligen Branchen, die richtigen Sicherheitsmaßnahmen zu formulieren und tragen zur Rechtssicherheit bei ihrer Umsetzung bei. Verantwortlich für die Umsetzung ist die Geschäftsführung, die auch dafür haftet und sich empfindlichen Sanktionen gegenübersieht.

Im Detail ähneln die Maßnahmen der Normengruppe ISO 27001ff., bei der es um ein Managementsystem für Informationssicherheit geht, sowie den davon abgeleiteten Normen und Standards mit ihren Best Practices. So muss es unter anderem ein Incident Management geben, Vorkehrungen für Backups und Disaster Recovery, Single-Sign-on mit Multi-Faktor-Authentifizierung und eine Zugriffskontrolle für alle Systeme durch Identity & Access Management. Solche und ähnliche Maßnahmen finden sich auch im Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Der Stand der Technik ändert sich schnell

Die Umsetzung der NIS2-Richtlinie erfordert von den betroffenen Unternehmen auf jeden Fall eine sorgfältige Planung. Es empfiehlt sich, eine umfassende Risikobewertung durchzuführen, angemessene Sicherheitsmaßnahmen auszuwählen und einen effektiven Incident-Response-Plan zu erstellen. Die Schulung der Mitarbeitenden spielt dabei eine ebenso wichtige Rolle wie die ständige Überwachung und Anpassung der Sicherheitsstrategien an den aktuellen Stand der Technik.

Dieses Kriterium ist etwas verschwommen, da sich der Stand der Technik in der IT normalerweise sehr schnell ändert. Dadurch können sich vor allem kleinere Unternehmen mit nur wenig mehr als 50 Mitarbeitenden schwertun, NIS2 umzusetzen. Deshalb ist es ein wichtiger Praxistipp, externe Berater und Lösungsanbieter zu verpflichten, um alle Anforderungen zu erfüllen. Externe Services wie Penetrationstests, Security Operations Center (SOC) oder Advanced Threat Protection helfen Unternehmen, ihre Verteidigungslinien zu stärken und potenzielle Schwachstellen zu identifizieren und zu schließen.

Die NIS2-Richtlinie ist für die Unternehmen angesichts der dynamischen Bedrohungslage ein Pflichtprogramm, um die Widerstandsfähigkeit gegen Cyberkriminalität zu stärken. Ohne Cybersecurity ist unternehmerisches Handeln in Zukunft gar nicht mehr möglich.