Jetzt vorbereiten: NIS-2 verschärft die Sicherheitsmaßnahmen für Unternehmen

Für welche Unternehmen gelten die Vorgaben der NIS-2-Richtlinie?

Die EU-Richtlinie NIS-2 hat zum Ziel, das Sicherheitsniveau im europäischen Binnenmarkt deutlich zu erhöhen und geht deutlich über die aktuelle KRITIS-Einstufung hinaus. Neben den bekannten Branchen wie beispielsweise Energie, Transport, Gesundheit oder Ernährung kommen die Industriezweige Weltraumwirtschaft, Post, Chemie, das produzierende Gewerbe, Digitale Dienste sowie Forschung hinzu. Die Unterscheidung zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“ bestimmt den Umfang der staatlichen Aufsicht und die Sanktionierungsmöglichkeiten bei Missachtung. Es stehen also viele Unternehmen und öffentliche Verwaltungen vor der neuen große Aufgabe, Ihre Cyber-Security auf den Prüfstand zu stellen und ggf. anzupassen.

Warum steht die Verstärkung der Cyber-Security kritischer Infrastrukturen und Dienstleistungen nun besonders im Fokus der EU?

Unternehmen mit kritischen Infrastrukturen oder Dienstleitungen sind naturgemäß einem größeren Sicherheits-Risiko ausgesetzt als andere Unternehmen, da sie aus Sicht der Angreifenden ein besonders lohnendes Ziel darstellen. Die EU-Richtlinie NIS-2 möchte daher für einheitliche Mindeststandards sorgen, die verpflichtend umzusetzen sind. Aber ob KRITS oder nicht – mir ist wichtig zu betonen: Jedes Unternehmen sollte regelmäßig seine Sicherheitsstrategie und die Wirksamkeit implementierter Maßnahmen hinterfragen und überprüfen, denn die Bedrohung durch Cyber-Kriminalität ist nach aktueller Einschätzung des BSI-Lageberichts 2023 so hoch wie nie zuvor. Ein besorgniserregender Trend, der sich in Zeiten von immer weiter professionalisierten, KI-gestützten Angriffsmethoden sowie durch die geopolitische angespannte Lage vermutlich noch verschärfen wird.

Was müssen betroffene Organisationen machen, um die NIS-2-Richtlinie zu erfüllen und sich ausreichend gegen Cyber-Kriminalität zu schützen?

Unternehmen und Behörden müssen angemessene Sicherheitsmaßnahmen ergreifen, um die IT und Netzwerke für ihre kritischen Infrastrukturen und Dienstleistungen zu schützen. Dieser Prozess beginnt sinnvollerweise mit einem entsprechenden Sicherheits-Risikomanagement und der Etablierung eines Information Security Management Systems, welches die strukturierte Steuerung, Kontrolle und Verbesserung der Sicherheit im Unternehmen ermöglicht. Zu den konkret in NIS-2 geforderten Maßnahmen zählen unter anderem die Angriffserkennung und Behandlung von Cyber-Angriffen im Rahmen eines entsprechenden Incident-Managements. Neben der Forderung nach sicherer und verschlüsselter Kommunikation (Sprache, Video und Text) und Schwachstellen-Management gibt es noch organisatorische Anforderungen in den Bereichen Personal und Training. Auch die Sicherheit in der Lieferkette wird gesondert betrachtet.

Wie bewertest Du die Bedeutung der neuen Richtlinie für die Standards im Bereich IT- und Cybersicherheit. Sind die Maßnahmen Deiner Meinung nach ausreichend und wie geht es kurzfristig weiter? 

Bisher steht die Umsetzung der geforderten Maßnahmen in der nationalen Gesetzgebung, namentlich dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG), noch aus. Die EU-Richtlinie bildet schon eine gute Grundlage zur Erhöhung des Sicherheitsniveaus kritischer Einrichtungen, insbesondere in der Behandlung von Cyber-Vorfällen und für die Aufrechterhaltung sowie Wiederherstellung von Diensten. Ich gehe davon aus, dass es mittelfristig auch Ableitungen der geforderten Maßnahmen auf Basis existierender Industriestandards wie beispielsweise ISO 27001 oder BSI (IT-Grundschutz und C5) geben wird. Dies wird sich dann auch positiv im Prozess der Nachweispflicht bemerkbar machen. Bis zur Verabschiedung des NIS2UmsuCG braucht es jedoch noch Präzisierungen im Bereich der geforderten Maßnahmen, hier ist die EU-Richtlinie noch zu generisch.

Welche Sanktionen drohen Unternehmen, die die neuen Vorgaben nicht umsetzen?

Hier folgt die EU bei NIS-2 ihrer harten Linie, die beispielsweise auch schon aus dem DSGVO-Umfeld bekannt ist. In Abhängigkeit der Einstufung der Wichtigkeit von Einrichtungen können Bußgelder bis zu 10 Millionen Euro beziehungsweise zwei Prozent des weltweiten Jahresumsatzes des Vorjahres (je nachdem, was höher ist) verhängt werden. Auch gelten verschärfte Vorgaben für erkannte Sicherheitsvorfälle. So müssen beispielsweise erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden nach Kenntnisnahme gemeldet werden und spätestens nach 72 Stunden einer ersten Bewertung unterzogen sein.

Wie unterstützt 1&1 Versatel seine Kunden beim Umsetzen der neuen Anforderungen?

Wir unterstützen Unternehmen und Behörden mit gezielten Security-Services, die dabei helfen, Compliance zu der Richtlinie herzustellen. Hierzu zählen beispielsweise die Identifikation und Risikoklassifizierung von Schwachstellen relevanter Systeme, die Erkennung und Abwehr von Angriffen auf Endgeräte sowie die Erkennung und Bewältigung von Sicherheitsvorfällen mithilfe von SOC- und SIEM-Services. Um die geschäftskritische Infrastruktur vor Ausfällen zu schützen, können wir einen umfassenden DDOS-Schutz sowie Firewall-Services am Perimeter zur Verfügung stellen. Darüber hinaus bieten wir Services zur Erkennung und Neutralisierung von Bedrohungen im Clear-, Deep- und Dark-Web.

Zum 1&1 Versatel Guide