NIS 2: Diese Cyberrüstung wird zur Pflicht!

In einer Welt, die zunehmend von digitalen Technologien abhängt, werden die Bedrohungen für IT-Systeme immer komplexer und gefährlicher. Die Europäische Union hat deshalb mit der NIS-2-Richtlinie einen entscheidenden Schritt unternommen, um kritische Infrastrukturen zu schützen und Unternehmen zu einer proaktiven Sicherheitsstrategie zu verpflichten.

Auf dem IT Summit by Heise 2024 stellte der Experte für IT-Regularien, Alexander Kohler, den aktuellen Stand bei der Umsetzung der EU-Richtlinie NIS 2 vor. Ein guter Anlass, die wichtigsten Informationen für Unternehmen übersichtlich aufzubereiten.

Was ist die NIS-2-Richtlinie?

Mit der Einführung von NIS 2 verfolgt die Europäische Union das Ziel, die Cybersecurity in kritischen Infrastrukturen erheblich zu verbessern. Die Richtlinie baut auf der ursprünglichen Richtlinie „Netzwerk- und Informationssicherheit“ (NIS) auf und erweitert deren Anwendungsbereich und Anforderungen.

In vielen Bereichen bietet die künstliche Intelligenz handfeste Vorteile und ermöglicht Innovationen, die ohne sie undenkbar wären. Zu den Stärken zählen insbesondere die Fähigkeiten zur Verarbeitung großer Datenmengen, zur Mustererkennung und zur Automatisierung komplexer Prozesse. Das zeigt sich beispielsweise bei der Analyse von Sprache, Bildern und Videos, in der medizinischen Diagnostik, der Cyberabwehr oder bei der Entwicklung intelligenter Assistenzsysteme.

KI ist jedoch kein Allheilmittel. Eine Herausforderung stellt der immense Ressourcenbedarf von KI-Systemen dar. Doch auch Fragen der Erklärbarkeit von KI-Entscheidungen, der Datensicherheit und des Schutzes der Privatsphäre sind nicht zu unterschätzen. Hinzu kommen ethische Aspekte wie mögliche Verzerrungen und Diskriminierungen durch KI-Systeme. Denn KI-Systeme lernen aus historischen Daten und übernehmen dabei unter Umständen auch die darin enthaltenen Vorurteile und Benachteiligungen. Um solche Effekte zu vermeiden, müssen Unternehmen ihre KI-Modelle kontinuierlich auf Fairness und Diskriminierungsfreiheit überprüfen.

Rechtlicher Hintergrund

Die NIS-2-Richtlinie gilt als zentraler Bestandteil der EU-weiten Strategie zur Stärkung der Cybersicherheit. Sie soll eine robuste Sicherheitskultur fördern und ein hohes Maß an Sicherheit in der Netz- und Informationssicherheit gewährleisten.

Ziele der EU-Verordnung

Zu den Hauptzielen der NIS-2-Richtlinie zählen die Erhöhung der Cybersicherheit, die Verbesserung der Resilienz kritischer Infrastrukturen und die Harmonisierung der Sicherheitsstandards in der gesamten EU. Die Einführung einheitlicher Standards soll die Abwehrkräfte der EU gegen Cyberangriffe stärken.

Kernelemente der Cybersecurity-Strategie

Die Richtlinie legt den Schwerpunkt auf Risikomanagement, die Meldung von Sicherheitsvorfällen und die Sicherstellung der Kontinuität von Dienstleistungen. NIS 2 zwingt Firmen dazu, robuste Sicherheitsmaßnahmen zu implementieren und regelmäßige Risikobewertungen vorzunehmen.

Betroffene Branchen und Infrastrukturen

Unternehmen werden nicht von staatlicher Seite informiert, dass sie in den Geltungsbereich von NIS 2 fallen, sondern müssen dies selbst herausfinden und dann entsprechend reagieren. Die Pflicht entsteht durch die Zugehörigkeit zu einem bestimmten Wirtschaftssektor mit einer bestimmten Größe des Unternehmens, gemessen an Umsatz, Jahresbilanzsumme und Mitarbeiteranzahl. Dabei gilt als Prinzip für die Wirksamkeit der NIS-2-Regularien: Je kritischer die Leistungen des Unternehmens für das Funktionieren der Gesellschaft sind, desto weniger Beachtung findet dessen Größe, damit die Regelung zur Anwendung kommt.

Weil die vielen Kriterien insgesamt ein komplexes Gebilde darstellen, gibt es ein Online-Tool für die Überprüfung: Ob ein Unternehmen ins Raster fällt, kann man online mithilfe der Betroffenheitsprüfung des BSI verifizieren.

Unternehmen, für die die Regelung greift, müssen sich beim Inkrafttreten der deutschen Umsetzung von NIS 2 registrieren lassen. Das BSI plant dazu eine Online-Registrierung über ein Portal. Für bestimmte Branchen kann auch die Registrierung bei einer dieser Behörden notwendig sein:

  • BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe)
  • BNetzA (Bundesnetzagentur)
  • BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht)

Warum NIS 2 auch kleine Firmen treffen kann

Aber Vorsicht: Auch Betriebe, die aufgrund ihrer geringen Größe oder ihres Wirtschaftszweigs eigentlich von NIS 2 ausgenommen sind, können sich dennoch gezwungen sehen, die darin festgelegten Pflichten zu erfüllen. Denn wenn sie als Dienstleister oder Zulieferer für ein großes Unternehmen fungieren, kann der von NIS 2 geforderte Schutz der Lieferkette sie dazu zwingen, geeignete Cybersicherheitstechnologien oder -prozesse einzuführen. Kommen sie diesen Verpflichtungen nicht nach, riskieren sie den Entzug ihrer Aufträge, denn andernfalls würde das belieferte Unternehmen gegen NIS 2 verstoßen.

Von NIS 2 betroffene Wirtschaftssektoren

  • Energie (Strom, Erdöl, Erdgas, Fernwärme)
  • Transport (Luft, Schiene, Schifffahrt, Straßenverkehr)
  • Gesundheitswesen (Krankenhäuser, Labore, Forschung)
  • Verkehr und Logistik
  • Bankwesen und Finanzmärkte
  • Digitale Infrastruktur (Rechenzentren, Cloud-Provider, Internet-Leitungen)
  • IKT-Dienstleistungsmanagement (Managed-Service-Provider für Cloud-Dienste)
  • Öffentliche Verwaltung
  • Weltraum (Bodeninfrastruktur für Weltraumprojekte)
  • Post- und Kurierdienste
  • Trinkwasser
  • Abwasser
  • Abfallwirtschaft
  • Herstellung, Produktion und Vertrieb von Chemikalien
  • Produktion, Herstellung von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen/elektronischen Geräten
  • Digitale Anbieter (Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Forschungsinstitute

Wie viel Zeit Unternehmen für die Umsetzung haben

Zeitplan für die Umsetzung in deutsches Recht

Die Mitgliedstaaten der EU hatten eigentlich nur bis Oktober 2024 Zeit, die NIS-2-Richtlinie in nationales Recht umzusetzen. In Deutschland trägt dieses Gesetz den Namen „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ mit der sperrigen Abkürzung „NIS2UmsuCG“.

Deutschland hat die Frist zur Umsetzung nicht eingehalten. Man rechnete zunächst mit einer etwas verspäteten Realisierung im März 2025. Doch nach dem Bruch der Ampel-Koalition und dem damit verbundenen Reset aller Gesetzgebungsvorhaben wird sich die Umsetzung bis mindestens Ende 2025 verschieben.

Unternehmen sollten dennoch umgehend mit den Vorbereitungen beginnen, da der erforderliche Aufwand erheblich sein kann – je nach aktuellem Stand der Cybersicherheit. Hinzu kommt, dass die verspätete Umsetzung für viele nur wenig zeitliche Entspannung bringt.

Warum viele Firmen schon vor der nationalen Umsetzung in der Pflicht stehen

Hier greift dieselbe Logik wie bei kleinen Firmen: Da in vielen anderen EU-Staaten die Umsetzung in nationales Recht bereits erfolgt ist, kann die damit verbundene Absicherung der Lieferkette sich grenzüberschreitend auch auf das Inland auswirken. Wer grenzüberschreitend tätig ist, sollte sich also am besten heute schon an die NIS-2-Vorgaben halten, um die Handelsbeziehungen mit anderen EU-Ländern nicht zu gefährden.

Pflichten, die sich für Unternehmen aus NIS 2 ergeben

Wenn Unternehmen ihre eigene Betroffenheit festgestellt und sich bei der zuständigen Stelle registriert haben, müssen sie eine ganze Reihe von Pflichten erfüllen, um NIS 2 zu genügen.

Risikomanagement und technisch-organisatorische Maßnahmen

Zu den Kernbestandteilen der NIS-2-Richtlinie zählt die Implementierung eines umfassenden Risikomanagements. Dieses muss verschiedene Qualitätskriterien erfüllen: Es sollte den identifizierten Risiken angemessen sein, der Größe des Unternehmens entsprechen und dem aktuellen Stand der Technik genügen. Dabei orientiert sich die Umsetzung an anerkannten Standards und berücksichtigt die spezifische Risikoexposition des Unternehmens.

Meldemechanismen und Unterrichtungspflichten

Im Bereich des Krisenmanagements müssen Unternehmen klare Strukturen schaffen, eindeutige Meldeketten etablieren sowie Verantwortlichkeiten definieren. Besondere Bedeutung kommt der Benennung von Ansprechpartnern zu – sowohl intern als auch für die Kommunikation mit Behörden. Der Umgang mit Sicherheitsvorfällen erfordert präzise Definitionen und standardisierte Prozesse.

Nachweispflichten

Die Nachweispflicht stellt Unternehmen vor besondere Herausforderungen: Sie müssen jederzeit belegen können, dass ihr Risikomanagement funktioniert, Meldepflichten eingehalten werden und Systeme zur Angriffserkennung existieren. Dies geschieht typischerweise durch Auditberichte, Zertifizierungen und umfassende Prüfungsdokumentationen.

Pflichten der Geschäftsleitung

Die Verantwortung der Geschäftsleitung geht weit über formale Aspekte hinaus. Sie muss das Risikomanagement aktiv überwachen und dessen Wirksamkeit regelmäßig überprüfen. Besonders hervorzuheben ist die Schulungspflicht für die C-Level-Ebene: Führungskräfte müssen ihre Kompetenz im IT-Risikomanagement kontinuierlich weiterentwickeln und nachweisen können. Diese Pflicht können sie nicht „nach unten“ delegieren.

IT-Sicherheitsmaßnahmen

Unternehmen müssen umfassende IT-Sicherheitsmaßnahmen einführen, darunter technische Schutzkonzepte, ein effektives Risikomanagement und Incident-Response-Strategien, um Cyberbedrohungen proaktiv zu begegnen.

Rechtliche Konsequenzen

Die Nichteinhaltung der NIS-2-Richtlinie kann erhebliche rechtliche Konsequenzen haben, und zwar nicht nur für das Unternehmen, sondern auch für einzelne Personen:

  • Bußgelder bis zu zehn Millionen Euro für das Unternehmen
  • Untersagung der Geschäftstätigkeit
  • Persönliche Haftung von Führungskräften

Bei der Höhe der Geldbußen unterscheidet NIS 2 nach der Bedeutung. Gehört ein Unternehmen zum wichtigen Sektor, liegt die Obergrenze bei sieben Millionen Euro oder mindestens 1,4 Prozent des weltweiten Jahresumsatzes. Zählt eine Firma hingegen zum besonders wichtigen Sektor, drohen Bußgelder von bis zu zehn Millionen Euro oder mindestens zwei Prozent des weltweiten Jahresumsatzes. Das sind also keine Peanuts, sondern wirklich schmerzhafte Strafen.

Handlungsempfehlungen für Unternehmen zur NIS-2-Richtlinie:

1. Umfassende Risikobewertung

  • Systematische Analyse aller IT-Systeme
  • Identifikation kritischer Infrastrukturen
  • Dokumentation potenzieller Schwachstellen

2. Entwicklung einer Cybersecurity-Strategie

  • Ganzheitlicher Sicherheitsansatz
  • Klare Verantwortlichkeiten definieren
  • Regelmäßige Überprüfung und Anpassung

3. Technische Schutzmaßnahmen implementieren

  • Moderne Firewall-Systeme
  • Verschlüsselungstechnologien
  • Mehrstufige Authentifizierung
  • Regelmäßige Sicherheits-Updates

4. Incident-Response-Plan erstellen 

  • Klare Kommunikationswege
  • Schnelle Reaktionsmechanismen
  • Eskalationsstufen definieren
  • Dokumentationsvorlagen vorbereiten

5. Mitarbeiterschulungen durchführen

  • Regelmäßige Cybersecurity-Schulungen
  • Sensibilisierung für Phishing und Social Engineering
  • Schulungsnachweise für alle Beschäftigten

6. Compliance-Dokumentation aufbauen

  • Lückenlose Dokumentation aller Maßnahmen
  • Nachweisbare Sicherheitskonzepte
  • Externe Auditierbarkeit sicherstellen

7. Externe Sicherheitsexperten einbinden

  • Jährliche externe Sicherheitsaudits
  • Unabhängige Bewertung der Systeme
  • Kontinuierliche Verbesserungsempfehlungen

8. Supply-Chain-Sicherheit gewährleisten 

  • Sicherheitsanforderungen für Lieferanten
  • Vendor-Risk-Management
  • Regelmäßige Überprüfung von Geschäftspartnern

9. Monitoring und Frühwarnsysteme einrichten

  • Automatische Bedrohungserkennung
  • Sicherheitsmonitoring rund um die Uhr
  • Echtzeitbenachrichtigungen bei Anomalien

10. Rechtliche Compliance sicherstellen

  • Umsetzung der NIS-2-Anforderungen
  • Vorbereitung auf mögliche Sanktionen
  • Kontinuierliche rechtliche Beratung

Fazit

Die NIS-2-Richtlinie geht weit über eine weitere lästige rechtliche Verpflichtung hinaus. Sie bietet Unternehmen die Chance, ihre Cybersicherheit grundlegend zu modernisieren und widerstandsfähiger gegen digitale Bedrohungen zu werden. Durch detaillierte Erklärungen und praxisrelevante Handlungsempfehlungen können Unternehmen effektive Sicherheitsstrategien implementieren und sich auf die zukünftigen Herausforderungen der digitalen Welt vorbereiten. Die NIS-2-Richtlinie ist dabei ein essenzieller Baustein für die erfolgreiche und sichere digitale Transformation. Nur Firmen, die Cybersicherheit als strategischen Wettbewerbsvorteil begreifen, werden langfristig erfolgreich sein.

Alexander Kohler ist in den Bereichen KRITIS, Regulation und AI bei der HiSolutions AG tätig. Er beschäftigt sich außerdem mit hybriden Herausforderungen und Resilienzthemen.

Die HiSolutions AG kombiniert hochspezialisiertes Know-how auf den Gebieten IT-Management und Informationssicherheit mit Konzeptionsstärke, Innovationskraft und Umsetzungskompetenz. „So schaffen wir zukunftssichere State-of-the-Art-Lösungen, die ein Maximum an Wirtschaftlichkeit und Sicherheit gewährleisten und exakt auf die technischen und unternehmerischen Bedürfnisse unserer Kunden zugeschnitten sind“, schreibt das Unternehmen über sich selbst. 

Diese Microsite „IT-Summit by heise“ wird betrieben von heise Medien GmbH & Co. KG in Zusammenarbeit mit MBmedien Group GmbH
mit freundlicher Unterstützung durch Sponsoren.

Impressum | Datenschutz