Die Netzwerk- und Informationssicherheits-Richtlinie 2.0 (NIS2) wurde im Dezember 2022 vom europäischen Gesetzgeber verabschiedet und ist eine Anpassung der bestehenden Vorgaben. Die Richtlinie führt verpflichtende Vorschriften zur Cybersicherheit mit einer deutlichen Ausweitung der bisher betroffenen Branchen und Betreiber kritischer Infrastrukturen (KRITIS) ein. Ziel ist es, der nach wie vor angespannten Bedrohungslage im Cyberraum entgegenzuwirken. Mehr Cyber-Resilienz für Europa lautet das Credo.

Alle EU-Mitgliedsstaaten müssen die neuen Vorschriften bis zum 17. Oktober 2024 in geltendes Recht überführen. In Deutschland ist dies das NIS2-Umsetzungsgesetz (NIS2UmsuCG), in Österreich das NIS-Gesetz. Beide Gesetze werden nach dem Stichtag sehr wahrscheinlich zügig in Kraft treten. Unternehmen und Organisationen sollten sich spätestens jetzt mit den gestiegenen Anforderungen an Governance, Informationssicherheit, Meldepflichten und Cybersicherheitsmaßnahmen beschäftigen.

NIS2 erhöht Sanktionsstrafen bei Regelverstößen

Die NIS2-Gesetzgebung betont die Bedeutung und Notwendigkeit des Risikomanagements für Cybersicherheit. Unternehmensleitungen sind gefordert, Maßnahmen zu ergreifen, die sowohl interne Schäden als auch Auswirkungen auf die Gemeinschaft berücksichtigen. Das Sanktionsmaß kann je nach Bereich bis über 10 Mio. EUR steigen.

Aus wirtschaftlicher Sicht ist es oft nicht realisierbar, sämtliche Risiken zu eliminieren. Daher sind zuverlässige Daten erforderlich, um die richtigen Kompromisse zu finden. Regelmäßige Abstimmungen des Top-Managements mit den Sicherheitsverantwortlichen der operativen IT sowie der IT Security werden zunehmend wichtiger, um die Anforderungen der NIS2-Richtlinie erfüllen zu können

35.000 Betriebe in Deutschland und Österreich betroffen

NIS2 erweitert NIS1 um strengere Sicherheitsanforderungen, die zusätzliche Wirtschaftssektoren umfassen und damit eine größere Anzahl betroffener Unternehmen. Schätzungen gehen von rund 30.000 Unternehmen und Organisationen in Deutschland aus. Für Österreich wird die Zahl mit rund 5.000 beziffert.

Infografik mit den wichtigsten Neuerungen der NIS2-Richtlinie

Für Cybersecurity-Maßnahmen und ITK-Systeme sollen internationale und europäische Standards gefördert werden. Hierzu kann die EU-Kommission noch konkretisierende Verordnungen erlassen.

Meldepflichten

Im Rahmen der Compliance-Richtlinien ist die Geschäftsführung dafür verantwortlich, dass auch bei Meldepflicht, Kommunikation und Kooperation mit nationalen Behörden bestimmte Standards und Vorschriften eingehalten werden. Dazu gehören unter anderem die Datenschutz-Grundverordnung.

Nationale Aufsichtsbehörden

NIS2 schreibt den national befugten Behörden umfangreiche Aufsichts- und Durchsetzungsbefugnisse zu, unter anderem:

  • Nachweise & Überprüfungen der umgesetzten Anforderungen durch ernannte Aufsichtsbehörden
  • Ad-hoc-Prüfungen und Security Audits durch unabhängige Dritte oder Behörden inklusive Security Scans
  • Anforderungserlaubnis zu Daten, Informationen und Nachweise der Umsetzung
  • Anweisungen im Fall von Compliance-Verstößen sowie Bestellung von Aufsichtsorganen
  • Fristsetzung bei Compliance-Nachbesserungen sowei Entzug der Betriebserlaubnis

Nationale CSIRT-Stelle für Vorfallsmeldungen

Für die Bewältigung, Begutachtung und Bewertung von nationalen Cyber-Vorfällen sollen die Mitgliedsstaaten eine nationale CSIRT-Stelle (auch CERT genannt) errichten. Betroffene Unternehmen sind verpflichtet, bei Sicherheitsvorfällen an diese Stelle Meldung zu erstatten.

SOC: Die Leitstelle im Kampf gegen Cyberkriminalität

Es ist unerlässlich zu verstehen, dass Cybercrime jedes Unternehmen treffen kann. Die Angreifer werden immer professioneller und die Kampagnen raffinierter. Eine zentrale Bedeutung kommt hier dem Security Operations Center zu, kurz: SOC. Ein SOC ist darauf spezialisiert, Informationsrisiken aus dem Cyberraum zu identifizieren, zu bewerten und abzuwehren. Es ist eine organisatorische Einheit, die der Geschäftsleitung direkt unterstellt und neben der operativen IT angesiedelt sein sollte. Eine enge partnerschaftliche Zusammenarbeit zwischen einem SOC-Team und dem Team der operativen IT sollte selbstverständlich sein und ist entscheidend für die Geschäftsfähigkeit (Business Continuity). Außderdem kann das SOC im Fall eines Sicherheitsvorfalls Daten und Auskünfte an eine CSIRT-Stelle überliefern.

Für Unternehmen und Behörden, die die neuen Sicherheitsanforderungen nicht selbst umsetzen können, ist die Beauftragung eines SOC as a Service durch einen vertrauenswürdigen Managed Security Service Provider (MSSP) eine gangbare Alternative.