Betroffen von NIS2
Was nun?
Die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2-Richtlinie) hat sich zu einem zentralen Begriff in der IT-Branche entwickelt. Die Direktive trat im Januar 2023 in Kraft und verfolgt das Ziel, ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU sicherzustellen. Doch wie sieht es mit dem Stand der Umsetzung in Deutschland eigentlich aus? Und was genau bedeutet die Richtlinie für betroffene Organisationen?
Im Gegensatz zur Datenschutz-Grundverordnung, die seit 2018 direkt in allen EU-Mitgliedsstaaten gilt, entfaltet die NIS2-Richtlinie keine unmittelbare Wirkung. Stattdessen müssen die Vorgaben von den Mitgliedsstaaten in nationales Recht umgesetzt werden. In Deutschland arbeitet der Gesetzgeber hierzu am NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Ein erster Referentenentwurf wurde bereits im April 2023 vorgelegt und seitdem mehrfach überarbeitet, wobei sowohl kleinere Anpassungen als auch größere Änderungen vorgenommen wurden.
Aktuell befindet sich das Gesetz in der Abstimmung zwischen Bundestag und Bundesrat, obwohl die EU eine Frist zur Verabschiedung bis zum 17. Oktober 2024 gesetzt hatte. Laut einem Zeitplan des Bundesinnenministeriums soll das Gesetz im März 2025 in Kraft treten (Das NIS2-Umsetzungsgesetz NIS2UmsuCG – OpenKRITIS). Ob dieser Plan nach dem Koalitionsbruch der Ampel-Regierung im November 2024 noch eingehalten werden kann, ist ungewiss.
Sowohl der Bundesverband IT-Sicherheit e.V. (TeleTrusT) als auch die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI) appellieren an die Abgeordneten des Bundestags, das Gesetz noch in dieser Legislaturperiode zu verabschieden (TeleTrusT – Bundesverband IT-Sicherheit e.V. , Posten | LinkedIn). Wann die neue Cybersicherheitsregulierung tatsächlich finalisiert wird, bleibt somit abzuwarten.
Organisationen sollten sich auf dieser Verzögerung jedoch nicht ausruhen. Durch die Überschreitung des EU-Stichtags wird es keine Übergangsfrist geben. Damit sind die Pflichten bei Inkrafttreten des Umsetzungsgesetzes unmittelbar zu erfüllen. Die Frage, welche Unternehmen oder Organisationen der Regulatorik unterliegen, müssen diese selbst beantworten. Eine Betroffenheitsfeststellung und Benachrichtigung durch staatliche Stellen sind nicht vorgesehen. Eine erste Einschätzung kann die automatische NIS2-Betroffenheitsprüfung des BSI liefern (Fragebogen | Seite 1). Generell müssen zwei Kriterien betrachtet werden: die Unternehmensgröße und die Sektorzugehörigkeit. Als große Organisationen gelten solche, die entweder mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen. Mittlere Unternehmen beschäftigen entweder mindestens 50 Mitarbeiter oder weisen einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro auf. Die untenstehende Abbildung verdeutlicht, welche Sektoren der NIS2-Regulatorik unterliegen werden. Ein Blick auf die Zahlen verdeutlicht das Ausmaß des neuen Gesetzes. In der Begründung des Gesetzesentwurfes wird geschätzt, dass 2,1 Milliarden Euro einmaliger Erfüllungsaufwand für die Wirtschaft entstehen und 20.850 der ca. 30.000 betroffenen Einrichtungen heute noch keine ausreichenden Maßnahmen getroffen haben.
Viele Unternehmen stehen nun vor der Frage, was eine mögliche Regulierung durch NIS2 denn eigentlich für sie bedeutet. Die neuen Regelungen sind vielfältig. Betroffene Einrichtungen müssen sich innerhalb von 3 Monaten beim BSI registrieren und dabei eine Reihe von Unternehmenskennzahlen übermitteln. Nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall müssen verschiedene Meldungen gegenüber dem BSI abgegeben werden, die frühste bereits innerhalb von 24 Stunden. Des Weiteren kann das BSI Einrichtungen anweisen, die Empfänger ihrer Dienste unverzüglich über diesen erheblichen Sicherheitsvorfall zu unterrichten. Das größte Fragezeichen stellen häufig allerdings die geforderten Risikomanagementmaßnahmen dar. Diese sollen den Stand der Technik einhalten, die einschlägigen Normen berücksichtigen und müssen zumindest Folgendes umfassen:
Das NIS2UmsuCG lässt dabei offen, was genau unter dem Stand der Technik zu verstehen ist. Generell ist dieser zwischen dem „Stand der Wissenschaft und Forschung“ sowie den „allgemein anerkannten Regeln der Technik“ einzuordnen. Doch auch diese Definition ist nicht wirklich praxistauglich. Abhilfe schaffen Dokumente, die diesen Begriff konkretisieren, bspw. die TeleTrusT-Handreichung „Stand der Technik“ (TeleTrusT-Handreichung „Stand der Technik in der IT-Sicherheit“). Auch die Umsetzung der Basis- und Standard-Anforderungen eines Bausteins im IT-Grundschutz-Kompendium des BSI soll eine angemessene Sicherheit nach dem Stand der Technik gewährleisten. Zudem können auch Normen wie die ISO/IEC 27001 oder ISO/IEC 27005 die Präzisierung dieses recht generischen Begriffs unterstützen.
Exemplarisch wird im Folgenden für ein paar der Kategorien dargestellt, wie konkrete Maßnahmen aussehen können. Diese stellen dabei jedoch explizit nur Beispiele dar und haben keinen Anspruch auf vollständige Erfüllung der Anforderungen.
Bewältigung von Sicherheitsvorfällen:
Unternehmen sollten eine Richtlinie zur Behandlung von Sicherheitsvorfällen erstellen, in der das organisationsweite Incident Management formell definiert wird. Es muss klare Abläufe, Prozesse und Vorgaben zur Behandlung verschiedener Sicherheitsvorfälle geben. Hier können bspw. Managed Detection and Response (MDR) Services ein gutes Tool darstellen. Mit diesen lassen sich 24/7 Bedrohungen für die eigene IT-Landschaft identifizieren und abwehren. Sollte es tatsächlich zu einem Vorfall kommen, muss dieser standardisiert dokumentiert und nachbereitet werden. Nur so kann garantiert werden, dass das Incident Management nachhaltig verbessert wird.
Aufrechterhaltung des Betriebs:
Die Aufrechterhaltung des Betriebs geht mit dem Aufbau eines Business Continuity Management Systems (BCMS) einher. Ein solches System stellt sicher, dass Störungen, Notfälle und Krisen strukturiert bewältigt werden. Ausfallzeiten sollen so vermieden und Wiederanlaufzeiten minimiert werden. Eines der zentralen Dokumente in einem BCMS ist das Notfallhandbuch. In diesem werden alle Informationen zur Notfallbewältigung in der Organisation zusammengetragen. Doch neben dem Business Continuity Management fällt auch das Backup-Management in die Kategorie „Aufrechterhaltung des Betriebs“. Hier sollten Unternehmen unter anderem ein Datensicherungskonzept erstellen und regelmäßig testen, ob die Datensicherungen wie gewünscht funktionieren sowie einwandfrei und in angemessener Zeit zurückgespielt werden können.
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT:
Diese Kategorie zeigt, wie umfangreich die notwendigen Maßnahmen sein können, die sich hinter den knappen Stichpunkten des NIS2UmsuCG verbergen. Unternehmen müssen Regeln für die sichere Entwicklung von Software und Systemen festlegen und diese anwenden. Über Change Management-Verfahren sollte sichergestellt werden, dass IT-Änderungen einem festen Prozess folgen. Besonders relevant ist auch das Schwachstellenmanagement. Einerseits müssen hier relevante Informationsquellen (bspw. CVSS-Datenbanken oder CERT-Bund-Meldungen) überwacht werden, um neue Bedrohungen im Hinblick auf die eigene IT-Landschaft zu identifizieren. Gleichzeitig sollte durch ein geeignetes Enterprise Patch Management jedoch auch die eigene Patch-Situation und das daraus resultierende Risiko kontinuierlich geprüft werden. Schwachstellenscans können diese Tätigkeit weiter unterstützen.
Wie sich aus den vorigen Beispielen erkennen lässt, stellt NIS2 sehr umfangreiche und vielfältige Anforderungen an betroffene Einrichtungen. Doch zusätzlich stehen auch die Geschäftsleitungen selbst im Fokus der neuen Regulatorik. Denn das Gesetz definiert eine explizite Umsetzungs-, Überwachungs- und Schulungspflicht für diese. Geschäftsführer müssen die zu ergreifenden Risikomanagementmaßnahmen umsetzen und ihre Umsetzung überwachen. Verstoßen sie gegen diese Pflicht, müssen sie ihrem Unternehmen für einen schuldhaft verursachten Schaden nach den Regeln der entsprechenden Rechtsform haften. Daneben müssen Geschäftsleitungen zusätzlich regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der IT-Sicherheit zu erlangen. Diese Schulungspflicht erstreckt sich im Übrigen über Kategorie 7 der Risikomanagementmaßnahmen auch auf die übrigen Mitarbeiter. Unternehmen sollten entsprechend ein zielgruppenorientiertes Sensibilisierungs- und Schulungsprogramm zur Informationssicherheit ausrollen.
Abschließend mag sich die Frage stellen, wozu Organisationen all diese Maßnahmen ergreifen sollten und was denn passiert, wenn sie dies nicht tun. Um diesem Risiko entgegenzuwirken, sieht der Gesetzgeber sehr strenge Sanktionen vor. Ergreift eine besonders wichtige Einrichtung bspw. eine Risikomanagementmaßnahme nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig, kann sie mit einer Geldbuße bis zu 10 Millionen Euro geahndet werden. Liegt der Jahresumsatz bei über 500 Millionen Euro, steigt die Bußgeldhöhe auf 2 % des weltweiten Umsatzes. Bei wichtigen Einrichtungen liegen die Sanktionssummen mit 7 Millionen Euro bzw. 1,4 % des weltweiten Umsatzes etwas niedriger.
Haben Sie weitere Fragen zur NIS2-Richtlinie oder möchten wissen, wie Ihr Unternehmen aktuell im Hinblick auf die gesetzlichen Anforderungen aufgestellt ist?
Kommen Sie gerne auf uns zu! Wenn Sie zudem konkrete und angemessene Umsetzungsempfehlungen nach dem Stand der Technik für weitere relevante Themen suchen, empfehlen wir Ihnen unseren NIS2 Readiness Workshop. Gemeinsam mit den Experten von IT-HAUS erarbeiten Sie hierbei maßgeschneiderte Handlungsempfehlungen für Ihr Unternehmen.
Bei welchen Themen dürfen unsere Security-Experten Sie unterstützen?
Sprechen Sie uns an, wir unterstützen Sie auf dem Weg in eine erfolgreiche und sichere digitale Zukunft. Unsere auf die IT-Sicherheit Ihres Unternehmens spezialisierten Ansprechpartner beraten Sie gerne.