NIS-2 Bin ich betroffen? Und falls ja, wie sehr?

Anbieter zum Thema

IBYKUS AG für Informationstechnologie

Fabasoft Deutschland GmbH

JCC Software GmbH

Bis zum 17. Oktober muss die zweite Richtlinie zur Netz- und Informationssicherheit (NIS-2) qua Gesetz umgesetzt worden sein. Wie kann das gewährleistet werden? Wie oft muss nachjustiert werden? Und für wen gilt die Richtlinie eigentlich? Ein Überblick.

In den vergangenen beiden Jahren kam man als Verwaltungsdigitalisierer kaum um das Thema NIS-2 herum. Zahlreiche Fachvorträge, Whitepaper und Präsentationen stimmten auf das Ende der altbewährten Verwaltungswelt ein. NIS-2 hier, NIS-2 da. Doch der Reihe nach. Bei der NIS-2-Richtlinie handelt es sich um eine Weiterentwicklung der ursprünglichen NIS-Richtlinie, die 2016 in Kraft getreten ist. Eingeführt wurde sie im Nachgang an einige „High-Profile-­Cyberattacken“, welche die Sicherheit von europäischen KRITIS-Einrichtungen gefährdet hatten. Bereits Ende 2022, genauer gesagt am 27. Dezember, von der Europäischen Union veröffentlicht, wurde den Mitgliedsstaaten eine 21-Monats-Frist zur Umsetzung der EU-Richtlinie in jeweils gültiges nationales Recht gesetzt. Diese Frist läuft nun zum 17. Oktober ab. Im Klartext bedeutet das, dass Unternehmen, Verwaltungen und Behörden – zumindest in der Theorie – ab diesem Zeitpunkt bei Verstößen gegen die NIS-2-Richtlinien in Regress genommen werden können. Wahrheitsgetreu muss allerdings auch erwähnt werden, dass die Institutionen, welche zur Umsetzung verpflichtet sind, einen signifikanten Mehrwert aufgrund der geforderten Maßnahmen der Richtlinie erfahren.

Europäische Datenbank für Schwachstellen

Um Sicherheitsrisiken von vornherein möglichst zu minimieren, empfehlen Sicherheitsexperten, ­eine Vielzahl verschiedener Stellschrauben zu berücksichtigen. Dazu zählen unter anderem das Etablieren von robusten Sicherheitsmechanismen. Darunter fallen etwa niederschwellige, unternehmensinterne Risikomanagementpraktiken, engmaschige Sicherheitsrichtlinien für Netz- und ­Informationssysteme sowie regelmäßige Schulungen sowie eine ­generelle Sensibilisierung der Mitarbeiterinnen und Mitarbeiter in Sachen Cybersicherheit.

Eine der am stärksten gewichteten Änderungen, die NIS-2 mit sich bringt, stellen die Meldepflicht für Sicherheitsvorfälle sowie die Einführung einer europaweiten Datenbank dar, in der Schwachstellen und korrespondierende Lösungsmöglichkeiten gesammelt, aufbereitet und gepflegt werden. Die Meldepflichtklausel von NIS-2 sieht vor, dass schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden an die jeweils zuständige Stelle zu melden sind. Dadurch soll es den Behörden unter anderem erleichtert werden, etwaige Muster in ­Cyberangriffen zu erkennen und potentielle weitere Ziele davor ­abzuschirmen.

Ein Netzwerk aus Cybersicherheitsbehörden

Jeder Mitgliedsstaat der EU muss laut NIS-2-Richtlinie eine nationale Cybersicherheitsagentur stellen, die in der Lage ist, in Echtzeit auf Bedrohungslagen zu reagieren und Tag wie Nacht operabel zu sein. Auch Unternehmen und Behörden wird – ab einer gewissen Größe – empfohlen, sogenannte Security Operation Center (SOCs) zu installieren, die als spezialisierte Abteilung die eingehenden wie ausgehenden Datenströme überwachen und bei Unregelmäßigkeiten direkt Gegenmaßnahmen einleiten können. Ziel hierbei: Cyberattacken sollen möglichst glimpflich verlaufen und – im besten Fall – sogar im Keim erstickt werden. Derartigen „digitalen First-Responder“ soll dabei eine breite Palette an Werkzeugen und Befugnissen an die Hand gegeben werden, sodass sie im Ernstfall – auf dem kurzen Dienstweg – entsprechende Sicherheitsprotokolle initiieren können und vor allem auch dürfen.
NIS-2 stellt auf den ersten Blick eine sehr hohe Hürde dar und einige Kommunen, Behörden und Unternehmen augenscheinlich vor schier unlösbare finanzielle wie personelle Herausforderungen. Doch tritt man einen Schritt zurück und betrachtet die Situation aus einer anderen Perspektive, lässt sich feststellen, dass jede Maßnahme nicht nur die Cyberresilienz festigt sondern in langer ­Instanz auch das wirtschaftliche Überleben garantiert. 28.000 Unternehmen werden das erste Mal unter die NIS-2-Regelung fallen, weswegen der gesamte Prozess durchaus als zeitkritisch zu betrachten ist. Allerdings wird NIS-2 ausschließlich auf Unternehmen angewandt werden, welche unter die Kategorie KRITIS fallen. Für ein Gros der Unternehmen in Deutschland ist es deswegen nicht verpflichtend. Eine gute „Cyberhygiene“ ist jedoch in keinem Fall schädlich.
Sobald die EU-Richtlinie in nationales Recht umgesetzt wurde, wird die Redaktion diesen Artikel an die dann gültigen Gegebenheiten anpassen. Den aktuellen Stand der Gesetzgebung können Sie auf der offiziellen Webseite der Bundesregierung verfolgen.

EU-Richtlinie

NIS-2: Checkliste für die öffentliche Verwaltung

Bekämpfung von Cyber-Gefahren im öffentlichen Sektor

Public Sector: ein unwiderstehliches Ziel für Hacker

(ID:50159372)