Die Betrachtung von Sicherheit aus der Sicht des Einzelunternehmens, des Joint Venture oder sogar der unternehmens- oder branchenzentrierten Wertschöpfungskette ist ebenso unzureichend wie die technologiezentrierte Sichtweise, die in der Cybersicherheit vielfach immer noch weit verbreitet ist.
Mittlerweile ist damit in der Mitte der öffentlichen Diskussion angekommen, was Experten seit Jahren anmahnen: Die Betrachtung von Sicherheit aus der Sicht des Einzelunternehmens, des Joint Venture oder sogar der unternehmens- oder branchenzentrierten Wertschöpfungskette ist ebenso unzureichend wie die technologiezentrierte Sichtweise, die in der Cybersicherheit vielfach immer noch weit verbreitet ist.
Vor diesem Hintergrund muss auch NIS2 betrachtet werden. Während sich die Regulierung selbst auf europäische und nationale Krisenresilienz konzentriert, mit deutlichem Fokus auf Unternehmen und Organisationen der kritischen Infrastruktur, betrifft das dahinter liegende Problem die Wirtschaft und die Gesellschaft als Ganzes.
Was ist NIS2?
„NIS2“ ist die Kurzform für die Richtlinie 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 mit dem Titel „Directive on measures for a high common level of cybersecurity across the Union (NIS2 directive)”. Diese Richtlinie zielt darauf ab, die Cyberresilienz in der Europäischen Union (EU) zu stärken und zu vereinheitlichen.
Neben einer Reihe europäischer beziehungsweise zwischenstaatlicher Maßnahmen stehen bei NIS2 insbesondere auch Unternehmen, Unternehmensteile und Organisationen, die kritische Infrastrukturen betreiben, im Fokus. Im Vergleich zu den bisher geltenden Gesetzen und Verordnungen wird der Kreis der betroffenen Unternehmenssektoren hier aber deutlich weiter gefasst. Allein in Deutschland werden es etwa 30.000 Unternehmen sein. Die Richtlinie muss bis zum 18.10.2024 in deutsches Recht überführt werden.
Im Fokus
30.000Unternehmen allein in Deutschland werden von der neuen EU-NIS2-Richtlinie betroffen sein.
NIS2 umfasst zahlreiche Maßnahmen auf unterschiedlichsten Ebenen. Auf nationaler wie auf zwischenstaatlicher Ebene werden beispielsweise die Verabschiedung einer nationalen Cybersicherheitsstrategie und die Benennung nationaler „Computer Security Incident Response“-Teams (CSIRTs) zur Pflicht. Hinzu kommen deutlich erweiterte Prüf- und Berichtspflichten sowie neue Befugnisse, Kontroll- und Sanktionsmöglichkeiten. Hier soll kein weiterer Papiertiger geschaffen werden, sondern ein Instrument mit unmittelbarer Wirkung auf die Cyberresilienz.
Auswirkungen auf Unternehmen und Organisationen
Ein wesentlicher Aspekt von NIS2 ist wie erwähnt die deutliche Erweiterung des Kreises betroffener Unternehmen. Diese werden in „wichtige“ und „besonders wichtige“ Einrichtungen unterteilt. Zukünftig gibt es nur noch für die untere der beiden Kategorien Grenzwerte in puncto Zahl der Beschäftigten (> 50) beziehungsweise Umsatz (> 10 Millionen Euro).
In der Praxis schreibt NIS2 ein ganzes Paket von Maßnahmen vor, angefangen bei Registrierungs- und Meldepflichten bei Sicherheitsvorfällen. Aus Sicht betroffener Unternehmen sind aber die Maßnahmen zum Risikomanagement und zur Implementierung des aktuellen Standes der IT-Sicherheit von erheblich größerer Bedeutung. Diese Maßnahmen können deutlich über das hinausgehen, was durch aktuelle Standards festgelegt wird.
Einige wesentliche Fragen, beispielsweise die genaue Ausgestaltung der konkreten Prüf- und Nachweispflichten oder die Haftung der Geschäftsleitung, sind noch Gegenstand der Diskussion. Eine Reihe von Vorgaben ist aber bereits relativ spezifisch in der Richtlinie selbst genannt, wobei sich hier natürlich Unterschiede zwischen den „wichtigen“ und den „besonders wichtigen“ Einrichtungen ergeben.
Generell ist ein risikoorientierter Ansatz gefordert, der eine wirkungsvolle Gefahrenabwehr und Incident-Bewältigung anhand des aktuellen Standes der Technik gewährleistet. Die Vorgaben umfassen dabei insbesondere folgende Punkte (Artikel 21 NIS2):
- Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs wie Backup-Management und Wiederherstellung nach einem Notfall sowie Krisenmanagement
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptografie
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
Sicherheitsspezialisten sind mit diesen Themen wohlvertraut, vergleichbare Kataloge existieren seit geraumer Zeit. Hier ist aber Vorsicht geboten. NIS2 ist keine Diskussionsvorlage, sondern eine konkrete Regulierung, und so mancher Nebensatz kann hier ganze Projekte auslösen. Ein Beispiel wäre hier die Gewährleistung der Notfallkommunikation innerhalb der Einrichtung. Einerseits sind viele Unternehmen hier grundsätzlich bereits gut aufgestellt, andererseits sind vermutlich nur sehr wenige IT-Abteilungen mit Betriebsfunk ausgestattet. Und allein in der Frage, was die Formulierung „innerhalb der Einrichtung“ bedeutet, steckt erhebliches Potenzial.
Auch auf konzeptioneller beziehungsweise Prozessebene kann sich im Rahmen von NIS2 die ein oder andere Herausforderung ergeben. Beispiele wären hier die Sicherheit entlang der Lieferkette und die Überprüfung der Wirksamkeit getroffener Maßnahmen.
In diesem Zusammenhang sollten Unternehmen auch eine Besonderheit von NIS2 kennen: Die EU-Kommission hat die Möglichkeit, sogenannte Durchführungsrechtsakte („Implementing Acts“) zu erlassen. Dies sind Rechtsvorschriften, die unmittelbar gültig werden und gegebenenfalls die in NIS2 definierten Anforderungskataloge wie auch deren nationale Umsetzungsgesetze überstimmen. Anforderungen können sich also kurzfristig ändern, was angesichts der aktuellen Sicherheitslage durchaus sinnvoll erscheint, aber natürlich eine hohe Flexibilität und Reaktionsgeschwindigkeit bei der Umsetzung von Maßnahmen erfordert.
NIS2 – Compliance-Aspekt oder konkreter Nutzen?
Nicht jede neue Vorschrift kann mit klar erkennbarem Nutzen für die betroffenen Unternehmen glänzen. NIS2 hat aber definitiv das Potenzial, nicht einfach nur eine weitere bürokratische Belastung zu werden, sondern die Krisenresilienz deutlich zu verbessern – sei es auf der Ebene einzelner Unternehmen, entlang der Wertschöpfungskette oder in der Wirtschaft und Gesellschaft als Ganzes.
Gerade die europaweite Vereinheitlichung von Sicherheitsstandards, Prozessen und Meldeketten sowie die Vernetzung auf nationaler Ebene können insbesondere für multinational tätige Unternehmen auf Dauer eine deutliche Verbesserung der Sicherheit bewirken. Natürlich wird das Grundproblem hier nicht gelöst, NIS2 konzentriert sich auf die Gefahrenabwehr. Aber es ist definitiv ein Schritt in die richtige Richtung.
Gerade die europaweite Vereinheitlichung von Sicherheitsstandards, Prozessen und Meldeketten sowie die Vernetzung auf nationaler Ebene können insbesondere für multinational tätige Unternehmen auf Dauer eine deutliche Verbesserung der Sicherheit bewirken.
Es wäre daher deutlich zu kurz gegriffen, NIS2 einfach nur als weiteren Compliance-Aspekt zu begreifen. Politischer Wille, öffentliches Interesse und Unternehmensstrategie sind hier zumindest auf weiten Strecken überwiegend deckungsgleich. Oder anders ausgedrückt: Es ist im Interesse jedes betroffenen Unternehmens, soweit noch nicht geschehen die geforderten Prozesse mit der entsprechenden Qualität umzusetzen und sie anschließend auch aktiv zu leben.
Dabei sollte man auch bedenken, dass die Motivation hinter NIS2 brandaktuell ist. Die betrachteten Risiken sind gegenwärtig und erheblich, die Folgen von Cyber Incidents können massiv sein und die Gesellschaft als Ganzes betreffen. Vor diesem Hintergrund wäre es eine riskante Wette, im Ernstfall auf Verständnis zu hoffen, sei es von den zuständigen Behörden oder von Presse und Öffentlichkeit.
Unternehmen, die unter diese Richtlinie fallen, sei es als wichtige oder besonders wichtige Einrichtung, sollten hier auf jeden Fall kurzfristig tätig werden. Auch wenn NIS2 noch nicht abschließend in deutsches Recht überführt ist, werden die Anforderungen in jedem Fall so umfassend sein, das je nach Entwicklungsstand und spezifischer Ausgestaltung der eigenen präventiven und reaktiven Sicherheit einiges zu tun beziehungsweise anzupassen bleibt.
Ausblick
Angesichts der komplexen geopolitischen Lage, der massiven Paradigmenwechseln und der immer weiter steigenden Bedrohung durch Cyberkriminalität sind Cybereesilienz und speziell Cyber Response für Unternehmen und Organisationen wichtiger denn je. Die NIS2-Richtlinie ist mit ihrer klaren Fokussierung auf kritische Infrastrukturen eine wichtige Konsequenz dieser Bedrohungslage. Die dahinter liegende Herausforderung geht aber weit darüber hinaus und betrifft uns alle.
In den nächsten Wochen und Monaten erwartet Sie daher eine ganze Reihe weiterer interessanter Artikel, Whitepapers und Videos zu unterschiedlichsten Aspekten von Cyberresilienz und Cyber Response, wie immer hart am Puls der Zeit und direkt aus der Praxis für die Praxis.
EY steht Ihnen mit unseren deutschen und internationalen Teams jederzeit beratend und unterstützend zur Seite, sei es allgemein bei der Verbesserung Ihrer Cyberresilienz und Cyber Response oder ganz speziell im Rahmen der Umsetzung von NIS2. Klingt interessant? Kontaktieren Sie uns gerne.
Co-Autor: Michael Ritter
Fazit
Die EU-NIS2-Richtlinie zielt darauf ab, die Cyberresilienz in der EU zu stärken, insbesondere für kritische Infrastrukturen. In einer sich rapide wandelnden Sicherheitslandschaft reagiert sie auf neue Bedrohungen, von Cyberkriminalität bis zu geopolitischen Konflikten. Die Richtlinie fordert weitreichende Maßnahmen von Unternehmen, um sich gegen Cyberangriffe zu schützen, und sieht detaillierte Anforderungen für Risikomanagement, Incident Response und Sicherheitsmaßnahmen entlang der Lieferkette vor. Dies stellt eine erhebliche Herausforderung dar, bietet aber auch die Chance, die Krisenresilienz erheblich zu verbessern und Sicherheitsstandards europaweit zu vereinheitlichen. Unternehmen sollten heute aktiv werden, da die Vorschriften bald umgesetzt werden müssen.