Cybersicherheit im Fokus: Was bedeutet NIS 2.0 für betroffene Unternehmen?
Bestimmt ist Ihnen bewusst, dass es unsichtbare Bedrohungen gibt, die in Ihre digitalen Systeme sowie Netzwerke eindringen können und imstande sind, dort Chaos und Schaden anzurichten. Mit hoher Wahrscheinlichkeit haben Sie auch schon von Cyberangriffen auf andere Unternehmen und Institutionen gehört, vor allem, wenn dadurch tage-, wochen- oder sogar monatelang Arbeitsprozesse unterbrochen oder sehr stark eingeschränkt waren. Aber: Haben Sie sich jemals vorgestellt, dass Ihr Unternehmen das nächste Ziel sein könnte? Sind Ihre Abwehrmaßnahmen für diesen Fall ausreichend?
Die Bedrohung durch Cyberangriffe ist alltägliche Realität, der sich Organisationen in der heutigen digitalen Welt konsequent stellen müssen. Die fortschreitende Digitalisierung bietet zweifellos immense Chancen, birgt aber eben auch zunehmend Bedrohungen in sich. Cyberangriffe sind nicht mehr nur Schlagzeilen, sondern eine allgegenwärtige Gefahr, die Unternehmen jeder Größe und Branche betrifft. Insbesondere kann eine digitale Attacke auf Unternehmen der kritischen Infrastruktur schwerwiegende Auswirkungen auf die öffentliche Sicherheit, die Versorgungslage und das tägliche Leben der Menschen haben.
Um eine solche Situation zu verhindern, hat die EU mit der NIS-2-Richtlinie ein Rahmenwerk entwickelt und verabschiedet, das die Netzwerk- und Informationssicherheit auf europäischer Ebene stärken und Unternehmen der kritischen Sektoren dabei unterstützen soll, sich erfolgreich gegen Cyberangriffe zu schützen. Bis zum 17. Oktober 2024 ist diese Richtlinie in deutsches Recht umzusetzen und müssen betroffene Unternehmen danach handeln. Der Countdown läuft…
Der verstärkte Einsatz digitaler Technologien macht den Schutz sensibler Informationen unerlässlich. Cyberangriffe sind eine reale und zunehmende Bedrohung für alle Unternehmen. Das belegt unter anderem eine Studie des Digitalverbandes Bitkom. Demnach haben sich im Jahr 2022 die Angriffe auf die Wirtschaft weiter in den digitalen Raum verlagert. 63 Prozent der befragten Unternehmen mussten den Diebstahl sensibler Daten verkraften, während 57 Prozent vom Ausspähen der digitalen Kommunikation betroffen waren. Zudem berichten 55 Prozent von der Sabotage digitaler Systeme oder Betriebsabläufe bzw. einer entsprechenden Vermutung. Diese Zahlen machen deutlich, wie immens hoch der „Angriffsdruck“ und damit die Sicherheitsrisiken sind. Im Umkehrschluss bedeutet das, dass die professionelle Sicherung sensibler Daten von existenzieller Bedeutung für Unternehmen und Institutionen ist.
Dementsprechend sollen neue gesetzliche Kriterien der Risikominimierung im Bereich der Cybersicherheit dienen. Eine wichtige Rechtsnorm, die solche Kriterien festschreibt, ist die EU-weit geltende NIS-2-Richtlinie. Sie vergrößert die Verpflichtungen für Unternehmen und deren gesamte Lieferkette im Zusammenhang mit der Informationssicherheit. Die Richtlinie widmet sich konkret der Netzwerk- und Informationssicherheit (engl. „Network and Information Security“ = NIS) zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU. Die Widerstandsfähigkeit gegenüber Cyberangriffen soll gestärkt werden.
Die EU-Richtlinie ist am 16. Januar 2023 in Kraft getreten und soll bis zum 17. Oktober 2024 auf nationaler Ebene umgesetzt werden. In Deutschland wird die Umsetzung durch das Änderungsgesetz NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) vorangetrieben. Derzeit befindet sich das Gesetz im Referentenentwurf und muss bis Oktober den Gesetzgebungsprozess durchlaufen, um in Kraft zu treten.
Betroffene Unternehmen sind bereits jetzt gefordert, sich entsprechend zu informieren und ihre IT-Sicherheitsvorkehrungen anzupassen, um den neuen gesetzlichen Anforderungen gerecht zu werden und ihre Systeme vor Cyberangriffen zu schützen. Die Erfüllung der Anforderungen von NIS 2.0 ist ein wichtiger Schritt für die Unternehmen, um ihre eigene Sicherheit zu verbessern und einen Beitrag zur Stärkung der gesamten Cybersicherheit innerhalb der EU zu leisten.
Die Umsetzung der NIS-2-Richtlinie in nationales Recht wird zu bedeutenden Änderungen in der bisherigen deutschen KRITIS-Regulierung führen. Neben den Betreibern kritischer Anlagen finden auch weitere wichtige Einrichtungen bzw. Industriezweige Berücksichtigung. Als Folge steigen die digitalen Sicherheitspflichten von etwa 30.000 betroffenen Unternehmen in Deutschland, die über traditionelle kritische Infrastrukturen hinausgehen.
Mit anderen Worten: Zahlreiche Unternehmen, die Dienstleistungen für die Allgemeinheit erbringen, werden dem Anwendungsbereich der NIS-2-Richtlinie bzw. des NIS2UmsuCG unterfallen. In Abweichung zur bisherigen Gesetzgebung führt dies dazu, dass eine größere Anzahl von Sektoren betroffen ist und auch der Größenschwellenwert für Unternehmen gesenkt wird. Diese Regelung bezieht sich auf Unternehmen, die entweder eine Bilanzsumme bzw. einen Jahresumsatz von mehr als 10 Millionen Euro haben oder mindestens 50 Mitarbeiter beschäftigen, wenn sie in den folgenden Sektoren angesiedelt sind:
Einrichtungen in hochkritischen Sektoren spielen eine entscheidende (besonders wichtige) Rolle im täglichen Leben. Einrichtungen in kritischen Sektoren sind zwar nicht in dem Maße lebensnotwendig wie Einrichtungen in hochkritischen Sektoren, haben jedoch dennoch eine wichtige Bedeutung für Wirtschaft und Gesellschaft.
Die Verpflichtungen gemäß NIS 2.0 bzw. NIS2UmsuCG sind zahlreich. Sie umfassen unterschiedlichste Aspekte, die Unternehmen berücksichtigen müssen.
Dazu zählen:
Pflichten zur Meldung, Registrierung und Information über Sicherheitsvorfälle
Dokumentation der Umsetzung von Sicherheitsmaßnahmen
Ergreifen technischer, operativer, personeller und organisatorischer Maßnahmen zur Verbesserung der Sicherheit von Netzwerken und Informationen
Die Geschäftsleitung spielt dabei eine zentrale Rolle, indem sie sicherstellt, dass die Organisation die Anforderungen von NIS 2.0 erfüllt und angemessene Schutzmaßnahmen für sensible Daten und Netzwerke implementiert. Dazu gehören auch die Teilnahme an Cybersicherheitsschulungen und die Übernahme der Verantwortung für Sicherheitsvorfälle. Die Nichtbefolgung der Vorschriften kann zu erheblichen Sanktionen führen, darunter Geldstrafen von bis zu 2% des weltweiten Gesamtjahresumsatzes.
Die Einführung dieser Maßnahmen erfordert einen proaktiven Ansatz für die Cybersicherheit sowie eine kontinuierliche Überwachung der Sicherheitslage, um potenzielle Risiken rechtzeitig zu erkennen und zu bewältigen.
Die Forderungen der NIS-2-Richtlinie verpflichten betroffene Unternehmen, ihre Netzwerke und sensiblen Informationen besser zu schützen, womit eine positive Entwicklung im Bereich der Cybersicherheit auf europäischer Ebene erreicht werden soll. Die Ausweitung des Anwendungsbereichs auf eine Vielzahl von hochkritischen und kritischen Sektoren sowie die Einführung strenger gesetzlicher Sanktionen bei Verstößen unterstreichen die Wichtigkeit der Cybersicherheit.
Es ist unerlässlich, dass betroffene Unternehmen die Anforderungen von NIS 2.0 ernst nehmen und zeitnah angemessene Maßnahmen zur Stärkung ihrer Netzwerk- und Informationssicherheit ergreifen. Dies erfordert möglicherweise zusätzliche Investitionen in Technologie, Schulungen für Mitarbeiter und die Zusammenarbeit mit externen Cybersicherheitsexperten. Die Einhaltung von NIS 2.0 ist jedoch nicht nur eine gesetzliche Verpflichtung, sondern auch eine Chance für Unternehmen, ihr Vertrauen bei Kunden und Partnern zu stärken und sich als verantwortungsbewusste Akteure in der digitalen Wirtschaft zu positionieren.