Kurz & kompakt: NIS2-Ratgeber für Geschäftsführer und IT-Leiter

Alles, was Sie jetzt über NIS2 wissen müssen

Für viele Unternehmen in Deutschland und Europa drängt die Zeit: Die europäische Richtlinie für Cybersecurity “NIS2” verlangt, dass sie sich bis Ende 2024 nachweisbar und verpflichtend besser gegen IT-Angriffe schützen.

Bei Nicht-Einhaltung bzw. Nicht-Umsetzung der umfangreichen, geforderten Maßnahmen drohen Bußgelder und Sanktionen. Mit diesem Ratgeber möchten wir Klarheit schaffen und wichtige Fragen zu NIS2 beantworten.

Was bedeutet NIS2?

Die Abkürzung “NIS2” steht für die “Network and Information Security Directive 2” (Richtlinie über Netz- und Informationssysteme 2).

Die NIS2-Richtlinie ist eine europäische Gesetzgebung, die darauf abzielt, die Cyberresilienz in der Europäischen Union zu stärken. Sie baut auf der ersten NIS-Richtlinie auf und erweitert deutlich den Anwendungsbereich auf zusätzliche Branchen. Ziel ist es, die Sicherheit von Netz- und Informationssystemen zu verbessern. NIS2 tritt am 17.10.2024 in Kraft.

Die NIS2-Richtlinie legt bestimmte Anforderungen für betroffene Unternehmen fest. Sie müssen Sicherheitsmaßnahmen implementieren, um die Integrität, Verfügbarkeit, Vertraulichkeit und Robustheit ihrer Netz- und Informationssysteme sicherzustellen. Neben diesen Maßnahmen zur Gewährleistung der Sicherheit kommt die Verpflichtung zur Meldung von schwerwiegenden Sicherheitsvorfällen an nationale Behörden hinzu.

Welche Unternehmen sind von NIS2 betroffen?

Die EU unterteilt Unternehmen, für die NIS2-Richtlinien gelten, in zwei Kategorien: „wesentlich“ und „wichtig“.

Erstere wurden zum Teil schon in der ersten NIS-Fassung erwähnt. In der neuen Version umfasst diese Kategorie aber mehr Sektoren. Die zweite Gruppe der wichtigen Organisationen definiert die EU-Regelung ganz neu. Direkt betroffen sind jeweils nur Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz von mehr als zehn Mio. EUR.

Zur Gruppe der wesentlichen Organisationen gehören vor allem KRITIS-Unternehmen, also Betriebe mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall gravierende Folgen hätte. NIS2 nennt hier folgende Bereiche:

Energie-, Wasser- und Abwasserversorgung
Transport
Finanz- und Bankwesen
Gesundheit
Digitale Infrastruktur
ITK-Dienstleistungsmanagement
öffentliche Verwaltung
Weltraum

Zu den wichtigen Organisationen werden folgende Branchen gezählt:

Post- und Kurierdienste
Abfall
Lebensmittel
Chemikalien
digitale Dienste (etwa für Suchmaschinen, Online-Marktplätze, Cloud-Services, soziale Netzwerke)
Industrie (unter anderem Maschinenbau, Fahrzeugbau, Datenverarbeitungsgeräte)
Forschung

Lieferketten und mehr: Warum auch andere und kleine Unternehmen unter NIS2 fallen können

Für kleine Unternehmen greift NIS2 zwar eigentlich nicht. Gemeint sind damit Firmen, die weniger als 50 Mitarbeiter beschäftigen und deren Jahresumsatz bzw. Jahresbilanzsumme maximal zehn Millionen Euro beträgt. Allerdings gibt es Ausnahmen, bei denen die Unternehmensgröße keine Rolle spielt.

So können mittelgroße und kleine Firmen dann ins Visier geraten, wenn sie als Dienstleister und Lieferanten für die direkt von NIS2 betroffenen Organisationen tätig sind. Dann sind sie unter Umständen gezwungen, ebenso strenge Sicherheitsvorkehrungen einzuhalten, um die gesamte Lieferkette zu schützen. Es kann beispielsweise passieren, dass ein Automobilhersteller seinen Zulieferer verpflichtet, bestimmte Cybersecurity-Technologien oder -Methoden einzuführen, um selbst nicht gegen die EU-Vorgaben zu verstoßen.

Cybersecurity im Maschinenbau

Frist 17.10.2024: Jetzt handeln, bevor es zu spät ist!

Erfahren Sie, wie Sie als Geschäftsführer die Cyberreslienz in Ihrem Unternehmen erhöhen, um die neuen gesetzlichen Pflichten durch NIS2 erfüllen zu können.

Rechtzeitig Cyberresilienz erhöhen ohne eigenen Know-how-Aufbau
Risiken von Produktionsausfällen und Schäden reduzieren
Geschäftsführer-Haftung minimieren
hohe Bußgelder vermeiden

Was sind die Vorgaben für Cybersicherheit?

Betroffene Unternehmen müssen laut NIS2-Richtlinie geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der eigenen Netz- und Informationssysteme zu beherrschen. Zudem sollen die Auswirkungen von Sicherheitsvorfällen verhindert bzw. minimiert werden.

NIS2 ist Chefsache. Die EU verlangt, dass sich um das Thema die Leitungsebene kümmern muss. Die Richtlinie nennt verschiedene Bereiche und Maßnahmen, die mindestens abgedeckt werden müssen. Dazu gehören unter anderem:

Konzepte in Bezug auf Risikoanalyse und Sicherheit für Informationssysteme
Bewältigung von Sicherheitsvorfällen
Aufrechterhaltung des Betriebs durch Backup-Management und Wiederherstellung nach einem Notfall sowie Krisenmanagement
Sicherheit der Lieferkette, auch bei unmittelbaren Anbietern oder Diensteanbietern
Management und Offenlegung von Schwachstellen
Schulungen im Bereich der Cybersicherheit
Konzepte und Verfahren für den Einsatz von Kryptographie und Verschlüsselung

Zu den wichtigsten Schritten gehören zum Beispiel folgende konkrete Maßnahmen:

Implementierung von Risikoanalyse- und Sicherheitskonzepten für alle Informationssysteme
Bewertung der Wirksamkeit der eigenen Methoden für das Risikomanagement
Erstellung eines Konzepts zum Umgang mit Sicherheitsvorfällen
Implementierung eines Backup- und Krisenmanagements
Einrichtung eines Meldesystems
Schulungen von Mitarbeitern
Gewährleistung der Sicherheit der Lieferkette.

Verschärfung der Meldepflicht: Was ist bei einem Cybervorfall zu tun?

Unternehmen müssen dem BSI (Bundesamt für Sicherheit in der Informationstechnik) signifikante Sicherheitsvorfälle melden. Vorgesehen ist dafür ein dreistufiger Prozess:

Innerhalb von 24 Stunden muss direkt nach Bekanntwerden eines Vorfalls ein vorläufiger Bericht übermittelt werden.
Innerhalb von 72 Stunden muss ein vollständiger Bericht folgen, der auch eine erste Bewertung des Vorfalls enthält.
Innerhalb eines Monats muss ein Abschlussbericht eingereicht werden, der eine detaillierte Beschreibungen des Vorfalls mit der Art der Bedrohung enthält.

In einigen Fällen können nationale Behörden dazu berechtigt sein, Verstöße öffentlich bekannt zu machen. Dies kann den Ruf eines Unternehmens erheblich beeinträchtigen. Die nationalen Behörden können auch Zwangsmittel und Anordnungen verhängen, um sicherzustellen, dass das Unternehmen die erforderlichen Sicherheitsmaßnahmen ergreift und sicherstellt, dass zukünftige Verstöße vermieden werden.

Welche Bußgelder drohen bei Nichteinhaltung von NIS2?

Der Referentenentwurf des Bundesinnenministeriums sieht vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften.

Bei wesentlichen Einrichtungen können die Bußgelder bis zu 10 Millionen EUR oder 2 Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist.
Bei wichtigen Einrichtungen ist das maximale Bußgeld auf 7 Millionen EUR oder 1,4 Prozent des weltweiten Jahresumsatzes gedeckelt.

Gibt es Förderprogramme mit finanzieller Unterstützung der NIS2-Umsetzung?

Einzelne Bundesländer haben Förderprogramme zur Steigerung der Cybersicherheit in der Wirtschaft aufgesetzt.

In Nordrhein-Westfalen gibt es z. B. das Förderprogramm MID-Digitale Sicherheit. Es bietet die Chance, bis zu 15.000 Euro zu erhalten, um die digitale Selbstverteidigung zu stärken.

Eingerichtet wurde der Fördertopf im Rahmen des übergreifenden Förderprogramms „Mittelstand Innovativ & Digital” (kurz: MID). Um Maßnahmen zur digitalen Sicherheit schneller umzusetzen, können Betriebe jetzt auch einen Durchführungszeitraum von drei Monaten auswählen. Im Bereich Software sind Patchmanagement-Lösungen hinzugekommen. Außerdem lässt sich nun auch Hardware für Firewalls fördern. Genaueres zu den aktuell geförderten Maßnahmen erfahren Sie hier.

NIS2 - Fluch oder Segen: Welche Sorgen hat der Mittelstand?

Mittelständische Geschäftsführer haben beim Thema NIS2 Bedenken, da die Richtlinie verschiedene Anforderungen und Auswirkungen auf ihr Unternehmen mit sich bringt:

Kosten und Ressourcen
Es ist im Vorfeld nicht abzusehen, welche technologischen Investitionen nach dem aktuellen Stand der Technik notwendig sind. Die Umsetzung von NIS2 belastet in jedem Fall das Budget, da sie finanzielle Mittel und Ressourcen erfordert. Mittelständische Unternehmen könnten daher vor dem Hintergrund des Fachkräftemangels Schwierigkeiten haben, angemessene Prozesse und Ressourcen für ein effektives Risikomanagement zu implementieren
Komplexität der Anforderungen
Die Richtlinie beschreibt Maßnahmen nicht konkret. Es könnte Unsicherheiten bei der Auslegung bestimmter Teile der NIS2 geben. So entsteht Interpretationsspielraum, verhältnismäßige und angemessene Maßnahmen für das eigene Unternehmen abzuleiten.
Auswirkungen auf das Kerngeschäft
Die Umsetzung der Sicherheitsmaßnahmen und die Meldung von Sicherheitsvorfällen binden Personalressourcen und können den normalen Geschäftsbetrieb beeinflussen, so dass die Produktivität und Effizienz sinkt.
Strafen und Sanktionen
Die Nichteinhaltung von NIS2 kann zu rechtlichen Konsequenzen führen, einschließlich hoher Geldstrafen.
Steigende Cybersicherheitsrisiken
Unternehmen sind besorgt, dass sie trotz Einhaltung der NIS2-Anforderungen, immer noch zum Ziel von Cyberangriffen werden können, die das Unternehmen schwer schädigen.
Datenschutz und Kundenvertrauen
Vorfälle und Verletzungen, einhergehend mit entsprechender Veröffentlichung, beeinträchtigen das Vertrauen von Kunden, Partnern und Mitarbeitenden in das Unternehmen und schädigen den guten Ruf.
Notwendige Schulungen
Neben Zeit und Ressourcen für Sensibilisierungsmaßnahmen der Mitarbeitenden besteht die Frage, welche regelmäßig durchzuführenden Schulungen ausreichend sind, um Cyberangriffe zu minimieren bzw. rechtzeitig zu erkennen.
Lieferkette
Es erfordert neue wirksame Prozesse, um sicherzustellen, dass die Lieferanten und Partner ebenfalls NIS2-konform sind.

Wettbewerbsfähigkeit
NIS2 betroffene Unternehmen könnten in Ihrer Wettbewerbsfähigkeit beeinträchtigt werden gegenüber anderen Unternehmen, die weniger strenge Anforderungen erfüllen müssen.

Wie starte ich das NIS2-Projekt in meinem Unternehmen?

Da die Umsetzung ab Oktober 2024 gesetzlich vorgeschrieben ist, ist es wichtig, bereits heute Maßnahmen zu ergreifen.

Projekt initialisieren – Aktion statt Reaktion

Sie sollten zu Beginn den Zeitaufwand und das benötigte Budget grob planen, Zuständigkeiten festlegen und die benötigten Ressourcen anmelden. Die Zeit bis zum Inkrafttreten von NIS2 ist kurz, vor allem wenn die Umsetzung neben dem eigentlichen Tagesgeschäft erfolgen muss. Da das Gesetz Haftungsrisiken und empfindliche Strafen vorsieht, ist “Aufschieben” keine Lösung. Arbeitspakete müssen identifiziert und zeitlich in einer Roadmap geplant werden.
Bewusstsein schaffen
Informieren Sie sich über die Anforderungen der NIS2-Richtlinie und verstehen Sie, wie sie sich auf Ihr Unternehmen auswirken könnten. Sensibilisieren Sie die relevanten Stakeholder in Ihrem Unternehmen, einschließlich des Managements, der IT-Abteilung und anderer relevanten Abteilungen für die Bedeutung von Netz- und Informationssicherheit.
Bestandsaufnahme – Risikobewertung durchführen
Welche Sicherheitsmaßnahmen bestehen bereits? Wo liegen die kritischen Assets des Unternehmens? Ist das vorhandene Sicherheitsniveau ausreichend?

Starten Sie eine ganzheitliche Risikobewertung, um die Sicherheitsrisiken und Schwachstellen nach dem aktuellen Stand der Technik in Ihren Netz- und Informationssystemen zu identifizieren. Analysieren Sie, wie sich potenzielle Cyberangriffe auf die Erbringung Ihrer Leistungen auswirken könnten.
Sicherheitsmaßnahmen implementieren
Beginnen Sie mit der Umsetzung von Sicherheitsmaßnahmen, die in Ihrer Risikobewertung als dringend erforderlich identifiziert wurden. Implementieren Sie Best Practices für die Informationssicherheit in Ihrem Unternehmen. Entwickeln oder überarbeiten Sie Ihre Sicherheitsrichtlinien, um die Anforderungen der NIS2-Richtlinie zu berücksichtigen. Stellen Sie sicher, dass die Richtlinien klare Verantwortlichkeiten, Prozesse und Maßnahmen zur Gewährleistung der Netz- und Informationssicherheit enthalten.
Schulung der Geschäftsführung und Mitarbeitenden
Starten Sie Schulungen zu Themen wie Sicherheitsbewusstsein, sichere Arbeitspraktiken und die Meldung von Sicherheitsvorfällen.
Notfallpläne erstellen oder überarbeiten
Entwickeln oder aktualisieren Sie Notfallpläne und Reaktionsmechanismen, um auf Sicherheitsvorfälle effektiv reagieren zu können.
Regelmäßige Überprüfung und Aktualisierung
Implementieren Sie Prozesse für eine regelmäßige Überprüfung und Aktualisierung Ihrer Sicherheitsmaßnahmen im Einklang mit sich ändernden Bedrohungen und Technologien.
Netzwerk schaffen
Es könnte auch hilfreich sein, sich mit Firmen Ihrer Branche auszutauschen sowie mit dem Datenschutzbeauftragen, dem IT-Sicherheitsbeauftragten, Rechtanwalt, Forensiker, Cyberversicherung oder externe Experten oder Berater einzubeziehen.

Wie unterstützt BREKOM Unternehmen bei der Vorbereitung auf NIS2?

Wir haben uns ganz klar auf die Bedürfnisse mittelständischer Unternehmen ausgerichtet, die unter „wichtigen Einrichtungen“ in NIS2 eingestuft werden. Im Unterschied zu einigen Mitbewerbern starten wir die Zusammenarbeit nicht mit einer teuren GAP-Analyse.

Für uns zählt als Experte für IT-/OT-Security im Mittelstand Pragmatismus statt Perfektionismus. Unser Ziel ist es, eine maximale Sicherheit mit minimalem Aufwand (Zeit/Budget) zu erreichen.

Uns ist wichtig, dass nicht durch Fachchinesisch die Komplexität steigt. NIS2 soll so einfach wie möglich umgesetzt werden. Dazu haben wir einen Best Practice Ansatz geschaffen, damit Sie sich ganz auf Ihr Kerngeschäft konzentrieren können.

Unsere Empfehlung:

Starten Sie mit einer einfachen & pragmatischen Vorgehensweise nach dem Prinzip „minimaler Aufwand bei maximaler Sicherheit“:

Kostenloses NIS2-Assessment zur Klärung Ihrer Betroffenheit und Abstimmung der notwendigen Schritte
NIS2-Umsetzungsplan (Roadmap) erstellen:
– Wer macht was bis wann?
– Welche internen und externen Aufwände fallen an?