Wir wissen, es steht schlecht um die Cyber-Security in deutschen Unternehmen. Gleichzeitig steigt
die Zahl der Angriffe rasant:
Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) schreibt in seinem Jahresbericht 2023, dass die Zahl der Angriffe in 2022/2023 so hoch war wie noch nie zuvor. Dabei, so das BSI, werde niemand mehr verschont.
Wurden zuvor hauptsächlich große und zahlungskräftige Unternehmen angegriffen, trifft es nunmehr alle, kleine und mittlere Unternehmen genauso wie staatliche Einrichtungen und kommunale Behörden. Hinzu kommt, nach Feststellungen des BSI, dass sich im selben Zeitraum die Lücken in einer Software, die die Cyberangriffe ermöglichen, um ein knappes Viertel erhöht haben. Mehr als 2000 Schwachstellen pro Monat wurden im Berichtszeitraum durchschnittlich registriert.
Und dann wäre da noch die ebenfalls rasante Entwicklung der künstlichen Intelligenz (KI), mit der man nicht nur in Sekundenschnelle verrückte Spaßbilder erstellen, sondern auch Angriffe auf IT-Infrastrukturen fahren kann -und das einfacher, schneller und umfangreicher als ein menschlicher Krimineller.
Die NIS-2-Richtlinie
Auf diesem Befund setzt die europäische Gesetzgebung an. Im Dezember 2022 trat die „Richtlinie (EU) 2022/2555“ des Parlaments und des Rates über „Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“, in Kraft. Besser bekannt ist sie unter dem Namen „NIS-2-Richtlinie“. Der Name der Richtlinie ist dabei Programm. Sie tritt an, Maßnahmen für eine verbesserte Cybersicherheit in den EU-Mitgliedsstaaten vorzugeben und die zu diesem Thema bereits bestehenden Anforderungen zu aktualisieren.
Wir haben für Sie die wichtigsten Fragen und Antworten rund um das Thema NIS 2 zusammengefasst:
Für wen gilt die NIS-2-Richtlinie?
Welche bekannten Anforderungen gibt es?
Wie sieht es mit Nachweisen und Kontrollen aus?
Wie sind die Fristen?
Was ist zu tun?
Für wen gilt die NIS-2-Richtlinie?
Die NIS-2 Richtlinie adressiert ihre Anforderungen an Unternehmen, die in „wesentliche Einrichtungen“ und „wichtige Einrichtungen“ unterteilt werden. Welche Unternehmen in die eine oder in die andere Kategorie fallen, findet sich unter anderem in einer Übersicht in der Anlage I und II zur Richtlinie. Auf der Grundlage der Anhänge und weiterer Richtlinien, auf die in NIS2 verwiesen wird, werden die Unternehmen für die Einordnung als „wesentlich“ oder „wichtig“ wie folgt eingeteilt:
Wesentliche Einrichtungen
- Unternehmen ab 250 Mitarbeiter oder
- Unternehmen ab 50 Mio. EUR Umsatz und Bilanz ab 43 Mio. EUR
- Sonderfälle: z.B. TK-Anbieter, für die Versorgung essenzieller Anlagen, Zentralregierung
Wichtige Einrichtungen
- Unternehmen ab 50 Mitarbeiter oder
- Unternehmen ab 10 Mio. EUR Umsatz und Bilanz ab 10 Mio. EUR
- Vertrauensdienste
Die Anlagen I und II der Richtlinie, auf die auch der deutsche Gesetzentwurf zur Umsetzung der Richtlinie Bezug nimmt, listen 11 Sektoren mit weiteren Untersektoren auf. Damit sind insgesamt 18 Sektoren und Teilsektoren definiert, von Energieversorgung über Verkehr und Bankwesen bis Gesundheit und Weltraum. Unternehmen, die zu diesen Sektoren und Teilsektoren gehörig sind, sollten in Bezug auf die Anforderungen der NIS-2 Richtlinie daher besonders aufmerksam sein.
Dies gilt insbesondere für diejenigen, die als „wesentliche Einrichtung“ eingestuft sind. Für sie können die Verpflichtungen aus der Richtlinie tatsächlich neu sein, weil sie von den bisherigen Vorgaben aus der alten Gesetzgebung nicht erfasst waren.
Welche bekannten Anforderungen gibt es?
Die Richtlinie setzt in Bezug auf die Verbesserung der Cybersicherheit inhaltlich dabei auf Anforderungen, die wir vergleichbar auch aus dem Datenschutz und den akzeptierten Standards der Informationssicherheit kennen. Gefordert ist ein umfassendes Risikomanagement für die Unternehmen, die von der Richtlinie betroffen sind, die Definition und Ergreifung von angemessenen Sicherheitsmaßnahmen sowie die beständige Überprüfung und Anpassung derselben.
Die Umsetzung dieser Vorgaben ist daher mehr als nur die Pflicht, Gesetze einzuhalten. Sie ist eine strategische Notwendigkeit für Unternehmen, die eine robuste und sichere digitale Präsenz in Europa aufrechterhalten wollen.
Zentrale Vorschrift ist der Art. 21 der NIS-2-Richtlinie. Die Unternehmen müssen, so Art. 21
„technische und organisatorische Maßnahmen ergreifen“, um „Risiken“ für die Sicherheit ihrer Netz- und Informationssysteme zu beherrschen und die Auswirkung von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten.
Die Maßnahmen müssen „geeignet und verhältnismäßig“ sein und den Stand der Technik berücksichtigen.
Was bedeutet geeignet und verhältnismäßig?
Sie müssen „gebührend“ ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist.
Bei der Bewertung der Verhältnismäßigkeit der Maßnahmen sind folgende Parameter zu berücksichtigen:
- das Ausmaß der Risikoexposition der Einrichtung
- die Größe der Einrichtung
- die Wahrscheinlichkeit des Eintritts von Sicherheitsvorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen.
Weiterhin wird in Art. 21 noch festgelegt, dass die Maßnahmen auf einem „gefahrenübergreifenden Ansatz“ beruhen müssen, der darauf abzielt die Netz- und Informationssysteme und deren physische Umwelt vor Sicherheitsvorfällen zu schützen.
Was sind die Mindestanforderungen an die Maßnahmen?
Es werden Mindestanforderungen genannt, die diese Maßnahmen umfassen müssen, wie zum Beispiel:
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Maßnahmen zur Aufrechterhaltung des Betriebs
- Schulungen im Bereich der Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptographie und Verschlüsselung
- die Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen.
Ebenfalls berücksichtigt werden müssen die „spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Diensteanbieter“ also die individuellen Besonderheiten Ihres Unternehmens.
NIS-2-Richtlinie und das deutsche Gesetz
Eine EU-Richtlinie muss von dem jeweiligen Mitgliedstaat in nationales Recht umgesetzt werden. In Deutschland gibt es dafür den Entwurf des „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)“, die aktuellste Fassung ist ein Entwurf aus dem Bundesinnenministerium aus dem September 2023. Er gibt einen Einblick, welche Verpflichtungen den deutschen Unternehmen auferlegt werden sollen.
Schätzungen gehen davon aus, dass neben den Unternehmen, die bisher schon als kritische Infrastrukturen (KRITIS) eingeordnet sind, künftig mehrere 10.000 zusätzliche Unternehmen von den Regelungen des neuen Gesetzes erfasst werden.
Wie sieht es mit Nachweisen und Kontrollen aus?
Trotz des Umfangs der Richtlinie und der vielen Regelungen, läuft es im Wesentlichen auf eines hinaus: Unternehmen müssen tun, was sie im Grunde auch ohne europäische Richtlinie im eigenen Interesse tun sollten – für angemessene Sicherheitsmaßnahmen und ein funktionierendes Risikomanagement sorgen.
Neu ist hingegen die Verpflichtung der Mitgliedstaaten sicherzustellen, dass Unternehmen, die den oben skizzierten, vorgegebenen Maßnahmen nicht nachkommen, „unverzüglich alle erforderlichen, angemessenen und verhältnismäßigen Korrekturmaßnahmen“ ergreifen müssen. Anders als vorher kann also die Vorsorge durch hoheitliche Maßnahmen durchgesetzt werden.
Die entsprechenden Instrumente finden sich in Art. 32 der Richtlinie. Hinzu kommen die Nachweispflichten, die die Unternehmen von sich aus erbringen müssen. Nach dem deutschen Gesetzentwurf sind alle besonders wichtigen Einrichtungen verpflichtet, dem BSI die Erfüllung der geforderten Sicherheitsmaßnahmen regelmäßig alle zwei Jahre nachzuweisen. Dieser Nachweis kann durch Audits und Zertifizierungen erfolgen und aufgedeckte Sicherheitsmängel sind dabei dem BSI gegenüber offenzulegen.
Auch kann das BSI verlangen, in die Prüfungsunterlagen Einsicht zu nehmen. Dies bedeutet, dass sich anders als es heute noch weit verbreitet ist, kein Unternehmen mehr mit wenig aussagekräftigen Prüfberichten um einen wirklichen Nachweis der Einhaltung seiner Verpflichtungen herummogeln kann.
Wie sind die Fristen?
Das deutsche NIS-Umsetzungsgesetz soll im März 2024 verkündet werden und wie von der Richtlinie festgelegt, im Oktober 2024 in Kraft treten. Übergangsfristen zur Umsetzung sind bis jetzt nicht vorgesehen. Die ersten Überprüfungen der Einhaltung der neuen Vorgaben in Unternehmen würden frühestens ab Oktober 2027 stattfinden.
NIS-2-Richtlinie: Was ist zu tun?
- Finden Sie zunächst heraus, ob Ihr Unternehmen unter die Regelung des deutschen Umsetzungsgesetzes der NIS-2 Richtlinie fällt.
- Wenn die Regelungen für Sie gelten, müssen Sie als nächsten Schritt im Wege einer „Bestandsaufnahme Cyber-Security“ die Lücken in ihrer Organisation identifizieren, die in Bezug auf die vom Gesetz definierten Anforderungen bestehen.
- Fangen Sie jetzt an! Zwar muss die Richtlinie erst Mitte Oktober 2024 in deutsches Recht umgesetzt sein, aber wenn Sie bis zur Zielgeraden warten, werden Sie scheitern. Dies gilt insbesondere für Unternehmen, in denen jetzt schon ein hoher Nachholbedarf in Sachen Sicherheit besteht – und das sind die meisten.
- Auf der Grundlage der Ergebnisse Ihrer Bestandsaufnahme können Sie die Maßnahmen definieren, die erforderlich sind, um Ihr Sicherheitsniveau den gesetzlichen Anforderungen anzupassen.
- Wichtige Maßnahmen sind insbesondere: Konzepte im Bereich des Störungsmanagements, der Netzwerksicherheit, der Zugangs-Zugriffskontrollen, der Verschlüsselung und deren Umsetzung. Entscheidend ist auch eine belastbare und funktionierende Notfallplanung.
- Etablieren Sie ein Management für Cyber-Risiken und Risiken der Informationssicherheit in Ihrem Unternehmen sofern noch nicht vorhanden. Dieses Managementsystem muss nicht nur die einmal definierten Maßnahmen umfassen, sondern auch einen Zyklus der beständigen Überprüfung und Verbesserung vorsehen.
- Klären Sie unternehmensinterne Verantwortlichkeiten und bestimmen Sie verantwortliche Personen. Sicherheit ist Chefsache! Ohne die Unterstützung und die Einbindung der Geschäftsleitung können die erforderlichen Maßnahmen nicht definiert und umgesetzt werden.
Fazit und Empfehlung
Auch wenn die Anforderungen der NIS-2 Richtlinie als neu diskutiert werden, sind sie im Grunde nicht neu. Die Pflicht für Unternehmen, angemessene Sicherheitsmaßnahmen in Bezug auf Cyber- und Informationssicherheit zu etablieren, ist in den letzten Jahren unter anderem in der Datenschutz-Grundverordnung und zahlreichen anderen gesetzlichen Vorgaben festgeschrieben worden.
Neu ist die Anzahl der Unternehmen, die nunmehr von den entsprechenden Verpflichtungen erfasst werden. Neu sind außerdem die vorgesehenen behördlichen Möglichkeiten der Kontrolle und der Auflagen zur Verbesserung.
Es mag am Anfang anders erscheinen, aber der Aufbau und die Weiterentwicklung eines belastbaren Sicherheitsmanagementsystems ist machbar. Sie müssen jedoch rechtzeitig beginnen, zuvor ein Ziel und eine Sicherheitsstrategie festlegen und die notwendigen Fragestellungen systematisch bearbeiten.
Frau Dr. Bettina Kähler ist Rechtsanwältin und Geschäftsführerin der PrivCom Datenschutz GmbH. Sie ist seit 2002 als Beraterin für Datenschutz und Informationssicherheit in mittelständischen Unternehmen tätig. Im Dezember 2023 erscheint ihr Buch „Nützliches Wissen über Datenschutz. Ein beratender Erfahrungsbericht“, dass auf ihrer langjährigen praktischen Erfahrung basiert.
Wir freuen uns, Sie gemeinsam mit Frau Dr. Kähler, in allen Belangen rund ums Thema IT-Security beraten zu können. Weitere Informationen gibt es hier:
