Digitalisierung, Fusion IOT
Was ist IMEI-Lock und welche Vorteile bietet die Funktion?
Beitrag lesen
Digitalisierung
NIS-2: Hoher Aufwand für mehr Sicherheit
Jedes Unternehmen sollte Maßnahmen ergreifen, um sich vor Angriffen von Cyberkriminellen zu schützen. Für immer mehr Unternehmen ist das aufgrund der neuen NIS-2-Richtlinie nicht nur empfehlenswert, sondern gesetzlich verpflichtend. Auch viele mittelständische Betriebe sind betroffen.
Die Zahl der kriminellen Cyberangriffe in Deutschland liegt kontinuierlich auf hohem Niveau. Laut Bundeskriminalamt (BKA) wurden zuletzt exakt 136.865 entsprechende Fälle für den Zeitraum eines Jahres registriert. Allerdings schätzt das BKA selbst die Dunkelziffer auf beträchtliche 90 Prozent - das heißt, von zehn Fällen wurde nur einer tatsächlich angezeigt.
Die ab Oktober 2024 geltende EU-Richtlinie NIS-2 ist eine überarbeitete Version der NIS-1-Richtlinie, die strengere Cybersicherheitsstandards für viele Unternehmen vorschreibt. Die strengeren Vorschriften werden als Reaktion auf die erhöhte Bedrohung durch digitale Angreifer eingeführt. Ziel der Richtlinie ist es, potenziell katastrophale Angriffe auf wichtige Unternehmen zu verhindern. In Deutschland sind schätzungsweise bis zu 40.000 Unternehmen von den neuen NIS-2-Regelungen betroffen.
Im Zuge der NIS-2 hat sich die Zahl der betroffenen Branchen und Sektoren erweitert. Hierbei unterscheidet NIS-2 zwischen „wesentlichen“ („Essential“) und „wichtigen“ („Important“) Sektoren. Anhand von zwei Kriterien können Firmen schnell abschätzen, ob sie betroffen sind (siehe Abschnitt “Von NIS-2 betroffene Unternehmen”). Für Unternehmen mit weniger als 50 Mitarbeitenden oder zehn Millionen Euro Jahresumsatz greift NIS-2 eigentlich nicht. Allerdings könnten von NIS-2 betroffene Organisationen gezwungen sein, in der gesamten Lieferkette strenge Sicherheitsvorkehrungen durchzusetzen. Das heißt: Sie könnten auch kleinste Lieferanten dazu verpflichten, Maßnahmen zu ergreifen – andernfalls könnten sie den Lieferantenstatus verlieren.
Wichtig: Wenn ein Unternehmen in mehreren Mitgliedsstaaten der EU tätig ist, muss es sich in jedem Mitgliedsstaat bei der zuständigen Behörde registrieren und die jeweiligen Vorschriften einhalten. In Deutschland müssen sich Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.
Was Unternehmen tun müssen
Folgende Cybersecurity-Maßnahmen müssen betroffene Unternehmen umsetzen:
- Richtlinien für Risiken und Informationssicherheit erstellen und umsetzen
- Prävention, Detektion und Bewältigung von Cybersecurity-Vorfällen (Sicherheitspannen)
- Betrieb eines Business Continuity Managements (BCM) inkl. Backup- bzw. Krisen-Management
- Gewährleistung der Sicherheit bei der Beschaffung von IT- und Netzwerk-Systemen
- Beachtung von Vorgaben für Kryptographie bzw. Verschlüsselung
- Umsetzung angemessener Maßnahmen zur Zugangskontrolle
- Einsatz sicherer Sprach-, Video- und Text-Kommunikation
- Einsatz gesicherter Notfall-Kommunikations-Systeme
- Überprüfung der Sicherheit in der gesamten Lieferkette
- Schulung und Sensibilisierung von Beschäftigten
Kurzum: Die „Hausaufgaben“, die auf von NIS-2 erfasste Einrichtungen zukommen, sind umfangreich und mit hohem Aufwand verbunden. Unternehmen sollten deshalb kurzfristig überprüfen, ob sie unter NIS-2 fallen. Betriebe sollten außerdem frühzeitig ausreichende Ressourcen in finanzieller, personeller und zeitlicher Hinsicht einplanen.
Angriffe unbedingt melden
Für die betroffenen Unternehmen gelten künftig Meldepflichten. Gemäß der NIS-2-Richtlinie müssen Vorfälle (erfolgte Cyberattacken) innerhalb von 24 Stunden nach Bekanntwerden gemeldet werden. Innerhalb von 72 Stunden nach der Meldung erfolgt gegebenenfalls eine Aktualisierung und erste Bewertung. Abschließende Berichte müssen spätestens einen Monat nach Bekanntwerden des Vorfalls dem BSI vorgelegt werden. Die neuen Meldepflichten sollen mehr Transparenz bringen und die koordinierte Bekämpfung von Cybersicherheitsvorfällen gewährleisten.
Keine Übergangsfristen
Anders als bei der seit 2018 geltenden DSGVO sind bei der NIS-2-Richtlinie keine Übergangsfristen vorgesehen. Ab 18. Oktober 2024 fallen damit faktisch alle betroffenen Unternehmen unter die neuen Anforderungen, müssen sich bei den Behörden registrieren und können entsprechend durch diese kontrolliert werden. Halten sich Unternehmen nicht an die Vorschriften, kann es teuer werden. Die NIS-2 sieht höhere Bußgelder als beim Vorgänger NIS-1 vor. Je nach Größe und Bedeutung des Unternehmens können Bußgelder bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) verhängt werden.
Verantwortliche haften persönlich
Um den Handlungsdruck zu erhöhen, will das Bundesinnenministerium laut einem Entwurf sogar die persönliche Haftung von verantwortlichen Managern durchsetzen. Demnach sollen die Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften. Die Obergrenze für diese Haftung entspricht zwei Prozent des globalen Jahresumsatzes des jeweiligen Unternehmens. Bei nachgewiesener Verletzung der Überwachungspflichten haftet ein Geschäftsleiter für die entstandenen Schäden. Selbst wenn hinterlegt ist, dass die Einrichtung auf Ersatzansprüche gegen den Chef verzichtet, haftet der Geschäftsführer persönlich, da eine solche Vereinbarung als unwirksam gewertet wird.
Fazit
Die EU verfolgt mit der neuen NIS-2-Richtlinie ein hehres Ziel: Sie will die EU-Staaten für Cyberangreifer zur Trutzburg machen. Durch hohe Sicherheitsvorkehrungen soll jede Attacke so aufwendig werden, dass sie sich kaum lohnt.
Für die Bürger – also uns alle – sind das prinzipiell gute Nachrichten. Niemand mag sich ausmalen, was passiert, wenn die IT ganzer Branchen lahmgelegt wird. Schon ein ausgefallener Energieerzeuger oder ein lahmgelegtes Krankenhaus führen zu großen Problemen. Doch die strengen Vorschriften setzen viele Unternehmen massiv unter Druck. Die Umsetzung der EU-Richtlinie kostet viel Geld, Zeit und personelle Ressourcen. Doch den Kopf in den Sand zu stecken, hilft nicht, denn die Bedrohung ist real! Wir alle müssen uns vor Cyberkriminellen besser verteidigen und diese Aufgaben ernst nehmen.
Von NIS-2 betroffene Unternehmen
1. Kriterium: Die Unternehmensgröße
- mindestens 50 Mitarbeitende
- Jahresumsatz/Jahresbilanz übersteigt 10 Millionen Euro
2. Kriterium: Der Unternehmenssektor
In der NIS-2 gibt es elf „wesentliche“ und sieben „wichtige“ Sektoren. Erfüllt ein Unternehmen die Kriterien der Unternehmensgröße und ist in den folgenden Sektoren tätig, so unterliegt es der NIS-2.
Wesentliche Sektoren
- Energieversorger
- Transportwesen (z.B. Schienenverkehr, Busunternehmen, Spedition etc.)
- Bankwesen
- Finanzmarktinfrastruktur
- Gesundheit (einschl. Arzneimittel-Hersteller)
- Trinkwasser
- Abwasserwirtschaft
- Digitale Infrastruktur
- IKT-Dienstleistungsmanagement (B2B)
- Öffentliche Verwaltungen
- Weltraumwirtschaft
Wichtige Sektoren
- Post- und Kurierdienste
- Abfallwirtschaft
- Herstellung, Produktion und Vertrieb von Chemikalien
- Lebensmittelproduktion, -verarbeitung und -vertrieb
- Hersteller von medizinischen Geräten, von Computern und Elektronik, von Maschinen und Ausrüstungen, von Kraftfahrzeugen, Anhängern und Sattelanhängern und sonstigen Transportgeräten
- Digitale Anbieter (Online-Marktplätze, -Suchmaschinen und Social-Networking-Service-Plattformen)
- Forschungseinrichtungen
Autor:in
