NIS-2: Was Unternehmen jetzt für ihre IT-Sicherheit tun müssen

Auch wenn die finale Version des Umsetzungsgesetzes derzeit noch auf sich warten lässt, sollten sich Unternehmen hinsichtlich NIS-2 nicht entspannt zurücklehnen. Das anspruchsvolle Thema kommt jetzt mit voller Wucht auf sie zu. Betroffene Firmen haben nur noch bis Oktober dieses Jahres Zeit, die umfangreichen Vorgaben umzusetzen. Wirklich überrascht sein darf eigentlich niemand mehr: Bei den Inhalten handelt es sich im Kern um gängige Sicherheitsstandards, die bereits heute zur Best Practice der Informationssicherheit gehören sollten.

Die wesentliche Änderung betrifft den Anwenderkreis. Dieser wurde erheblich ausgeweitet. „Betroffen sind nun Unternehmen ab einer bestimmten Größe, die in Bereichen der Daseinsvorsorge, der Aufrechterhaltung des Gemeinwohls und der Funktionsfähigkeit des Wirtschaftsstandorts eine entscheidende Rolle spielen“, sagt Christopher Hock. Er berät bei Mazars zu den Themen Informationssicherheit und Compliance. Christopher Hock: „Im Gegensatz zur Vorgänger-Verordnung KRITIS, die nur einige ganz große Unternehmen aus wenigen Bereichen betraf, gilt NIS-2 jetzt für sehr viele Firmen aus einer ganzen Reihe zusätzlicher Branchen und Sektoren.“ Ansgar Tessmer, Senior Manager IT Audit & Advisory bei Mazars, ergänzt: „Vielen ist noch gar nicht bewusst, dass sie aktiv werden müssen.“

Bis zu 40.000 weitere Unternehmen könnten unter die verschärfte IT-Sicherheitspflicht fallen

Im Kern ging es bisher um Unternehmen und Organisationen in zehn klar definierten kritischen Sektoren. Im Vergleich zur vorherigen NIS-1-Richtlinie (in Deutschland durch die KRITIS-Verordnung und das BSI-Gesetz umgesetzt) steigen im Zuge von NIS-2 auch die Sanktions- und Eingriffsmöglichkeiten der Aufsichtsbehörden. Bei Verstößen drohen empfindliche Geldstrafen. Die bisherige NIS-1-Verordnung für kritische Infrastrukturen wird weiterhin parallel gelten.

Zu den entsprechenden Sektoren gehören unter anderem Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Abwasser, Trinkwasser, digitale Infrastruktur, IKT-Dienste, aber auch die öffentliche Verwaltung, Post- und Kurierdienste, Abfallbewirtschaftung, Anbieter digitaler Dienste, Forschung sowie Produktion, Herstellung und Handel mit chemischen Stoffen, Maschinenbau sowie Produktion von Fahrzeugen, Fahrzeugteilen und Lebensmitteln.

Welche drei Schritte für Firmen jetzt wichtig sind

Ob NIS-2 für ein Unternehmen greift, lässt sich zügig herausfinden. Neben dem Blick in die Anhänge der Verordnung, in denen Branchen, Sektoren, Tätigkeitsbereiche und Messgrößen definiert sind, existiert eine Reihe von Tools im Internet, die nach Eingabe bestimmter Richtwerte Auskunft darüber geben.

Sollte eine GmbH oder AG NIS-2-pflichtig werden, müssen die Unternehmensverantwortlichen drei Dinge erledigen:

1. Am Anfang steht die Registrierung bei einer nationalen Behörde – in Deutschland beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Hier müssen sich Unternehmen unter Angabe einer Kontaktstelle melden.
    
2. Im Anschluss müssen Meldewege zur nationalen Behörde eingerichtet werden, über die relevante Sicherheitsvorfälle weitergegeben werden. Die Richtlinie sieht unterschiedliche Fristen vor, um einen Vorfall mitzuteilen: Eine Frühwarnung innerhalb von 24 Stunden ab Kenntnis, ein ausführlicher Bericht innerhalb von 72 Stunden ab Kenntnis und ein Fortschritts-/Abschlussbericht einen Monat nach der ersten Meldung.
   Unternehmen und Organisationen werden entweder als „wichtige Einrichtung“ oder „besonders wichtige Einrichtung“ eingruppiert. Von der Einstufung hängen insbesondere die Sanktionsmöglichkeiten und damit auch die Höhe möglicher Bußgelder ab.
    
3. Um die Risiken für ihre Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder gering zu halten, müssen die Unternehmen im dritten Schritt eine Reihe von „angemessenen“ Informationssicherheitsmaßnahmen umsetzen. Das genaue Ausmaß definieren die Firmen dabei selbst. Die Richtlinie gibt nur Bausteine vor, darunter die Entwicklung von Konzepten für Risikoanalyse und Sicherheit für Informationssysteme, Backup-Management und Wiederherstellung, Krisenmanagement oder jederzeit sichere Sprach-, Video- und Text-Kommunikation. „Von einem Unternehmen mit 50 Mitarbeiter*innen wird nicht verlangt, ein 24-Stunden-IT-Security-Zentrum vorzuhalten“, sagt Ansgar Tessmer. „Zudem müssen die Maßnahmen immer im Verhältnis zum möglichen Schaden stehen, den ein Cyber-Angriff verursachen könnte.“

Bei Verstößen haften Mitglieder der Geschäftsführung mitunter persönlich

Doch wie finden Unternehmen heraus, wie sicher und NIS-2-fit ihre IT ist? „Zu Beginn empfiehlt es sich, eine sogenannte Gap-Analyse vorzunehmen“, erläutert Christopher Hock. „Hierbei sollten die Verantwortlichen schauen, was im Unternehmen schon als Sicherheitsarchitektur vorhanden ist, und dies mit den Anforderungen abgleichen. Dabei erkennt man, welche Lücken es gibt und in welchen Bereichen weitere Maßnahmen erforderlich sind.“

Erheblich ausgeweitet wurde die Verantwortung der Geschäftsleitung. Sie muss selbst an Schulungen teilnehmen, um die Informationssicherheit des Unternehmens jederzeit zu gewährleisten. Darüber hinaus muss sie die Umsetzung der Maßnahmen überwachen und haftet für Verstöße. Die Geldstrafen sind erheblich: Bei „besonders wichtigen Einrichtungen“ kann eine Strafe in Höhe von 10 Mio. € oder zwei Prozent des globalen Umsatzes des vergangenen Geschäftsjahres verhängt werden – je nachdem, welche Summe höher ist. Bei den „wichtigen Einrichtungen“ sind es 7 Mio. € oder 1,4 Prozent des globalen Umsatzes.

Von der Einstufung hängt ab, wie streng die Aufsicht durch die Behörden ist: Bei „besonders wichtigen Einrichtungen“ kann es zu einer proaktiven Aufsicht kommen, etwa durch Ad-hoc-Prüfungen, Vor-Ort-Kontrollen und die Anforderung von Nachweisen. Für die „wichtigen Einrichtungen“ ist eine eher reaktive Aufsicht geplant – sie wird faktisch erst nach Hinweisen auf Verstöße tätig.

Die gute Seite: ein Plus an IT-Sicherheit

Durch die Ausweitung des Anwenderkreises stehen jetzt vor allem viele mittelständische Unternehmen vor NIS-2-Zugzwang. „Natürlich ist dies eine weitere Belastung, die die Unternehmen tragen müssen“, sagt Ansgar Tessmer. Doch Ansgar Tessmer und Christopher Hock sehen die Novellierung der Richtlinie zur Cyber-Sicherheit als dringend notwendig an. „In den vergangenen Jahrzehnten wurde IT-Sicherheit von der Politik und auch von vielen Unternehmen immer nur als reiner Kostenfaktor begriffen. Entsprechend wenig wurde unternommen, um sich gegen Angriffe wirklich wirkungsvoll zu schützen“, sagt Ansgar Tessmer. „Wir müssen jetzt vieles nachholen, um Unternehmen resilienter zu machen gegen die globalen Bedrohungen.“