Diese Unternehmen können auf bestehenden Sicherheitskonzepten aufbauen und sich stärker auf spezifische Erweiterungen konzentrieren. Die Integration der NIS-2-Anforderungen bietet somit die Möglichkeit, vorhandene Managementsysteme effizient zu ergänzen.

Mit schätzungsweise 30.000 betroffenen Organisationen in Deutschland und 150.000 bis 180.000 in Europa herrscht jedoch eine erhebliche Unsicherheit darüber, welche Unternehmen tatsächlich betroffen sind. Zahlreiche Edgecases erfordern eine sorgfältige Prüfung, um die Zugehörigkeit zu den relevanten Kategorien zu bestimmen. Die NIS-2-Richtlinie verfolgt das Ziel, die Cyberresilienz der betroffenen Unternehmen zu erhöhen und ein nachhaltig höheres IT-Sicherheitsniveau zu etablieren.

Die Umsetzung der Richtlinie ist kein einmaliges Produkt, sondern ein fortlaufender Prozess, der nicht allein die IT-Abteilung betrifft, sondern das gesamte Unternehmen einbezieht. Security muss als integraler Bestandteil der Unternehmensphilosophie verstanden werden und erfordert ein Umdenken auf allen Ebenen – hin zu einem Sicherheits-Mindset, das tief in der Unternehmenskultur verankert ist.

In Deutschland wird die NIS2-Richtlinie durch das geplante NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt. Allerdings verzögert sich die nationale Umsetzung - das Inkrafttreten ist nun für März 2025 geplant. Aufgrund der Kritik am aktuellen Entwurf und der Regel, dass nach Neuwahlen alle unbeschlossenen Vorschläge neu eingereicht werden müssen, ist es aber unwahrscheinlich, dass dieser Termin eingehalten wird. Diese Faktoren deuten darauf hin, dass das Gesetz nochmal überarbeitet werden muss. Daher ist momentan unklar, wann es tatsächlich fertig und umgesetzt sein wird.

Wer ist von der NIS-2-Richtlinie betroffen?

Die NIS-2-Richtlinie erweitert den Kreis der Unternehmen und Organisationen, die im Vergleich zu ihrem Vorgänger, der NIS-1-Richtlinie, erfasst werden. Sie richtet sich an essenzielle Dienstleister, deren Funktionsfähigkeit von entscheidender Bedeutung für die Gesellschaft ist. Ob ein Unternehmen von der Richtlinie betroffen ist, hängt von mehreren Kriterien ab, darunter der Sektorzugehörigkeit und der Unternehmensgröße.

Betroffenheit durch die NIS-2-Richtlinie:

1. Kritische Infrastruktur (größenunabhängig):
   • Einige Sektoren sind unabhängig von der Größe des Unternehmens betroffen. Dazu gehören:
   • Öffentliche Verwaltung
   • Öffentliche Telekommunikationsdienste
   • Internetdienste (z. B. Internet Service Provider)
   • Kritische digitale Infrastrukturen, wie Online-Suchmaschinen und Cloud-Computing-Dienste

2. Sektoren mit hoher Kritikalität:
   • ‍Wesentliche Sektoren: Energie, Wasser, Transport, Gesundheitswesen und Finanzdienstleistungen. Diese Sektoren müssen besonders strenge Sicherheitsstandards einhalten.

3. Sonstige kritische Sektoren:
   • ‍Wichtige Sektoren: Dazu gehören digitale Dienste wie Online-Marktplätze, Lebensmittelproduktion und -vertrieb, sowie die Entsorgungswirtschaft. Auch kulturelle Einrichtungen sind eingeschlossen, da sie wichtig für die gesellschaftliche Funktionalität sind.

Unternehmensgröße und ihre Relevanz:

• ‍Mittlere Unternehmen: Mit 50 bis 249 Beschäftigten und bis zu 50 Millionen Euro Umsatz. Sie sind betroffen, wenn sie in kritischen Sektoren tätig sind. ‍
• Große Unternehmen: Mit 250 oder mehr Beschäftigten und einem Umsatz über 50 Millionen Euro. Diese Unternehmen sind nahezu immer betroffen, speziell wenn sie in wesentlichen oder wichtigen Sektoren operieren.

Neue Sektoren seit NIS-1:

• Lebensmittelproduktion und -vertrieb
• Entsorgungswirtschaft
• Digitale Dienste
• Kulturelle Einrichtungen und öffentliche Verwaltung

Um festzustellen, ob ein Unternehmen betroffen ist, sollten mehrere Kriterien gleichzeitig betrachtet werden. Zur Klärung der eigenen Betroffenheit wird empfohlen, den Fragebogen zur Betroffenheitsprüfung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu nutzen. Dieser ist unter https://betroffenheitspruefung-nis-2.bsi.de/ verfügbar und bietet eine erste Orientierungshilfe.

Betroffene Einrichtungen werden verpflichtet sein, eine Registrierung bei der zuständigen Behörde einzureichen. Je nach Sektorzugehörigkeit bzw. Kritikalität ergeben sich weitere Pflichten wie zB. Melde- oder Nachweispflichten.

Umsetzung der NIS-2-Richtlinie

Mit der Einführung der NIS-2-Richtlinie sehen sich viele Unternehmen mit erheblichen Unsicherheiten konfrontiert, insbesondere in Bezug auf die konkreten Schritte zur Umsetzung der Anforderungen. Die komplexe Natur der Richtlinie und die Vielzahl der zu berücksichtigenden Faktoren erschweren es, einen klaren Handlungsplan zu entwickeln. Ein zentraler Ansatz zur Bewältigung dieser Unsicherheiten ist die Orientierung an etablierten Standards wie der ISO 27001 oder dem IT-Grundschutz des BSI. Diese Standards bietet einen strukturierten Rahmen für ein Informationssicherheitsmanagementsystem und unterstützt Unternehmen dabei, systematisch Sicherheitsmaßnahmen zu implementieren.

Ein möglicher Ansatz für die Umsetzung ist ein assetbasierter Risikoansatz. Hierbei wird jedem Asset innerhalb eines Unternehmens genau unter die Lupe genommen und entsprechenden Risiken zugeordnet. Assets sind alle wertvolle Ressourcen, die Informationen verarbeiten, speichern oder übertragen, einschließlich Gebäude, Hardware, Software, Netzwerke, Datenbanken und Mitarbeiter. Aus der Analyse und Verwaltung dieser Assets ergeben sich die notwendigen Sicherheitsmaßnahmen. Durch die Identifikation und Bewertung der mit jedem Asset verbundenen Risiken können Unternehmen gezielte Schutzmechanismen implementieren, um die Cybersicherheit wirkungsvoll zu stärken.

Der assetbasierte Ansatz bietet mehrere Vorteile:

1. Ganzheitlicher Überblick: Unternehmen erhalten einen umfassenden Überblick über alle Informationsflüsse und können potenzielle Schwachstellen frühzeitig identifizieren.

2. Fokussierte Maßnahmen: Durch die Risikoanalyse können Sicherheitsmaßnahmen spezifisch auf die identifizierten Risiken ausgerichtet werden, was die Effizienz und Wirksamkeit der Maßnahmen erhöht.

3. Kontinuierliche Verbesserung: Dieser Ansatz fördert die kontinuierliche Verbesserung der Sicherheitsmaßnahmen durch regelmäßige Überprüfungen und Anpassungen des Informationssicherheitsmanagementsystems. Der Gedanke der kontinuierlichen Verbesserung ermutigt Unternehmen, nicht nur bestehende Sicherheitsmaßnahmen zu aktualisieren, sondern auch proaktiv neue Risiken zu bewältigen und Sicherheitsstrategien zu verfeinern.

Die Implementierung eines solchen Ansatzes erfordert Ressourcen, sowohl in Bezug auf Personal als auch auf Technologie. Dennoch ermöglicht er eine zielgerichtete Anpassung der Unternehmensprozesse an die Anforderungen der NIS-2-Richtlinie. Eine GAP-Analyse kann als Einstiegspunkt dienen, um bestehende Lücken zur NIS-2-Konformität zu identifizieren, und darauf basierend einen detaillierten Fahrplan zur Umsetzung zu entwickeln.

Wichtig ist, dass Sicherheit als wesentlicher Bestandteil der Unternehmensphilosophie verstanden wird. Es handelt sich um einen Prozess, der das gesamte Unternehmen betrifft und nicht nur die IT-Abteilung. Ein sicherheitsbewusstes Mindset sollte in der gesamten Organisation verankert werden, um langfristig eine robuste Sicherheitskultur aufzubauen.

Wesentliche Unterschiede zu den Rahmenwerken und Herausforderungen

Während beide Standards eine solide Basis für ein Informationssicherheitsmanagement bieten, legt die NIS-2-Richtlinie zusätzlichen Wert auf spezifische Maßnahmen und Prozesse.

Ein wesentlicher Unterschied besteht in den erweiterten Meldepflichten. NIS-2 verlangt von den betroffenen Unternehmen, dass Sicherheitsvorfälle innerhalb einer festgelegten Frist gemeldet werden, oft innerhalb von 24 bis 72 Stunden. Diese schnellen Reaktionszeiten erfordern klare und effektive Incidentmanagement und -response Prozesse, die in ISO 27001 oder dem IT-Grundschutz nicht im gleichen Umfang vorgeschrieben sind.

Die NIS-2 erfordert außerdem eine stärkere Einbindung der Geschäftsführung in die Cybersicherheitsstrategien, um sicherzustellen, dass Cybersicherheit als strategische Priorität angesehen wird. Diese Anforderung erstreckt sich auf das gesamte Unternehmen und fordert eine tiefere Integration von Sicherheitskultur und -prozessen in alle Geschäftsbereiche.

Zusätzlich verlangt die NIS-2 eine umfassendere Betrachtung der Lieferkettenrisiken und deren Management. Unternehmen müssen sicherstellen, dass nicht nur ihre eigenen Systeme, sondern auch die ihrer Dienstleister und Partner sicher sind. Diese Anforderungen sind spezifischer und detaillierter als das, was typischerweise in ISO 27001 oder dem IT-Grundschutz behandelt wird.

Trotz dieser zusätzlichen Anforderungen können Unternehmen mit einem Informationssicherheitsmanagementsystem, das auf ISO 27001 oder dem IT-Grundschutz basiert, effektiv auf die NIS-2-Vorgaben reagieren. Beide Rahmenwerke bieten die Flexibilität und Struktur, um die erforderlichen Anpassungen und Integrationen in bestehende Sicherheitsstrategien vorzunehmen und somit den erweiterten Anforderungen gerecht zu werden.  

Entspannt in die Zukunft: Unternehmen mit starker Informationssicherheit sind gut gewappnet

Die NIS-2-Richtlinie bringt umfassende Neuerungen und Anforderungen mit sich, die sicherstellen sollen, dass Unternehmen widerstandsfähiger gegenüber Sicherheitsvorfällen sind. Für Unternehmen, die bereits eine solide Informationssicherheitskultur etabliert haben und auf Standards wie ISO 27001 oder den IT-Grundschutz zurückgreifen, ist diese Anpassung jedoch weit weniger beunruhigend. Diese Organisationen haben bereits die wesentlichen Bausteine zur Erfüllung der neuen Anforderungen gelegt und müssen sich lediglich auf spezifische Erweiterungen, wie erweiterte Meldepflichten und die Feinabstimmung ihrer Sicherheitsstrategien, konzentrieren.

Die langfristigen Vorteile einer robusten Sicherheitsinfrastruktur sind beträchtlich. Sie fördern nicht nur das Vertrauen in die Cybersicherheitspraktiken eines Unternehmens, sondern stärken auch die Resilienz gegen potenzielle Bedrohungen und gewährleisten die Einhaltung regulatorischer Anforderungen. Unternehmen, die bereits ein starkes Informationssicherheitsmanagementsystem implementiert haben, können die NIS-2-Anforderungen proaktiv und mit einem ruhigen Gewissen angehen.

Für Betroffene Unternehmen empfiehlt sich die Durchführung einer GAP-Analyse, um mögliche Lücken  zu identifizieren, und die Optimierung bestehender Sicherheitsprozesse voranzutreiben. Der Faktor Mensch bleibt entscheidend. Durch kontinuierliche Schulung und Sensibilisierung werden die Mitarbeiter zur "Human Firewall", die entscheidend dazu beiträgt, Bedrohungen abzuwehren und Unternehmenssicherheit zu gewährleisten. Auf diese Weise können sich Unternehmen, die bereits gut aufgestellt sind, entspannt zurücklehnen und sich auf die vielen Chancen konzentrieren, die eine zukunftssichere Cybersicherheitsstrategie bietet.

Im kommenden zweiten Teil dieser Serie werde ich tiefer in die praktischen Aspekte der Umsetzung von NIS-2-Anforderungen eintauchen. Ich werde die Herausforderungen und Strategien beleuchten, die dich bei der Implementierung unterstützen können. Hier geht es zum zweiten Teil: Vom Risiko zur Resilienz: Mit NIS-2 zur zukunftssicheren Cybersicherheit