NIS2 Anforderungen für Unternehmen: Was die NIS2-Richtlinie für Firmen bedeutet

NIS2 ist eine EU-Richtlinie zur Informationssicherheit (Network and Information Security) in kritischen Infrastrukturen, also essenziellen Bereichen der öffentlichen Versorgung. Sie ersetzt die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 und erweitert diese um strengere Sicherheitsanforderungen, zusätzliche Sektoren und eine höhere Zahl betroffener Betriebe.

Darüber hinaus regelt NIS2 auch nationale Cybersicherheitsbehörden, den Aufbau von Computernotfallteams (CSIRT), EU-weite Initiativen wie den Aufbau eines Schwachstellen-Registers und die Rolle von ENISA als zentrale Anlaufstelle regulierter Organisationen

NIS2 ist am 16.01.2023 offiziell in Kraft getreten. Bevor die Richtlinie aktiv wird, muss sie allerdings von den Mitgliedsstaaten der EU in nationales Recht übertragen werden. Die einzelnen Länder haben bis zum 17. Oktober 2024 Zeit, um ein entsprechendes NIS2-Gesetz zu erlassen.

Da keine Übergangsfrist vorgesehen ist, sind betroffene Betriebe somit ab dem 18. Oktober 2024 verpflichtet, sich bei der zuständigen nationalen Behörde zu registrieren, Vorfälle zu melden und die Einhaltung der Sicherheitsanforderungen zu gewährleisten. Der Nachweis der Compliance durch eine entsprechende Zertifizierung oder einen Sicherheitsaudit muss im Anschluss regelmäßig erbracht werden.

EU-Richtlinien wie NIS2 folgen dem Konzept der Mindestharmonisierung. Das bedeutet, dass alle Länder der europäischen Union verpflichtet sind, Gesetze zu verabschieden, die mindestens so streng sind wie die Vorgabe der EU.

Mitgliedsstaaten dürfen die Vorgaben der EU also nicht unterschreiten, aber sie können diese erweitern oder verschärfen. Zum Beispiel können Staaten zusätzliche Bereiche als kritisch definieren oder strengere Vorgaben für Betreiber festlegen. Welche Anforderungen sich genau aus NIS2 ergeben, lässt sich daher erst sagen, wenn auf nationaler Ebene die notwendige Gesetzgebung finalisiert wurde.

NIS2 richtet sich an Betriebe in gesellschaftlich relevanten Sektoren, wobei die Richtlinie hier zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen unterscheidet. Die Zuordnung erfolgt dabei anhand der Unternehmensgröße sowie des Tätigkeitsbereichs: Eine Einrichtung zählt dann als wesentlich, wenn sie in einem Sektor mit hoher Kritikalität (Anhang 1) tätig ist und mehr als 250 Beschäftigte oder mehr als 50 Millionen Euro Umsatz hat.

Alle anderen Einrichtungen in Anhang 1 und Anhang 2 mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von mehr als 10 Millionen Euro zählen als wichtige Einrichtungen (Size Cap Regel). Experten gehen durch NIS2 von rund 20.000 zusätzlichen regulierten Betrieben in Deutschland und 3.400 Betrieben in Österreich aus. Vereinfacht ausgedrückt lässt sich die Aufteilung in wesentliche und wichtige Einrichtungen wie folgt zusammenfassen:

Grundsätzlich unterliegen wesentliche und wichtige Einrichtungen nach NIS2 den gleichen Sicherheitsanforderungen. Allerdings schreibt die Richtlinie auch eine Anpassung der Risikomanagementmaßnahmen an die Größe einer Einrichtung, die Wahrscheinlichkeit eines Vorfalls und die zu erwartenden Folgen für Wirtschaft und Gesellschaft vor. Daraus ergeben sich in der Praxis unterschiedliche Anforderungen für Einrichtungen in verschiedenen Sektoren.

Darüber hinaus gibt es in NIS2 Unterschiede zwischen wesentlichen und wichtigen Einrichtungen hinsichtlich der behördlichen Befugnisse zur Durchsetzung der Richtlinie. Wesentliche Einrichtungen unterliegen strengerer Aufsicht: Während externe Kontrollen bei wichtigen Einrichtungen nur nach einem Sicherheitsvorfall vorgesehen sind, erfolgen Prüfungen in wesentlichen Einrichtungen regelmäßig, gezielt und ad-hoc. Wesentliche Einrichtungen unterliegen zudem der EU RCE Richtlinie zur Ausfallsicherheit.

Die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 wurde in Deutschland durch das IT-Sicherheitsgesetz sowie die KRITIS Verordnung umgesetzt und unterliegt dem Bundesamt für Sicherheit in der Informationstechnik als nationale Behörde. Die regulierten Bereiche und Anforderungen an Betreiber wurden 2021 durch das IT-Sicherheitsgesetz 2.0 bzw. KRITIS 2.0 erweitert.

Zur Implementierung der neuen Vorgaben liegt in Deutschland bereits ein Entwurf für ein NIS2 Umsetzungsgesetz vor. Der Entwurf ergänzt das BSI-Gesetz wie vorgesehen um wichtige bzw. sehr wichtige (=wesentliche) Einrichtungen. Die bisherige Kategorie der kritischen Infrastrukturen bleibt darin jedoch erhalten – samt Besonderheiten wie der Registrierung kritischer Komponenten oder der Nutzung von branchenspezifischen Sicherheitsstandards (B3S).

Betreiber wesentlicher Dienste werden in Österreich aktuell durch das Netz- und Informationssicherheitsgesetz (NISG) reguliert, das in geteilter Verantwortung des Bundeskanzleramts und Innenministerums liegt. Zur Novelle des NIS-Gesetzes, die bis zum 17. Oktober 2024 notwendig ist, ist bislang nichts Näheres bekannt.

Für Unternehmen ergeben sich durch NIS2 eine Reihe an Pflichten, darunter die Registrierung bei der zuständigen Behörde im eigenen Mitgliedsstaat, die Weitergabe von Kontaktdaten und die Meldung von erheblichen Sicherheitsvorfällen – also Vorfälle die eine schwerwiegende Betriebsstörung nach sich ziehen können. Die größte Umstellung für Firmen bringen jedoch die zusätzlichen Sicherheitsanforderungen durch NIS2 mit sich.

Wesentliche und wichtige Einrichtungen sind durch NIS2 verpflichtet, “geeignete und verhältnismäßige technische operative und organisatorische Maßnahmen [zu] ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme […] zu beherrschen und die Auswirkungen von Sicherheitsvorfällen […] zu verhindern oder möglichst gering zu halten.” – NIS2 Artikel 21

Dabei schreibt NIS 2 Firmen vor, ihre Sicherheitsmaßnahmen an den Stand der Technik sowie die individuelle Gefährdungslage anzupassen. Die Schutzmaßnahmen müssen zudem einem gefahrenübergreifenden Ansatz folgen: es gilt also nicht nur Cyberangriffe zu berücksichtigen, sondern alle Arten von Vorfällen, die die eigene IT-Umgebung und damit die Erbringung der wesentlichen Dienstleistung beeinträchtigen können.

Anforderungen, die von einem NIS2-konformen Sicherheitsprogramm mindestens abgedeckt sein müssen:

Durch NIS2 regulierte Unternehmen sind angehalten, neben eigenenen Informationssystemen auch die Zusammenarbeit mit Partnerunternehmen und Dienstleistern angemessen abzusichern. Die Kommission reagiert mit strengeren Vorgaben an Cyber-Sicherheit in der Lieferkette auf die akute Bedrohung durch Supply-Chain-Angriffe, bei denen böswillige Akteure durch die Kompromittierung eines Zulieferers Zugang zum Netzwerk von Kunden und Partnern erlangen.

Konkret sind Betreiber unter NIS2 angehalten, Sicherheitsanforderungen in die vertragliche Vereinbarungen mit Lieferanten und Dienstanbietern einzubeziehen. Verwenden wesentliche und wichtige Einrichtungen bestimmte IT-Produkte und -Dienste, können Behörden von dem Hersteller zudem eine Cybersicherheitszertifizierung nach europäischem Schema verlangen. Die betroffenen Produkte und Dienste werden über eine Rechtsverordnung bestimmt. Als Hilfestellung für Organisationen hat ENISA einen Ratgeber zum Thema Supply Chain Cybersecurity veröffentlicht.

Während einige der Mindestanforderungen in NIS2 einen klaren Themenbereich abdecken (z.B. Einsatz von Kryptografie), sind andere recht vage gehalten. Dazu zählt unter anderem die Vorgabe, “grundlegende Verfahren im Bereich der Cyberhygiene” anzuwenden. Während Artikel 21 hier nicht ins Detail geht, erklärt die Richtlinie aber an anderer Stelle, was mit Cyberhygiene gemeint ist:

Die Absicherung von Informationssystemen ist eine komplexe Aufgabe, bei der es viele unterschiedliche Aspekte zu beachten gilt. Die sichere Benutzerverwaltung und Berechtigungsverwaltung spielt in der Cyber-Security eine grundlegende Rolle, wie auch aus NIS 2 klar hervorgeht. Der Schutz vor unberechtigten Zugriffen senkt nicht nur das Risiko von Sicherheitsvorfällen wie Cyberangriffen, Datenlecks und Insider Threats: Auch für den Nachweis der Compliance ist die Dokumentation von Konten und Zugriffsrechten entscheidend.

Rund um die NIS2 Richtlinie gibt es noch viele Details zu klären: Es fehlen aktuell noch nationale Gesetze, Rechtsverordnungen zur Bestimmung betroffener Einrichtungen und IT-Produkte, sowie nähere Informationen zu Sicherheitsvorgaben und Audit-Abläufen.

Dennoch sollten sich Unternehmen, die unter die wesentlichen und wichtigen Einrichtungen fallen, schon jetzt auf NIS2 vorbereiten. Denn während Mitgliedstaaten noch bis zum 17. Oktober 2024 Zeit haben, um Gesetze und Verordnungen zu erlassen, sind betroffene Organisationen unmittelbar nach Ablauf der Frist zur Umsetzung der geforderten Maßnahmen verpflichtet.

Risikoanalysen, die Kontrolle der eigenen Lieferkette, der Aufbau eines IT-Sicherheitsprogramms und die Auswahl geeigneter Security-Produkte: All das braucht Zeit. Je früher Firmen daher beginnen, sich auf die Anforderungen von NIS 2 vorzubereiten, desto besser.

Mit unserer IAM Software tenfold verwalten Sie Benutzer und Berechtigungen in Ihrer gesamten IT zentral und automatisiert: Von lokalen Microsoft-Systemen über M365 bis hin zu Third-Party-Apps. tenfold erleichtert nicht nur die NIS2-konforme Verwaltung von Identitäten und Zugriffsrechten, sondern unterstützt Sie durch vollständige Dokumentation und regelmäßige Access Reviews auch beim Nachweis der Compliance.

Das Besondere an unserer Lösung? Dank vorgefertigter Plugins mit No-Code-Konfiguration lässt sich tenfold schnell und einfach in Betrieb nehmen. Während IAM-Projekte anderer Anbieter Monate oder Jahre in Anspruch nehmen können, sind Sie mit tenfold schon in wenigen Wochen startklar. So profitieren Sie in Rekordzeit von den Vorteilen unserer umfangreichen Identity und Access Management Plattform und können sich ganz auf wichtigere Aufgaben konzentrieren. Überzeugen Sie sich selbst mit einem kostenlosen Test von tenfold.