Der Anlass für die Einführung der NIS-2-Richtlinie
Seit Jahren mahnen Sicherheitsexperten, dass Unternehmen und Institutionen ein deutlich höheres Schutzniveau in der IT-Sicherheit benötigen. Ereignisse wie die Corona-Pandemie, der russische Angriffskrieg gegen die Ukraine oder groß angelegte Cyberattacken wie der SolarWinds-Hack haben verdeutlicht, wie verletzlich kritische Infrastrukturen – etwa Energie- und Wasserversorgung oder digitale Systeme – tatsächlich sind.
Eigentlich müsste Cyberresilienz längst zum selbstverständlichen Bestandteil in Europa und Deutschland gehören. Die Realität sieht jedoch anders aus: Viele Organisationen sind nach wie vor unzureichend auf Cyberbedrohungen vorbereitet, während Sabotage, Datendiebstahl und Spionage immer mehr Unternehmen treffen.
Die Dringlichkeit der Situation belegt eine Untersuchung des 80 Prozent der Unternehmen waren 2023 von Cyberangriffen betroffen.
Der Schaden erreichte mit 267 Milliarden Euro einen historischen Höchstwert.
Zwei Drittel der Befragten sehen ihre Existenz durch Cyberbedrohungen gefährdet.
In 70 Prozent der Fälle ließen sich die Angriffe auf organisierte Kriminalität zurückführen.
Mit der NIS-2-Richtlinie definiert die Europäische Union nun verbindliche Mindeststandards für die Cybersicherheit in privaten und öffentlichen Einrichtungen.
Die zentralen Ziele der NIS-2
Auf Grundlage der in der bisherigen NIS-1 erkannten Schwachstellen hat die Europäische Kommission klare Zielsetzungen definiert, die eine einheitliche nationale Cybersicherheit in allen Mitgliedstaaten sicherstellen sollen. Dazu gehören:
Sicherstellung von Mindeststandards für die Cyberresilienz bei Unternehmen und Institutionen innerhalb der EU
Aufbau einer gemeinsamen Widerstandsfähigkeit gegen Cyberbedrohungen in den EU-Mitgliedstaaten und betroffenen Sektoren
Koordinierte und einheitliche Reaktionsmechanismen bei Krisen und Sicherheitsvorfällen
Vertieftes Verständnis für Bedrohungen, Risiken und Herausforderungen im Zusammenhang mit kritischen Infrastrukturen und digitalen Bereichen innerhalb der EU
Welchen Bedrohungen soll die NIS-2 gezielt entgegenwirken?
In Deutschland geraten nicht nur Großunternehmen und Betreiber Kritischer Infrastruktur (KRITIS), sondern zunehmend auch mittelständische Betriebe ins Visier von Cyberkriminellen. Besonders in diesem Bereich können der Verlust geschäftskritischer Daten, überlastete Systeme oder ein Imageschaden durch mangelhaften Schutz von Kundendaten existenzbedrohend sein.
Unternehmen, die bereits auf ein hohes Maß an Cybersicherheit setzen – beispielsweise durch konsequente Datenverschlüsselung und Multi-Faktor-Authentifizierung – mindern damit die Risiken für ihren Geschäftserfolg erheblich.
Laut dem aktuell im Fokus: DoS- und DDoS-Angriffe: Ziel ist es, Systeme durch gezielte Überlastung lahmzulegen, oft durch Angriffe auf mehrere Systeme von Unternehmen, Organisationen oder Behörden gleichzeitig.
Ransomware-Angriffe: Hier werden Unternehmen erpresst, indem Daten oder Systeme verschlüsselt, zerstört oder unbrauchbar gemacht werden.
Advanced Persistent Threats (APT): Langfristig angelegte Attacken, die sich vor allem auf kritische Infrastrukturen und besonders sensible Daten richten.
Darüber hinaus nehmen auch andere Gefahren zu, wie Phishing-Angriffe zur Abfrage sensibler Daten (z. B. Passwörter, Finanz- oder Personaldaten) oder Man-in-the-Middle-Attacken, bei denen Daten abgefangen oder Kommunikation ausspioniert wird. Nicht zu unterschätzen sind außerdem menschliche Fehler und Nachlässigkeiten – sie machen gezielte Schulungen und Aufklärungsmaßnahmen notwendig, um ein nachhaltiges Bewusstsein für Cybersicherheit zu schaffen.
Was ändert sich konkret durch die NIS-2?
Die NIS-2 bringt eine Reihe bedeutender Neuerungen mit sich:
Erweiterter Geltungsbereich
Mit insgesamt 18 Sektoren und rund 30.000 betroffenen Unternehmen in Deutschland erfasst die NIS-2 deutlich mehr Organisationen als die Vorgängerrichtlinie NIS-1.
Strenge Sanktionen
Im Gegensatz zur NIS-1 sieht die NIS-2 bei Nichteinhalten der Mindeststandards enorm strenge Strafmaßnahmen vor. Das reicht von bis zu 500.000 Euro Strafe für scheinbar banale Verstöße wie fehlende Registrierungen oder Zertifizierungen bis hin zu 10 Millionen Euro für Verstöße in kritischen Sektoren je Vorfall. Selbst die Absetzung der Geschäftsführung ist dem BSI in kritischen Situationen möglich.
Klare Verantwortung der Unternehmensleitung
Die Geschäftsführung betroffener Unternehmen muss die Einhaltung der NIS-2-Vorgaben zur Priorität erklären und trägt im Falle von Verstößen eine direkte, auch persönliche Verantwortung.
Umfassendes Risiko- und Sicherheitsmanagement
Unternehmen müssen ganzheitliche Konzepte für Cyberschutz und Cyberresilienz entwickeln und umsetzen. Dazu gehören unter anderem:
Sicherheit von Informationssystemen
Management und Bewältigung von Sicherheitsvorfällen
Sicherstellung von Betriebs- und Geschäftskontinuität in Not- und Krisenfällen
Schutz der Lieferketten einschließlich Risikomanagement für Direkt- und Drittanbieter
Sichere Beschaffung, Entwicklung und Wartung von IT-Systemen
Sicherheitsmanagement über den gesamten Lebenszyklus von Netz- und Informationssystemen
Regelmäßige Prüfung der Wirksamkeit des Cyberrisikomanagements
Erkennung und Abwehr von Angriffen
Sicherstellung grundlegender Cyberhygiene und -resilienz durch aktuelle Systeme
Einsatz von Kryptografie- und Verschlüsselungstechnologien
Personalsicherheit, Zugriffskontrollen und Asset Management
Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierungsverfahren
Verpflichtende Meldung von Sicherheitsvorfällen
Treten Cyberangriffe, Datendiebstähle oder andere sicherheitsrelevante Vorfälle auf, müssen sie den zuständigen Behörden gemeldet werden. Laut EU-Richtlinie gelten folgende Fristen (die im finalen NIS2UmsuCG abweichen können):
Frühwarnung: Innerhalb von 24 Stunden nach Kenntnisnahme des Vorfalls
Meldung (Bewertung und Einschätzung): Innerhalb von 72 Stunden ab Kenntnisnahme
Ausführlicher Abschlussbericht: Spätestens nach einem Monat ab Kenntnisnahme
Wen betrifft die NIS-2?
Welche deutschen Unternehmen, Einrichtungen und Sektoren unter die NIS-2-Richtlinie fallen, wird im NIS2UmsuCG festgelegt. Grundlage sind dabei unter anderem die in Teil 3, Kapitel 1 ab § 28 definierten Schwellenwerte für Jahresumsatz, Jahresbilanz und Mitarbeiterzahl sowie die in Teil 7, Anlagen 1 und 2 aufgeführte Einteilung in verschiedene Sektoren.
Die NIS-2 erweitert den Kreis der betroffenen Organisationen auf insgesamt 18 Sektoren und unterscheidet zwischen den Kategorien „wesentlich“ (essential) mit elf Sektoren und „wichtig“ (important) mit sieben Sektoren. Je nach Unternehmensgröße und Tätigkeitsbereich betrifft dies sowohl KRITIS-Unternehmen – also Betreiber kritischer Infrastrukturen – als auch Organisationen, die für das staatliche Gemeinwesen von Bedeutung sind.