NIS2 Insights: Experten-Tipps zu Compliance und den Folgen für Dein Unternehmen

NIS2 ist die überarbeitete Version der NIS-Richtlinie (Network and Information Security Directive) der EU, die 2016 in Kraft trat. Ziel der Richtlinie war es, ein hohes gemeinsames Niveau an Cybersicherheit in der EU zu gewährleisten, indem Betreiber wesentlicher Dienste (z.B. Energieversorgung, Gesundheitswesen) und digitale Dienstleister verpflichtet wurden, strenge Sicherheitsanforderungen zu erfüllen.

Die Neuerungen von NIS2 im Vergleich zur ursprünglichen NIS-Richtlinie umfassen:

• Erweiterung des Anwendungsbereichs: NIS2 gilt für eine breitere Palette von Unternehmen und Branchen, darunter Gesundheit, Finanzmärkte, Abwasser- und Abfallwirtschaft, öffentliche Verwaltungen und bestimmte Anbieter digitaler Dienste.
• Verschärfte Meldepflichten: Unternehmen müssen schwerwiegende Cybervorfälle innerhalb von 24 Stunden melden. Es gibt strengere Vorgaben zur Risikobewertung und -verwaltung.
• Höhere Sanktionen: Die Strafen für Verstöße gegen die NIS2-Richtlinie sind strenger und können im schlimmsten Fall bis zu 10 Millionen Euro oder 2 % des globalen Jahresumsatzes eines Unternehmens betragen.
• Erhöhung der Rechenschaftspflichten: Unternehmensleitungen sind explizit für Cybersicherheitsmaßnahmen verantwortlich und müssen sicherstellen, dass angemessene technische und organisatorische Vorkehrungen getroffen werden.
• Stärkere Zusammenarbeit zwischen Mitgliedstaaten: Die EU setzt auf verbesserte Koordination und Informationsaustausch zwischen den nationalen Behörden.

Siehe auch: NIS2 konform: Was Unternehmen wissen müssen

Auch wenn kleinere Unternehmen nicht direkt unter die NIS2-Richtlinie fallen, gibt es viele Vorteile, ihre Cybersicherheitsmaßnahmen zu verbessern:

• Schutz vor Angriffen: Cyberkriminelle greifen häufig kleinere Unternehmen an, da sie oft weniger gut geschützt sind. Verbesserte Sicherheitsmaßnahmen können das Risiko solcher Angriffe reduzieren.
• Vertrauenswürdigkeit bei Geschäftspartnern: Viele größere Unternehmen und Lieferanten, die der NIS2-Richtlinie unterliegen, bevorzugen Partner, die regulatorische Anforderungen erfüllen und angemessene Informationssicherheitsmaßnahmen getroffen haben. Kleinere Unternehmen können so ihre Wettbewerbsfähigkeit steigern.
• Schutz sensibler Daten: Durch eine verbesserte Cybersicherheit können kleine Unternehmen vertrauliche Kunden- und Unternehmensdaten besser schützen, was die Reputation schützt und rechtliche Risiken minimiert.
• Vorbereitung auf zukünftige Regulierungen: Cybersicherheitsanforderungen werden zunehmend strenger. Frühzeitige Investitionen in Sicherheitstechnologien bereiten Unternehmen auf mögliche zukünftige gesetzliche Anforderungen vor.

Um die Anforderungen der NIS2-Richtlinie rechtzeitig zu erfüllen, sollten Unternehmen folgende Schritte unternehmen:

1. Bewusstsein schaffen: Die Unternehmensleitung und die IT-Abteilung sollten sich intensiv mit den Anforderungen der NIS2-Richtlinie auseinandersetzen und diese auf die eigene Organisation übertragen.
2. Risikobewertung durchführen: Eine umfassende Risikobewertung hilft, potenzielle Schwachstellen im Bereich Cybersicherheit zu identifizieren. Dies sollte sowohl technische als auch organisatorische Risiken umfassen.
3. Cybersicherheitsstrategie entwickeln: Basierend auf der Risikobewertung sollte eine Sicherheitsstrategie entwickelt werden, die klare Ziele und Verantwortlichkeiten festlegt.
4. Meldeprozesse implementieren: Unternehmen sollten Meldeprozesse für Sicherheitsvorfälle einführen, um sicherzustellen, dass Cyberangriffe innerhalb der vorgegebenen Fristen gemeldet werden.
5. Schulungen anbieten: Schulungen für Mitarbeiter:innen sind entscheidend, um ein Bewusstsein für Cybersicherheitsrisiken zu schaffen und sicherzustellen, dass Sicherheitsrichtlinien verstanden und eingehalten werden.
6. Externe Hilfe in Anspruch nehmen: Es ist ratsam, externe Hilfe in Anspruch zu nehmen, um die Einhaltung der NIS2 zu gewährleisten.

Unternehmen, die sich frühzeitig an die Cybersicherheitsanforderungen halten, können von mehreren Vorteilen profitieren:

• Fallstudie „Maersk“: Maersk, einer der größten Logistikkonzerne, erlitt 2017 durch den „NotPetya“-Angriff erhebliche Verluste, die zu massiven Betriebsunterbrechungen führten und das Unternehmen Milliarden kosteten. Dieser Vorfall zeigte die weitreichenden Folgen mangelnder Cybersicherheitsmaßnahmen auf. In der Folge investierte Maersk erheblich in die Verbesserung ihrer Sicherheitsinfrastruktur und verfügt heute über eine der modernsten Cybersicherheitsarchitekturen im Logistiksektor. Hätte das Unternehmen bereits im Vorfeld strengere Cybersicherheitsstandards eingehalten, hätten die Auswirkungen des Angriffs möglicherweise reduziert werden können.
• Lernpotenzial aus Vorfällen wie „NotPetya“: Der Angriff auf Maersk verdeutlicht auch, wie Schwachstellen in der Lieferkette oder bei externen Partnern Unternehmen gefährden können. Aus solchen Vorfällen können Unternehmen lernen, dass ein strengeres Sicherheitsmanagement, einschließlich der Überwachung von Partnern und Lieferanten, entscheidend ist, um ähnliche Angriffe in Zukunft abzuwehren.

Um Cybersicherheit in der gesamten Organisation zu verankern, sollten Unternehmen:

• Klare Kommunikation der Verantwortung gewährleisten: Die Geschäftsleitung muss Cybersicherheit zur Priorität machen und ihre Wichtigkeit in allen Abteilungen kommunizieren.
• Regelmäßige Schulungen durchführen: Alle Mitarbeiter:innen sollten regelmäßig in Cybersicherheitspraktiken geschult werden, insbesondere in Bereichen wie Phishing-Abwehr, Passwortmanagement und dem Umgang mit sensiblen Informationen.
• eine Sicherheitskultur aufbauen: Cybersicherheit sollte Teil der Unternehmenskultur sein, in der Mitarbeiter:innen Verantwortung für den Schutz von Daten und Systemen übernehmen.

Die Einbeziehung von Lieferketten und externen Partnern in die Cybersicherheitsstrategie ist entscheidend, da viele Cyberangriffe über Schwachstellen in der Lieferkette erfolgen. Die NIS2-Richtlinie spielt hier eine zentrale Rolle, da sie die Verantwortung für Cybersicherheitsmaßnahmen auch auf kritische Lieferanten und Dienstleister ausweitet. Unternehmen müssen sicherstellen, dass ihre Partner ähnliche Sicherheitsstandards einhalten, um das Risiko eines Angriffs zu minimieren.

Einige Maßnahmen sind:

• Audits und Überprüfungen von Partnern: Unternehmen sollten regelmäßige Sicherheitsüberprüfungen bei ihren Partnern durchführen, um sicherzustellen, dass sie adäquate Cybersicherheitsmaßnahmen umsetzen.
• Vertragliche Vereinbarungen: Sicherheitsanforderungen sollten in Verträgen festgeschrieben werden, um sicherzustellen, dass Lieferanten und Dienstleister:innen die gleichen Sicherheitsstandards einhalten.
• Gemeinsame Notfallpläne: Unternehmen und ihre Partner:innen sollten gemeinsame Pläne für den Umgang mit Sicherheitsvorfällen entwickeln, um im Ernstfall schnell reagieren zu können.