NIS2 konform: Was Unternehmen wissen müssen

Die Richtlinie gilt für Unternehmen auf der Grundlage dieser Kriterien:

• Die Branche , in der sie tätig sind
• Die Größe des Unternehmens

Welche Branchen müssen die NIS2-Richtlinie einhalten?

Die NIS2-Richtlinie unterteilt Unternehmen in wesentliche Unternehmen und wichtige Unternehmen. Organisationen in beiden Kategorien müssen die gleichen Anforderungen erfüllen. Der Unterschied liegt jedoch darin, wie die Einhaltung dieser beiden Gruppen überwacht und bestraft wird.

Während wesentliche Organisationen proaktiv überwacht werden, um sicherzustellen, dass sie die Anforderungen der NIS2-Richtlinie erfüllen, werden wichtige Organisationen nur untersucht, wenn die Behörden Beweise für eine Nichteinhaltung erhalten.

In der folgenden Tabelle findest du einen einfachen Überblick über die wesentlichen und wichtigen Organisationen, aufgeschlüsselt nach Sektoren, in denen sie tätig sind. Eine vollständige Aufschlüsselung der einzelnen Sektoren und ihrer Untersektoren findest du in Anhang 1, Seite 64 der NIS2-Richtlinie.

Was sind die Größenkriterien für die Einhaltung der NIS2-Richtlinie?

Im Allgemeinen muss dein Unternehmen die NIS2-Richtlinie einhalten, wenn es zu einem der oben genannten Sektoren gehört und in diese Größenkategorien fällt:

• Große Unternehmen: Unternehmen mit mehr als 250 Mitarbeitern, einem Umsatz von mehr als 50 Mio. € oder einer Bilanzsumme von mehr als 43 Mio. €
• Mittlere Unternehmen: Unternehmen mit mehr als 50 Mitarbeitern, einem Umsatz von mehr als 10 Millionen Euro oder einer Bilanzsumme von mehr als 10 Millionen Euro

Es ist jedoch wichtig zu bedenken, dass diese Regeln je nach Sektor variieren.

Heißt das, dass kleine und kleinste Unternehmen ausgeschlossen sind? Nicht unbedingt - auch kleinere Unternehmen in den genannten Sektoren müssen die Vorschriften einhalten, wenn die Länder, in denen sie tätig sind, der Ansicht sind, dass sie einen erheblichen Einfluss auf kritische Infrastrukturen oder wesentliche Dienste haben.

Auch wenn dein Unternehmen außerhalb der EU ansässig ist, kann die NIS2-Richtlinie für dich gelten, wenn du in der EU tätig bist und die oben genannten Kriterien erfüllst.

Es ist immer am besten, wenn du dich mit Rechtsexperten oder Aufsichtsbehörden berätst, um deine spezifischen Verpflichtungen im Rahmen der NIS2-Richtlinie zu ermitteln, da die Anforderungen an die Einhaltung der Richtlinie je nach Branche, Größe und geografischer Lage variieren können. Hier erfährst du, wie heyData dir helfen kann, herauszufinden, ob du die NIS2-Richtlinie einhalten musst.

Werfen wir nun einen genaueren Blick auf die Schwerpunkte der NIS2-Richtlinie.

Durch die Konzentration auf diese Anforderungen und Schwerpunktbereiche will die Richtlinie die Widerstandsfähigkeit Europas gegen aktuelle und zukünftige Cyberbedrohungen erhöhen:

1. Risikomanagement

Das Risikomanagement ist ein zentraler Bestandteil der NIS2-Richtlinie. Es konzentriert sich darauf, proaktive Schritte zu unternehmen, um Cybersicherheitsbedrohungen zu erkennen, zu bewerten und zu reduzieren. Ein gutes Risikomanagement ist entscheidend für den Schutz der Vermögenswerte einer Organisation und die Aufrechterhaltung eines reibungslosen Betriebs.

Zu diesen Maßnahmen gehören:

• Incident Management: Erstellung eines Plans zur schnellen und effektiven Reaktion auf Cyber-Vorfälle, um deren Auswirkungen zu minimieren und weiteren Schaden zu verhindern. Ein Unternehmen könnte zum Beispiel feststellen, dass in seine Kundendatenbank eingebrochen wurde. Mit einem Notfallplan kann das Unternehmen die betroffenen Systeme sofort isolieren, seine Kunden benachrichtigen und mit Cybersicherheitsexperten zusammenarbeiten, um den Einbruch einzudämmen und zu beheben und so die finanziellen Verluste und den Imageschaden zu minimieren.
• Stärkere Sicherheit der Lieferkette: Da Cyber-Bedrohungen oft Schwachstellen in miteinander verbundenen Netzwerken ausnutzen, sind Unternehmen dafür verantwortlich, Cyber-Sicherheitsrisiken in ihren eigenen Lieferketten zu bekämpfen. Lieferanten, die nicht direkt in den Anwendungsbereich von NIS2 fallen, können indirekt betroffen sein und von ihren Kunden überwacht werden. Unternehmen wird daher empfohlen, die Dienste von Drittanbietern gründlich zu prüfen, um potenzielle Schwachstellen in der Cybersicherheit zu identifizieren. Dazu können sie Dienste wie das Vendor Risk Management von heyData nutzen.
• Netzwerksicherheit: Unternehmen müssen robuste Netzwerksicherheitsmaßnahmen einführen, einschließlich sicherer Konfigurationen, kontinuierlicher Überwachung und regelmäßiger Schwachstellenanalysen. Dies wird dazu beitragen, den unbefugten Zugriff auf sensible Daten zu verhindern und die Integrität kritischer Systeme zu gewährleisten.
• Bessere Zugangskontrolle: Um das Risiko eines unbefugten Zugriffs auf sensible Daten und Systeme zu minimieren, ist die Einführung starker Zugangskontrollmechanismen unerlässlich. Dazu gehören Maßnahmen wie die Multi-Faktor-Authentifizierung, rollenbasierte Zugangskontrollen und die regelmäßige Überprüfung des Benutzerzugangs.
• Verschlüsselung: Die Verschlüsselung sensibler Daten sowohl im Ruhezustand als auch bei der Übertragung ist entscheidend für den Schutz vor unbefugtem Zugriff. Durch die Verwendung starker Verschlüsselungsalgorithmen können Unternehmen sicherstellen, dass die Daten, selbst wenn sie abgefangen werden, für Angreifer unlesbar und unbrauchbar bleiben. Ein Gesundheitsdienstleister könnte zum Beispiel die auf seinen Servern gespeicherten Patientenakten verschlüsseln und die Daten auch verschlüsseln, wenn sie an andere Gesundheitseinrichtungen gesendet werden. Selbst wenn ein Hacker die Übertragung abfängt oder sich unbefugt Zugang zum Server verschafft, wären die verschlüsselten Daten ohne den Entschlüsselungscode unbrauchbar.

Durch die Umsetzung dieser Maßnahmen können Organisationen ihre Cybersicherheit stärken und sich besser gegen die sich entwickelnden Cyberbedrohungen schützen.

2. Unternehmensverantwortung

Die Rechenschaftspflicht der Unternehmen ist von zentraler Bedeutung für die Wirksamkeit der NIS2-Richtlinie, da die oberste Führungsebene eine entscheidende Rolle bei der Einhaltung der NIS2-Standards spielt.

Ein bemerkenswertes Beispiel für gelebte Unternehmensverantwortung ist der Fall Equifax. Im Jahr 2017 musste der CEO von Equifax, Richard Smith, nach einer massiven Datenpanne, bei der die persönlichen Daten von rund 147 Millionen Menschen offengelegt wurden, öffentlich Rechenschaft ablegen. Dies führte dazu, dass Smith von seinem Posten zurücktrat und vor dem Kongress erschien, um das Versagen anzusprechen, was den Ruf des Unternehmens und das Vertrauen der Stakeholder erheblich beeinträchtigte.

Laut der NIS2-Richtlinie muss die Leitung einer Organisation:

• Cybersicherheitsrichtlinien aufstellen und durchsetzen: Die Führungsebene sollte robuste Cybersicherheitsrichtlinien, die mit den NIS2-Anforderungen übereinstimmen, beaufsichtigen, genehmigen und darin geschult werden.
• Regelmäßige Risikobewertungen durchführen: Eine kontinuierliche Bewertung potenzieller Bedrohungen ist unerlässlich. Dazu gehört es, Schwachstellen zu identifizieren, ihre Auswirkungen zu bewerten und Maßnahmen zur Risikominderung zu ergreifen.
• Personalschulung sicherstellen: Da die Mitarbeiter/innen oft das schwächste Glied in der Cybersicherheitsverteidigung eines Unternehmens sind, verbessern regelmäßige Schulungen nicht nur die Einhaltung der Vorschriften, sondern auch die allgemeine Sicherheitslage eines Unternehmens.

Die Verpflichtung zu diesen Praktiken fördert eine Kultur der Verantwortlichkeit in Organisationen. Diese Kultur stellt sicher, dass alle Mitarbeiter/innen, von der obersten Führungsebene bis zu den Angestellten, der Cybersicherheit Priorität einräumen.

Eine wirksame Verantwortlichkeit im Unternehmen führt zu einem proaktiven Ansatz im Umgang mit Cyberrisiken und verringert so die Wahrscheinlichkeit von schwerwiegenden Vorfällen. Darüber hinaus können Verstöße schwere Strafen für die Unternehmensleitung nach sich ziehen, wie z. B. eine Haftung oder sogar ein vorübergehendes Verbot von Führungspositionen.

3. Berichtspflichten

Die Meldung von Vorfällen ist ein entscheidender Aspekt der NIS2-Richtlinie, die eine rechtzeitige Kommunikation und Reaktion auf Cybersicherheitsbedrohungen sicherstellen soll. Unternehmen müssen sich an strenge Fristen halten, um wichtige Cybervorfälle an die zuständige nationale Behörde zu melden. Dies fördert die Transparenz und ermöglicht eine koordinierte Reaktion auf neue Bedrohungen auf nationaler Ebene.

Die NIS2-Richtlinie enthält diese Anweisungen, wie Sicherheitsvorfälle gemeldet werden sollten:

• Innerhalb von 24 Stunden nach Bekanntwerden eines Vorfalls: Die Organisation sollte die zuständige nationale Behörde benachrichtigen und eine Zusammenfassung des Vorfalls, seiner Auswirkungen, möglicher grenzüberschreitender Folgen und der ergriffenen oder geplanten Maßnahmen zur Behebung des Vorfalls übermitteln.
• Innerhalb von 72 Stunden nach Bekanntwerden eines Vorfalls: Es muss ein detaillierter Bericht vorgelegt werden, der umfassende Informationen über den Vorfall, seine Ursachen, die betroffenen Systeme oder Daten und alle getroffenen Abhilfemaßnahmen enthält.

Die viel strengeren 24- und 72-Stunden-Fristen der NIS2 verlangen von den Unternehmen, dass sie Bedrohungen nahezu in Echtzeit erkennen und effiziente Meldeverfahren einrichten. Die Nichteinhaltung dieser Meldepflichten kann erhebliche Strafen nach sich ziehen, darunter Geldstrafen und Rufschädigung.

Durch die Durchsetzung strenger Meldepflichten zielt die NIS2-Richtlinie darauf ab, die Reaktionsfähigkeit auf Vorfälle zu verbessern, den Informationsaustausch zwischen den Mitgliedstaaten zu erleichtern und letztendlich die allgemeine Cybersicherheit kritischer Infrastrukturen in Europa zu stärken.

Ein Beispiel, das zeigt, wie wichtig die rechtzeitige Meldung von Vorfällen ist, ist der WannaCry-Ransomware-Angriff von 2017 und seine Auswirkungen auf den britischen National Health Service (NHS). Die Ransomware WannaCry verbreitete sich schnell über Computernetzwerke auf der ganzen Welt und nutzte eine Sicherheitslücke in älteren Windows-Betriebssystemen aus. Der Angriff hatte erhebliche Auswirkungen auf den NHS und störte den Krankenhausbetrieb und die Patientenversorgung in England und Schottland. Obwohl die ersten Auswirkungen schwerwiegend waren, konnte der weitere Schaden durch die schnelle Meldung und Reaktion eingedämmt werden: Innerhalb weniger Stunden entdeckte NHS Digital, der nationale Informations- und Technologiepartner für das Gesundheits- und Pflegesystem, den Angriff und alarmierte die NHS-Organisationen. Das National Cyber Security Centre (NCSC) wurde sofort eingeschaltet und arbeitete eng mit NHS Digital und anderen Regierungsbehörden zusammen, um fachkundige Beratung und Unterstützung zu leisten. Diese schnelle Erkennung und Meldung trug dazu bei, die Auswirkungen des Angriffs zu begrenzen, da letztlich nur etwa 1 % der NHS-Organisationen infiziert wurden, die meisten NHS-Dienste während des Vorfalls in Betrieb blieben und keine Patientendaten gefährdet waren.

4. Geschäftskontinuität

Eine effektive Planung der Geschäftskontinuität stellt sicher, dass Organisationen wichtige Funktionen während und nach einem Cybersecurity-Vorfall weiterführen können. Es geht nicht nur um die Wiederherstellung, sondern auch darum, den Betrieb unter Druck aufrechtzuerhalten.

Ein Plan zur Aufrechterhaltung des Geschäftsbetriebs sollte Folgendes beinhalten:

• Systemwiederherstellung: Die Wiederherstellung der betroffenen Systeme und Daten in den Normalzustand, um eine minimale Unterbrechung des Betriebs zu gewährleisten. Dazu gehört auch die Festlegung von Backup-Systemen oder alternativen Prozessen, um kritische Funktionen aufrechtzuerhalten, wenn die Primärsysteme gefährdet sind.
• Notfallverfahren: Klar definierte Schritte, die im Falle eines Vorfalls sofort zu ergreifen sind, wie z.B. die Isolierung betroffener Systeme, die Aktivierung von Notfallteams und die Benachrichtigung der relevanten Interessengruppen.
• Krisenreaktionsteam: Ein effektives Krisenreaktionsteam ist ein wichtiger Bestandteil jeder Cybersicherheitsstrategie. Dieses Team sollte gut geschult sein, über die notwendigen Werkzeuge und Ressourcen verfügen und klare Rollen und Verantwortlichkeiten haben.

Durch die Kombination dieser Strategien stärken Unternehmen ihre Geschäftskontinuität und die Fähigkeit, Cyber-Bedrohungen zu widerstehen. Die Unternehmen sind besser gerüstet, um mit Störungen umzugehen und Ausfallzeiten und finanzielle Verluste zu verringern. Dieser proaktive Ansatz entspricht den Zielen der NIS2 und stellt sicher, dass die Unternehmen nicht nur reaktiv, sondern auch widerstandsfähig gegenüber Cyberbedrohungen sind.

5. Zusammenarbeit zwischen den Mitgliedsstaaten

Die Zusammenarbeit zwischen den EU-Mitgliedstaaten spielt eine wichtige Rolle bei der Erreichung der Ziele der NIS2-Richtlinie. Die Richtlinie fördert die Zusammenarbeit zwischen den Mitgliedstaaten sowie mit den relevanten Interessengruppen, wie dem Privatsektor und der Wissenschaft. Die Verbesserung der Zusammenarbeit stellt sicher, dass alle EU-Länder zusammenarbeiten, um Bedrohungen der Cybersicherheit wirksam zu bekämpfen.

Im Mai 2021 wurde beispielsweise die irische Health Service Executive (HSE) Opfer eines Ransomware-Angriffs. Der Vorfall löste eine schnelle gemeinsame Reaktion der EU-Mitgliedstaaten aus, da das irische Nationale Cybersicherheitszentrum die anderen EU-Länder alarmierte, die sofort technische Hilfe anboten und Informationen über die Bedrohungen austauschten, um die kritischen Gesundheitssysteme schneller wiederherzustellen. Dadurch wurden die möglichen Auswirkungen auf die Patientenversorgung erheblich reduziert und die Ausbreitung des Angriffs auf andere Gesundheitssysteme in der EU verhindert. Dieser Vorfall hat gezeigt, wie die in der NIS2-Richtlinie vorgesehene Zusammenarbeit die Widerstandsfähigkeit der Cybersicherheit in der EU verbessern kann.

Die NIS2-Richtlinie ermöglicht die Zusammenarbeit durch:

• Stärkung der Verbindungen zwischen den Mitgliedstaaten, um eine koordinierte und schnelle Reaktion auf Cyber-Bedrohungen zu ermöglichen.
• die Bündelung von Ressourcen, um die Auswirkungen von Vorfällen abzumildern und die allgemeine Widerstandsfähigkeit im Bereich der Cybersicherheit zu erhöhen.
• Die Einführung gemeinsamer Standards und Praktiken in der EU sorgt für eine einheitliche Vorgehensweise bei der Bewältigung von Cybersicherheitsproblemen.

Zu diesem Zweck wurde das European Cyber Crises Liaison Organisation Network (EU-CyCLONe) gegründet, um die Kommunikation bei grenzüberschreitenden Vorfällen zu erleichtern, Maßnahmen zur Krisenbewältigung zu koordinieren und wichtige Informationen zur Unterstützung nationaler Entscheidungsträger bereitzustellen.

Die NIS2-Richtlinie deckt diese Schwerpunktbereiche auch in der Checkliste der 10 Mindestmaßnahmen ab.

Die NIS2-Richtlinie ist ein wichtiger Schritt zur Stärkung des Cybersicherheitsrahmens in der EU. Indem sie Schlüsselbereiche wie Risikomanagement, Rechenschaftspflicht der Unternehmen, Meldepflichten, Geschäftskontinuität und Zusammenarbeit zwischen den Mitgliedstaaten behandelt, zielt die Richtlinie darauf ab, eine widerstandsfähigere digitale Umgebung zu schaffen.

In dem Maße, in dem sich Unternehmen und Sektoren an diese neuen Anforderungen anpassen, dürfte sich die kollektive Cybersicherheitslage der EU verbessern, wodurch letztlich kritische Infrastrukturen geschützt und das digitale Vertrauen in den Mitgliedstaaten gestärkt werden.

Wenn auch dein Unternehmen von diesen Änderungen betroffen ist, kann die Einhaltung der Vorschriften entmutigend erscheinen. heyData bietet Unternehmen, die die NIS2-Richtlinie einhalten wollen, mit seinem NIS2-Compliance-Service Unterstützung an.