NIS2: Sicherheit als Erfolgsfaktor

Foto: Adobe Stock/ tiagozr

Unternehmen im Fokus: Welche fallen unter NIS-2?

Mit Inkrafttreten der NIS-2-Richtlinie sind Unternehmen in 18 Sektoren, die als bedeutende Betriebe für Wirtschaft und Gesellschaft eingestuft werden, verpflichtet, umfangreiche Mindeststandards in der Informationssicherheit umzusetzen. Um unter NIS2 zu fallen, müssen zwei Kriterien erfüllt sein:

1. Unternehmensgröße: Mindestens 50 Mitarbeiter oder ein Jahresumsatz und eine Jahresbilanz von über 10 Millionen Euro.
2. Sektor: Das Unternehmen muss zu einem der definierten 18 Sektoren gehören, die sich in zahlreiche Untersektoren aufgliedern.

Es gibt Ausnahmen für Unternehmen, die kritische Tätigkeiten ausüben oder signifikante Auswirkungen auf die öffentliche Ordnung haben, auch wenn diese kleiner sind. Die NIS-2-Richtlinie unterscheidet zwischen „Besonders wichtigen Einrichtungen“ mit strikteren Anforderungen und proaktiver Aufsicht sowie „Wichtigen Einrichtungen“, die reaktiv überwacht werden.

Haftungserweiterung und -verschärfung unter NIS-2

Die NIS-2-Richtlinie führt zu einer erweiterten Haftung. Für besonders bedeutende Einrichtungen können Geldbußen in Millionenhöhe oder prozentual am Jahresumsatz verhängt werden. Betroffene Unternehmen sind verpflichtet, geeignete Maßnahmen in den Bereichen Cyber-Risikomanagement, Lieferkettensicherheit, Business Continuity Management, Verschlüsselung, Zutrittskontrollen zu ergreifen sowie Berichtspflichten an die zuständige Behörde zu erfüllen. Zudem gibt es Meldepflichten für Informationssicherheitsvorfälle innerhalb von 24 Stunden an die zuständige Behörde.

Hohe Anforderungen an die Sicherheitsorganisation

Die einschlägige Gesetzgebung fordert eine Vielzahl von Maßnahmen zur Verbesserung des Schutzes vor Cyberangriffen. Benötigt werden Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme; Maßnahmen zur Bewältigung von Sicherheitsvorfällen; die Sicherstellung der Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall sowie Krisenmanagement. Auch die Sicherheit der Lieferkette in der Informationssicherheit einschließlich der unmittelbaren Anbieter oder Diensteanbieter muss organisiert werden. Hinzu kommen Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen, Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit, grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen für Mitarbeiter und die Geschäftsführung selbst. Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung, die Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen und die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung müssen ebenfalls implementiert werden. Auch ein IT-PEN-TESTING stellt eine wichtige Maßnahme dar, um Schwachstellen zu identifizieren und dann schließen zu können.

NIS-2 Compliance – Effiziente Umsetzung

Unternehmen sehen sich derzeit mit der dringenden Frage konfrontiert: Wie lässt sich die anspruchsvolle Umsetzung der NIS-2-Vorgaben erfolgreich realisieren?

Die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 bietet weitreichend eine solide Grundlage unabhängig von der Branche, um die spezifischen Anforderungen der NIS2-Richtlinie nachweislich zu erfüllen. Ein ISMS ermöglicht es, Risiken systematisch zu identifizieren und geeignete Sicherheitsmaßnahmen festzulegen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten. Dieses kann alle erforderlichen Maßnahmen von NIS-2 beinhalten und fortwährend aktuell halten. Darin werden alle erforderlichen Maßnahmen definiert, Regelungen für die Mitarbeiter geschaffen und Prozesse dokumentiert, die im Bedarfsfall eingeleitet werden müssen. Durch kontinuierliche Überwachung und regelmäßige interne Audits fördert ein ISMS eine proaktive Herangehensweise an die Informationssicherheit. Zudem wird eine Kultur der Sensibilisierung und Schulung der Mitarbeitenden geschaffen, wodurch die Bedeutung der Informationssicherheit verdeutlicht und erforderliche Sicherheitspraktiken konsequent angewendet werden, sodass der Erfolg von Cyberangriffen unwahrscheinlicher wird.

Entscheidend ist, dass das ISMS in das Bewusstsein aller Mitarbeitenden integriert und fest in der Unternehmensphilosophie etabliert wird. Die professionelle Anleitung zur Implementierung der Maßnahmen und Hilfestellung bei Vorfällen, insbesondere der Aufarbeitung und der Meldung gegenüber Behörden kann am effizientesten durch einen fachkundigen Informationssicherheitsbeauftragten (ISB) als zentrale Funktionsrolle erfolgen. Dieser sollte auch die Schulung der Mitarbeiter und die Erstellung von Entwürfen für die Implementierung der einzelnen Maßnahmen vornehmen. Dabei sind Kenntnisse aus IT, Recht und Organisation von besonderer Bedeutung.

Diese Chancen ergeben sich aus NIS-2 für Unternehmen

Die rechtzeitige Umsetzung der NIS-2-Vorgaben und die Implementierung eines ISMS sind für Unternehmen nicht nur eine Pflicht, sondern bieten auch zahlreiche Vorteile.

Zunächst schützt eine verbesserte Cybersicherheit vor Datenverlust, finanziellen Schäden und potenziellem Vertrauensverlust. Haftungen, Schadensersatzklagen, Bußgelder und Imageverluste werden verhindert. Kunden bevorzugen Unternehmen mit starken Sicherheitsstrategien, was das Vertrauen in ihre Marke erhöht.

Darüber hinaus gewährleistet eine robuste Cybersicherheitsstrategie die Einhaltung gesetzlicher Vorschriften, insbesondere im Hinblick auf die verschärften Sanktionen der NIS2-Richtlinie. Diese Strategien optimieren auch die Geschäftskontinuität, indem sie schnelle Reaktionen auf Bedrohungen ermöglichen und Betriebsabläufe aufrechterhalten.

Langfristig führen solche Sicherheitsmaßnahmen zu einer Senkung der Wiederherstellungskosten nach Cyberangriffen und verschaffen Unternehmen einen klaren Wettbewerbsvorteil. Durch proaktive Cybersicherheitsmaßnahmen positionieren sich Unternehmen als vertrauenswürdige Partner und stärken ihre Marktstellung nachhaltig. Zudem entlastet ein ISMS auch Geschäftsführer von ihrer persönlichen Haftbarkeit für eine fehlende Organisation entsprechender Maßnahmen und kann Vorteile bei der Verhandlung von Konditionen für eine Cyberversicherung bringen. Weiterhin kann ein ISMS den entscheidenden Nachweis darstellen, den viele Unternehmen in der Zukunft gegenüber ihren Kunden erbringen müssen. Ein starker Partner mit eigener Zertifizierung, der alle erforderlichen Maßnahmen mitbringt, kann die zunächst die Betroffenheit prüfen und anschließend den Aufbau und die Pflege eines ISMS managen.