Die Cyberresilienz von kritischen und wichtigen Unternehmen stärken: Das ist das Ziel der EU-Richtlinie NIS2. Die Vorgaben gelten nun für deutlich mehr Betriebe als bisher – und zwar auch indirekt, wenn sie Teil einer Lieferkette sind. Bei Verstößen drohen hohe Strafen.
Cyberangriffe sind für Unternehmen eine ständige Bedrohung. Angreifer nutzen dazu ein breites Arsenal an Schadsoftware: Knapp 117 Millionen neue Varianten hat allein das Bundesamt für Sicherheit in der Informationstechnik (BSI) 2022 erfasst. „Die Bedrohung im Cyber-Raum ist damit so hoch wie nie“, heißt es im Bericht „Die Lage der IT-Sicherheit in Deutschland 2022“ der Behörde. Mit zunehmender Digitalisierung in Unternehmen gibt es immer mehr potenzielle Einfallstore für die Angreifer, über die sie ihre Attacken starten können.
EU-Richtlinie gilt für mehr Unternehmen – mit verschärften Regeln
Die EU will sicherstellen, dass kritische und wichtige Unternehmen in den Mitgliedsstaaten sich besser abschotten und solchen Angriffen standhalten können. Bereits 2016 wurde darum die NIS-Richtlinie eingeführt, kurz für „Network and Information Security“. Sie verpflichtete bestimmte Organisationen zu strengen Maßnahmen zur Cybersicherheit.
Die neue Richtlinie NIS2 ist seit Januar 2023 EU-weit in Kraft und ersetzt die alte Vorgabe durch eine verschärfte Version. Die EU weitet mit ihr den Kreis der betroffenen Unternehmen deutlich aus: Neben kritischen Infrastrukturen stehen weitere wichtige Branchen im Fokus – und unter Umständen kleine Firmen, wenn sie als Zulieferer tätig sind.
Wer von NIS2 berührt ist, muss ab Herbst 2024 strenge Sicherheitsvorkehrungen treffen. Dazu gehören die Erhöhung des Schutzes vor Cyberangriffen, die Einhaltung spezifischer Security-Standards sowie die Gewährleistung, dass Systeme ständig auf dem aktuellen Stand sind. Zudem gelten Meldepflichten, falls es zu Sicherheitsvorfällen kommt.
Außerdem dürfen die Behörden Vor-Ort-Kontrollen durchführen und im Notfall auf Daten und Dokumente zugreifen. Bei Verstößen drohen hohe Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes. Im schlimmsten Fall können Unternehmen sogar die Betriebserlaubnis verlieren.
Was ist die NIS2-Richtlinie?
Das Ziel der EU-Richtlinie für Cybersicherheit „NIS2“ (Network and Information Security 2) ist die Stärkung der Cyberresilienz kritischer und wichtiger Infrastrukturen in den Mitgliedsländern. Konkret gemeint ist damit die Fähigkeit von Unternehmen, Cyberangriffen und -vorfällen vorzubeugen und sie abwehren zu können.
NIS2 trat im Januar 2023 EU-weit in Kraft und löst die erste NIS-Richtlinie von 2016 ab. Die damaligen Vorgaben galten als zu abstrakt und wurden in verschiedenen EU-Ländern unterschiedlich umgesetzt. Das soll die neue Richtlinie mit klareren Vorgaben und Regelungen sowie einer erweiterten Zielgruppe ändern. Die Mitgliedstaaten müssen die Richtlinie bis 17. Oktober 2024 in nationales Recht umsetzen. Das bedeutet: Unternehmen sind dann ebenfalls gezwungen, die NIS2-Vorgaben zu realisieren – vorausgesetzt, sie fallen unter die Regelungen.
Welche Unternehmen sind direkt von NIS2 betroffen?
Die EU unterteilt Unternehmen, für die NIS2-Richtlinien gelten, in zwei Kategorien: „essential“ und „important“, also „wesentlich“ und „wichtig“. Erstere wurden zum Teil schon in der ersten NIS-Fassung erwähnt. In der neuen Version umfasst diese Kategorie aber mehr Klassen. Die zweite Gruppe der wichtigen Organisationen definiert die EU-Regelung ganz neu. Direkt betroffen sind jeweils nur Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz von mehr als zehn Millionen Euro.
- Zur Gruppe der wesentlichen Organisationen („essential“) gehören vor allem KRITIS-Unternehmen, also Betriebe mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall gravierende Folgen hätte. NIS2 nennt hier elf Bereiche, darunter Energie- und Wasserversorgung, Transport, Finanz- und Bankwesen, Gesundheit und öffentliche Verwaltung.
- Zu den wichtigen Organisationen („important“) werden sieben Branchen gezählt: Post- und Kurierdienste, Abfall, Lebensmittel, Chemikalien, digitale Dienste (etwa für Suchmaschinen, Online-Marktplätze, Cloud-Services, soziale Netzwerke), Industrie (unter anderem Maschinenbau, Fahrzeugbau, Datenverarbeitungsgeräten) sowie Forschung.
FĂĽr beide Gruppen gelten die gleichen Vorgaben. Nur bei drohenden Strafen und Sanktionen macht die EU einen Unterschied.
Lieferketten und mehr: Warum auch andere und kleine Unternehmen unter NIS2 fallen können
Für kleine Unternehmen greift NIS2 zwar eigentlich nicht. Gemeint sind damit Firmen, die weniger als 50 Mitarbeiter beschäftigen und deren Jahresumsatz bzw. Jahresbilanzsumme maximal zehn Millionen Euro beträgt. Allerdings gibt es Ausnahmen, bei denen die Unternehmensgröße keine Rolle spielt. An die NIS2-Vorgaben halten müssen sich künftig demnach auch Anbieter von DNS-Diensten, TLD-Namensregistern sowie öffentlicher elektronischer Kommunikationsnetze oder -dienste.
Obendrein können mittelgroße und kleine Firmen ins Visier geraten – und zwar dann, wenn sie als Dienstleister und Lieferanten für die direkt betroffenen Organisationen tätig sind. Dann sind sie unter Umständen gezwungen, ebenso strenge Sicherheitsvorkehrungen einzuhalten, um die gesamte Lieferkette zu schützen. Es kann beispielsweise passieren, dass ein Automobilhersteller seinen Zulieferer verpflichtet, bestimmte Cybersecurity-Technologien oder -Methoden einzuführen, um selbst nicht gegen die EU-Vorgaben zu verstoßen.
NIS2: Wie können Unternehmen NIS2 umsetzen?
Wesentliche und wichtige Organisationen müssen laut NIS2-Richtlinie „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme (…) zu beherrschen“. Zudem sollen „die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste“ und andere Dienste verhindert oder möglichst gering gehalten werden.
Eine Anforderung von NIS2 ist die Kombination verschiedener Abwehrmethoden: einerseits mithilfe von technologischen Security-Tools, andererseits durch spezialisierte Experten für diesen Bereich. Aber was können und müssen Unternehmen tun, um das zu gewährleisten? Die EU verlangt, dass sich um diese Aufgaben das oberste Management kümmert – NIS2 ist also Chefsache.
Die Richtlinie nennt verschiedene Bereiche und Maßnahmen, die mindestens abgedeckt werden müssen. Dazu gehören unter anderem:
- Konzepte in Bezug auf Risikoanalyse und Sicherheit fĂĽr Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs durch Backup-Management und Wiederherstellung nach einem Notfall sowie Krisenmanagement
- Sicherheit der Lieferkette, auch bei unmittelbaren Anbietern oder Diensteanbietern
- Management und Offenlegung von Schwachstellen
- Schulungen im Bereich der Cybersicherheit
- Konzepte und Verfahren fĂĽr den Einsatz von Kryptographie und VerschlĂĽsselung
Idealerweise beginnen Organisationen so bald wie möglich, diese Vorgaben umzusetzen, wenn NIS2 für sie gilt. Zu den wichtigsten Schritten gehören folgende Maßnahmen:
- Implementierung von Risikoanalyse- und Sicherheitskonzepten fĂĽr alle Informationssysteme
- Bewertung der Wirksamkeit der eigenen Methoden fĂĽr das Risikomanagement
- Erstellung eines Konzepts zum Umgang mit Sicherheitsvorfällen
- Implementierung eines Backup- und Krisenmanagements
- Einrichtung eines Meldesystems
- Schulungen von Mitarbeitern
- Gewährleistung der Sicherheit der Lieferkette.
BerĂĽcksichtigen mĂĽssen Unternehmen dabei Schwachstellen der unmittelbaren Anbieter sowie deren Cybersicherheits-MaĂźnahmen.
Wie Sophos Unternehmen helfen kann, die NIS2-Vorgaben umzusetzen
Viele Unternehmen sind mit den Vorgaben und Verpflichtungen von NIS2 überfordert und wissen nicht, wie sie diese umsetzen können – erst recht in Zeiten von Fachkräftemangel und fehlenden IT-Mitarbeitern im eigenen Haus. Die Cybersecurity-Lösungen von Sophos decken NIS2-Anforderungen ab.
Sophos bietet Schulungen und Trainings an, um Mitarbeiter zu sensibilisieren und Know-how zu Best Practices zu erwerben. Simulierte Phishing-Angriffe und Security-Awareness-Trainings zeigen Gefahren und Bedrohungen konkret und praxisnah auf.
Technologische Lösungen von Sophos wie Firewall, Verschlüsselungsdienste oder Bedrohungsschutz mithilfe künstlicher Intelligenz wehren Angreifer ab. Beim Managed Service des Anbieters (Managed Detection and Response, kurz MDR) kümmern sich die Experten rund um die Uhr um den Schutz der Systeme und eine passende Reaktion auf mögliche Attacken. Sophos bietet zudem XDR an, das über die reine Endpoint-Security hinausgeht und zusätzlich Informationen aus Netzwerk-, E-Mail-, Cloud- und andere Datenquellen bereitstellt.
Dass die Sophos-Services bei den Kunden ankommen, zeigen die Bewertungen verifizierter Endanwender. Die Marktforscher und Analysten von Gartner werten diese regelmäßig aus und zeichnen die am besten bewerteten Anbieter als „Customer Choice“ aus. Sophos ist der einzige Anbieter, der das gleichzeitig in den Bereichen Endpoint Protection, Firewall und MDR erreicht hat.
Was NIS2 für Unternehmen bedeutet und wie sie sich vorbereiten können, wird auch Thema eines Heise-Webcasts mit Sophos-Experten am 5. September sein.
kommentar field