Cybersicherheit für EU-Mitgliedsstaaten NIS-2: verschärfte Pflichten für KRITIS-Betreiber

KRITIS-Anlagen sind beliebte Ziele für Cyberangriffe. Auf nationaler Ebene spielt das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine entscheidende Rolle. Das Bundesgesetz zur Sicherheit der Informationstechnik (BSIG) wurde bereits mehrfach durch IT-Sicherheitsgesetze aktualisiert und durch die BSI-Kritisverordnung konkretisiert.

Ergänzend dazu gelten sektorspezifische Spezialgesetze wie das Energiewirtschaftsgesetz (EnWG) und das Telekommunikationsgesetz (TKG). Auf europäischer Ebene kommen die Richtlinien NIS 2 („Network and Information Security”) und RCE („Directive on the resilience of critical entities”) hinzu. Lest hier, was das für euer Unternehmen konkret bedeutet und worauf ihr als Unternehmer*innen jetzt achten müsst.

Worum handelt es sich bei der NIS-Richtlinie?

Bevor wir uns die Neuerungen ansehen, die mit der NIS-2-Richtlinie einhergehen, müssen wir erst einmal eine Basis schaffen. Vor der NIS-2 gab es bereits die Richtlinie über die Sicherheit von Netzen und Informationssystemen (NIS-Richtlinie). Diese gehört zu einem Konzept für Cybersicherheit in der EU und wurde 2016 verabschiedet. Das Ziel? Die Cyberresilienz der Kritischen Infrastrukturen sollte EU-weit verbessert werden. Um dies zu erreichen, wurden Verpflichtungen für Betreiber von KRITIS festgelegt. Diese umfassten Mindeststandards, um sowohl Systeme als auch Netzwerke kontinuierlich zu schützen.

Konkret zählen folgende Maßnahmen dazu:

  • Sicherheitsmanagementsysteme zu implementieren
  • Sicherheitsrichtlinien zu befolgen
  • das Netzwerk in regelmäßigen Abständen zu überprüfen
  • Kontrollen des Systems

Was ist die Richtlinie NIS-2?

Am 16. Januar 2023 trat die NIS-2-Richtlinie in Kraft und ersetzte die zuvor geltende NIS-Richtlinie. Bis zum 17. Oktober 2024 müssen die EU-Mitgliedsstaaten die NIS-2-Vorgaben in das jeweils geltende nationale Recht überführt haben.

Die Richtlinie wurde aktualisiert, um mit den Veränderungen bei den Bedrohungen der Cybersicherheit und in der digitalen Welt Schritt zu halten. Damit sollen Industriezweige und Dienstleistungen, die für die wichtigsten sozialen und kommerziellen Aktivitäten im EU-Binnenmarkt wesentlich sind, vollständig abgedeckt werden.

Die NIS-2-Richtlinie schreibt auch vor, dass die Mitgliedstaaten über die notwendigen Instrumente verfügen müssen, um die Vorgaben der Richtlinie zu erfüllen. In diese Kategorie fallen beispielsweise eine nationale Behörde für Netz- und Informationssysteme (NIS) und ein Computer Security Incident Response Team (CSIRT).

Durch die Einrichtung einer Kooperationsgruppe, die die strategische Zusammenarbeit und den Informationsaustausch unterstützen und erleichtern soll, fördert die Richtlinie auch die Zusammenarbeit zwischen den EU-Mitgliedstaaten. Unternehmen, die kritische Dienste erbringen, müssen auch die entsprechenden Sicherheitsvorkehrungen treffen und den zuständigen nationalen Behörden wichtige Ereignisse melden.

Der Energiesektor gehört nach NIS-2 zu den wesentlichen. © Shutterstock, fokke baarssen
Eine Neuerung von NIS-2 ist die Unterteilung verschiedener Sektoren in „wesentliche“ und „wichtige“. © Shutterstock, fokke baarssen

Welches sind also die wichtigsten Unterschiede zwischen NIS und NIS-2 im Überblick?

Für die Übernahme der NIS-2-Richtlinie in das deutsche Recht wurde vom Bundesinnenministerium (BMI) bereits ein Entwurf vorgelegt. In Deutschland wird die RCE-Richtlinie, die sich auf die physische Sicherheit kritischer Infrastrukturen konzentriert, voraussichtlich durch das KRITIS-Dachgesetz umgesetzt. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) wird die zentrale Aufsichtsbehörde für die physische Sicherheit sein.

NIS-2 betrifft deutlich mehr Sektoren als ihre Vorgängerrichtlinie. Zusätzlich gibt es eine Unterscheidung zwischen elf “wesentlichen” und sieben “wichtigen” Sektoren.

Zu den wesentlichen Sektoren nach Anhang I der NIS-2-Richtlinie gehören:

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • digitale Infrastruktur
  • Verwaltung von IKT-Diensten
  • öffentliche Verwaltung
  • Weltraum

Über einige dieser Sektoren haben wir im Detail mit Ben Gnahm, unserem CISO gesprochen.

Energie

„Um eine zuverlässige Energieversorgung sicherzustellen, wurden der Schutz Kritischer Infrastrukturen und Informationen bereits durch das IT-Sicherheitsgesetz und den IT-Sicherheitskatalog der Bundesnetzagentur festgelegt. Eine herausfordernde Aufgabe besteht darin, die verschiedenen Anforderungen miteinander zu vereinen, die beispielsweise aus § 11 Abs. 1 (a) des Energiewirtschaftsgesetzes (EnWG) oder der KRITIS-Verordnung resultieren. Zusätzlich müssen branchenspezifische Sicherheitsframeworks wie ISO/IEC 27019:2020 oder B3S Aggregatoren berücksichtigt werden”, sagt uns Ben.

Der Verkehr zählt ebenfalls zu den wesentlichen Sektoren. © Shutterstock, Ralf Gosch
Auch im Transport- und Verkehrssektor ist es unheimlich wichtig, Bedrohungen rechtzeitig zu erkennen. © Shutterstock, Ralf Gosch

Transport und Verkehr

Bens Einschätzung zum Transport- und Verkehrssektor lautet wie folgt:

„Die Transport- und Verkehrsinfrastruktur ist in der gegenwärtigen Zeit ebenfalls erheblichen Bedrohungen ausgesetzt. Im Bereich der Logistik ist es von besonderer Bedeutung, einen speziellen Schutz für Dual-Use-Güter und Ausrüstung zu gewährleisten. Dies bedeutet, dass Maßnahmen ergriffen werden müssen, um die Sicherheit und Integrität dieser sensiblen Güter während ihres Transports zu gewährleisten.”

Er ergänzt:

„Darüber hinaus ist es von entscheidender Bedeutung, Sicherheitsnetzwerke aufzubauen und zu stärken, um den Schutz der Transport- und Verkehrsinfrastruktur zu gewährleisten. Dies beinhaltet die Zusammenarbeit zwischen den verschiedenen Akteuren des Verkehrssystems, einschließlich der öffentlichen und privaten Unternehmen sowie der Strafverfolgungsbehörden und Sicherheitsdienste. Durch die Schaffung solcher Sicherheitsnetzwerke kann eine verbesserte Überwachung, Informationsaustausch und Koordination gewährleistet werden, um potenzielle Bedrohungen frühzeitig zu erkennen und angemessen darauf zu reagieren.”

Finanz- und Versicherungswesen

„Die Bereitstellung von Bargeld, der kartengestützte und herkömmliche Zahlungsverkehr, Wertpapier- und Derivategeschäfte sowie Versicherungsdienstleistungen sind mit einer Vielzahl komplexer regulatorischer Anforderungen konfrontiert, darunter die BAIT (Bankaufsichtliche Anforderungen an die IT), VAIT (Versicherungsaufsichtliche Anforderungen an die IT) und die KRITIS-Verordnung. Dabei müssen verschiedene Schwellenwerte berücksichtigt werden”, sagt Ben.

Und: „Aufgrund aktueller Konfliktszenarien und den damit verbundenen Sanktionen sind Banken verstärkt in den Fokus gerückt. Es wurde festgestellt, dass nicht alle Banken über ausreichende Sicherheitsstandards verfügen. Es ist daher dringend erforderlich, diese Sicherheitslücken schnellstmöglich zu schließen.”

Gesundheit

„Krankenhäuser mit einer Anzahl von mehr als 30.000 vollstationären Patient*innen wurden bereits seit einigen Jahren gemäß dem BSI-Gesetz (BSIG) als Kritische Infrastrukturen eingestuft. Mit der Einführung des Patientendaten-Schutz-Gesetzes (PDSG) werden ab dem 1. Januar 2022 gemäß § 75c SGB V nicht mehr nur KRITIS-Krankenhäuser, sondern alle Krankenhäuser in Deutschland dazu verpflichtet, angemessene organisatorische und technische Maßnahmen zu ergreifen – das bedeutet die Umsetzung des B3S (Basisschutz-Standard Krankenhaus). Doch auch außerhalb der stationären medizinischen Versorgung, beispielsweise bei der Bereitstellung lebenserhaltender Medizinprodukte, ist aufgrund der aktuellen Situation dringendes Handeln erforderlich”, erklärt Ben.

Die Störung oder Manipulation von Kommunikation und Medien spielt eine entscheidende Rolle in den heutigen Konflikten. © Shutterstock, Tero Vesalainen
Die IT- und Telekommunikation ist von Cyberangriffen besonders betroffen und bedarf einer hohen Resilienz. © Shutterstock, Tero Vesalainen

IT- und Telekommunikation

„Die Störung oder Manipulation von Kommunikation und Medien spielt eine entscheidende Rolle in den heutigen Konflikten. Es ist von großer Bedeutung, die Informationstechnologie und Telekommunikation, insbesondere im Hinblick auf 5G/6G, besonders zu schützen. Die Schaffung einer langfristigen Cyber-Resilienz hat höchste Priorität”, sagt Ben.

„Anbieter von Sprach- und Datenübertragung, Datenspeicherung und -verarbeitung stehen zudem vor massiven Anpassungen der Schwellenwerte aufgrund der überarbeiteten KRITIS-Verordnung. Es ist dringend erforderlich, Betroffenheitsanalysen zu aktualisieren und sich auf diese neuen Anforderungen einzustellen.”

Wasser

Zum Thema Wasser sagt Ben uns: „Die Wasserversorgung wird voraussichtlich verstärkt von aktuellen Bedrohungsszenarien betroffen sein. Die Herausforderung besteht darin, die Sicherheit und Zuverlässigkeit der Wasserversorgung zu gewährleisten. Dies erfordert die Validierung von ISMS und Notfallplänen sowie die Überarbeitung des B3S-Sicherheitsstandards und möglicher alternativer Prüfgrundlagen. Die Schutzmaßnahmen sollten sowohl technische als auch organisatorische Aspekte berücksichtigen, um die Integrität der Wasserversorgungssysteme zu gewährleisten.”

Öffentliche Verwaltung

Bens Einschätzung zur öffentlichen Verwaltung ist: „NIS-2 wird für die öffentliche Verwaltung von großer Bedeutung sein, um die Cybersicherheit ihrer Netz- und Informationssysteme zu stärken. Angesichts der stetig steigenden Anzahl von Cyberangriffen besteht ein dringender Handlungsbedarf. Die Herausforderungen liegen in der Komplexität der regulatorischen Anforderungen, begrenzten Ressourcen, vielfältigen IT-Infrastrukturen und dem Schutz sensibler personenbezogener Daten. Die öffentliche Verwaltung muss diese Herausforderungen angehen, um ihre Aufgaben effektiv zu erfüllen und die Sicherheit der Bürger zu gewährleisten.”

Die Herausforderungen im Weltraumsektor unterscheiden sich von anderen KRITIS-Bereichen. © Shutterstock, Dima Zel
Cybersicherheit ist auch über die Grenzen unserer Erde hinaus ein wichtiges Thema. © Shutterstock, Dima Zel

Weltraum

„NIS-2 ist auch für die Weltraumindustrie von großer Bedeutung, um die Cybersicherheit ihrer Netz- und Informationssysteme zu stärken. Die Herausforderungen in diesem Bereich unterscheiden sich von anderen KRITIS-Bereichen aufgrund der technischen Komplexität und der strategischen Bedeutung der Weltraumindustrie. Die Abhängigkeit von Informationstechnologie und die Empfindlichkeit der Systeme erfordern spezifische Sicherheitsmaßnahmen und enge Zusammenarbeit zwischen Raumfahrtbehörden, Unternehmen und Sicherheitsdiensten, um Cyberangriffe abzuwehren und die Integrität der Weltraumnetzwerke zu schützen”, erklärt Ben.

Welches sind die wichtigen Sektoren?

Zu den wichtigen Sektoren nach Anhang II zählen wiederum:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Herstellung und Vertrieb von Lebensmitteln
  • verarbeitendes Gewerbe/Herstellung von Waren
  • Anbieter digitaler Dienste
  • Forschungseinrichtungen

Auch über einige der wichtigen Sektoren haben wir mit Ben gesprochen.

Siedlungsabfallentsorgung

„Die Unternehmen der Siedlungsabfallentsorgung stehen erst seit Kurzem vor den Herausforderungen der KRITIS-Pflichten. Sie werden enorme Anstrengungen unternehmen müssen, um diese Anforderungen umzusetzen. Obwohl die genauen Bestimmungen noch in einer kommenden Rechtsverordnung festgelegt werden, sollten Unternehmen in der Entsorgungsbranche, die noch kein ISMS (Informationssicherheitsmanagementsystem), BCM (Business Continuity Management) oder Cyber-Resilienz implementiert haben, umgehend handeln. Es ist von entscheidender Bedeutung, sich auf diese neuen Anforderungen vorzubereiten und angemessene Maßnahmen zu ergreifen, um die Sicherheit und Kontinuität des Betriebs zu gewährleisten”, sagt Ben.

„NIS-2 ist auch für Forschungseinrichtungen von großer Bedeutung, um die Cybersicherheit ihrer Netz- und Informationssysteme zu stärken. " © Benjamin Gnahm
Ben hat mit uns auch über den Sektor Forschung im Zusammenhang mit NIS-2 gesprochen. © Benjamin Gnahm

Forschungseinrichtungen

Zum Sektor Forschungseinrichtungen sagt Ben: „NIS-2 ist auch für Forschungseinrichtungen von großer Bedeutung, um die Cybersicherheit ihrer Netz- und Informationssysteme zu stärken. Die besondere Herausforderung besteht darin, sensible Forschungsdaten vor Diebstahl und Manipulation zu schützen, während gleichzeitig Offenheit und Wissensaustausch gefördert werden. Robuste Sicherheitsmaßnahmen wie Zugriffskontrollen, Verschlüsselung und Schulungen zur Sensibilisierung für Cybersicherheit sind entscheidend. Die Zusammenarbeit zwischen Forschungseinrichtungen, Behörden und Partner*innen ist unerlässlich, um bewährte Sicherheitspraktiken auszutauschen und angemessen auf Bedrohungen zu reagieren.”

Aufsichtsrat und Co: Finanzielle Sanktionen bei Nichteinhalten der NIS-Richtlinie

NIS-2 fordert, dass Leitungsorgane die Überwachung der Risikomanagementmaßnahmen übernehmen und bei Verstoß persönlich haften. Die Bundesregierung plant eine besonders strenge Umsetzung dieser Vorgaben. Der Referentenentwurf sieht vor, dass Leitungsorgane persönlich für ihre Verpflichtungen verantwortlich sind und auch für Bußgelder haften, die aufgrund von Pflichtverletzungen verhängt werden.

Wenn zwei Prozent des Jahresumsatzes jedes Unternehmens mehr als zwei Millionen Euro betragen, können gegen Unternehmen, die zum wesentlichen Sektor zählen, Geldstrafen von bis zu 10 Millionen Euro verhängt werden. Geldbußen für Einrichtungen des wichtigen Sektors können bis zu sieben Millionen Euro oder 1,4 % des Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. Diese neuen Haftungsregeln können für Vorstände, den Aufsichtsrat und Geschäftsführer*innen von großen Unternehmen existenzbedrohend sein.

Kleine Unternehmen mit weniger als 50 Beschäftigten und einer Jahresbilanzsumme von höchstens 10 Millionen Euro fallen hingegen nicht unter die NIS-2-Richtlinie, es sei denn, sie sind Anbieter von Vertrauensdiensten, öffentlichen elektronischen Kommunikationsnetzen oder -diensten, TLD-Namensregistern oder DNS-Dienstleistungen.

Die NIS-2-Richtlinien enthalten keine detaillierte Beschreibung des Zertifizierungsprozesses. © Shutterstock, Gorodenkoff
Risikoanalysen gehören zu den Mindestanforderungen der NIS-2-Richtlinie. © Shutterstock, Gorodenkoff

Wie sieht die NIS-2-Konformität und -Zertifizierung aus?

In der NIS-2-Richtlinie sind die Mindestanforderungen aufgeführt, die Unternehmen erfüllen müssen. Diese bestehen aus:

  • der Durchführung von Risikoanalysen
  • der Erstellung von Informationssicherheitskonzepten
  • der Einrichtung eines Notfall- und Krisenmanagements
  • der Entwicklung von Maßnahmen zur Sicherheit der Lieferkette, einschließlich der Einbeziehung von Subunternehmern und der Einführung von Cybersicherheitspraktiken.

Die Informationen enthalten allerdings keine detaillierte Beschreibung des Zertifizierungsprozesses der NIS-2-Richtlinien.

Neben der Pflicht: Welche Vorteile bringt eine NIS-2-Implementierung?

Die Einführung von NIS-2 in eurem Unternehmen bringt eine Reihe von Vorteilen mit sich. Zunächst einmal verbessert die Anwendung der NIS-2-Richtlinie die Cybersecurity in eurem Unternehmen, indem sie die Sicherheit von Netzwerken und Informationssystemen stärkt. Dies ist von entscheidender Bedeutung, da die Bedrohung durch Cyberangriffe zunimmt und ein hohes Maß an Sicherheit erforderlich ist, um Datenverluste, wirtschaftliche Unterbrechungen und Rufschädigung zu vermeiden. Leider ist die Frage nicht, ob ein Cyberangriff stattfindet, sondern wann.

Die NIS-2-Implementierung trägt auch zur Vereinheitlichung der Cybersicherheit in der gesamten Europäischen Union bei. Durch die Ausweitung des Anwendungsbereichs der Richtlinie werden mehr Unternehmen und Organisationen gezwungen sein, aktive Cybersicherheitsmaßnahmen zu ergreifen. Auf diese Weise wird der EU-Binnenmarkt weniger fragmentiert und ein einheitliches Maß an Sicherheit auf dem gesamten Kontinent gefördert.

Cybersicherheit ist ein Thema, das für viele Unternehmer*innen zwar nicht unbekannt, aber trotzdem schwer greifbar ist. © Shutterstock, Thapana_Studio
Cybersicherheit ist ein großes Thema, das sehr herausfordernd sein kann. © Shutterstock, Thapana_Studio

Welche Herausforderungen kann die Einführung der NIS-2-Richtlinie mit sich bringen?

Zunächst einmal ist Cybersicherheit ein Thema, das für viele Unternehmer*innen zwar nicht unbekannt, aber trotzdem schwer greifbar ist. Kein Wunder, gibt es doch unzählige Arten und Weisen, wie Hacker*innen einen Cyberangriff auf ein Unternehmen ausführen können. Mangelndes Wissen im Bereich IT-Sicherheit ist also eine der Herausforderungen, denen ihr gegenüberstehen könntet. In direktem Zusammenhang damit steht, dass viele Unternehmen keine internen Ressourcen, also die entsprechende Fachexpertise, haben. Genau dafür habt ihr uns.

Professionelle Cybersicherheit mit Smart Data Center

Zusammengefasst kann die Umsetzung von NIS-2 eurem Unternehmen dabei helfen, ein hohes Maß an Cybersicherheit zu erreichen, europäische Vorschriften zu erfüllen und euer Unternehmen vor den Auswirkungen von Cyberangriffen zu schützen. Indem ihr die NIS-2-Kriterien in die Praxis umsetzt, könnt ihr Sicherheitsprobleme besser erkennen, auf sie reagieren und euer Unternehmen vor Schäden bewahren.

Wir von Smart Data Center sind eure Profis im Bereich der Cybersicherheit. Wir bieten effizienten, vorbeugenden Schutz vor Hackerangriffen und sind im Notfall zur Stelle. Genauso unterstützen wir euch auch dabei, die NIS-2-Richtlinie für euer Unternehmen umzusetzen. Kontaktiert uns bei Fragen jederzeit gerne und folgt uns für regelmäßige Updates auf LinkedIn.

Beitragsbild: © Shutterstock, VideoFlow

Weitere Themen aus diesem Artikel

Aktuelle Beiträge

DDOS-Angriff auf BaFin und Lok Leipzig Hackerangriffe aktuell: September 2023

Im September 2023 wurden erneut Unternehmen aus verschiedenen Branchen Opfer von Cyberangriffen, die auf Sicherheitslücken zurückzuführen waren. Diese Angriffe haben zugenommen und sie werden aus vielfältigen Motiven durchgeführt.

Nachhaltigkeit der KMUs Gothaer Studie 2023: Nachhaltigkeit in Unternehmen

Das Thema Nachhaltigkeit gewinnt immer mehr an Bedeutung. Sowohl in privaten Haushalten als auch in Unternehmen. Doch wie stehen KMUs eigentlich dazu, ihre Unternehmensphilosophie anzupassen und Nachhaltigkeit einen größeren Raum zu geben? Die Gothaer Studie kam zu interessanten Ergebnissen, die wir euch in diesem Beitrag zusammengefasst haben.

Cyberangriffe Deutschland Cyberangriffe aktuell: August 2023

Unternehmen aus verschiedenen Branchen waren im August 2023 erneut Ziel von Cyberangriffen, die auf Sicherheitslücken zurückzuführen waren. Die Zahl der Hackerangriffe nimmt ständig zu, und sie werden aus den unterschiedlichsten Gründen durchgeführt.