Neue Anforderungen für KMU
Die EU hat mit der NIS-2-Richtlinie die Vorgaben zur Cybersicherheit erweitert, um Unternehmen und kritische Infrastrukturen besser vor Cyberangriffen zu schützen. Die Richtlinie verpflichtet Unternehmen, Sicherheitsstandards einzuhalten, Risiken kontinuierlich zu bewerten und Systeme zu aktualisieren. Nach EU-Vorgaben sollte das bereits bis zum 18.10.2024 passiert sein, aber das Gesetzgebungsverfahren in Deutschland zog sich länger hin. Als neues Zieldatum ist März 2025 geplant.
Welche Unternehmen sind von der NIS-2-Richtlinie betroffen?
Die Anzahl der von der NIS-2-Richtlinie betroffenen Unternehmen steigt deutlich an, da die betroffenen Branchen erweitert wurden. Betroffen sind große und mittlere Unternehmen aus Sektoren mit hoher Kritikalität sowie aus anderen kritischen Sektoren.
ACHTUNG Die Unternehmen sind selbst dafür verantwortlich, festzustellen, ob die NIS-2-Richtlinie auf sie zutrifft, indem sie die vorgegebenen Kriterien prüfen. Eine behördliche Benachrichtigung darüber, dass die NIS-2-Vorgaben für sie gelten, erfolgt nicht.
Innerhalb der Sektoren unterscheidet man wesentliche und wichtige Einrichtungen. Die Unternehmen selbst werden noch in Größenklassen kategorisiert. Die NIS-2 Richtlinie gilt für Unternehmen, der nachfolgenden Sektoren, mit mind. 50 Mitarbeitenden und mindestens 10 Millionen Euro Jahresumsatz und Jahresbilanzsumme. Große Unternehmen sind Unternehmen mit mehr als 250 Mitarbeitenden oder mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme. Unabhängig von der Größe der Einrichtung gilt diese Richtlinie auch für Einrichtungen und deren Lieferanten, die nach der Richtlinie (EU) 2022/2557 als kritische Einrichtungen eingestuft wurden. Diese zählen zu den wesentlichen Einrichtungen.
Beispiel: Ein Unternehmen mit 39 Mitarbeitern und 11 Millionen Euro Umsatz gilt als mittleres Unternehmen. Bietet dieses Unternehmen z.B. „Digitale Dienste“ an, so handelt es sich um eine wichtige Einrichtung.
Sowohl wesentliche als auch wichtige Einrichtungen sind verpflichtet, die Auflagen der NIS-2-Richtlinie umzusetzen. Unterschiede bestehen jedoch bei der Überprüfung durch Behörden und den Sanktionen.
Pflichten und Maßnahmen zum Schutz kritischer Infrastrukturen
Die NIS-2-Richtlinie der EU verpflichtet Unternehmen Maßnahmen zur Stärkung der Netzwerk- und Informationssicherheit umzusetzen. Ziel ist es, Sicherheitsrisiken zu kontrollieren und Vorfälle zu minimieren. Die Angemessenheit der Maßnahmen wird durch eine Risikobewertung bestimmt.
Pflichten:
Die Implementierung eines umfassenden Risikomanagementsystems, das Unternehmen dabei unterstützt, potenzielle Cyberbedrohungen zu identifizieren, zu bewerten und angemessen darauf zu reagieren.
Die Richtlinie eine Meldepflicht mit inhaltlichen Vorgaben für Unternehmen vor. Betroffene Unternehmen sind verpflichtet, Sicherheitsvorfälle zu melden. Die vorgesehenen Fristen können im deutschen Umsetzungsgesetz noch angepasst werden.
- Erstmeldung: innerhalb von 24 Stunden ab Kenntnis des Vorfalls
- Technische Erweiterungsmeldung: innerhalb von 72 Stunden ab Kenntnis des Vorfalls
- Zwischenbericht: dauert der Sicherheitsvorfall länger als 30 Tage an, muss ein Zwischenbericht nach spätestens 30 Tagen erfolgen
- Abschlussmeldung: spätestens nach 30 Tagen nach Beendigung des Sicherheitsvorfalls
Unternehmen sind verpflichtet, eigenständig Sicherheitsrisiken zu identifizieren und zu registrieren, ohne auf externe Hinweise zu warten.
Unternehmen werden verpflichtet, umfassende Dokumentationspflichten zu erfüllen. Sie müssen Nachweise über ihre Sicherheitsmaßnahmen führen und diese bei Bedarf den zuständigen Behörden vorlegen.
Führungskräfte in Unternehmen werden in die Pflicht genommen. Die Organisationsleitung muss die vom Unternehmen ergriffenen Risikomanagementmaßnahmen billigen und sich aktiv an Pflichtschulungen beteiligen, um ein angemessenes Verständnis für die Sicherheitsanforderungen zu gewährleisten. Darüber hinaus kann die Führungskraft unter bestimmten Umständen persönlich haftbar gemacht werden, wenn Sicherheitsvorfälle auftreten und Schäden entstehen.
Die Angriffserkennung für Betreiber kritischer Infrastrukturen ist verpflichtend. Diese Unternehmen müssen Mechanismen implementieren, um Cyberangriffe frühzeitig zu erkennen und angemessen darauf zu reagieren, um potenzielle Schäden zu minimieren. Dies trägt dazu bei, die Widerstandsfähigkeit kritischer Infrastrukturen gegen Cyberbedrohungen zu stärken und die Auswirkungen von Sicherheitsvorfällen zu begrenzen.
Geforderte Maßnahmen:
Eine gründliche Risikoanalyse bildet die Grundlage für ein effektives Sicherheitsmanagement. Dabei werden potenzielle Bedrohungen identifiziert, bewertet und Maßnahmen zur Minimierung der Risiken implementiert. Dies umfasst sowohl die technischen Systeme als auch organisatorische Prozesse.
Ein klar definierter Prozess zur Bewältigung von Sicherheitsvorfällen ist unerlässlich. Dies beinhaltet die schnelle Erkennung, Reaktion und Aufklärung von Vorfällen sowie die Implementierung von Maßnahmen zur Vermeidung zukünftiger Vorfälle.
Die kontinuierliche Aufrechterhaltung des Geschäftsbetriebs und die schnelle Wiederherstellung nach Störungen sind entscheidend. Ein effektives Backup-Management und umfassende Krisenmanagementstrategien stellen sicher, dass Daten und Systeme schnell wiederhergestellt werden können.
Die Sicherheit erstreckt sich auch auf die gesamte Lieferkette. Sicherheitsvorkehrungen müssen sowohl für die Zusammenarbeit zwischen verschiedenen Einrichtungen als auch für externe Dienstleister getroffen werden, um Schwachstellen an diesen Schnittstellen zu minimieren.
Die Umsetzung dieser Maßnahmen ist erforderlich, um die Konformität nachzuweisen.
Sicherheitsaspekte müssen von Anfang an in den Entwicklungsprozess integriert werden. Dies umfasst sichere Entwicklungspraktiken, sorgfältige Beschaffung und regelmäßige Wartung der Systeme, um Sicherheitslücken zu schließen.
Ein proaktives Management und die transparente Offenlegung von Schwachstellen sind entscheidend. Durch regelmäßige Sicherheitsüberprüfungen und zeitnahe Updates können bekannte Schwachstellen schnell behoben werden.
Die kontinuierliche Bewertung der Wirksamkeit der implementierten Sicherheitsmaßnahmen ist unerlässlich. Dies hilft, Schwachstellen zu identifizieren und die Strategien kontinuierlich zu verbessern.
Regelmäßige Schulungen und Sensibilisierungskampagnen für Mitarbeiter:innen stärken das Bewusstsein und die Kompetenzen im Umgang mit Sicherheitsrisiken. Cyberhygiene umfasst dabei grundlegende Praktiken zur Sicherung des täglichen Umgangs mit ITSystemen.
Der Einsatz von Kryptografie ist ein wesentlicher Bestandteil der Informationssicherheit. Verschlüsselungstechniken schützen vertrauliche Daten sowohl während der Übertragung als auch bei der Speicherung.
Personalsicherheit und effektive Zugriffskontrollen sind entscheidend, um unbefugten Zugriff auf sensible Informationen zu verhindern. Ein umfassendes Anlagen-Management unterstützt dabei die Sicherung physischer und digitaler Ressourcen.
Die Implementierung von Multi-Faktor-Authentifizierung erhöht die Sicherheit erheblich. Kontinuierliche Authentisierungsmethoden, inklusive gesicherter Video-, Text- und Notfallkommunikation, gewährleisten eine robuste Zugangskontrolle und Überwachung.