Home » Fachbeiträge » Security Management » NIS-2 ist alles andere als ein Papiertiger

NIS-2 ist alles andere als ein Papiertiger

Bis Oktober 2024 werden die EU-Mitgliedstaaten die neue NIS-2-Richtlinie (Network and Information Security Directive) in das jeweilige nationale Recht überführen – und dabei die Anforderungen und den Geltungsbereich der NIS-1 signifikant erweitern.

5 Min. Lesezeit
Foto: ©AdobeStock/Fantastic

Dr. Justus Gaden, Rechtsanwalt bei der Berliner Kanzlei „Büsing Müffelmann und Theye“ und Mitautor des Standardwerks „Rechtshandbuch Cybersecurity“, und Jörn Kraus, Head of Presales beim Security-Distributor Westcon, fassen die wichtigsten Neuerungen zusammen.

IT-S: Wie kam es eigentlich zu NIS-2?

JG: Schon 2016 hat das EU-Parlament in der Erstfassung der NIS Cybersecurity-Mindeststandards für die Betreiber kritischer Infrastrukturen definiert. Nachdem sich die Cybersicherheitslage in vielen Bereichen trotz aller Anstrengungen dramatisch verschärft hat – Stichwort: Ransomware –, wurde jetzt die Neuerung der NIS auf den Weg gebracht. Und auch wenn die Umsetzung der Richtlinie in Deutschland wohl erst im Oktober 2024 erfolgen wird – der genaue Wortlaut also noch nicht abzusehen ist –, ist schon heute klar, dass die Anforderungen deutlich strenger sein werden als bisher. Hinzu kommt, dass wesentlich mehr Branchen und Unternehmen unter den Geltungsbereich fallen. Daher auch das breite öffentliche Interesse.

IT-S: Wer ist von NIS-2 betroffen?

JG: Der erweiterte Geltungsbereich ist wahrscheinlich die wichtigste Neuerung der Richtlinie: Denn anders als die ursprüngliche NIS, die ausschließlich für „Wesentliche KRITIS-Einrichtungen“ wie Energieversorger, Wasserwerke oder Krankenhäuser galt, betrifft NIS-2 auch sogenannte „Weitere kritische Sektoren“ wie Postdienstleister, Abfallwirtschaftsunternehmen und viele mehr. Und was noch schwerer wiegt: Die Lieferketten der regulierten Betriebe müssen den neuen Vorgaben genügen. Also etwa der Logistiker, der die Kantine eines Kraftwerks anfährt, der Entsorger, der für eine Bank tätig ist, oder der Software-Lieferant eines Telcos. Das hebt die Tragweite der Richtlinie auf ein neues Niveau.

IT-S: Was wird sich bei den konkreten Maßnahmen verändern?

JK: NIS-2 nimmt die Unternehmen sowohl mit Blick auf die organisatorischen als auch auf die technischen Maßnahmen stärker in die Pflicht. Im Fokus stehen dabei zwei Bereiche: die Risikoanalyse und der Schutz der Informationssysteme. Der Bereich Risikoanalyse dreht sich vorrangig um das Risikomanagement und die damit verwandten Ausstrahleffekte – Themen wie die Business-Continuity, das Krisen- und das Notfallmanagement. Um den neuen Anforderungen gerecht zu werden, werden die Unternehmen nicht zuletzt ihre Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen auf den Prüfstand stellen müssen, bespielsweise mit Breach- und Attack-Simulationen. Und sie werden über die organisatorischen Schritte hinaus neue Technologien benötigen, etwa Systeme zur Angriffserkennung.

IT-S: Und was den Schutz der Informationssysteme betrifft?

JG: Auch da hebt die NIS-2-Richtlinie die Messlatte in vielen Bereichen deutlich an. Mitunter belässt es der Gesetzgeber dabei, den Unternehmen eine Marschrichtung vorzugeben, etwa mit der sehr allgemeinen Forderung nach Verschlüsselung und physischem Schutz. In anderen Bereichen sind die Bestimmungen sehr konkret: So gibt die Norm explizit die Integration einer Multi-Faktor-Authentifizierung vor. Im Bereich Informationsschutz werden zudem die technischen Maßnahmen durch eine Reihe organisatorischer Maßnahmen flankiert, etwa durch Schulungen, um die Awareness der Mitarbeiter zu schärfen. Das ist gerade mit Blick auf die neuen Meldepflichten wichtig: NIS-2 sieht vor, dass jeder erhebliche Sicherheitsvorfall innerhalb von 24 Stunden zu melden ist.

IT-S: Was geschieht, wenn ein betroffenes Unternehmen diesen Anforderungen nicht nachkommt?

JG: Dann ist Vorsicht geboten! NIS-2 ist alles andere als ein Papiertiger. Der Gesetzgeber orientiert sich bei der Ahndung von Verstößen an den bei der Einführung der Datenschutzgrundverordnung angelegten Bußgeldern, die sich in der Praxis offenbar als angemessen abschreckend bewährt haben. Bei NIS-2 drohen den „Wesentlichen Einrichtungen“ bei Verstößen Strafzahlungen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Vorjahresumsatzes. Die „Weiteren kritischen Unternehmen“ kommen mit maximal 7 Millionen Euro oder 1,4 Prozent des Vorjahresumsatzes günstiger weg – aber das Signal ist klar: Die Vorgaben sind sehr ernst gemeint.

IT-S: Unternehmen sind also gut beraten, das Thema nicht auf die leichte Schulter zu nehmen. Wo sollten sie denn anfangen?

JK: Zunächst sollten sie einen Blick in den Anhang der NIS-2-Richtlinie werfen. Dort ist genau gelistet, welche Branchen betroffen sind. Dabei ist es wichtig, nicht nur darauf zu achten, ob man selbst in einem der Sektoren tätig ist – sondern auch zu verifizieren, welche Kunden betroffen sind. Denn der Schutz der Lieferketten ist ein zentraler Aspekt der NIS-2. Im Zweifelsfall ist es also nur eine Frage der Zeit, bis die betroffen Kunden anklopfen, um die Umsetzung der Bestimmungen einzufordern. Das werden für viele Betriebe keine einfachen Gespräche sein, und die IT-Teams sind gut beraten, sich umfassend auf die darauf folgenden Vertragsverhandlungen vorzubereiten. Da werden wichtige Weichen für die Zukunft gestellt.

IT-S: Wie sieht es denn terminlich aus – läuft den von NIS-2 betroffenen Unternehmen die Zeit davon oder bleibt ihnen noch genug Luft, um das Thema gelassen anzugehen?

JG: Im Moment ist sicher noch kein Kind in den Brunnen gefallen. Das heißt aber nicht, dass sich die Unternehmen zu viel Zeit lassen sollten. Denn die technischen und organisatorischen Maßnahmen, die es mit der NIS-2 umzusetzen gilt, haben es in sich: Der Aufbau eines Risikomanagements etwa greift sehr tief in die Prozesse eines Unternehmens ein und nimmt Monate in Anspruch. Des Weiteren sind die technischen Maßnahmen alles andere als trivial: Die Einführung einer unternehmensweiten Multi-Faktor-Authentifizierung ist ebenfalls ein erhebliches Investment – sowohl finanziell als auch mit Blick auf die personellen Ressourcen. Außerdem ist die bereits angesprochene Aktualisierung der Lieferantenverträge etwas, das man nicht unterschätzen sollte. Ich würde also sagen: Es gibt noch keinen Grund zur Panik, aber auch keine Zeit zum Ausruhen.

IT-S: Vielen Dank für diesen Überblick. Würden Sie noch ein kurzes Fazit ziehen?

JK: Als Value-Added Distributor begrüßen wir es sehr, dass der Gesetzgeber in der neuen NIS-2-Richtlinie einen ganzheitlichen Blick auf die IT-Lieferketten wirft. Westcon agiert unmittelbar an der Schnittstelle zwischen den Herstellern und den Systemhäusern, und gerade wir vom Presales-Team sind auch häufig beratend in Kundengesprächen involviert. Wir wissen also gut, dass Security immer nur so robust ist wie ihr schwächstes Glied – ganz egal, ob es sich dabei um fehlerhaften Code, ein kompromittiertes Passwort oder einen ungeschulten Mitarbeiter handelt.

JG: Wenn man sich die weltweite Cybersecurity-Gesetzgebung mit ihren zunehmend strengen Vorgaben ansieht, lässt die Entwicklung eigentlich nur einen Schluss zu: Cybersecurity ist jetzt endgültig Chefsache. Kein Geschäftsführer wird es sich in Zukunft noch leisten können, dieses strategische Thema vollständig zu delegieren und sich aus der Verantwortung zu ziehen. Denn wer die Cybersecurity vernachlässigt, läuft nicht nur Gefahr, von Hackern lahmgelegt zu werden – sondern auch aufgrund von Compliance-Verstößen mit enormen Bußgeldern belegt zu werden. Und sollte ihm Fahrlässigkeit nachgewiesen werden, steht durch die Geschäftsführerhaftung die eigene Existenz auf dem Spiel. Die Empfehlung kann also nur lauten, das Thema sehr ernst zu nehmen, die nahenden Umsetzungsfristen im Auge zu behalten und die richtigen Partner für die Umsetzung ins Boot zu holen.

Dr. Justus Gaden ist Rechtsanwalt.
Bild: Anne Großmann Fotografie

Dr. Justus Gaden, Rechtsanwalt

Jörn Kraus ist Head of Presales bei Westcon.
Bild: Westcon

Jörn Kraus, Head of Presales bei Westcon

Andere interessante Fachbeiträge

Digitale Daten vor Strommasten

Zugriff verweigert

Kritische Infrastrukturen (KRITIS) sind nicht zuletzt aufgrund ihrer hohen gesellschaftlichen und politisch-strategischen Relevanz ein beliebtes Ziel für Cyberangriffe. Die zunehme...

Datenschutz-Symbol vor Industrieanlage

So schützt das KRITIS-Dachgesetz kritische Infrastrukturen

Am 6. November 2024 hat das Bundeskabinett das neue KRITIS-Dachgesetz beschlossen: ein zentrales Gesetz, das den Schutz kritischer Infrastrukturen (KRITIS) stärkt. Mit dieser Regel...

Regulation Symbol

Privileged Access Management als Grundstein der NIS-2-Compliance

Die NIS-2-Richtlinie sollte bis Oktober 2024 in nationales Recht überführt werden. Und auch wenn der Beschluss des Bundestags hierzu aktuell noch aussteht, lässt sich sagen: Bei We...