Um die Cyber-Resilienz in der EU zu verbessern, hat die Europäische Union Anfang dieses Jahres eine neue Richtlinie über Netz- und Informationssicherheit eingeführt. Die NIS2 erweitert den Anwendungsbereich der ursprünglichen Richtlinie und enthält neue Anforderungen an die Cybersicherheit für insgesamt 18 wichtige Sektoren wie die verarbeitende Industrie, die Abfallwirtschaft, die Wasserwirtschaft oder die chemische Industrie.

Was ist die NIS2-Richtlinie? Was sind die wichtigsten Anforderungen, die Unternehmen beachten müssen?

NIS2 ist der nächste ehrgeizige Schritt der EU zur Verstärkung ihrer Cybersecurity-Vorgaben, der sich auf kritische Bereiche konzentriert. Die ursprüngliche NIS-Richtlinie war die erste EU-weite Rechtsvorschrift, die sich auf Cybersicherheit konzentrierte. Die neue Ergänzung erweitert nun den Anwendungsbereich und fügt strengere Anforderungen hinzu.

Dabei konzentriert sich die NIS2 auf

• Zusammenarbeit und Informationsaustausch
• Meldung/Benachrichtigung von Verstößen
• Maßnahmen zur Cybersicherheit

Sie baut inhaltlich auf der NIS1-Richtlinie auf, indem sie

• eine große Anzahl neuer Industriesektoren und Klassifizierungen hinzufügt,
• dem Management direkte Verpflichtungen zur Einhaltung der Vorschriften auferlegt,
• detaillierte Maßnahmen zum Cyber-Risikomanagement vorgibt, die eingeführt werden müssen,
• die Bedeutung der Sicherheit auf allen Ebenen der Lieferketten berücksichtigt,
• die Anforderungen an die Berichterstattung über Vorfälle präzisiert und verschärft,
• die Möglichkeiten der Aufsichtsbehörden zur Überwachung von Unternehmen erweitert
• und Sanktionen bei Nichteinhaltung verschärft.

Eines der wichtigsten Elemente der NIS2 ist Artikel 21, der sich mit Maßnahmen zum Management von Cyber-Risiken befasst. Demnach müssen „wesentliche und wichtige Einrichtungen“ geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Sicherheit der Netz- und Informationssysteme zu gewährleisten. Die betroffenen Unternehmen müssen außerdem umfassende Richtlinien für den Umgang mit Zwischenfällen, die Aufrechterhaltung des Geschäftsbetriebs, die Offenlegung von Schwachstellen und den Schutz des Netzes entwickeln. Ein weiteres wesentliches Element des Artikels ist der Schutz von Lieferketten.

Darüber hinaus liegt ein Schwerpunkt der NIS2 auf der Schaffung einer profunden Security-Basis, einschließlich einer grundlegenden Cyber-Hygiene, der Verwendung von Kryptographie, Multi-Faktor-Authentifizierung und Zugangskontrolle. Entsprechend ist die neue Richtlinie in vielerlei Hinsicht ein Traumszenario für CISOs, denn sie schreibt vor, dass Unternehmen in grundlegende Cyber-Maßnahmen investieren müssen, für die die meisten Sicherheitsverantwortlichen schon seit geraumer Zeit dringend ein Budget benötigen.

Das wohl Bemerkenswerteste an der Richtlinie ist die zugrundeliegende Erkenntnis, dass in unserem vernetzten digitalen Zeitalter eine Schwachstelle in einem Sektor auch auf andere Sektoren übergreifen kann. Das Hauptaugenmerk liegt zwar auf „wesentlichen“ Sektoren wie Gesundheitswesen, Energie und Verkehr. Allerdings wird ein weiteres Netz ausgeworfen, um auch „wichtige“ Bereiche wie digitale Anbieter und Hersteller einzubeziehen, die mit diesen Sektoren verbunden sind. Folglich liegt der Schwerpunkt auf den sowohl physischen als auch digitalen Lieferketten.

Im Wesentlichen ist die NIS2 eine Art Aufruf der EU zu einer gemeinsamen Front gegen Cyber-Bedrohungen, der die Unternehmen dazu auffordert, sich nicht nur zu verteidigen, sondern bei ihren Cybersicherheitsstrategien zusammenzuarbeiten, sich auszutauschen und innovativ zu sein.

Was passiert bei Verstößen? Was sind die möglichen Strafen?

Die Folgen der Nichteinhaltung von NIS2 sollten nicht auf die leichte Schulter genommen werden. Parallelen zur Datenschutz-Grundverordnung (DSGVO) zeigen, dass die Strafen für die Nichteinhaltung der NIS2-Standards hart und finanziell schwerwiegend sein können. Wesentliche Einrichtungen, d. h. solche, die im Zentrum von Sektoren wie Energie und Gesundheitswesen stehen, können mit Geldbußen von bis zu 10 Millionen Euro oder 2 Prozent ihres gesamten weltweiten Jahresumsatzes aus dem vorangegangenen Steuerjahr belegt werden, je nachdem, welcher Betrag höher ist. Für wichtige Unternehmen, also aus Sektoren wie der verarbeitenden Industrie oder der Logistik, können die Geldbußen bis zu 7 Millionen Euro oder 1,4 Prozent ihres gesamten weltweiten Jahresumsatzes betragen.

Ähnlich wie bei der DSGVO hofft der Gesetzgeber, dass die hohen potenziellen Geldstrafen die Unternehmen zum Handeln motivieren werden. Zudem würde die Nichteinhaltung der Vorschriften auch den Ruf schädigen, das Vertrauen der Stakeholder untergraben und so weiterer Schaden entstehen.

Was sind mögliche blinde Flecken für Unternehmen, die unter die NIS2 fallen?

Viele Unternehmen neigen dazu, sich auf die Sicherung ihrer traditionellen IT-Systeme zu konzentrieren, um die Vorschriften einzuhalten, und übersehen dabei die Sicherheit ihrer cyber-physischen Systeme (CPS). Dies wird wahrscheinlich auch bei Artikel 21 der Fall sein.

Die meisten Branchen, die in den Zuständigkeitsbereich der NIS2 fallen, basieren auf physischen Infrastrukturen. CPS-Anlagen bilden dabei nicht nur die eigene geschäftliche Grundlage, sondern auch die Basis unserer gesamten Gesellschaft. Zu den verbreitetsten cyber-physischen Systemen, die von Unternehmen im Rahmen der NIS2 berücksichtigt werden müssen, gehören Anlagen der Betriebstechnik (OT) wie speicherprogrammierbare Steuerungen (SPS), die in der Fertigung und im Energiesektor eingesetzt werden. IoT- und IIoT-Geräte sind ebenfalls immer häufiger anzutreffen und reichen von Sicherheitskameras bis hin zu Bewegungssensoren. Darüber hinaus verfügen die meisten Unternehmen auch über Gebäudetechnik bzw. automatisierte Gebäudemanagementsysteme. Hinzu kommen noch weitere Spezialgebiete, wie z. B. vernetzte Geräte des Internet of Medical Things (IoMT) im Bereich der Gesundheitsversorgung.

Physische Systeme stellen eine größere Sicherheitsherausforderung als traditionelle IT-Systeme dar, da sie in der Regel nicht mit Standard-Sicherheitswerkzeugen und -strategien kompatibel sind und sehr empfindlich auf Änderungen im Betrieb reagieren. Unternehmen müssen sicherstellen, dass sie über die passenden Werkzeuge verfügen, um alle implementierten Kontrollen und Richtlinien auf all diese Systeme auszudehnen, um die NIS2-Vorgaben einhalten zu können.

Eine große Herausforderung stallt auch der Zeitaufwand für die Entwicklung, Einführung, Integration und Umsetzung von Sicherheitsprojekten im industriellen Umfeld dar. Diese Umgebungen sind groß, in vielen Fällen alt, hochsensibel, intransparent und können über große geografische Gebiete verteilt sein.

Welche Schritte sollten Unternehmen jetzt einleiten, um die NIS2-Vorgaben einzuhalten?

Die NIS2 wurde im Januar 2023 auf den Weg gebracht. Im Oktober 2024 werden die Richtlinien in Europa in Kraft treten (in Deutschland durch das NIS2-Umsetzungsgesetz mit leichten Abweichungen und Anpassungen) und die lokalen Behörden werden mit der Prüfung der Unternehmen beginnen. Angesichts dieses Zeitrahmens bleibt keine Zeit für Untätigkeit. Alle von der Richtlinie betroffenen Unternehmen müssen jetzt mit der Umsetzung beginnen und dafür entsprechende Budgets bereitstellen. Der Artikel 21 verlangt mehr als nur ein Abhaken von Vorschriften und Tools. Vielmehr sind diese Richtlinien, Verfahren und technischen Lösungen eine Investition in die digitale Zukunft der Unternehmen.

Unternehmen müssen sicherstellen, dass sie über leistungsstarke Fähigkeiten zur Erkennung von und Reaktion auf Cyber-Bedrohungen verfügen. Tools zur automatischen Bestandserfassung helfen bei der Identifizierung von Assets, Automatisierungssystemen sowie deren Kommunikation und sorgen dafür, dass Sicherheitsteams einen vollständigen Überblick erhalten. Wenn alle Geräte identifiziert sind, ist es wichtig, einen regelmäßigen Rhythmus für die Anwendung und Umsetzung von Sicherheitsmaßnahmen zu implementieren.

Von entscheidender Bedeutung ist ebenfalls die Segmentierung der Netzwerke, um unnötige Verbindungen und die Verbreitung von Malware einzuschränken. Dadurch werden die Auswirkungen von Cyberangriffen deutlich reduziert. Zudem ist die Sicherheit der kompletten Lieferkette eine besonders kritische Komponente. In der heutigen vernetzten Welt kann eine Schwachstelle im System eines Zulieferers leicht zu einem Einfallstor werden, selbst dann, wenn der Zulieferer zwei oder drei Stufen weiter in der Lieferkette steht. Daher sind Maßnahmen wie die Netzwerksegmentierung, die die Bewegung von Malware über Netzwerke hinweg einschränken, unerlässlich.

Die Reaktion auf Vorfälle ist ein weiterer zentraler Bereich. Es geht nicht nur darum, auf Cybervorfälle zu reagieren, sondern dies schnell, effizient und kooperativ zu tun. Es muss sichergestellt werden, dass Menschen, Prozesse und Technologie effektiv auf einen Cyberangriff reagieren können. Dies kann beispielsweise durch die Kombination aus industriellem IDS, Firewalls, industriellem sicherem Fernzugriff und Endpunktschutz mit SIEMs und SOARs in spezialisierten industriellen SOCs gelingen. Zu diesem Zweck sollten wirksame Schulungen und klare Verfahrensweisen für den Umgang mit potenziellen Bedrohungen, von der Erkennung bis zur Eindämmung, vorhanden sein. Dazu gehören die Einrichtung spezieller Teams, der Einsatz fortschrittlicher Tools und die Gewährleistung nahtloser Kommunikationskanäle sowohl intern als auch mit externen Beteiligten.

Und schließlich darf man nicht vergessen, dass die NIS2 keine einmalige Angelegenheit ist. Sie ist eine ständige Verpflichtung. Regelmäßige Audits, kontinuierliche Schulungen und das Aufgreifen der neuesten Trends im Bereich der Cybersicherheit sind entscheidend, um potenziellen Bedrohungen immer einen Schritt voraus zu sein, ohne dabei die alltäglichen Grundlagen aus den Augen zu verlieren.

Die NIS2 trägt der Tatsache Rechnung, dass Unternehmen, die in wichtigen Sektoren tätig sind, einen zentralen Platz im Gefüge unserer Gesellschaft einnehmen, so dass ihre Verantwortung für die Sicherheit über ihre finanzielle Bilanz hinausgeht. Die neue Richtlinie ist nicht nur eine weitere regulatorische Hürde. Sie ist ein Aufruf zum Handeln für Unternehmen, die Cybersicherheit als integralen Bestandteil ihrer Geschäftsstrategie zu betrachten. Die konsequente Umsetzung der NIS2 kann den Weg für eine sicherere, widerstandsfähigere und kooperativere digitale Zukunft für alle ebnen.