NIS-2feln Sie, ob Sie betroffen sind?

Als europäische Richtlinie soll die Network and Information Systems Directive 2 (NIS-2) die Sicherheit von Netzwerken und Informationssystemen in Europa stärken, indem die Sicherheitsanforderungen europaweit angeglichen werden: Nicht nur kritische Infrastrukturen, sondern auch wesentliche Wirtschaftssektoren sollen nun nach konkreten Anforderungen zum Risikomanagement und Meldewesen proaktiv und reaktiv geschützt werden. Als Weiterführung der Netz- und Informationssicherheitsrichtlinie (NIS1-Richtlinie) beziehen sich die Änderungen insbesondere auf die Erweiterung der betroffenen Sektoren: Nicht nur kritische Infrastrukturen, sondern auch 30.000 nach dem Gesetz als „wichtig“ oder „besonders wichtig“ eingeordnete Unternehmen haben Registrierungs-, Nachweis- und Meldepflicht (vgl. BSI 2024). Zu den wesentlichen Sektoren gehören u.a. Energie, Gesundheitswesen sowie öffentliche Verwaltungen; Zu den wichtigen Sektoren u.a. Forschungseinrichtungen, verarbeitendes Gewerbe sowie die Abfallbewirtschaftung.

Was bedeutet das für Sie?

Zunächst sind Sie dazu verpflichtet, für Ihr Unternehmen festzustellen, ob es den Anforderungen der NIS-2 unterliegen wird. Es lohnt sich dabei, Unterstützung durch Experten in Anspruch zu nehmen. Denn für den Betroffenheits-Check sind vielerlei Informationen relevant:

• Sektor der wirtschaftlichen Tätigkeit des Unternehmens
• Unternehmensgröße
• Unternehmensgewinn / Jahresbilanzsumme
• rechtliche Stellung des Unternehmens

Auch die Unternehmensart spielt eine Rolle: Ob Ihr Unternehmen eigenständig und unabhängig ist, oder ein verbundenes Unternehmen oder Partner-Unternehmen ist. Als Schwellenwerte werden zur Unternehmensgröße mehr als 50 Mitarbeitende oder ein Umsatz von über 10 Millionen Euro sowie eine Bilanzsumme von über 10 Millionen Euro genannt – dabei werden zwei aufeinanderfolgende Geschäftsjahre betrachtet. Bezüglich der Mitarbeiterzahl ist es wichtig, dass nur Vollzeitkräfte und Leiharbeitnehmer zählen, Auszubildende und Arbeitnehmer in Elternzeit werden nicht gezählt.

Welche Konsequenzen hat die NIS-2-Betroffenheit für Ihr Unternehmen?

Wenn geklärt ist, dass Sie von den Anforderungen zur Netzwerk- und Informationssicherheitsrichtlinie betroffen sind, fragen Sie sich zurecht, welche konkreten Konsequenzen das für Ihr Unternehmen und die Geschäftsprozesse hat. Informationssicherheit nach NIS-2 bedeutet, dass ein Risikomanagement besteht, das auf die besonderen Bedürfnisse des Unternehmens angepasst ist. Hierzu gehört auch, dass IT-Sicherheit gewährleistet wird, denn in der Risikobetrachtung spielen Cyberbedrohungen eine große Rolle.

Als größte globale Geschäftsrisiken liegen laut dem Allianz Risk Barometer 2024 Cyber-Vorfälle mit 36 % auf Platz 1, darunter Unterbrechungen von IT-Netzwerken und -Diensten, Malware und Ransomware sowie Datenschutzverletzungen. Die Auswirkungen eines Cyber Incidents können sich von Geschäfts- und Lieferkettenunterbrechungen bis hin zum Reputationsverlust und zur Existenzbedrohung belaufen. Ein ganzheitliches Risikomanagement, das sowohl IT, OT und IIOT (Industrial Internet of Things) berücksichtigt, kann zwar Cyber-Vorfälle nicht ausschließen, ermöglicht jedoch bei regelmäßiger Überprüfung geringere Auswirkungen von Störungen: Denn zum einen können bei der Risikoanalyse Risiken beseitigt oder zumindest vermindert werden, zum anderen können durch das rechtzeitige Einleiten eines Notfall- und Krisenplans schlimmere Situationen vermieden werden.

Hierbei fordert die NIS-2 ein konkretes Konzept zur Risikoermittlung, zur Bewertung der Risikomanagementmaßnahmen und zur Beurteilung kritischer Lieferantenrisiken unter Berücksichtigung des All-Hazard-Prinzips (Allgefahrenansatz). Dieser Allgefahrenansatz betrachtet nicht nur Cyberrisiken, sondern jede Form von Risiko – ob durch Standort, Fehlverhalten oder technisches Versagen verursacht. Diese Risiken müssen transparent dargestellt werden, um alle relevanten Stakeholder darüber aufklären zu können.

Wenn es zu einem “erheblichen Sicherheitsvorfall” (der vom BSI definiert wird) kommt, müssen Unternehmen konkrete Meldefristen einhalten. Für den digitalen Sektor wird es dazu eine Durchführungsverordnung geben, der spezifiziert, ab wann ein Vorfall als “erheblich” einzustufen ist. Für andere Unternehmen liegen Richtwerte wie Ausmaß des Vorfalls oder Höhe des Schadens vor. Für alle betroffenen Unternehmen gilt folgendes Vorgehen: Zunächst muss man sich innerhalb von 3 Monaten bei einer übergreifenden Plattform registrieren, die voraussichtlich ans BSI angegliedert ist. Im Angriffsfall muss an eben dieser Meldestelle innerhalb von 24h eine Erstmeldung, eine Bestätigung innerhalb von 72h und ein Abschlussbericht spätestens nach einem Monat erfolgen.

Um auf den Notfall bestmöglich vorbereitet zu sein, müssen Notfall- und Krisenpläne mit klar definierten Verantwortlichkeiten bestehen, die regelmäßig mit allen Beteiligten geübt werden müssen. Denn nur, wenn das Risikomanagement regelmäßig überprüft und angepasst sowie das geplante Vorgehen bei einem Angriffsfall regelmäßig geübt wird, kann der Schaden im Angriffsfall minimiert werden.

Denn im schlimmsten Fall kann ein Angriff für unsere Beispielsfirma XYZ GmbH zu einem Produktionsstopp führen und damit für enorme finanzielle Verluste – und es kommt noch schlimmer: Da die XYZ GmbH ein wichtiger Zulieferer der Automobilbranche ist, haben Produktions- und Betriebsausfälle enorme Auswirkungen auf die gesamte Automobilindustrie.

Welche Vorteile haben Sie also durch NIS-2?

Daher lohnt es sich auch von Ihrer Seite aus, Ihre Sicherheitsrisiken zu kennen und zu verwalten und so den Schutz vor Cyberangriffen zu erhöhen. Wenn Cybersicherheitsvorfälle frühzeitig erkannt werden können, kann Handlungsfähigkeit hergestellt und die Auswirkungen von Sicherheitsvorfällen minimiert werden. Durch NIS-2 wird insbesondere ein Fokus auf die Supply Chain Security und damit auch auf bestehende Business Continuity Management Systeme bei den Zulieferern gelegt.

Denn für kritische Infrastrukturen und wichtige Wirtschaftssektoren sind etablierte Notfallprozesse ein Must-Have. Damit alle wichtigen Stakeholder darüber informiert sind, welche genauen (Kommunikations-) Schritte im Notfall vorgesehen sind, wird in NIS-2 zudem das Thema Schulung und Training der Mitarbeitenden aufgegriffen: Darunter sind nicht nur die bereits angesprochenen Notfallübungen zu verstehen, sondern spezifische Ausbildungen und Awareness-Trainings insbesondere für die Bereiche Einkauf (Supply Chain), IT-Sicherheit und die Geschäftsführung. Als Geschäftsführer der XYZ GmbH müssen Sie daher gemäß § 38 Abs. 3 BSIG-E nachweisen, dass Sie eine NIS-2-Risikomanagement-Schulung besucht haben.

Als Geschäftsleitung haften Sie für alle Unternehmensrisiken, auch für die vermehrt aufkommenden IT-Risiken. Bei Nicht-Registrierung oder Nicht-Einhalten der Anforderungen nach NIS-2 gibt es Sanktionen und hohe Geldstrafen. Es lohnt sich also, sich bereits jetzt mit NIS-2 intensiv auseinanderzusetzen und auf Beratungs- sowie Schulungsangebote zurückzugreifen: Wir bieten dazu eine spezifische Risikomanagement-Schulung für Geschäftsleitungen und einen NIS-2 Readiness Check an, um Compliance herzustellen.

Kontaktieren Sie uns gerne für ein Erstgespräch, wir beraten Sie gerne zu NIS-2!

Quellen:

BSI (2024): Bundesamt für Sicherheit in der Informationstechnik. Umsetzung der NIS-2-Richtlinie für die regulierte Wirtschaft. Erste Informationen für voraussichtlich betroffene Unternehmen. Online: https://www.bsi.bund.de/…:~:text=Die%20NIS-2-Richtlinie%20ist%20eine%20neue%20EU-Richtlinie%20zur%20Netzwerk (Zugriff: 26.09.2024)

Allianz Commercial (2024): Allianz Risk Barometer 2024, S. 4. Allianz Global Corporate & Specialty SE. Online: https://commercial.allianz.com/… (Zugriff: 26.09.2024)

BSIG-E (2024): Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informations­sicherheits­managements in der Bundesverwaltung. Online: https://www.bmi.bund.de/…
(Stand: 07.05.2024; Zugriff: 23.10.2024)