Fachartikel

NIS-2: Warum muss IT-Sicherheit überhaupt reguliert werden?

Zur Frage, warum IT-Sicherheit reguliert werden muss, gibt es gute Argumente, die nicht von der Hand zu weisen sind: Unternehmen, die zum KRITIS-Sektor zählen, haben oftmals eine Monopolstellung inne, beispielsweise Grundversorger wie Krankenhäuser oder Wasseranbieter.
Kunden haben keine Möglichkeit, zu einem Anbieter mit höheren Sicherheitsstandards, zum Beispiel für ihre Gesundheitsdaten, zu wechseln. Zudem existiert keinerlei Transparenz zu den IT-Sicherheitsmaßnahmen der Unternehmen: Es ist für Kunden nicht nachvollziehbar, wie es um die Sicherheit bestellt ist. Der Gesetzgeber hat in beiden Fällen ein berechtigtes Interesse, IT-Sicherheitsstandards zum Schutz von Bevölkerung und Infrastruktur zu etablieren. Daher wurde in der ersten Phase der Standard beim KRITIS-Sektor erhöht. Mit NIS-2 werden weitere Unternehmen in die Pflicht genommen.

NIS-2 in Kürze

Die aktualisierte EU-Richtlinie fördert die Cyber-Sicherheit in den Mitgliedsstaaten. Sie führt strengere Sicherheitsmaßnahmen ein und dehnt den Geltungsbereich auf weitere Sektoren aus. Die Einhaltung der NIS-2 ist entscheidend für den Schutz vor Cyber-Bedrohungen, die Gewährleistung der Rechtskonformität und die Aufrechterhaltung der betrieblichen Widerstandsfähigkeit. NIS-2 fügt sich nahtlos in bestehende Sicherheits- und Compliance- Programme wie die Datenschutzgrundverordnung ein.

Fehlende Sicherheitsstandards trotz steigender Vorfälle

Obwohl man allerorts von Security-Vorfällen und -Angriffen hört, zögern viele Unternehmen noch, ihre Cyber-Resilienz zu erhöhen. Umfragen wie der aktuelle BSI-Report zur Lage der IT-Sicherheit in Deutschland 2024 führen als Gründe mangelnde Ressourcen und fehlendes Know-how der Unternehmen an. Unterschätzt bleibt wie so oft die strategische Ausrichtung des Outsourcings mittels Managed Security Services wie etwa Managed XDR. Entgegen der Annahme, dass dies zur Abhängigkeit von Dienstleistern führt, schafft dieser Schachzug maximale Transparenz und klare Prozesse. Es entsteht mehr Freiraum für die eigene Wertschöpfung, und gleichzeitig sinken Ressourcenmangel und Kostendruck.

Sektoren der NIS-2-Umsetzung

Für die Infrastruktur besonders relevante Sektoren, wie Energie, Bankwesen, Verkehr/Transport, Lebensmittel oder Gesundheitswesen (KRITIS), waren bereits in der vorherigen NIS-Direktive enthalten. Die NIS-2 fordert nun Unternehmen der folgenden Sektoren zur Umsetzung höherer Sicherheitsmaßnahmen auf:
  • Trinkwasser und Abwasser
  • Verwaltung von IKT-Diensten (B2B)
  • Öffentliche Verwaltung
  • Weltraum
  • Post- und Kurierdienste
  • Verarbeitendes Gewerbe / Herstellung von Waren
  • Anbieter digitaler Dienste
  • Forschung
Als Schwellenwert in puncto Unternehmensgröße gilt eine Beschäftigtenzahl von mehr als 50 Mitarbeitern oder ein Jahresumsatz von mehr als 10 Millionen Euro. Insgesamt betrifft NIS-2 mehr als 50.000 Unternehmen in Deutschland. Im Falle eines Verstoßes drohen Sanktionen von bis zu 2 Prozent des Jahresumsatzes oder bis zu 10 Millionen Euro. Die Verantwortung und Haftung liegen dabei bei der Geschäftsführung.

Ein Termin schafft Tatsachen für zeitnahes Handeln

Mit dem Stichtag am 14. Oktober 2024, bis zu dem die NIS-2-Richtlinie in den EU-Staaten in nationales Recht hätte umgesetzt werden sollen, hat das Bundesministerium einen Handlungszeitraum definiert, der bei den meisten Unternehmen eines ausgelöst hat: nichts. Von Aussitzen oder Verschiebung des Termins war die Rede. Alles Mutmaßungen, hofften Sicherheitsbeauftragte, die den Wert hinter dem Gesetz sahen. Und doch: eine bittere Wahrheit, denn zum Stand des Abdrucks dieses Artikels ist das Gesetz in Deutschland noch nicht bestätigt worden. Wir wissen nicht, wann dies geschieht. Wir wissen nur: Es kommt. Unternehmen können sich jetzt noch gezielt darauf vorbereiten und Maßnahmen nachhaltig und ohne Zeitdruck etablieren.

Folgen bei Nichteinhaltung

Mögliche Vorfälle können zu technischen Ausfällen, finanziellen Verlusten und einem geschädigten Ruf führen. Und: Die Verantwortlichen können auch persönlich haftbar gemacht werden.
  • Geldbußen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes
  • erzwungene zusätzliche Maßnahmen der Behörden
  • persönliche Haftung der Geschäftsführung

Regularien können kontrolliert werden

In der IT-Sicherheit gilt das Prinzip der Angemessenheit. Sicherheit soll nicht wegen eines Gesetzes erhöht werden, sondern im Verhältnis ihrer Auswirkungen bei einer Störung und deren Folgen. Die Risiko-Vermeidung soll aber auch nicht dem Zufall überlassen bleiben. Mit dem risikoorientierten Ansatz können KRITIS-Unternehmen und mit NIS-2 auch weitere Sektoren auf die definierten Standards hin kontrolliert werden. Die Überprüfbarkeit scheint schwer zu realisieren, weil die konkrete Ausgestaltung der Sicherheitsmaßnahmen stark individuell ist. Überprüft werden kann somit weniger der „Erfolg“ der Maßnahme, sondern die Maßnahme selbst, die kontinuierliche Überwachung, Dokumentation und Prozessentwicklung.

Standards schaffen keine hundertprozentige Sicherheit, aber eine Grundlage

Mit NIS-2 sind Unternehmen aufgefordert, folgende Sicherheitsmaßnahmen einzuführen und nachzuweisen:
  1. Incident Management: Monitoring, Bewertung, Reaktion und Behebung von Sicherheitsvorfällen
  2. Business Continuity Management (BCM): Backup-Management, Wiederherstellung und Krisenmanagement
  3. Risikomanagement: insbesondere rund um Cyber-Sicherheit, Sicherheit der Informationssysteme und Sicherheit in der Lieferkette
  4. Verfahren für den Einsatz von Kryptografie und Verschlüsselung
  5. Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
  6. „Cyber-Hygiene“: zum Beispiel regelmäßige Updates, Mitarbeiterschulungen zur Cyber-Sicherheit usw.
  7. Meldesystem:
    Bei erheblichen Sicherheitsvorfällen sind Unternehmen verpflichtet, innerhalb von 24 Stunden ab Kenntnis eine Frühwarnung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu leisten. Innerhalb von 72 Stunden ist ein ausführlicher Bericht mit Bewertung einzureichen und nach einem Monat ein Abschlussbericht inklusive Maßnahmen.

Risikomanagement

Unter Risikomanagement versteht man im Allgemeinen den Prozess der kontinuierlichen Identifikation, Analyse, Bewertung und Behandlung von Risiken. Kurzum: die Augen und Ohren offen zu halten und möglichen Vorfällen vorzubeugen. Daher stellt Risikomanagement in NIS-2 eine wichtige Maßnahme dar. Damit der Umgang mit Risiken nicht zufällig und planlos geschieht, unterstützt methodisch ein Risikomanagement-System, das die schutzbedürftigen Werte des Unternehmens benennt und dessen Risiken samt Eintrittswahrscheinlichkeit und Auswirkungsgrad transparent aufzeigt. So werden die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit sichergestellt. Dazu reicht eine Excel- Datei oder noch besser: ein smartes Tool. Aktives Risikomanagement stellt somit eine Entscheidungsgrundlage für ein effizientes Handeln dar. IT-Verantwortliche erhalten eine Priorisierung der potenziellen Gefahrenquellen für ihre Infrastruktur und somit proaktiven Handlungsspielraum.

Fazit: Muss nicht, hilft aber!

An der Verbesserung der IT-Sicherheit ist allen gelegen, daher können grundlegende Sicherheitsmaßnahmen – wie in NIS-2 vorgegeben – auf lange Sicht nur förderlich sein. Ärgern sollte sich keiner, da ein Zögern und die Leichtsinnigkeit vieler Unternehmen größere Folgen haben. Ja, es scheint, wir brauchen Regularien, denn das Ziel ist klar, die Methode bewährt. Ein allzu schneller Effekt darf durch regulatorische Maßnahmen jedoch nicht erwartet werden. Es obliegt noch immer verantwortungsvollem Unternehmertum, keine Türen im Betrieb offen stehen zu lassen.
Sven Hillebrecht, General Manager der Adlon Intelligent Solutions GmbH, Ravensburg