Kritische Infrastrukturen und die EU-Direktive NIS2: Darauf müssen sich Unternehmen einstellen
25. Mai 2023Am 16. Januar 2023 trat die EU-Richtlinie NIS2 in Kraft. Sie ersetzt die NIS-Direktive von 2016 und bildet den europäischen Rahmen der IT-Sicherheit für Betreiber kritischer Infrastrukturen (KRITIS). Bis Oktober 2024 muss sie in nationales Recht umgesetzt sein. Ab dann gelten die Cyber-Sicherheits-Mindestanforderungen für eine wesentlich breitere Masse deutscher Firmen als zuvor. Führungskräfte in betroffenen Unternehmen und Organisationen sollten sich daher jetzt mit der hauseigenen IT-Sicherheitsstrategie auseinandersetzen und nötige Anpassungen anstoßen.
Die Richtlinie zur Netz- und Informationssicherheit 2 (NIS2) legt die Mindestanforderungen für die IT-Sicherheit bei KRITIS-Unternehmen fest. Sie bringt damit – wie schon ihre Vorgängerin – das wichtige Bestreben der EU-Mitgliedsstaaten zum Ausdruck, das Cyber-Security-Niveau europaweit sowohl zu harmonisieren als auch zu erhöhen.
Die aktualisierte und erweiterte Fassung der Direktive ist somit auch als Anreiz für Firmen in Europa zu verstehen, ihre IT-Sicherheitsmaßnahmen auf Stand zu bringen. Denn manchmal braucht es eben Druck von außen, damit wichtige und längst überfällige Maßnahmen umgesetzt werden.
Wie die harten Verhandlungen unter den Mitgliedsstaaten gezeigt haben, sind einige Länder weiter als andere. Deutschlands Legislative arbeitet bereits länger an einer Neuauflage des IT-Sicherheitsgesetzes, um es den sich stetig weiterentwickelnden Bedrohungsszenarien anzupassen.
Die Version 3.0 soll Ende dieses Jahres als Gesetzesentwurf vorliegen und wird dann auch an den erweiterten Geltungsbereich von NIS2 angepasst sein. Andere EU-Nationen sind noch nicht so weit: Es wird darauf ankommen, sich gegenseitig zu unterstützen, damit alle Europäer von dem hohen IT-Sicherheitsniveau profitieren können.
Änderungen im Vergleich zur NIS-Direktive von 2016
Der Unterschied zwischen der ersten und der zweiten Version der NIS-Richtlinie besteht vor allem darin, dass sich ihr Anwendungsbereich maßgeblich erweitert hat. In der ersten Version lag der Fokus auf Unternehmen und Organisationen aus dem direkten KRITIS-Umfeld, während die Privatwirtschaft nur wenig betroffen war.
Mit NIS2 wird der Kreis erweitert. Die neue Einteilung in „wesentliche“ und „wichtige“ kritische Sektoren gilt auch für die Privatwirtschaft; die Anzahl der Sektoren, deren Unternehmen die Mindestanforderungen erfüllen müssen, hat sich von elf auf 18 erhöht. Zudem nimmt NIS2 auch kleinere Firmen ab 50 Mitarbeitern und zehn Millionen Euro Umsatz in den Fokus.
Eine Neuerung in den NIS2-Bestimmungen, von der zwar positive Entwicklungen hinsichtlich des IT-Security-Niveaus zu erwarten sind, die aber gleichzeitig auch zusätzlichen Druck auf Firmen ausübt: Die Supply Chain bekommt Bedeutung.
Unternehmen müssen nun die Cyber-Sicherheit ihrer Lieferketten prüfen und sicherstellen, dass ihre Zulieferer ausreichend vor Cyber-Bedrohungen geschützt sind. Dies ist ein bedeutender Schritt, denn Lieferketten werden immer länger und komplexer und ein Zuliefererausfall – etwa durch eine Cyber-Attacke – kann schnell zu unvorhergesehenen kritischen Engpässen führen.
Bedauerlich ist allerdings, dass die Direktive Ausnahmen formuliert, die den öffentlichen Sektor betreffen. Diese Schlupflöcher erlauben es, sich vor der Umsetzung von IT-Sicherheitsmaßnahmen zu drücken. Da staatliche Institutionen häufig Ziel von Cyber-Angriffen sind, ist anzunehmen, dass dies den sicherheitstechnischen Fortschritt insgesamt behindern wird.
So können sich Unternehmen vorbereiten
Mit den Änderungen in der NIS-Direktive verhält es sich ähnlich wie mit dem Inkrafttreten der EU-Datenschutz-Grundverordnung im Jahr 2018. Auch hier war Deutschland schon recht weit, als das Thema europaweit auf der Agenda stand. Mit dem geltenden IT-Sicherheitsgesetz sind wir hier in vielen Belangen also schon gut auf die Anforderungen von NIS2 vorbereitet – vielmehr geht es um die verbindliche Harmonisierung auf EU-Ebene.
Doch auch wenn Deutschland im Ländervergleich gut abschneidet, sollten sich Führungskräfte nicht darauf ausruhen, sondern die neue Richtlinie zum Anlass nehmen, sich jetzt aktiv mit der hauseigenen IT-Sicherheitsstrategie auseinanderzusetzen. Ähnlich wie bei der Datenschutzgrundverordnung sollten sie sich rechtzeitig überlegen, ob und wie sie geeignete Maßnahmen umsetzen.
Ein Informationsmanagement-System (IMS) zu implementieren, kann ein erster Schritt sein. Es braucht Zeit, Investitionen und Budget, um ein entsprechendes Managementsystem auf- und umzusetzen. Die Einführung von Best Practices, wie zum Beispiel einer ISO-Norm 27001 oder IT-Grundschutz, helfen dabei, Risiken im IT-Sicherheitsbereich zu verstehen und zu minimieren. Unterstützen können auch Managed Security Service Provider (MSSP) – externe Dienstleister, die Unternehmen bei der Realisierung von IT-Sicherheitsmaßnahmen beraten.
Eines sollten sich Unternehmen dabei immer vor Augen führen: Die Richtlinie stößt einen Prozess an, der im Grunde zu begrüßen ist und langfristig zur Sicherung des wirtschaftlichen Erfolgs auf nationaler und internationaler Ebene beiträgt. Darum ist es wichtig, nicht zu lange zu zaudern, sondern jetzt loszulegen.
Dirk Wocke ist IT-Compliance Manager und Datenschutzbeauftragter bei indevis.