Die wirtschaftliche und die politische Weltlage gepaart mit der Corona-Pandemie haben die Angreifbarkeit der europäischen Wirtschaft durch Cyber-Attacken deutlich gemacht. Der Branchenverband Bitkom veröffentlichte, dass der deutschen Wirtschaft durch Datendiebstahl, Spionage und Sabotage ein jährlicher Schaden von rund 203 Milliarden Euro entsteht. 45 Prozent der Unternehmen meinen sogar, dass Cyberattacken ihre geschäftliche Existenz bedrohen können.
NIS2: Handlungsbedarf für viele Unternehmen
Die EU will nun mehr Resilienz in die gesamte Infrastruktur bringen und brachte daher am 10. Oktober 2022 die Richtlinie NIS2 auf den Weg. Diese müssen alle EU-Mitgliedsstaaten nun innerhalb von 21 Monaten in nationales Recht umsetzen. Für viele Unternehmen in Deutschland ergibt sich daraus bis Herbst 2024 ein erheblicher Handlungsdruck. Die Frage ist nicht mehr, ob sich Unternehmen des Themas Cyber-Security annehmen wollen, die Frage ist, wie intensiv sie dies tun möchten bzw. müssen. Klar ist: Ein Mindeststandard an Sicherheit muss von Unternehmen in Europa künftig erfüllt werden.
Was ändert sich mit der Richtlinie NIS2?
1. Die Anzahl der von der Richtlinie betroffenen Branchen wurde ausgeweitet.
Grundsätzlich wird zwischen wesentlichen Diensten (Essential Services) und wichtigen Diensten (Important Services) unterschieden. 8 Sektoren sind neu dazugekommen, einige wurden erweitert.
Wesentliche Dienste:
- Energie
- Gesundheit
- Verkehr
- Banken und Finanzmärkte
- Wasser und Abwasser (Neu)
- Digitale Infrastruktur / Informations- und Kommunikationstechnik
- Raumfahrt (Neu)
- öffentliche Verwaltung (Neu)
Wichtige Dienste:
- Post und Kurierdienste (Neu)
- Abfallwirtschaft (Neu)
- Chemische Produktion (Neu)
- Lebensmittel (Neu)
- Verarbeitende/herstellende Industrie (Neu)
- Digitale Dienste
- Bildung und Forschung(Neu)
Darüber hinaus sollen künftig zu den kritischen Infrastrukturen unabhängig von Schwellwerten auch Unternehmen und Organisationen mit 50 oder mehr Mitarbeitenden sowie einem Jahresumsatz von mindestens zehn Millionen Euro unter die Verordnung fallen.
2. Strengere Meldepflicht
Im Falle eines Sicherheitsvorfalles muss eine erste Meldung bereits innerhalb von 24 Stunden nach Kenntnisnahme des Vorfalles bei den zuständigen Behörden eingehen. Nach spätestens 72 Stunden soll ein Bericht zum Vorfall ausgehändigt werden. Dieser sogenannten „Indicators of Compromise“ erfordert ein dediziertes Security-Know-how. Spätestens einen Monat nach dem Vorfall muss zudem ein Abschlussbericht vorgelegt werden, der neben der Beschreibung des Sicherheitsvorfalls auch seinen Schweregrad beinhalten muss – inklusive der Auswirkungen sowie die getroffenen Abhilfemaßnahmen. Dem Risikomanagement fällt demnach eine besondere Bedeutung zu.
3. Verschärfte Durchsetzung
Die Haftung sowie die Bußgelder wurden empfindlich verschärft und orientieren sich an der DSGVO. Bisher waren die Sanktionen auf 150.000 Euro beschränkt. Künftig können für wesentliche Dienste Geldbußen von bis zu 1,4 Prozent des Jahresumsatzes beziehungsweise 7 Millionen Euro erhoben werden, in Einzelfällen sogar bis zu 2 Prozent des Jahresumsatzes oder 10 Millionen Euro. Grundsätzlich ist die Unternehmensführung immer haftbar für etwaige Verstöße.
4. Mehr Befugnisse der Aufsichtsbehörden
Die Aufsichtsbehörden haben die Möglichkeit für regelmäßige und gezielte Sicherheitsaudits, Inspektionen vor Ort sowie Ad-hoc-Überprüfungen im Ernstfall einschließlich des Durchführens von Sicherheits-Scans.
5. Vorgaben zu Maßnahmen
Zum Schutz der IT-Infrastruktur und der Netzwerke kritischer Dienstleistungen müssen betroffene Unternehmen künftig folgende Security-Maßnahmen umsetzen:
- Richtlinien für Risiken und Informationssicherheit
- Notfallmanagement
- Business Continuity Management
- Sicherheit in der Lieferkette
- Sicherheit in der Beschaffung von IT und Netzwerk-Systemen
- Vorgaben zur Messung von Cyber- und Risikomaßnahmen
- Umfangreiche Verschlüsselungsmaßnahmen
- Einsatz von Multi-Faktor-Authentifizierung und Single Sign-on
- Einsatz sicherer Sprach-, Video- und Text-Kommunikation
Und was jetzt?
Prüfen Sie schon jetzt, ob Ihr Unternehmen betroffen ist. Ist dies der Fall, setzen Sie sich proaktiv mit dem Thema auseinander und arbeiten Problemfelder rechtzeitig heraus, um entsprechende Maßnahmen ergreifen zu können.
Die fristgerechte Erfüllung aller Anforderungen wird für Unternehmen, die keinen Informationssicherheitsbeauftragten haben, vermutlich eine große Herausforderung werden. Hier lohnt es, sich rechtzeitig externe Unterstützung einzuholen.