Was ist NIS-2 eigentlich?

Die Network and Information Security Directive 2 (NIS-2) ist eine umfangreiche, EU-weite Richtlinie, die Ende 2022 beschlossen wurde. Sie umfasst eine Vielzahl an IT-sicherheitstechnischen Standards, die von einer breiten Menge an Unternehmen umgesetzt werden müssen.

Neu an NIS-2 ist, dass nicht nur Betreiber kritischer Infrastrukturen betroffen sind. Auch Unternehmen aus Bereichen wie der Lebensmittelproduktion, chemischen Verarbeitung oder Forschung müssen die Anforderungen erfüllen, sofern sie mehr als 50 Mitarbeitende beschäftigen oder einen Jahresumsatz von mehr als 10 Mio. € erzielen.

NIS-2: Sind Sie bereit?

Die digitale Bedrohungslage für Unternehmen wächst täglich und die EU reagiert. Mit der NIS-2-Richtlinie zur Cybersicherheit erhöht sie die Mindestanforderungen an die Cybersicherheit für rund 29.000 Unternehmen allein in Deutschland.

Neben großen KRITIS-Betreibern müssen auch viele mittelständische Unternehmen ihre Cybersecurity-Strategie anpassen, um den gesetzlichen Vorgaben gerecht werden. Wer jetzt handelt, stärkt nicht nur seine IT-Sicherheit, sondern auch das Vertrauen von und Kunden und Partnern.

Was fordert NIS-2?

Aufbauend auf bereits vorhandene Richtlinien besteht NIS-2 grundsätzlich aus drei Themenkomplexen: Risikomanagement & Cybersicherheitsmaßnahmen, Meldepflichten und Schulung. Für all diese Punkte gilt zur Nachweisbarkeit eine umfassende Dokumentationspflicht.

Risikomanagement & Cybersicherheitsmaßnahmen

Unternehmen sind nach NIS2 verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen und zu dokumentieren. Dabei richtet sich die Verhältnismäßigkeit am Risiko. Größe der Einrichtung, etwaige Kosten, Eintrittswahrscheinlichkeit und Schwere der Folgen sind zusätzlich Kriterien, welche die Bemessung beeinflussen.

Das Risikomanagement muss alle IT-Systeme, Komponenten und Prozesse erfassen, die das Unternehmen zur Erbringung seiner Dienstleistungen verwendet.

Folgende Maßnahmen zählen dabei zu den Mindestanforderungen:

- Risikoanalyse
- Umgang mit Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs, Backup-Management, Disaster Recovery, Krisenmanagement
- Sicherheit in der Lieferkette
- Sicherheitsmaßnahmen für Beschaffung, Entwicklung und Wartung Systematische Bewertung der Wirksamkeit von Maßnahmen zum IT-Sicherheitsrisikomanagement
- Grundlegende Cyberhygiene
- Schulungen zur Informationssicherheit
- Systematischer Einsatz von Kryptografie und Verschlüsselung
- Personalsicherheit, Konzepte für Zugriffskontrolle und Asset Management
- Einsatz von Authentifizierungslösungen, sichere Sprach-, Video- und Textkommunikation

Meldepflichten

Von NIS2 betroffene Unternehmen müssen dem BSI erhebliche Sicherheitsvorfälle melden. Ob Sicherheitsvorfälle erheblich sind oder nicht, hängt davon ab, ob Schäden für das eigene Unternehmen oder andere Unternehmen entstanden sind oder voraussichtlich entstehen werden. Schäden müssen dabei nicht nur monetär, sondern können auch rechtlich oder reputativ sein

Die Meldefristen sind dabei streng bemessen. Nach Kenntniserlangung muss innerhalb von 24 Stunden eine frühe Erstmeldung erfolgen. Nach 72 Stunden eine zweite mit aktuellen Erkenntnissen und nach 30 Tagen eine Abschlussmeldung. Die Meldung beinhaltet eine Bewertung unter Aspekten wie Schweregrad und Auswirkung des Vorfalls.

Unternehmen müssen also Systeme etablieren, welche eine zeiteffiziente und reaktive Aktion beim Auftreten von Sicherheitsvorfällen auslöst und den Kontakt zum BSI pflegt.

Schulung

Ein zentraler Bestandteil von NIS2 ist die regelmäßige Schulung und Sensibilisierung aller Mitarbeitenden im Umgang mit Informationssicherheit. Unternehmen müssen sicherstellen, dass Beschäftigte über die notwendigen Kenntnisse verfügen, um Sicherheitsrisiken frühzeitig zu erkennen und angemessen zu reagieren. Dies betrifft nicht nur IT-Fachkräfte, sondern insbesondere auch Mitarbeitende in Verwaltung, Produktion und Management.

Die Schulungen sollen dazu beitragen, ein unternehmensweites Bewusstsein für Cyberrisiken zu schaffen und den sicheren Umgang mit digitalen Arbeitsmitteln zu fördern. Inhalte können Themen wie Phishing-Erkennung, sicheres Passwortmanagement, der Umgang mit sensiblen Daten oder das richtige Verhalten bei Sicherheitsvorfällen umfassen.

Darüber hinaus verpflichtet NIS2 auch die Geschäftsleitung, sich regelmäßig über aktuelle Bedrohungen und Schutzmaßnahmen zu informieren. Die Verantwortung für Cybersicherheit liegt ausdrücklich auf Leitungsebene. Führungskräfte müssen daher nachweislich geschult werden, um die Einhaltung der Sicherheitsanforderungen zu überwachen und fundierte Entscheidungen treffen zu können.

Unternehmen sollten die Durchführung und Teilnahme an Schulungen dokumentieren, um gegenüber Aufsichtsbehörden nachweisen zu können, dass die Vorgaben aus NIS2 erfüllt werden.

Sind Sie von der NIS2 Richtlinie betroffen?

Die NIS2-Richtlinie gilt für Unternehmen, Organisationen und Behörden, die in bestimmten kritischen Sektoren tätig sind. Diese Sektoren sind in zwei Gruppen eingeteilt: wichtige Einrichtungen und besonders wichtige Einrichtung.

Grundsätzlich betroffen sind alle nach NIS2 als wichtig und besonders wichtig eingestuften Einrichtungen sobald diese mindestens 50 Mitarbeitende beschäftigen oder einem Jahresumsatz über 10 Millionen Euro erzielen.

Betroffene Sektoren

„Besonders wichtige“ Einrichtungen

Darunter fallen:

Energie
Transport und Verkehr
Finanzwesen
Gesundheit
Wasser
Digitale Infrastruktur
Weltraum

„Wichtige“ Einrichtungen

Darunter fallen:

Abfallbewirtschaftung
Handel mit chemischen Stoffen, Lebensmitteln, medizinischen, elektronischen oder maschinenbautechnischen Ausrüstungen
Anbieter digitaler Dienste
Forschung
Postdienste

Was können Sie jetzt schon tun?

Der Aufbau eines wirksamen Cybersicherheitssystems ist ein stetig laufender Prozess, der von der Führungsebene angetrieben werden muss, um wirklich erfolgreich zu sein. Das erste Signal geht also klar an die Geschäftsleitung. Sie muss die folgenden Punkte einleiten und Verantwortung im Bereich des Risikomanagements übernehmen.

1. Bilden Sie ein Cybersicherheitsteam

Die von NIS-2 geforderten Maßnahmen sind komplex und erfordern qualifiziertes Personal in der Umsetzung. Das BSI empfiehlt hierbei ein Team von mindestens zwei Personen, das zukünftig Ihre IT-Sicherheit koordiniert. Bei größeren Unternehmen sollten Sie die Teamgröße dementsprechend anpassen.

2. Analysieren Sie bestehende Systeme Ihrer Informationssicherheit

Machen Sie sich ein Bild über Ihre IT-Infrastruktur. Wie ist Ihr Unternehmen technisch aufgestellt? Wo steht welche Technik und wie ist sie miteinander verbunden? Welche informatischen Dienste werden für welche Prozesse benötigt?

Vor allem bei kleineren Unternehmen ist es möglich, dass die Cybersicherheit bisher kein Thema gespielt hat. Aber auch große Unternehmen können bei organisch gewachsene Strukturen Schwierigkeiten haben sich einen guten Überblick über Ihre Systeme zu schaffen.

3. Erkennen Sie kritische Systeme und benennen Sie erste Maßnahmen

Nachdem Sie ein klares Bild über ihre IT-Infrastruktur haben, ist es wichtig priorisiert zu handeln. Welche technischen Systeme bieten das größte Risiko auf Cybersicherheitsvorfälle? Der Ausfall welcher Systeme birgt die größte Gefahr für Ihr Unternehmen? Welche Maßnahmen lassen sich am besten implementieren, um vor den größten Risikosituation zu schützen?

4. Verbessern Sie kontinuierlich Ihre Informationssicherheit

Genauso wie Technik sich verändert muss es auch ihre Informationssicherheit. Bleiben Sie auf den neusten Stand aktueller Risikofälle. Schulen Sie regelmäßig sich selbst und ihre Mitarbeitenden. Führen Sie regelmäßige Audits durch, um Ihre Sicherheit zu garantieren. Auch hier stehen wir Ihnen gerne beratend zur Seite.

Unsere Angebote im Überblick

Nehmen Sie Kontakt zu uns auf

Zu viel auf einmal? Kein Problem, wir helfen Ihnen NIS-2 effizient umzusetzen – praxisnah, rechtssicher und zukunftsorientiert. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.

Ihr Ansprech-
partner

Philipp Krieg

IT-Berater

Telefon: 0441 9710-254

Treuhand Weser-Ems
Unternehmensberatung GmbH & Co. KG
Telefon: 0441 9710–254
it-beratung@treuhand.de