Der Countdown läuft. Bis zum 17. Oktober müssen die Mitgliedsstatten der EU die NIS2-Richtlinie in nationales Recht umsetzen. Auf den ersten Blick ist also noch viel Zeit für die strengeren Maßnahmen zur Gewährleistung der Cybersicherheit.
Doch das könnten ein gefährlicher Trugschluss sein, denn eine NIS2-adäquate Sicherheitsstruktur, so warnt Bernhard Kretschmer, Vice President Services und Cybersecurity bei NTT, lasse sich nicht von heute auf morgen aufbauen. Zumal damit ein gewisser Aufwand verbunden ist.
NIS2 wird Milliarden kosten
So schätzt ein Referentenentwurf des Bundesinnenministeriums zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) den Aufwand für die deutsche Wirtschaft auf jährlich rund 1,65 Milliarden Euro. Zudem entstehe ein einmaliger Aufwand von zirka 1,37 Milliarden Euro. Dieser sei fast ausschließlich der Kategorie Einführung oder Anpassung digitaler Prozessabläufe zuzuordnen.
Empfindliche Strafen drohen
Von den schärferen Richtlinien von NIS2 dürften hierzulande zwischen 30.000 und 40.000 Firmen betroffen sein. Wobei vielen, so mutmaßt NTT, dieser Umstand gar nicht bewusst sein dürfte. Ein fehlendes Know-how, das teuer werden kann. Denn bei Nichteinhaltung der NIS2-Vorgaben drohen empfindliche Strafen.
Drei Fragen stellen
Deshalb sollten sich Unternehmen aus Sicht von NTT die folgenden drei Fragen stellen:
Falle ich unter die NIS2-Richtlinie?
Welche Vorschriften kommen mit NIS2 auf mich zu?
Was passiert, wenn ich NIS2 nicht umsetze?
Wen betrifft NIS2?
Die Behörden teilen einer Firma nicht mit, ob die neuen Vorgaben auf sie zutreffen oder nicht. Unternehmen müssen vielmehr selbst anhand der festgelegten Kriterien ihre "Betroffenheit" ermitteln. Grundsätzlich gilt: Alle, die als Betreiber kritischer Infrastrukturen eingestuft werden, fallen unter diese Richtlinie.
Dazu zählen Einrichtungen, Anlagen und Systeme, deren Funktionsfähigkeit wichtig für die Gesellschaft, die Sicherheit des Landes sowie der Wirtschaft ist und deren Ausfall zu erheblichen Störungen führen würde.
Diese Unternehmen sind betroffen
Nach Angaben des Bundesamtes für Katastrophenschutz handelt es sich um Unternehmen der Energie- und Wasserversorgung, der Telekommunikations- und Informationstechnik, der Lebensmittelversorgung, des Transport- und Logistikwesens, des Finanzwesens oder des Gesundheitswesens.
Gleichzeitig betrifft die NIS2-Richtlinie auch Organisationen in der Lieferkette, die Dienstleistungen oder Produkte im Zusammenhang mit kritischen Sektoren erbringen. Damit geht der Geltungsbereich weit über die bisher bekannten Schlüsselunternehmen hinaus.
Künftig werden Unternehmen und Organisationen mit 50 oder mehr Mitarbeitenden sowie einem Jahresumsatz von mindestens zehn Millionen Euro in den jeweiligen Sektoren erfasst. Konkret wird bei NIS2 zwischen "wichtigen" und "wesentlichen" Einrichtungen unterschieden.
Was fordert NIS2?
Die EU hat die Vorgaben in drei Kernbereichen verschärft: Aufsichtsmaßnahmen und Geldbußen, Zusammenarbeit und Kooperation sowie Risikomanagement und Widerstandsfähigkeit. Die erhöhten Anforderungen an das Risikomanagement und die Widerstandsfähigkeit haben zur Folge, dass Organisationen sowohl Maßnahmen zur Schadensvermeidung als auch zur Schadensminimierung umsetzen müssen.
Darunter fallen Bereiche wie Netzwerksicherheit, Risikomanagement, Cybersicherheit in Lieferketten, Zugangskontrolle und Verschlüsselung. NIS2 sieht eine grundlegende IT-Hygiene vor, für kritische Einrichtungen schreibt der Referentenentwurf eine Angriffserkennung vor.
Geschäftskontinuität sicherstellen
Firmen sollten sich zudem Gedanken darüber machen, wie nach einer Cyberattacke die Geschäftskontinuität sichergestellt werden kann. Dazu gehören wiederum die Systemwiederherstellung, Notfallverfahren und das Einrichten einer Krisenorganisation.
Darüber hinaus muss innerhalb von 24 Stunden nach Kenntnisnahme des Sicherheitsvorfalls eine erste Meldung als Frühwarnung bei den zuständigen Behörden eingehen. Binnen 72 Stunden muss sogar ein ausführlicher Bericht folgen, der die sogenannten Indicators of Compromise beschreibt.
Das ist zu tun
Unternehmen sollten unbedingt im Top-down-Ansatz zuerst einen ganzheitlichen Ist-Zustand des Reifegrads ihrer IT-Security ermitteln und danach bedarfsgerecht technische und organisatorische Maßnahmen umsetzen. Zur Erfüllung der NIS2-Richtlinie empfiehlt sich darüber hinaus die Implementierung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001. Gleichzeitig ist ein Security Operation Center (SOC) sinnvoll.
Was passiert, wenn ich nichts tue?
Zwar werden nur die wesentlichen Einrichtungen auditiert - wer jedoch die Vorgaben missachtet, riskiert bei einem Sicherheitsvorfall spürbare Sanktionen. Bei Unternehmen, die in die Kategorie "wesentlich" eingestuft sind, können die Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist.
Für "wichtige" Einrichtungen liegt das maximale Bußgeld bei sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes. Der Referentenentwurf des Bundesinnenministeriums sieht darüber hinaus vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen mit ihrem Privatvermögen für die Einhaltung der Risikomanagementmaßnahmen haften.
Bußgelder in Millionenhöhe
Ihnen droht ebenfalls ein Bußgeld in Höhe von zwei Prozent des weltweiten Jahresumsatzes. NIS2 ist also ein Compliance-Risiko, das die Verantwortlichen sehr ernst nehmen sollten. Hinzu kommt, dass eine schlechte oder gar nicht vorhandene Security-Lösung am Ende deutlich mehr kostet, auch wenn die Investition in entsprechende Maßnahmen manchen Unternehmen anfangs hoch erscheinen mag.
Analog zu anderen Richtlinien ist darüber hinaus die Wahrscheinlichkeit hoch, dass Firmen, die die geforderten Maßnahmen nicht umgesetzt haben, bei Ausschreibungen der öffentlichen Hand nicht berücksichtigt werden.
Zögerliche Umsetzung
Laut NTT-Manager Kretschmer haben viel Unternehmen die von NIS2 geforderten Maßnahmen noch immer nicht in Angriff genommen. Dies kann in seinen Augen zu einem Stolperstein bei der fristgerechten NIS2-Umsetzung werden, zumal die wenigsten Betrieb dies mit der eigenen IT-Mannschaft umsetzen könnten.