Gastbeitrag: NIS2-Compliance – Praktische Schritte zur Umsetzung

NIS 2 Compliance

Cybersicherheit ist inzwischen für jedes Unternehmen eine Notwendigkeit. Organisationen aller Größenordnungen sind potenzielle Ziele für Hackerangriffe, die verheerende Folgen haben können. Die Europäische Union hat die Bedeutung von Cybersicherheit erkannt und mit der NIS2-Richtlinie die Anforderungen an Unternehmen in diesem Bereich deutlich verschärft.

Sind Sie sich der NIS2-Anforderungen für Ihr Unternehmen bewusst? In diesem Gastbeitrag gibt Dr. Frank Schemmel, Senior Director Privacy, Compliance & Public Affairs / Policy bei DataGuard, praktische Tipps zur Umsetzung der Richtlinie in Ihrem Unternehmen.

Was bedeutet die NIS2-Richtlinie?

Die EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit (NIS2) zielt darauf ab, die Cybersicherheit und -resilienz in der Europäischen Union zu stärken. Die Richtlinie legt Anforderungen und Standards für die Umsetzung von IT-Sicherheitsrichtlinien und Cybersicherheitsmaßnahmen fest, um Auswirkungen von Cyberbedrohungen innerhalb der EU-Mitgliedstaaten zu mindern.

Durch die Umsetzung der NIS2-Richtlinie können Organisationen in der EU ihre Cyber-Resilienz gegen sich entwickelnde Cyberbedrohungen stärken. Die Umsetzung der in NIS2 festgelegten Leitlinien gewährleistet einen proaktiven Ansatz für die Cybersicherheit und schützt kritische Netzwerk- und Informationssysteme.

Angesichts der zunehmenden Vernetzung der digitalen Infrastruktur spielt NIS2 eine entscheidende Rolle bei der Förderung eines sicheren Cyber-Raums in verschiedenen Sektoren. Unternehmen und Organisationen der elf wesentlichen (z. B. Gesundheitswesen) und sieben wichtigen Sektoren (z. B. Lebensmittel und digitale Dienste) sind dementsprechend verpflichtet, die NIS2-Anforderungen gemäß der EU-Richtlinie einzuhalten.

Was sind die wichtigsten Anforderungen der NIS2-Richtlinie?

Die Einhaltung der NIS2-Richtlinie umfasst mehrere wichtige Anforderungen, darunter:

  • Risikobewertung und -management
  • Implementierung von Sicherheitsmaßnahmen
  • Zeitnahe Meldung von Sicherheitsvorfällen
  • Entwicklung von Geschäftskontinuitäts- und Wiederherstellungsplänen

Die Einhaltung der NIS2-Richtlinie stellt sicher, dass Organisationen die Sicherheitsstandards in einer sich ständig verändernden Cyberlandschaft einhalten. Durch umfassende Risikobewertungen und effektive Minimierung potenzieller Bedrohungen können Unternehmen proaktiv ihre Abwehrmechanismen stärken.

Die rechtzeitige Meldung von Sicherheitsvorfällen ist von maßgeblicher Bedeutung, um etwaige negative Auswirkungen für Kunden, Geschäftspartner und die Gesellschaft im Allgemeinen einzudämmen und zu mildern, sensible Daten zu schützen und das Vertrauen von Kunden und Stakeholdern zu wahren. Die Entwicklung robuster Geschäftskontinuitäts- und Wiederherstellungspläne gewährleistet weiterhin, dass Organisationen sich schnell von Störungen erholen können, um Ausfallzeiten und mögliche finanzielle Verluste zu reduzieren.

Welche Folgen hat die Nichtbeachtung der NIS2-Richtlinie?

Die Nichterfüllung der NIS2-Richtlinie kann zu schwerwiegenden Konsequenzen führen, darunter Geldstrafen und Sanktionen sowie Verlust von Kunden und Geschäftsmöglichkeiten aufgrund von Sicherheitsvorfällen und Verstößen. Es ist bereits jetzt zu beobachten, dass große internationale Konzerne die Einhaltung der Anforderungen aus NIS2 in ihren Supplier Code of Conducts festschreiben und damit Geschäftspartner vertraglich verpflichten, den Maßnahmenkatalog der NIS2-Richtlinie zu erfüllen – unabhängig davon, ob man nun tatsächlich gesetzlich dazu verpflichtet ist oder nicht. Mittelfristig werden Unternehmen also auch aufgrund des Marktdrucks Cybersicherheitsvorkehrungen treffen müssen, wenn sie weiterhin entsprechende Aufträge als Geschäftspartner oder Dienstleister an Land ziehen wollen.

Die Nichteinhaltung der NIS2-Anforderungen führt jedoch nicht nur zu finanziellen Einbußen und rechtlichen Risiken, sondern birgt auch erhebliche Reputationsrisiken. Unternehmen, die die Einhaltung nicht priorisieren, können einen langfristigen Schaden an ihrem öffentlichen Image erleiden, was zu einem Verlust des Kundenvertrauens und der Kundenloyalität führen kann. Solche Verstöße können weitreichende Folgen haben und die Fähigkeit des Unternehmens beeinträchtigen, Kunden anzuziehen und zu binden, was

Welche Schritte sind bei der NIS2-Richtlinie erforderlich?

Um die NIS2-Konformität zu erreichen, müssen Unternehmen eine Reihe an Maßnahmen durchführen. Hierzu zählt unter anderem kritische Infrastrukturen zu identifizieren, eine umfassende Risikobewertung durchzuführen, robuste Sicherheitsmaßnahmen umzusetzen, Schulungs- und Sensibilisierungsprogramme für Mitarbeiter bereitzustellen, frühzeitig Sicherheitsvorfälle zu melden sowie Geschäftskontinuitäts- und Wiederherstellungsstrategien zu entwickeln.

Identifizierung kritischer Infrastrukturen und Dienste

Die Identifizierung kritischer Infrastrukturen und Dienste ist der erste Schritt zur NIS2-Konformität, um sicherzustellen, dass wichtige Assets und Prozesse für Cybersicherheitsmaßnahmen priorisiert werden.

Organisationen lokalisieren damit die wesentlichen Komponenten, die bei Störungen erhebliche Auswirkungen auf Gesellschaft, Wirtschaft und nationale Sicherheit haben könnten. Dieser Prozess beinhaltet die Erstellung eines Verzeichnisses der miteinander verbundenen Systeme und Dienste, die für den täglichen Betrieb und das gesellschaftliche Funktionieren unerlässlich sind.

Durchführung einer Risikobewertung

Die Durchführung einer holistischen und unternehmensspezifischen Risikobewertung beinhaltet die Analyse verschiedener Faktoren, die die Sicherheit der kritischen Infrastruktur beeinflussen könnten. Durch die systematische Bewertung dieser Risiken können Organisationen maßgeschneiderte, risikominimierende Maßnahmen ableiten und entsprechend priorisieren, um sich vor potenziellen Cyberbedrohungen zu schützen.

Die Implementierung robuster Risikomanagementstrategien ermöglicht darüber hinaus ein kontinuierliches Monitoring, die Minderung und die schnelle Reaktion bezüglich aufkommender Risiken und gewährleistet einen proaktiven Ansatz in der Cybersicherheit.

Umsetzung von Sicherheitsmaßnahmen

Die Implementierung der in der Risikobewertung abgeleiteten umfassenden Sicherheitsmaßnahmen ist ein entscheidender Schritt, um die Anforderungen aus NIS2 zu erfüllen, die Cyber-Resilienz zu stärken und Sicherheitsrisiken zu mindern.

Dabei adressiert man zunächst diejenigen Risiken, die in Summe die gravierendsten Auswirkungen auf die wichtigsten Unternehmenswerte und -prozesse haben. Die identifizierten risikominierenden Maßnahmen werden dann in Prozessen und Strukturen operationalisiert und entsprechende Richtlinien im Sinne einer guten Corporate Governance festgehalten. Proaktives Monitoring und regelmäßige Sicherheitsaudits zur Überprüfung der Effektivität der ergriffenen Maßnahmen sind wesentliche Bestandteile einer umfassenden Cybersicherheitsstrategie und ebenfalls von der NIS2-Richtlinie gefordert.

Schulung und Sensibilisierung der Mitarbeiter

Die Schulung und Sensibilisierung der Mitarbeiter sind wesentliche Schritte der NIS2-Richtlinie, um sicherzustellen, dass das Personal über die Erwartungen und Best Practices der Cybersicherheit informiert ist. Solche Trainings müssen zielgruppenspezifisch und in regelmäßigen Abständen wiederholt werden.

Damit wird die Belegschaft nicht nur mit dem notwendigen Wissen ausgestattet, um potenzielle Bedrohungen zu erkennen, sondern auch befähigt, proaktive Maßnahmen zum Schutz sensibler Unternehmensinformationen zu ergreifen.

Meldung von Sicherheitsvorfällen

Ein weiterer zentraler Aspekt der NIS2-Richtlinie ist die zeitnahe Meldung von Sicherheitsvorfällen, die eine schnelle Reaktion und Eindämmung von Cyberbedrohungen ermöglicht, um potenzielle Schäden zu minimieren. Die Fristen sind dabei sehr kurz bemessen und erfolgen stufenweise:

  • Eine Erstmeldung spätestens innerhalb von 24 Stunden bei erheblichen Sicherheitsvorfällen
  • Eine anschließende Folgemeldung über einen solchen erheblichen Vorfall innerhalb von 72 Stunden inklusive einer Bewertung hinsichtlich Schwere und Auswirkungen
  • Eine Fortschritts- bzw. Abschlussmeldung innerhalb eines Monats inklusive Beschreibung der Ursachen, ergriffenen Abhilfemaßnahmen und möglicher grenzüberschreitender Auswirkungen
  • Gegebenenfalls müssen auch Zwischenmeldungen auf Anfrage der Aufsichtsbehörde erfolgen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zuständige deutsche Aufsichtsbehörde wird eine entsprechende Meldemöglichkeit einrichten. Es kann darüber hinaus auch anordnen, dass Unternehmen ihre Kunden über den Sicherheitsvorfall informieren.

Die Einhaltung von Meldefristen gemäß NIS2 gewährleistet zudem Transparenz und Rechenschaftspflicht im Umgang mit Cybersicherheitsvorfällen, was entscheidend ist, um das Vertrauen der Stakeholder und Regulierungsbehörden zu erhalten.

Entwicklung von Geschäftskontinuitäts- und Wiederherstellungsplänen

Die Entwicklung robuster Geschäftskontinuitäts- und Wiederherstellungspläne ist im Rahmen der NIS2-Richtlinie eine notwendige Anforderung und ermöglicht es Organisationen, wirksam auf Cyberangriffe und Sicherheitsvorfälle zu reagieren und den Betrieb aufrechtzuerhalten.

Durch die Einführung umfassender Wiederherstellungsstrategien können Unternehmen die Auswirkungen möglicher Cyberangriffe erheblich reduzieren und sich schneller davon erholen, wodurch Ausfallzeiten verkürzt werden und die Geschäftskontinuität in Krisensituation sichergestellt wird.

Was sind die Vorteile der NIS2-Richtlinie?

Die Einhaltung von NIS2 bietet Organisationen zahlreiche Vorteile, wozu der Schutz vor Cyberangriffen und Datenverlust, verbesserte Geschäftskontinuität, Einhaltung gesetzlicher Anforderungen und Stärkung des Vertrauens der Kunden in die Cybersicherheitsmaßnahmen von Unternehmen zählen.

Schutz vor Cyberangriffen und Datenverlust

Einer der Hauptvorteile der Implementierung von NIS2 ist der verbesserte Schutz gegen Cyberangriffe, Datenlecks und potenziellen Verlust sensibler Informationen aufgrund von Sicherheitsvorfällen.

Durch die Einhaltung der NIS2-Vorschriften können Unternehmen ihre Verteidigung gegen böswillige Cyberaktivitäten stärken und die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Systeme und Prozesse gewährleisten.

Verbesserte Geschäftskontinuität

Die Einhaltung der NIS2-Richtlinie führt zu einer verbesserten Geschäftskontinuität, indem sichergestellt wird, dass Unternehmen den Betrieb aufrechterhalten und sich schnell von Sicherheitsvorfällen oder Störungen erholen können.

Durch die Integration von Resilienz- und Kontinuitätsplanung in ihren Betrieb können Unternehmen dementsprechend die Auswirkungen möglicher Sicherheitsverletzungen minimieren und kritische Assets schützen.

Letztlich werden aufgrund der gestärkten Reaktionsmechanismen Ausfallzeiten im Zusammenhang mit Cyber-Vorfällen reduziert – was der gesamten Gesellschaft zugutekommt.

Einhaltung der gesetzlichen Anforderungen

Die Implementierung der NIS2-Richtlinie gewährleistet, dass Unternehmen die EU-weiten rechtlichen Anforderungen erfüllen und die regulatorische Einhaltung sowie die Ausrichtung an Cybersicherheitsstandards in den EU-Mitgliedstaaten fördern.

Die Nichtbeachtung der NIS2-Richtlinie kann wiederum zu hohen Geldstrafen (bis zu 10 Millionen Euro pro Verstoß) und Reputationsschäden führen. Daneben können Aufsichtsbehörden auch Betriebslizenzen entziehen. Schließlich kann sich auch eine persönliche Haftung der Geschäftsführung für aus dem jeweiligen Sicherheitsvorfall entstandenen Schäden ergeben – die NIS2-Richtlinie sieht insoweit eine verschärfte Haftung für das Management vor.

Stärkung des Kundenvertrauens

Indem sie die NIS2-Richtlinie implementieren, demonstrieren Unternehmen ein Bekenntnis zur Cybersicherheit, zur Widerstandsfähigkeit gegen Sicherheitsvorfälle und zum Schutz von Kundendaten.

Transparenz in den Cybersicherheitspraktiken baut Glaubwürdigkeit auf und stärkt das Vertrauen, das Kunden in ein Unternehmen setzen. Die Aufrechterhaltung einer starken Cybersicherheitsposition schützt nicht nur Kundendaten, sondern gewährleistet auch die Kontinuität der Dienstleistungen und trägt zu langfristigen Kundenbeziehungen bei. 

Über den Autor

Dr. Frank Schemmel, CIPP/E, CIPP/US, CIPM, CIPT, ist seit 2018 bei DataGuard in verschiedenen Managementpositionen tätig. Als zertifizierter Datenschutzbeauftragter (TÜV) und Compliance Officer (Univ.) berät er insoweit zu allen Themen des Datenschutzes, der IT-Sicherheit und der allgemeinen Compliance. Daneben verantwortet er die Positionierung DataGuards als Thought Leader durch Koordination und Ausbau der Zusammenarbeit mit Aufsichtsbehörden, Legislative, Branchenverbänden und NGOs.

Vor seinem Wechsel zu DataGuard war er für verschiedene Großkanzleien tätig. Er publiziert regelmäßig in einschlägigen Medien, ist Kommentator im Beck’schen Online-Kommentar Datenschutz und gibt seine Erfahrung als Dozent an Hochschulen (u. a. Universität Münster) weiter.

Bleiben Sie auf dem neuesten Stand!

Melden Sie sich zu unserem Newsletter an und erhalten Sie regelmäßig spannende Inhalte rund um die Themen Digitalisierung, Datensicherheit und sicherer Datenaustausch.