NIS2: Die neuen EU-Cybersicherheits-Pflicht – Was Unternehmen jetzt tun müssen

NIS2: Die neuen EU-Cybersicherheits-Pflichten – Was Unternehmen jetzt tun müssen

Die NIS2-Richtlinie bringt weitreichende NIS2-Anforderungen für Unternehmen in der EU mit sich. Wer nicht rechtzeitig handelt, riskiert hohe Strafen und Sicherheitslücken. Doch was steckt hinter der Richtlinie, welche Maßnahmen sind erforderlich, und warum verzögert sich die Umsetzung in Deutschland? Dieser Artikel gibt einen umfassenden Überblick.

Von der ersten NIS-Richtlinie zur NIS2-Verordnung: Ein notwendiges Update

Die ursprüngliche NIS-Richtlinie (Network and Information Security) wurde 2016 verabschiedet, um die Cybersicherheit kritischer Infrastrukturen in der EU zu stärken. Allerdings zeigte sich schnell, dass die Vorschriften nicht ausreichten, um den steigenden Cyberbedrohungen entgegenzuwirken. Daher wurde 2022 die NIS2-Richtlinie (EU 2022/2555) beschlossen, die deutlich strengere NIS2-Anforderungen mit sich bringt. Sie erweitert den Kreis der betroffenen Unternehmen erheblich und erhöht die Sicherheitsstandards in zahlreichen Branchen. Die Umsetzung in nationales Recht ist bis Oktober 2024 vorgeschrieben – mit erheblichen Konsequenzen für Unternehmen, die nicht rechtzeitig reagieren.

Die 13 Kernanforderungen der NIS2: Was Unternehmen umsetzen müssen

Neben Registrierungs-Pflichten für Unternehmen, Meldepflichten von Cyber-Angriffen mit engen Fristen und persönlichen Pflichten und Haftungsregeln für das Management gibt es eine Reihe von Maßnahmen für bessere Cyber-Resilienz.

Der Anhang der NIS2-Durchführungsverordnung (NIS2UmsVO) listet detaillierte Anforderungen in 13 zentralen Bereichen auf. Diese umfassen technische, organisatorische und betriebliche Maßnahmen zur Stärkung der Cybersicherheit in Unternehmen.

1. Sicherheit von Netz- und Informationssystemen
Unternehmen müssen ein umfassendes Konzept zur Sicherheit ihrer Systeme entwickeln, klare Verantwortlichkeiten definieren und Weisungsbefugnisse festlegen.

2. Risikomanagement
Es sind Rahmenwerke zur Identifikation, Bewertung und Kontrolle von Risiken erforderlich. Die Einhaltung der Maßnahmen muss überwacht und durch unabhängige Prüfungen validiert werden.

3. Bewältigung von Sicherheitsvorfällen
Unternehmen müssen ein Incident-Management-Konzept umsetzen, das die Erkennung, Meldung und Reaktion auf Sicherheitsvorfälle umfasst. Dazu gehören Monitoring, Protokollierung, Klassifizierung und Nachbereitung von Vorfällen.

4. Betriebskontinuität und Krisenmanagement
Ein Notfallplan muss sicherstellen, dass kritische Geschäftsprozesse auch im Falle eines Cyberangriffs aufrechterhalten oder schnell wiederhergestellt werden. Dazu gehören Backups, Redundanzmaßnahmen und Krisenmanagement-Prozesse.

5. Sicherheit der Lieferkette
Unternehmen müssen Risiken in der gesamten Lieferkette analysieren und ein Verzeichnis ihrer IT-Dienstleister und Zulieferer führen.

6. Sicherheitsmaßnahmen beim Erwerb, der Entwicklung und Wartung von Systemen
Dazu gehören sichere Software-Entwicklung, Konfigurationsmanagement, Patch-Management, Netzsegmentierung und Maßnahmen gegen Schadsoftware.

7. Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
Unternehmen müssen kontinuierlich prüfen, ob ihre Sicherheitsmaßnahmen wirksam sind. Dazu gehören regelmäßige Audits, Tests und Kontrollmechanismen.

8. Cyberhygiene und Schulungen
Alle Mitarbeitenden müssen durch Schulungen für Cyberrisiken sensibilisiert werden. Unternehmen müssen Cyberhygiene-Standards implementieren, um menschliche Fehler zu minimieren.

9. Kryptografie
Unternehmen sind verpflichtet, Verschlüsselung und kryptografische Verfahren zum Schutz sensibler Daten einzusetzen.

10. Sicherheit des Personals
Personalbezogene Sicherheitsmaßnahmen umfassen Zuverlässigkeitsüberprüfungen, Kontrollmechanismen für Beschäftigungswechsel sowie Disziplinarmaßnahmen bei Verstößen gegen Sicherheitsvorgaben.

11. Zugangskontrollen
Es müssen klare Regeln zur Vergabe und Verwaltung von Zugriffsrechten definiert werden. Dazu gehören Identifizierung, Authentifizierung, Multifaktor-Authentifizierung und die Verwaltung privilegierter Konten.

12. Anlagen- und Werteregister
Unternehmen müssen ein Inventar ihrer IT-Assets und Datenwerte führen. Der sichere Umgang mit Wechseldatenträgern und die Kontrolle über die Nutzung von IT-Ressourcen sind ebenfalls essenziell.

13. Physische Sicherheit und Schutz der Infrastruktur
Schutzmaßnahmen für Gebäude, Serverräume und Rechenzentren sind erforderlich. Unternehmen müssen physische Zutrittskontrollen, Perimetersicherheit und Schutzmechanismen gegen physische Bedrohungen implementieren.

Die Checkliste der NIS2-Anforderungen bildet eine gute Basis für die NIS2-Implementierung im Unternehmen.

Umsetzung in Deutschland stockt: Der Koalitionsbruch als Bremse

Während viele EU-Staaten bereits ihre nationalen Gesetze zur Umsetzung von NIS2-Anforderungen verabschiedet haben, kommt Deutschland nur schleppend voran. Grund ist der Bruch der Ampel-Koalition, der zu Verzögerungen in mehreren Gesetzgebungsverfahren geführt hat – darunter auch die nationale Umsetzung der NIS2-Verordnung.

Besonders problematisch: Ohne ein deutsches Umsetzungsgesetz bleibt unklar, wie genau Unternehmen ihre Maßnahmen ausrichten müssen. Trotzdem gilt die EU-Verordnung verbindlich und wird ab Oktober 2024 durchgesetzt – auch ohne nationales Gesetz.

Jetzt handeln: Warum Unternehmen keine Zeit mehr verlieren dürfen

✅ Keine weitere Übergangsfrist: Die EU setzt die Verordnung direkt durch, unabhängig von nationalen Verzögerungen. Unternehmen müssen also mit Kontrollen und Strafen rechnen.

✅ Umfangreiche Maßnahmen erforderlich: Die Anforderungen sind komplex und betreffen viele Geschäftsbereiche – von IT-Sicherheit über Risikomanagement bis zur Schulung der Mitarbeitenden. Eine Last-Minute-Umsetzung ist kaum möglich.

✅ Mangel an Fachkräften: Experten für Cybersicherheit sind bereits jetzt stark gefragt. Wer zu spät handelt, wird Schwierigkeiten haben, qualifizierte Fachkräfte oder Berater zu finden.

Fazit: Die Zeit drängt. Unternehmen sollten sich nicht von politischen Verzögerungen bremsen lassen, sondern jetzt aktiv werden.