Die IT ist in vielen Branchen zu einer kritischen Komponente des Geschäftsbetriebs geworden. Doch angesichts der steigenden Zahl von Cyberangriffen und -gefahren droht sie auch, zu seiner Achillesferse zu werden. Ein Ausfall der IT-Infrastruktur ist häufig mit Produktionsausfällen und Umsatzeinbußen verbunden. Und da die Wirtschaft digital eng vernetzt ist, kann beim Ausfall eines wichtigen Lieferanten schon mal eine ganze Lieferkette ins Stottern kommen.
Um die Wirtschaft besser vor den negativen Folgen ihrer Abhängigkeit von der IT zu schützen, ist die Politik bereits in den letzten zwei Jahrzehnten aktiv geworden und hat eine Reihe verpflichtender Maßnahmen für die Cybersicherheit gesetzlich angeordnet. Dazu gehört auch die erste „Network and Information Systems Security Directive“ (NIS), ein Rahmenwerk zur Sicherung von Unternehmen der kritischen Infrastruktur (KRITIS), die 2016 in Kraft trat. Etwa 6.000 Unternehmen und Organisationen aus Bereichen wie Energie- und Wasserversorgung, Transport & Verkehr, Gesundheit und anderen müssen seitdem bei ihrer Cybersicherheit höhere Standards einhalten.
Spätestens zum 17. Oktober dieses Jahres sollen nun die EU-Mitgliedsstaaten die NIS-Richtlinie, eine Erweiterung der ursprünglichen NIS, in nationales Recht überführt haben. Im Gegensatz zur Einführung der DSGVO sind bei NIS2 allerdings vorerst keine Übergangsfristen vorgesehen.
Was genau fordert die NIS2-Richtlinie? Was sollten Unternehmen jetzt tun? In diesem Whitepaper finden Sie einen kompakten Überblick.
NIS2 erweitert den Kreis der von strengeren Security-Maßnahmen betroffenen Unternehmen auf rund 30.000, also um das Fünffache. Davon betroffen sind Unternehmen mit mindestens 250 Mitarbeitenden oder mehr als 50 Millionen Euro Umsatz bzw. mehr als 43 Millionen Euro Jahresbilanzsumme, die in elf „besonders wichtigen“ und sieben „wichtigen“ Industriezweigen aktiv sind. Zu letzteren gehören mitunter die Lebensmittelproduktion, die Abfallwirtschaft sowie weite Teile der produzierenden Industrie (siehe Kasten weiter unten).
Im Blickfeld der NIS2-Richtlinie ist also nicht nur die kritische Infrastruktur, sondern fast die gesamte Industrie. Lediglich Unternehmen mit weniger als 50 Mitarbeitern und einem Umsatz bzw. einer Bilanzsumme kleiner als 10 Millionen Euro sind davon ausgenommen. Nicht zuletzt deshalb gilt die NIS2-Richtlinie als Zwischenstufe auf dem Weg zu einer generellen Verschärfung der verpflichtenden Cybersecurity-Maßnahmen für die gesamte Industrie. Davon zeugen auch die bisherigen Beratungen zum aktuellen Entwurf des sogenannten „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes“ (NIS2UmsuCG) im Bundestag: Viele Abgeordnete möchten bereits jetzt Maßnahmen im Gesetz durchsetzen, die die Anforderungen der NIS2-Richtlinie übertreffen.
Damit zeichnet sich ab, dass auch Unternehmen, die noch nicht von der NIS2-Richtlinie betroffen sind, gut beraten wären, sich ebenfalls mit ihr auseinanderzusetzen. Nicht nur weil mit einer weiteren Verschärfung der gesetzlich geforderten Cybersecurity-Maßnahmen zu rechnen ist, sondern weil sie auch indirekt davon betroffen sein könnten, zum Beispiel als Zulieferer eines Unternehmens, das der NIS2 unterliegt.
Dies hat damit zu tun, dass die von NIS2 betroffenen Unternehmen ein fortlaufendes Risikomanagement einführen müssen, um ihre Cyber-Resilienz konstant aufrechtzuerhalten. In der Risikobewertung soll dabei auch die IT-Sicherheit der Lieferkette einfließen. Um diese Anforderung zu erfüllen, müssen diese Unternehmen ihre Lieferanten und Dienstleister zu hohen Cybersecurity-Standards verpflichten, die mit entsprechenden Audits nachgewiesen werden muss.
Wie robust ist Ihre IT-Infrastruktur? Wirksame und praktische Maßnahmen für mehr Sicherheit finden Sie im Whitepaper „Cyber Resilienz – Widerstandsfähigkeit im digitalen Zeitalter“
Im Kern fordert die NIS2-Richtlinie IT-Verantwortliche dazu auf, die Rolle der IT etwas anders zu verstehen als die Summe der IT-Dienste, die sie zur Verfügung stellt. Der IT ist heute eher der Stellenwert des Business Enablers beizumessen, von dessen Funktionsfähigkeit der Geschäftsbetrieb an sich abhängt. Bezeichnend für die Aufwertung der Rolle der IT ist auch die Tatsache, dass mit NIS2 die Cybersicherheit zur Chefsache wird. Für den Beschluss und die Umsetzung der gesetzlichen Risikomanagement-Maßnahmen haften nunmehr die Geschäftsleiter persönlich. Eine Entbindung von dieser Pflicht sieht die Richtlinie explizit nicht vor.
Entsprechend verankert die Richtlinie einige Cybersecurity-Disziplinen wie das Risikomanagement oder das Business Continuity Management (BCM) in das Aufgabenspektrum der IT, die vielerorts bislang keine allzu große Priorität hatten (eine detaillierte Auflistung der Maßnahmen finden Sie im Whitepaper über die NIS2-Richtlinie).
Doch sosehr die Implementierung der Maßnahmen zur Einhaltung der NIS2-Richtlinie die Sicherheit der Unternehmen einen gewaltigen Schritt weiter bringt, birgt sie für Unternehmen auch einige Herausforderungen. Allen voran ist die Komplexität zu nennen, welche allein die Erweiterung der Cybersecurity-Infrastruktur und der dazugehörigen Prozesse mit sich bringt. Eng damit verknüpft ist das Thema Ressourcen, denn NIS2 kann Investitionen in Personal und Fach-Knowhow erfordern. Bei international tätigen Unternehmen schließlich könnte die unterschiedliche Auslegung der Richtlinie in den Gesetzen der verschiedenen Ländern für einigen Aufwand sorgen.
Ist Ihr IT-Management auf der Höhe der NIS2-Richtlinie? Finden Sie es mit dem 20-Fragen-Katalog des Self-Assessment-Whitepapers von Sycor heraus.