Bis September 2024 müssen Unternehmen, die kritische Infrastrukturen betreiben, die NIS2-Richtlinie umsetzen. Auch Unternehmen, die glauben, nicht als kritische Infrastruktur eingestuft zu sein, sollten aufmerksam bleiben, da künftig mehr Branchen betroffen sein werden.
Regelwerke dienen dazu, Unternehmen, Menschen, Lieferketten und Infrastrukturen zu schützen und allgemeine Rahmenbedingungen zu etablieren. Beispiele dafür sind die DSGVO und die NIS-Richtlinie, wobei NIS für Network and Information Security steht. Die aktuelle Version, NIS2, ersetzt die seit 2016 geltende NIS1-Richtlinie, die bereits damals Betreiber kritischer Infrastrukturen dazu verpflichtete, Cybersicherheitsmaßnahmen zu ergreifen. Allerdings hat dies nicht optimal funktioniert, da einerseits die EU-Gesetzgebung in den einzelnen Mitgliedstaaten unterschiedlich umgesetzt wurde und andererseits keine Regelung zur Überwachung der Umsetzung vorhanden war. NIS2 soll dies ändern. Ein weiterer bedeutender Unterschied ist, dass NIS2 mehr Unternehmen betrifft als NIS1. Obwohl kleine und Kleinstunternehmen kaum betroffen sind, gelten in der Richtlinie Grenzwerte von mindestens 50 Mitarbeitern und 10 Millionen Euro Jahresumsatz. Die Liste der als kritische Infrastruktur geltenden Branchen ist zudem umfangreicher als 2016. In einigen Fällen entfällt die Mitarbeitergrenze, wenn ein Unternehmen alleiniger Anbieter eines Dienstes in einem Land ist.
Gemäß NIS2 gelten folgende Akteure und Sektoren als „wesentliche Einrichtungen“:
Energie*
Elektrizität*
Elektrizitätsunternehmen*
Verteilernetzbetreiber*
Übertragungsnetzbetreiber*
Erzeuger*
nominierte Strommarktbetreiber*
Marktteilnehmer*
Betreiber von Ladepunkten*
Fernwärme und -kälte*
Erdöl*
Betreiber von Erdöl-Fernleitungen*
Betreiber von Anlagen zur Produktion, Raffination und Aufbereitung von Erdöl sowie Betreiber von Erdöllagern*
zentrale Bevorratungsstellen*
Erdgas*
Versorgungsunternehmen*
Verteilernetzbetreiber*
Fernleitungsnetzbetreiber*
Betreiber einer Speicheranlage*
Betreiber einer LNG-Anlage*
Erdgasunternehmen*
Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas*
Wasserstoff*
Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung*
Verkehr*
Luftverkehr*
Luftfahrtunternehmen*
Flughafenleitungsorgane*
Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen, die Flugverkehrskontrolldienste*
Schienenverkehr*
Infrastrukturbetreiber*
Eisenbahnunternehmen*
Schifffahrt*
Passagier- und Frachtbeförderungsunternehmen der Binnen-, See- und Küstenschifffahrt*
Leitungsorgane von Häfen*
Betreiber von Schiffsverkehrsdiensten*
Straßenverkehr*
Straßenverkehrsbehörden*
Betreiber intelligenter Verkehrssysteme*
Bankwesen*
Kreditinstitute*
Finanzmarktinfrastrukturen*
Betreiber von Handelsplätzen*
zentrale Gegenparteien*
Gesundheitswesen*
Gesundheitsdienstleister*
EU-Referenzlaboratorien*
Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel*
Einrichtungen, die pharmazeutische Erzeugnisse*
Einrichtungen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch [...]*
Trinkwasser*
Abwasser*
Digitale Infrastruktur*
Betreiber von Internet-Knoten*
DNS-Diensteanbieter*
TLD-Namenregister*
Anbieter von Cloud-Computing-Diensten*
Anbieter von Rechenzentrumsdiensten*
Betreiber von Inhaltszustellnetzen*
Vertrauensdiensteanbieter*
Anbieter öffentlicher elektronischer Kommunikationsnetze*
Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste*
Verwaltung von IKT-Diensten (Business-to-Business)*
Anbieter verwalteter Dienste*
Anbieter verwalteter Sicherheitsdienste*
öffentliche Verwaltung*
Einrichtungen der öffentlichen Verwaltung von Zentralregierungen*
Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene*
Weltraum*
Betreiber von Bodeninfrastrukturen*
*Exakte Definition: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L2555&qid=1678197629753&from=en#d1e32-143-1
Gemäß NIS2 gelten folgende Akteure und Sektoren als „wichtige Sektoren“:
Post- und Kurierdienste**
Abfallbewirtschaftung**
Produktion, Herstellung und Handel mit chemischen Stoffen**
Produktion, Verarbeitung und Vertrieb von Lebensmitteln**
Verarbeitendes Gewerbe/Herstellung von Waren**
Herstellung von Medizinprodukten und In-vitro-Diagnostika**
Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen**
Herstellung von elektrischen Ausrüstungen**
Maschinenbau**
Herstellung von Kraftwagen und Kraftwagenteilen**
sonstiger Fahrzeugbau**
Anbieter digitaler Dienste**
Online-Marktplätzen**
Online-Suchmaschinen**
Plattformen für Dienste sozialer Netzwerke**
Forschung (Forschungseinrichtungen)**
**Exakte Definition: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L2555&qid=1678197629753&from=en#d1e32-148-1
Ist Ihr Unternehmen von NIS2 betroffen?
0%Ja
0%Nein
Es gibt zahlreiche Unternehmen, die der steigenden Zahl von Cyberangriffen und den damit einhergehenden Anforderungen an IT-Sicherheitsmaßnahmen noch nicht gewachsen sind. Aus diesem Grund ist es von großer Bedeutung, passende Lösungen zu finden und zu implementieren, um sich auf kommende Herausforderungen vorzubereiten. Besonders wichtig wird dies, wenn man den Mindestanforderungskatalog aus dem NIS2-Regelwerk in Betracht zieht. Dieser beinhaltet nicht nur die Schulung der Mitarbeiter, sondern auch die Absicherung der Lieferkette und die Kontrolle des Zutritts.
Richtlinien: Diese Vorgaben legen fest, wie Risiken im Zusammenhang mit Informationssicherheit gehandhabt werden sollten.
Incident Management: Unternehmen sollten in der Lage sein, Cyber-Vorfälle zu verhindern, zu erkennen und zu bewältigen.
Business Continuity: Unternehmen sollten in der Lage sein, ihre Geschäftsabläufe aufrechtzuerhalten, auch wenn sie von Cyber-Attacken betroffen sind. Dazu gehören Backup-Management, Disaster Recovery und Krisenmanagement.
Supply Chain: Unternehmen sollten sicherstellen, dass ihre Lieferkette abgesichert ist, einschließlich der Sicherheit in der Entwicklung bei Zulieferern.
Einkauf: Unternehmen sollten sicherstellen, dass bei der Beschaffung von IT- und Netzwerk-Systemen die Sicherheit eine wichtige Rolle spielt.
Effektivität: Unternehmen sollten sicherstellen, dass sie ihre Cyber- und Risiko-Maßnahmen wirksam messen können.
Training: Unternehmen sollten ihre Mitarbeiter in Cyber-Sicherheits-Grundlagen schulen.
Kryptographie: Unternehmen sollten sicherstellen, dass ihre Verschlüsselung und Kryptographie-Verfahren sicher sind.
Personal: Unternehmen sollten sicherstellen, dass die Personalabteilung geeignete Maßnahmen zur Sicherung von Humanressourcen ergreift.
Zugangskontrolle: Unternehmen sollten sicherstellen, dass der Zugang zu sensiblen Daten und Systemen angemessen kontrolliert wird.
Asset Management: Unternehmen sollten ihre Vermögenswerte und Informationssysteme verwalten, um sicherzustellen, dass sie geschützt sind.
Authentication: Unternehmen sollten Multi-Faktor-Authentifizierung und Single-Sign-On einsetzen, um sicherzustellen, dass nur autorisierte Personen Zugang zu geschützten Daten und Systemen haben.
Kommunikation: Unternehmen sollten sichere Sprach-, Video- und Textkommunikation einsetzen, um sicherzustellen, dass vertrauliche Daten und Informationen geschützt sind.
Notfall-Kommunikation: Unternehmen sollten sichere Notfall-Kommunikationssysteme einsetzen, um sicherzustellen, dass wichtige Kommunikation in Notfällen geschützt und abgesichert ist.
Aufgrund der Überlastung von IT-Abteilungen, einem Mangel an Fachkräften und der fortschreitenden Digitalisierung, wird es für viele Unternehmen wahrscheinlich notwendig sein, IT-Sicherheitsaufgaben in Zukunft auszulagern. Das Outsourcing von IT-Sicherheitsaufgaben kann Unternehmen dabei helfen, Fachkräfteengpässe zu überwinden, Kosten zu reduzieren und sich auf ihr Kerngeschäft zu konzentrieren. Allerdings ist es wichtig, bei der Auswahl eines externen Dienstleisters auf dessen Erfahrung, Fachwissen und Reputation zu achten. Eine sorgfältige Prüfung der angebotenen Dienstleistungen und Vertragsbedingungen ist ebenso unerlässlich, um sicherzustellen, dass die IT-Sicherheitsanforderungen des Unternehmens erfüllt werden.
Zusätzlich zum Outsourcing sollten Unternehmen auch ihre internen IT-Sicherheitsprozesse und -richtlinien ständig überprüfen und aktualisieren. Dies umfasst die Schulung von Mitarbeitern in Bezug auf Cybersicherheitsrisiken und -praktiken sowie die Implementierung von regelmäßigen Sicherheitsüberprüfungen und -updates. Insgesamt erfordert die Umsetzung der NIS2-Richtlinie und die Sicherung kritischer Infrastrukturen einen ganzheitlichen Ansatz, der sowohl technische als auch organisatorische Aspekte berücksichtigt. Unternehmen müssen sich der wachsenden Bedrohung durch Cyberangriffe bewusst sein und proaktiv Maßnahmen ergreifen, um ihre Systeme, Daten und Infrastrukturen zu schützen.
Um den Erfolg der NIS2-Richtlinie sicherzustellen, sollten Regierungen und Aufsichtsbehörden auch eng mit Unternehmen zusammenarbeiten, um Unterstützung und Orientierung bei der Umsetzung zu bieten. Dies könnte durch Informationsaustausch, Schulungen, Leitlinien und Best-Practice-Beispiele erfolgen. Darüber hinaus sollten Aufsichtsbehörden die Umsetzung der Richtlinie regelmäßig überwachen und bei Bedarf Sanktionen verhängen, um die Einhaltung der Vorschriften sicherzustellen. Schließlich ist es wichtig, dass sowohl Unternehmen als auch Regierungen und Aufsichtsbehörden kontinuierlich über neue Bedrohungen und Technologien auf dem Laufenden bleiben, um sicherzustellen, dass die Maßnahmen zur Cybersicherheit stets wirksam und angemessen sind. Die Zusammenarbeit auf nationaler und internationaler Ebene, der Austausch von Informationen und Erfahrungen sowie die ständige Anpassung an die sich entwickelnde Bedrohungslandschaft sind entscheidend für den Schutz kritischer Infrastrukturen und die Gewährleistung der Cybersicherheit in einer zunehmend vernetzten Welt.
In dieser sich ständig verändernden Cyberlandschaft ist es unerlässlich, dass alle Beteiligten – Unternehmen, Regierungen, Aufsichtsbehörden und Einzelpersonen – ihre Rolle bei der Gewährleistung der Cybersicherheit verstehen und aktiv daran arbeiten, das Risiko von Cyberangriffen zu minimieren.
Einige sinnvolle Maßnahmen, die Unternehmen und Organisationen ergreifen können, um ihre Cybersicherheit zu verbessern, umfassen:
Risikobewertung: Regelmäßige Bewertungen der IT-Infrastruktur und der Datenverarbeitungsprozesse auf potenzielle Schwachstellen und Bedrohungen durchführen.
Patch-Management: Regelmäßige Updates von Software und Hardware durchführen, um bekannte Sicherheitslücken zu schließen.
Sicherheitsbewusstsein: Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter durchführen, um das Bewusstsein für Cyberbedrohungen und die Bedeutung von Cybersicherheit zu erhöhen.
Zugriffssteuerung: Die Verwendung von Zugriffskontrollen und Privilegienmanagement sicherstellen, um unbefugten Zugriff auf sensible Informationen und Systeme zu verhindern.
Incident Response Plan: Einen klar definierten Plan zur Reaktion auf Sicherheitsvorfälle entwickeln und diesen regelmäßig überprüfen und aktualisieren.
Netzwerksicherheit: Firewall, Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) implementieren, um den Netzwerkverkehr zu überwachen und unbefugten Zugriff zu verhindern.
Physische Sicherheit: Sicherheitsmaßnahmen wie Zutrittskontrollen und Videoüberwachung einrichten, um den physischen Zugang zu IT-Infrastrukturen und Datenspeichern zu beschränken.
Regierungen und Aufsichtsbehörden sollten auch ihre Bemühungen verstärken, um:
Cybergesetze und -regulierungen zu entwickeln und zu aktualisieren, um den sich ändernden Bedrohungen und Technologien gerecht zu werden.
Nationale und internationale Zusammenarbeit in Bezug auf Cybersicherheit zu fördern, um Informationen und Ressourcen effektiv zu teilen und gemeinsame Lösungen für globale Herausforderungen zu entwickeln.
Cyberabwehrkapazitäten zu stärken, um die Fähigkeit zur Erkennung, Verfolgung und Bekämpfung von Cyberkriminellen und staatlich geförderten Akteuren zu verbessern.
Die Gewährleistung der Cybersicherheit erfordert eine gemeinsame Anstrengung aller Beteiligten und eine kontinuierliche Anpassung an die sich ständig weiterentwickelnde Bedrohungsumgebung. Denn nur so lassen sich die einschlägigen Risiken für die kritischen Infrastrukturen und somit für die Versorgung der Bevölkerung minimieren.