NIS 2 als Chance für Unternehmen

In der digitalisierten Welt, in der alle miteinander vernetzt sind, wird die Cybersicherheit ein immer wichtigeres Thema. Durch die starke Vernetzung kann sich ein Schaden an einer Stelle rasch auf weitere Beteiligte auswirken – eine hohe Cyberresilienz innerhalb eines Landes oder einer Region kann nur durch Sicherheitsvorkehrungen aller Beteiligten erreicht werden.

In diesem Kontext wurde von der Europäischen Union (EU) die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen (NIS-Richtlinie) eingeführt. Rahmenbedingungen und Angriffsvektoren verändern sich ständig – daher wurde eine Weiterentwicklung und Stärkung dieser Vorschriften notwendig: Die NIS-2-Richtlinie wurde ausgearbeitet. NIS 2 wurde im Jänner 2023 beschlossen und definiert Mindestanforderungen an die Cybersicherheit für Unternehmen – insbesondere für jene Unternehmen, die in der „kritischen Infrastruktur“ tätig sind. 

In diesem Blogbeitrag werden wir genauer betrachten, was Unternehmen über NIS 2 wissen müssen und welche Auswirkungen dies auf ihre Cybersicherheitsstrategie haben kann.

1. NIS 1 vs. NIS 2: Was ändert sich
2. Wer ist von NIS 2 betroffen
3. Anforderungen von NIS 2 im Detail
4. Was droht bei Verstößen?
5. NIS 2 als Chance für Unternehmen

NIS 2 ist der Nachfolger von NIS 1 (seit 2016 in Kraft). Der Hauptunterschied liegt in der Erweiterung des Anwendungsbereichs auf zusätzliche Unternehmensbranchen, außerdem hat man sich auf höhere Mindestanforderungen geeinigt. Obwohl die Richtline auf EU-Ebene bereits seit Anfang 2023 beschlossen wurde, ist für die Mitgliedsstaaten noch bis Oktober 2024 Zeit, um die Richtlinie in nationalem Gesetz umzusetzen. Spätestens zu diesem Zeitpunkt soll die Richtlinie aber auch national Gültigkeit erlangen.

Von NIS2 betroffen sind jene Unternehmen, die als Betreiber von „kritischer Infrastruktur“ (diesen Ausdruck kennen wir spätestens seit der Pandemie) einen wichtigen Beitrag zur Versorgung der Bevölkerung leisten und deren Ausfall weitreichende Folgen hat. Neben den „klassischen“ Sektoren wie Energie, Verkehr, Gesundheits- und Finanzwesen sind es die digitalen Dienstleister, die einen wichtigen Beitrag für die Netz- und Informationssicherheit als Service Provider oder mit dem Betrieb von Kommunikationsnetzen oder Rechenzentren leisten. Insgesamt sind 11 Sektoren als „besonders kritisch“ (essential) und 8 weitere Sektoren als „wichtig“ (important) eingestuft.

Nicht betroffen sind nach der Size-Cap-Rule Unternehmen, die unter die Grenze von 50 Mitarbeitern und/oder 10 Millionen € Umsatz liegen – sofern sie nicht unter eine der Ausnahmen fallen (z.B. werden Betreiber digitaler Infrastruktur wie Qualified Trust Service Provider, TLD Registries oder Domain Registrare unabhängig von ihrer Größe als „kritisch“ eingestuft).

Wer sich mit den Anforderungen von NIS2 beschäftigt, wird schnell erkennen: Es kommt darauf an. Was vorerst nach einer schwammigen Regelung klingen mag, macht in der näheren Betrachtung Sinn. NIS2 verfolgt einen risikobasierten Ansatz: Unternehmen müssen je nach individueller Sicherheitslage Sicherheitsmaßnahmen treffen. Zentral für NIS2 ist die Risikoanalyse, in der potentielle Risiken identifiziert und bewertet werden. NIS2 schreibt nicht vor, welche Sicherheitsmaßnahmen im konkreten umgesetzt werden sollen, sondern setzt darauf, dass Unternehmen ein gutes Risikomanagement einführen, mit dem rasch auf unterschiedliche Bedrohungen reagiert werden kann.

Mindestanforderungen zu Maßnahmen finden sich dennoch in NIS2: Um die Business Continuitiy (also die rasche Fortführung der Geschäftstätigkeit trotz eines Cybervorfalls) nicht zu gefährden, müssen Notfall- und Backup-Pläne für den Fall es Falles erarbeitet werden. Unter dem Punkt „Cyberhygiene“ finden sich Anforderungen, die ohnehin als Standard für jedes Unternehmen empfohlen sind: Schwachstellen-Management, Zutrittskontrolle, Firewalls, systematische Sicherung von Daten sowie die Schulung von Mitarbeiter:innen.

Diese Cyberhygiene-Maßnahmen sind im Sinne der Supply-Chain-Security auch auf Zulieferer anzuwenden. Zum einen geht es darum, Vorkehrungen für den möglichen Ausfall eines Zulieferers zu treffen um eine stabile Lieferkette aufrechtzuerhalten, zum anderen werden auch Zulieferer selbst in der Pflicht genommen, angemessene Sicherheitsmaßnahmen umzusetzen.

Für die Betreiber kritischer Infrastruktur ist im Falle eines Cybervorfalls im Gegensatz zu nicht system-relevanten Unternehmen laut NIS2 die Meldung sicherheitsrelevanter Vorfälle zwingend vorgesehen, in Folge soll die Zusammenarbeit mit nationalen Behörden und gegebenenfalls mit anderen Unternehmen dazu beitragen, dass ein punktueller Cyberangriff nicht zur Gefahr für die Infrastruktur und Versorgung des Landes wird.

Anforderungen von NIS 2

Risikoanalyse: Risikomanagement, Ermittlung und Bewertung von potentiellen Risiken

Business Continuity: Notfallpläne, Vorfallsmanagement, Backup-Pläne

Dokumentationspflichten: rasche Meldung und Dokumentation

Richtlinie für Cyberhygiene: Schwachstellen-Management, systematische Sicherung von Daten, Zugriffskontrolle, Schulung von Mitarbeitenden

Schutzkonzepte für Lieferketten: Erweiterung der Konzepte auf Zulieferer

Wie bei jedem Thema findet sich auch an der NIS2-Richtline Kritikpunkte.

Die Umsetzung der erhöhten Sicherheitsmaßnahmen ist mit Kosten für die Unternehmen verbunden, der Return of Investment scheint nicht unmittelbar gegeben. Gerade für Unternehmen, hinter denen kein großer Konzern steht, können die Kosten eine unverhältnismäßig hohe Belastung darstellen. Denkt man aber langfristig, können Unternehmen durch erfolgreiches Risk Management nicht nur die öffentliche Infrastruktur, sondern auch den wirtschaftlichen Erfolg des Unternehmens sicherstellen: Durch die Verhinderung von Vorfällen sowie der Reduzierung von Schadenskosten im Worst Case.

Kritisiert wird ebenfalls, dass trotz intensiver Bemühungen die Umsetzung der EU-Richtline Sache der einzelnen Mitgliedsstaaten ist und insofern Details im nationalen Recht teilweise unterschiedlich interpretiert werden – dies betrifft z.B. die Definition von Unternehmen, die in die Richtlinie hineinfallen. Ebenfalls im nationalen Recht geregelt ist das Strafausmaß bei Verstoß und kann je nach erwarteter Strafhöhe unterschiedliche Anreize setzen.

Sanktionen beim Verstoß gegen die Regelung können in nationalem Recht unterschiedlich geregelt werden, jedoch gibt die EU eine Höchstgrenze vor. Bei Unternehmen der Kategorie „essential“ können bis zu 10 Mio. Euro oder 2% des Gesamtjahresumsatzes als Strafzahlung anfallen, bei den „wichtigen“ Unternehmen sind es bis zu 7 Mio. Euro bzw. 1,4% des Gesamtjahresumsatzes.

Neu ist, dass mit NIS2 die Unternehmensleitung (Geschäftsführer oder andere Leitungsorgane) persönlich in die Haftung genommen wird. Die Unternehmensleitung wird stärker in die Verantwortung genommen, die Umsetzung von Cyber Risk Management und Securitymaßnahmen im Auge zu behalten und nicht die Verantwortung an ein Team abzuwälzen. Auch wer als Geschäftsführer in diesem Thema kein Experte ist, tut gut Strukturen zu schaffen, die ein transparentes und verständliches Reporting ermöglichen.

NIS 2 eröffnet Unternehmen eine vielversprechende Chance, ihre Cybersicherheit auf ein neues Niveau zu heben. Durch die Einhaltung der Mindestanforderungen und die Implementierung eines risikobasierten Ansatzes können Unternehmen ihre Widerstandsfähigkeit gegen Cyberangriffe stärken und potenzielle Risiken proaktiv identifizieren und bewerten. Die Entwicklung von Notfall- und Backup-Plänen sowie die Umsetzung von bewährten Cyberhygiene-Maßnahmen verbessern nicht nur die Business Continuity, sondern schaffen auch Vertrauen bei Kunden und Partnern. Indem Unternehmen die Vorschriften von NIS 2 befolgen und eng mit nationalen Behörden und anderen Unternehmen zusammenarbeiten, können sie dazu beitragen, ein robustes Netzwerk aufzubauen, das die gemeinsame Sicherheit von Netz- und Informationssystemen gewährleistet. NIS 2 ist somit nicht nur eine Verpflichtung, sondern auch eine Chance für Unternehmen, ihre digitale Resilienz zu stärken und sich als verantwortungsvolle Akteure in der digitalisierten Welt zu positionieren.

Der risikobasierte Ansatz von NIS 2 verspricht dabei ein hohes Grad an Effizienz: Maßnahmen sollen dort und in dem Ausmaß gesetzt werden, wie es dem Risiko entspricht. Die Grundvoraussetzung dazu ist, ein aktuelles und aussagekräftiges Bild zu seinen Cyber Risiken zu haben: Risiken umfassend identifizieren und  mit belastbaren Kennzahlen bewerten.

„Wir sind davon nicht betroffen“

Diese Haltung wird sich über die nächsten Jahre unvermeidlich aufweichen. Da NIS2-Unternehmen auch ihre Zulieferer stärker in die Pflicht nehmen müssen, wird sich der Kreis an „betroffenen“ Unternehmen stetig erweitern. Zum einen mag das eine Herausforderung für Zulieferer sein, zum anderen ist genau das im Sinne des gemeinsamen Ziels, nämlich der Erhöhung der Cybersicherheit in der EU. Auch Zulieferer profitieren von einer höheren Cybersicherheit in Ihren Betrieben und sichern langfristig die Business Continuity.

Keine Angst vor NIS 2

NIS 2 wird vielerorts als Schreckgespenst verkauft, das es nicht sein muss. Mit Tools wie SEQiFY erhält man ein einfach verständliches Risikobild zu seinem Unternehmen und kann auf Basis der ständig aktuellen Daten Maßnahmen treffen.