Inhaltsverzeichnis
arrow_back Zurück
LkSG / CSDDD

NIS2-Umsetzungsgesetz: Lieferketten und IT-Sicherheit

17. Juli 2024 • Lesezeit: 10 Min

NIS2_Lieferketten und IT-Sicherheit

In den Tiefen der digitalen Welt lauern unsichtbare Gefahren, die Unternehmen jeder Größe und Branche gleichermaßen bedrohen können. Die NIS2-Richtlinie bringt wichtige Anforderungen für Betreiber kritischer Infrastrukturen und wichtiger Anlagen mit sich, um die Cybersicherheit zu stärken. Die Umsetzung dieser Maßnahmen ist besonders für Unternehmen in wichtigen Sektoren von großer Bedeutung, um sich effektiv gegen Cyberbedrohungen zu wappnen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist maßgeblich daran beteiligt, Unternehmen bei der Einhaltung des EU-Cybersicherheitsgesetz zu unterstützen. In unserem Blogbeitrag bieten wir Ihnen eine umfassende Darstellung der aktuellen Entwicklungen, einschließlich des NIS2-Umsetzungsgesetzes und dessen aktueller Stand, sowie der Anforderungen im Bereich der Cyber Security. Die Richtlinie markiert einen bedeutenden Schritt zur Stärkung der digitalen Sicherheit in Europa und betrifft Unternehmen aller Branchen. Erfahren Sie, wie Sie Ihr Unternehmen effektiv auf die bevorstehenden Herausforderungen vorbereiten und die Anforderungen der Richtlinie erfolgreich umsetzen können.

Aktuelles Update zum NIS2-Umsetzungsverfahren: Vertragsverletzungsverfahren gegen Deutschland

Die NIS2-Richtlinie der EU, die ein höheres Maß an Cybersicherheit gewährleisten soll, hätte bereits bis zum 18. Oktober 2024 in nationales Recht umgesetzt sein müssen. Allerdings haben Deutschland und 22 weitere EU-Mitgliedsstaaten dies noch nicht vollständig geschafft, was die Europäische Kommission dazu veranlasst hat, ein Vertragsverletzungsverfahren einzuleiten.

Die Bundesregierung hat zwar gesetzgeberische Schritte eingeleitet, jedoch stehen diese noch zur Verabschiedung durch den Bundestag und den Bundesrat aus. Ein konkretes Gesetz zur Umsetzung der NIS2-Pflichten wurde im Oktober 2024 in die erste Lesung eingebracht. Parallel gibt es die Herausforderung, die zweite Richtlinie über die Resilienz kritischer Einrichtungen zügig zu integrieren, um mögliche juristische Konsequenzen zu vermeiden.

Diese Verzögerung könnte nicht nur rechtliche Konsequenzen für Deutschland haben, sondern auch das Vertrauen in die Cybersicherheitsmaßnahmen des Landes beeinträchtigen. Unternehmen müssen sich jetzt aktiv mit den Anforderungen der NIS2-Richtlinie auseinandersetzen, um potenziellen rechtlichen Problemen und Sicherheitsrisiken vorzubeugen. Insgesamt verdeutlicht das laufende Vertragsverletzungsverfahren die Dringlichkeit, mit der Deutschland seine gesetzlichen Verpflichtungen in Bezug auf Cybersicherheit umsetzen muss, um sowohl rechtliche Sanktionen als auch Sicherheitsbedrohungen künftig zu vermeiden.


Kurzfassung: Die NIS2 und deren Umsetzung

In der digitalen Welt sehen sich Unternehmen zunehmend mit Cyberbedrohungen konfrontiert, die durch die NIS2-Richtlinie adressiert werden. Diese Richtlinie zielt darauf ab, die digitale Sicherheit in Europa zu stärken und betrifft Unternehmen aus sämtlichen Branchen. Die Sicherheit der IT-Systeme spielt eine entscheidende Rolle beim Schutz von Lieferketten, die durch die fortschreitende Digitalisierung anfälliger für Cyberangriffe werden. Investitionen in robuste IT-Sicherheitsmaßnahmen sind daher unabdingbar, um die Lieferketten zu schützen und das Vertrauen der Kunden zu stärken.

Die Richtlinie, die bis zum 17. Oktober 2024 umgesetzt werden muss, enthält verschärfte Maßnahmen zur Erhöhung des Sicherheitsniveaus in der EU. Unternehmen sind verpflichtet, relevante Sicherheitsvorfälle zu melden und sich bei den nationalen Behörden zu registrieren. Eine gründliche Analyse der eigenen Prozesse sowie klare Strategien sind von essenzieller Bedeutung, um die gesetzlichen Anforderungen zu erfüllen.

Die Umsetzung der NIS2-Richtlinie stellt aufgrund der verschärften Sicherheitsanforderungen in der EU eine Herausforderung dar. Das deutsche Gesetz befindet sich im fortgeschrittenen Stadium, jedoch rechnet das Bundesministerium des Innern (BMI) nicht mit einer fristgerechten Einführung bis zum 17. Oktober 2024; ein Inkrafttreten im ersten Quartal 2025 ist möglich, abhängig von einem zügigen parlamentarischen Verfahren. Die erste Lesung im Bundestag fand am 11. Oktober 2024 statt und die Vorlage wurde zur weiteren Beratung an den Innenausschuss überwiesen.

Unternehmen sollten frühzeitig aktiv werden, klare Kommunikation in Bezug auf die Sicherheitsanforderungen sicherstellen und Schulungen anbieten. Die Implementierung einer Business Continuity-Strategie ist entscheidend für den Umgang mit Cyberzwischenfällen. Nicht zuletzt ist die Sensibilisierung der Mitarbeitenden von hoher Bedeutung.

Sie möchten mehr zum Thema erfahren?

Abonnieren Sie jetzt unseren Newsletter und erhalten Sie regelmäßig Einblicke und Updates zu den neuesten Entwicklungen in den Bereichen LkSG, CSDDD, CSRD, ESRS, Compliance, ESG und Whistleblowing.

Was haben Lieferketten mit IT-Sicherheit zu tun?

In der heutigen globalisierten Welt sind Lieferketten viel mehr als nur physische Warentransporte. Sie sind ein komplexes Netzwerk von Prozessen, das verschiedene Unternehmen und Länder miteinander verbindet. Doch was hat das mit IT-Sicherheit zu tun? Nun, die Digitalisierung hat einen großen Einfluss auf die Art und Weise, wie Lieferketten verwaltet werden. Viele Unternehmen setzen auf Technologie, um ihre Lieferketten effizienter zu gestalten und Kosten zu senken. Dabei spielt die IT-Sicherheit eine entscheidende Rolle.

Durch die zunehmende Vernetzung und den Einsatz digitaler Tools werden Lieferketten anfälliger für Cyberangriffe. Wenn sensible Daten über ungesicherte IT-Systeme ausgetauscht werden, können Hacker leicht auf vertrauliche Informationen zugreifen oder sogar die gesamte Lieferkette lahmlegen. Daher ist es unerlässlich, dass Unternehmen in robuste IT-Sicherheitsmaßnahmen investieren, um ihre Lieferketten vor Bedrohungen zu schützen.

Der Schutz der IT-Infrastruktur ist daher nicht nur wichtig für die Sicherheit von Unternehmensdaten, sondern auch für die reibungslose Funktion der gesamten Lieferkette. Unternehmen müssen Strategien entwickeln, um ihre digitalen Systeme abzusichern, regelmäßige Sicherheitsüberprüfungen durchzuführen und ihre Mitarbeiter im Umgang mit Cyberbedrohungen zu schulen. Nur so können sie sicherstellen, dass ihre Lieferketten sicher und stabil bleiben.

Es zeigt sich also, dass die Sicherheit der IT-Systeme eng mit der Effizienz und Zuverlässigkeit von Lieferketten verbunden ist. Indem Unternehmen in hochmoderne IT-Sicherheitslösungen investieren und proaktiv gegen Cyberbedrohungen vorgehen, können sie nicht nur ihre Geschäftsprozesse absichern, sondern auch das Vertrauen ihrer Kunden stärken und langfristige Erfolge in der globalen Wirtschaft erzielen.

Risiken und Bedrohungen im Zusammenhang mit Lieferketten und IT-Sicherheit

NIS2_Cyberattacken

Unternehmen sind mit einer Vielzahl von Risiken und Bedrohungen konfrontiert, wenn es um die Sicherheit ihrer Lieferketten und IT-Systeme geht. Cyberangriffe auf wichtige Infrastrukturen und Einrichtungen können schwerwiegende Folgen haben, sowohl für den Betrieb als auch für die Sicherheit sensibler Daten. Laut Bitkom entstehen jährlich 206 Milliarden Euro Schäden durch Diebstahl, Sabotage und Industriespionage. Maßnahmen wie die Richtlinie zur Netz- und Informationssicherheit können Verluste und Imageschäden vorbeugen.

Laut dem jüngsten Bericht zur Lage der IT-Sicherheit in Deutschland, veröffentlicht durch das Bundesamt für Sicherheit in der Informationstechnik (BSI), ist die Bedrohungslage im Cyberraum so kritisch wie noch nie zuvor. Die zunehmende Vernetzung und Digitalisierung unserer Gesellschaft haben dazu geführt, dass Cyberkriminalität ein ernstzunehmendes Problem darstellt.

Ransomware ist nach wie vor die größte Bedrohung im Bereich der Cyberangriffe. Ransomware, auch Erpressersoftware genannt, ist eine Art Schadprogramm, das den Zugriff auf Daten und Systeme einschränkt oder verhindert. Für die Freigabe verlangen die Angreifer ein Lösegeld. Der Schaden kann beträchtlich sein. Zunehmend werden sowohl große als auch kleine Organisationen und staatliche Einrichtungen angegriffen. Diese Entwicklung führt dazu, dass Bürgerinnen und Bürger direkt betroffen sein können. Cyberkriminelle agieren immer professioneller und nutzen vermehrt Dienstleistungen wie den „Cybercrime-as-a-Service“. Schwachstellen in Software nehmen besorgniserregend zu, wobei über 2000 Schwachstellen bekannt wurden, davon 15% kritisch. Generative KI birgt sowohl Risiken als auch Chancen, da sie für kriminelle Zwecke missbraucht werden kann. Der Ukraine-Krieg hat bisher nur geringen Schaden durch DDoS-Angriffe verursacht, aber das BSI warnt vor möglichen zukünftigen Herausforderungen.

Kritische Infrastruktur im Visier: Beispiele schwerwiegender Cyberattacken

Cyberattacken haben in der Vergangenheit mehrfach kritische Infrastrukturen lahmgelegt und damit die Sicherheit und Funktionalität essentieller Systeme ernsthaft gefährdet.

Ein prominentes Beispiel hierfür ist der Cyberangriff auf das Ukrainische Stromnetz im Jahr 2015, bei dem Hacker in der Lage waren, mehrere Kraftwerke zu infiltrieren und Teile des Landes stundenlang ohne Strom zu lassen.

Ebenso hat der weltweite Ransomware-Angriff "WannaCry" im Jahr 2017 zahlreiche Unternehmen und Organisationen getroffen, darunter auch Gesundheitseinrichtungen, die durch die Infektion mit dem Schadprogramm lahmgelegt wurden. Solche Vorfälle verdeutlichen die gravierenden Folgen von Cyberattacken auf kritische Infrastrukturen und zeigen, wie wichtig es ist, sich angemessen gegen solche Bedrohungen zu schützen.

Im Jahr 2021 wurde Colonial Pipeline von einem verheerenden Ransomware-Angriff heimgesucht, der das Unternehmen insgesamt 4,4 Milliarden US-Dollar kostete, um die Erpresser von Darkside zu bezahlen. Dieser Angriff führte zu einer sechstägigen Unterbrechung der Treibstoffversorgung, was zu erheblichen Störungen an Flughäfen und Tankstellen führte und letztendlich sogar einen Notstand auslöste. Interessanterweise wurde die Operationstechnik (OT) des Unternehmens nicht direkt beeinträchtigt. Obwohl die Abrechnungssysteme vorübergehend abgeschaltet wurden, führte die Unsicherheit über das Ausmaß des Angriffs dazu, dass auch die Produktionsabläufe vorsorglich eingestellt wurden. Dies zeigt die verheerenden Auswirkungen von Cyberangriffen auf Unternehmen und verdeutlicht die Bedeutung eines robusten IT-Sicherheitskonzepts im Zeitalter der digitalen Bedrohungen.

Anforderungen und Regulierungen für Unternehmen

Im Jahr 2016 hat die Europäische Union die Richtlinie zur Netzwerk- und Informationssicherheit (NIS-1, Richtlinie (EU) 2016/1148) verabschiedet, um Regeln zur Cybersicherheit einzuführen. Diese Richtlinie verlangte von den EU-Mitgliedsstaaten, Betreiber von "kritischen Diensten" zu identifizieren und spezifische Maßnahmen zur IT-Sicherheit sowie Meldepflichten für Sicherheitsvorfälle einzuführen. Die Umsetzung in nationalen Gesetzen war in den EU-Ländern sehr unterschiedlich, was zu Inkonsistenzen führte. Mit der Überarbeitung der NIS-Richtlinie (NIS2, Richtlinie (EU) 2022/2555) soll Klarheit geschaffen werden.

In der Neufassung sind entscheidende Vorgaben für Unternehmen festgelegt, um die Sicherheit ihrer IT-Systeme zu gewährleisten. Betreiber kritischer Infrastrukturen und wichtiger Einrichtungen müssen besonders umfassende Maßnahmen zur Umsetzung ergreifen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spielt hierbei eine bedeutende Rolle, indem es Unternehmen bei der Umsetzung der Anforderungen unterstützt. Sowohl der öffentliche als auch der private Sektor müssen die Richtlinie in ihre IT-Sicherheitskonzepte einbinden, um die Sicherheit ihrer Anlagen zu gewährleisten.

Welche Frist müssen die Mitgliedsstaaten für die Umsetzung der Richtlinie einhalten?

Die Richtlinie, auch bekannt als Network and Information Security Directive (NIS2UmSuCG), wurde am 6. Juli 2016 vom Europäischen Parlament und dem Rat der EU verabschiedet. Sie wurde am 27. Dezember 2022 im EU-Amtsblatt veröffentlicht und trat am 16. Januar 2023 in Kraft. Die Mitgliedstaaten haben noch bis zum 17. Oktober 2024 Zeit, um die Reformen zur Netz- und Informationssicherheit umzusetzen.

Wie unterscheiden sich NIS und NIS2?

Während NIS (Network and Information Security) sich auf die Sicherheit von Netz- und Informationssystemen konzentriert und die notwendigen Maßnahmen zur Vorbeugung, Erkennung und Bewältigung von IT-Sicherheitsvorfällen festlegt, geht NIS2 noch einen Schritt weiter.

Die Neufassung baut auf den Grundlagen auf und erweitert diese um zusätzliche Maßnahmen und Anforderungen, um ein noch höheres Sicherheitsniveau in der Union zu gewährleisten. Die Richtlinie legt verstärkte Anforderungen an Betreiber wesentlicher Dienste und digitale Diensteanbieter fest, um die Resilienz ihrer Dienste zu stärken und die Auswirkungen schwerwiegender IT-Sicherheitsvorfälle zu minimieren.

Ein wesentlicher Unterschied besteht zudem in ihrem Anwendungsbereich. Während NIS hauptsächlich auf Betreiber kritischer Infrastrukturen abzielt, berücksichtigt das EU-Cybersicherheitsgesetz eine breitere Palette von Betreibern wesentlicher Dienste und digitalen Diensteanbietern. Darüber hinaus sieht die Überarbeitung auch die Einrichtung von Cybersicherheitskompetenzzentren (Computer Security Incident Response Teams (CSIRTs)) sowie eine zentrale Anlaufstelle (Single Point of Contact (SPoC)) in den Mitgliedstaaten vor, um den Informationsaustausch und die Zusammenarbeit zu fördern.

NIS2 führt zu strengeren Anforderungen an die Berichterstattungs- und Krisenreaktionsfähigkeit, einschließlich verstärkter Meldepflichten und präziserer Prozesse. Die Sicherheitsvorschriften werden erweitert, um gezielt Schwachstellen anzugehen, Sicherheitsmaßnahmen offenzulegen und Risikomanagementmaßnahmen zu bewerten. Bei Verstößen drohen Unternehmen Geldstrafen von bis zu zehn Millionen Euro oder zwei Prozent des Umsatzes. Führungskräfte können persönlich für Sicherheitsverletzungen im Bereich der IT-Risikogovernance haftbar gemacht werden.

Insgesamt bedeutet die Aktualisierung der NIS eine Weiterentwicklung und Stärkung der Cybersicherheitsmaßnahmen in der EU, um den wachsenden Bedrohungen im digitalen Raum wirksam zu begegnen. Die Unterschiede verdeutlichen die kontinuierliche Anpassung an neue Herausforderungen und die Notwendigkeit, das Sicherheitsniveau in der gesamten Union zu verbessern.

Wen betrifft die Richtlinie?

NIS2_Betroffenheit

Die Betroffenheit richtet sich nach Art. 2 NIS2 vorwiegend nach Größe und Sektor. Es werden "wesentliche Einrichtungen" und "wichtige Einrichtungen" unterschieden (Art. 3). Von der neuen Directive sind Einrichtungen aus 18 Sektoren betroffen, welche in Annex I und II genauer definiert werden.

Unabhängig der Größe sind weitere Einrichtungen betroffen (vgl. Art. 2 Abs. 2-4 NIS2) beispielsweise Einrichtungen, wie Domänenregistrierungsstellen.

Wesentliche Einrichtungen umfassen Unternehmen, die in Bereichen wie Energie, Verkehr, Wasser, digitale Infrastruktur, Bank- und Finanzwesen, Gesundheit, der öffentlichen Verwaltung sowie Raumfahrt tätig sind.

Zu den wichtigen Einrichtungen zählen Unternehmen aus Branchen wie Abfallwirtschaft, Postdienste, Chemie, Lebensmittelproduktion, Hersteller von u.a. Elektronik und Fahrzeugen, digitale Anbieter und Forschungseinrichtungen.

Die Anwendung der Vorgaben hängt dabei von der Unternehmensgröße und dem Umsatz ab. Mittlere Unternehmen haben 50 bis 250 Mitarbeiter und einen Umsatz zwischen 10 und 50 Millionen Euro. Große Unternehmen haben mehr als 250 Mitarbeiter und einen Umsatz über 50 Millionen Euro.

Die Anzahl der Unternehmen, die von den Bestimmungen betroffen sind, nimmt aufgrund ihrer präzisen Kriterien signifikant zu. Dies führt dazu, dass Cyber Security Maßnahmen für eine Vielzahl von Unternehmen in Europa verpflichtend werden. Schätzungsweise werden in Deutschland etwa 30.000 Unternehmen den Anforderungen der IT-Sicherheitsrichtlinie unterliegen.

Es liegt in der Verantwortung der betroffenen Unternehmen, eigenständig zu prüfen, ob die EU-Richtlinie auf sie zutrifft. Es erfolgt keine automatische Benachrichtigung über die Anwendbarkeit an die Unternehmen.

Die Implementierung der neuen Directive ist ein wichtiger Schritt, um sich gegen Cyberbedrohungen zu wappnen und die Sicherheit in den Lieferketten zu gewährleisten. Durch die konsequente Umsetzung dieser Maßnahmen können Unternehmen künftigen digitalen Gefahren effektiv begegnen und ihre Infrastrukturen schützen.

Welche Maßnahmen müssen Unternehmen ergreifen?

Es liegt in der Verantwortung von Unternehmen, gezielte Maßnahmen zu ergreifen, um ihre Prozesse und Praktiken im Einklang mit den neuesten Vorschriften und Richtlinien zu halten. Eine umfassende Analyse der aktuellen Situation sowie eine genaue Evaluation der vorhandenen Abläufe sind unerlässlich, um potenzielle Lücken oder Schwachstellen zu identifizieren. Auf Basis dieser Erkenntnisse müssen klare und nachhaltige Strategien entwickelt werden, die eine erfolgreiche Umsetzung und Einhaltung der gesetzlichen Anforderungen gewährleisten.

Überwachung der Durchsetzung

Die effektive Überwachung und Umsetzung der Richtlinie über die Sicherheit kritischer Infrastrukturen durch die Mitgliedsstaaten spielt eine entscheidende Rolle bei der Gewährleistung der Cyber Security in der Europäischen Union. Die Mitgliedsstaaten sind verpflichtet, nationale Aufsichtsbehörden zu benennen, die für die Überwachung und Durchsetzung der Vorschriften auf nationaler Ebene zuständig sind.

Des Weiteren stellen die Mitgliedstaaten sicher, dass die zuständigen Behörden die Einhaltung der Verpflichtungen aus dieser Richtlinie wirksam beaufsichtigen und die erforderlichen Maßnahmen treffen (Art. 31 Abs. 1 NIS2).

In den Artt. 32, 33 NIS2 wird konkretisiert, welche Aufsichts- und Durchsetzungsmaßnahmen in Bezug auf wesentliche und wichtige Einrichtungen auferlegt werden können. So sind beispielsweise Vor-Ort-Kontrollen und externe Aufsichtsmaßnahmen, einschließlich von geschulten Fachleuten durchgeführten Stichprobenkontrollen möglich (Art. 32 Abs. 2 lit. a NIS2) sowie die Anforderung von Nachweisen für die Umsetzung der Cybersicherheitskonzepte (Art. 32 Abs. 2 lit. g).

Die Mitgliedstaaten sind verpflichtet, ihre zuständigen Behörden mit entsprechenden Durchsetzungsbefugnisse auszustatten, um Sicherheitsverstöße durch wesentliche Einrichtungen zu überwachen und zu ahnden. Dazu gehören das Ausgeben von Warnungen, Erlass verbindlicher Anweisungen zur Fehlerbehebung und Risikobewältigung im Bereich der Cybersicherheit sowie die Möglichkeit, Geldbußen gemäß nationalem Recht zu verhängen (Art. 32 Abs. 4 lit. a-i).

Bei der Durchsetzung von Maßnahmen müssen Behörden die Verteidigungsrechte einhalten und verschiedene Faktoren berücksichtigen, wie die Schwere des Verstoßes, die Dauer, frühere Verstöße, Schadensauswirkungen, Vorsatz oder Fahrlässigkeit, Präventivmaßnahmen und Zusammenarbeit mit Behörden (Art. 32 Abs. 7). Die Behörden müssen ihre Maßnahmen ausführlich begründen und den betroffenen Einrichtungen eine angemessene Frist zur Stellungnahme einräumen (Art. 32 Abs. 8).

Die Behörden können im Rahmen nachträglicher Aufsichtsmaßnahmen auch bei wichtigen Einrichtungen aktiv werden (Art. 33 NIS2). Mögliche Maßnahmen umfassen Vor-Ort-Kontrollen, gezielte Sicherheitsprüfungen sowie Sicherheitsscans (Art. 33 Abs. 2). Die zuständigen Behörden der Mitgliedstaaten haben die Befugnis, bei Verstößen gegen die Richtlinie folgende Maßnahmen nach Abs. 4 lit. a-h zu ergreifen:

Warnungen aussprechen; verbindliche Anweisungen zur Behebung von Mängeln geben; Anweisungen geben das verstoßende Verhalten zu beenden und Wiederholungen zu unterlassen; sicherstellen, dass Risikomanagementmaßnahmen eingehalten werden; potenziell betroffene Personen über Cyberbedrohungen informieren; Anweisungen zur Umsetzung von Empfehlungen geben und hierfür eine Frist setzen; Verstöße öffentlich bekannt geben und Geldbußen gemäß nationalem Recht verhängen. Die Beurteilung erfolgt anhand derselben Kriterien wie gem. Art. 32 Abs. 7 (Art. 33 Abs. 5).

Durch eine effektive Überwachung und Durchsetzung der Richtlinie tragen die Mitgliedsstaaten dazu bei, die Resilienz ihres digitalen Raums zu stärken und Cyberangriffe zu verhindern oder zumindest ihre Auswirkungen zu minimieren. Die Zusammenarbeit zwischen den Mitgliedsstaaten auf EU-Ebene ist essentiell für die kohärenten Umsetzung und ein hohes Sicherheitsniveau im gesamten Europäischen Binnenmarkt.

Welche Sanktionen drohen bei Nichtbeachtung?

Bei Nichteinhaltung von Risikomanagementvorschriften drohen gem. Art. 34 Abs. 4, 5 hohe Bußgelder: Bis zu 10 Millionen EUR oder 2 Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen und bis zu 7 Millionen EUR oder 1,4 Prozent des weltweiten Jahresumsatzes für wichtige Einrichtungen.

Allerdings sind die Umstände des Einzelfalls zu beachten und Kriterien wie die Schwere des Verstoßes, die Dauer des Verstoßes und etwaiger Vorsatz oder etwaige Fahrlässigkeit zu beachten (Artt. 32 Abs. 7, 34 Abs. 3).

Stand des Gesetzgebungsverfahrens: Aktueller Regierungsentwurf zum NIS2-Umsetzungsgesetz (NIS2UmsuCG)

Die Mitgliedsländer der EU sind verpflichtet, die Richtlinie bis spätestens zum 17. Oktober 2024 in nationales Recht umzusetzen. Allerdings ist der Prozess der richtlinienkonformen Umsetzung in den einzelnen EU-Mitgliedstaaten bisher nur schleppend vorangekommen. Bislang haben lediglich Belgien, Kroatien, Ungarn, Litauen und Lettland ihre Gesetzgebungen erfolgreich abgeschlossen. Eine Fristverlängerung seitens der Europäischen Kommission ist aktuell nicht vorgesehen.

In Deutschland wird das nationale Gesetz zur Umsetzung der Richtlinie vom Bundesministerium des Innern und für Heimat (BMI) erarbeitet. Seit April 2023 wurden mehrere Referentenentwürfe vorgestellt. Am 24. Juli 2024 hat das Bundeskabinett den ersten Regierungsentwurf des deutschen Umsetzungsrechtsakts(NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG) angenommen, nachdem das BMI Ende Juni den vierten Referentenentwurf veröffentlicht hatte und dieser in die weitere Verbandsanhörung gegeben wurde. Der Gesetzesentwurf befindet sich derzeit noch im Gesetzgebungsverfahren.

Das Bundesministerium des Innern erwartet jedoch keine fristgerechte Einführung der IT-Sicherheitsrichtlinie zur Verbesserung der Cybersicherheit, die ursprünglich für den 17. Oktober 2024 geplant war. Es wurde jedoch angedeutet, dass ein Inkrafttreten im ersten Quartal 2025 möglich sein könnte, sofern das parlamentarische Verfahren zügig verläuft. Am Freitag, den 11. Oktober 2024, fand die erste Lesung im Deutschen Bundestag statt, wonach die Vorlage zur federführenden Beratung an den Innenausschuss übergeben wurde.

Der Inhalt des aktuellen Entwurfs umfasst wichtige Regelungen und Anpassungen im Bereich der Cyber Security. Dieser Schritt ist von entscheidender Bedeutung, um die digitale Infrastruktur in Deutschland zu stärken und den Schutz vor Cyberbedrohungen zu verbessern. Die geplanten Maßnahmen zielen darauf ab, die Resilienz kritischer Infrastrukturen zu erhöhen und die Zusammenarbeit zwischen den verschiedenen Akteuren in diesem Bereich zu fördern.

Viele Unternehmen stehen vor der Herausforderung, die rechtlichen Anforderungen des NIS2-Umsetzungsgesetzes zu erfüllen. Laut einer Umfrage von Zscaler Inc. sind aktuell nur 14% der befragten europäischen IT-Leiter vorbereitet. Obwohl weitere Gesetzesänderungen möglich sind, wird eher mit punktuellen Anpassungen gerechnet. Diskussionen über die Verantwortlichkeit der Geschäftsleitung bestehen weiterhin. Trotzdem sollten Unternehmen nicht passiv bleiben. Stattdessen sollten sich Unternehmen frühzeitig mit den rechtlichen Vorgaben auseinandersetzen und ihre IT-Sicherheitsmaßnahmen überprüfen sowie mögliche Lücken schnell schließen, da zukünftig eher punktuelle als umfassende Änderungen zu erwarten sind.

Haben Sie bereits eine Risikoanalyse nach dem LkSG erstellt?

Risikoanalyse leicht gemacht - in unserem Leitfaden erläutern wir Ihnen wie Sie dabei schrittweise vorgehen können und wie Sie unser LkSG-Modul unterstützt.

NACE-Code-Leitfaden (Rect)

Der aktuelle Regierungsentwurf zum NIS2-Umsetzungsgesetz im Überblick

Der neue Regierungsentwurf des Umsetzungsgesetzes für IT-Sicherheit in der EU (NIS2UmsuCG) wurde vom Bundeskabinett angenommen und wird nun im Gesetzgebungsverfahren behandelt. Der Regierungsentwurf enthält nur geringfügige inhaltliche Änderungen im Vergleich zum vorherigen Referentenentwurf. Unter anderem werden die Pflichten für regulierte Einrichtungen der Bundesverwaltung konkretisiert. Für Krankenhäuser bedeutet der Regierungsentwurf eine Erleichterung, da sie erst nach fünf Jahren Nachweise über die Erfüllung von Audit-, Prüfungs- oder Zertifizierungspflichten vorlegen müssen. Auch für Unternehmen aus dem Energie- und Telekommunikationssektor, die mehreren Regularien unterliegen, gibt es inhaltliche Anpassungen. Das BSIG-E sieht umfangreiche Ausnahmen vor, da spezialgesetzliche Anforderungen aus den Fachgesetzen gelten. Zusätzlich werden klare Bestimmungen zur Haftung der Geschäftsleitung und zur regelmäßigen Teilnahme an Schulungen eingeführt.

Compliance: Erfolgsfaktoren und Best Practices zur IT-Sicherheitsrichtlinie

NIS2-Umsetzungsgesetz Erfolgsfaktoren

Die Umsetzung der neuen Richtlinie hat erhebliche Auswirkungen auf die Sicherheit von Lieferketten, insbesondere für Betreiber von kritischen Anlagen und Einrichtungen. Die Gewährleistung der IT-Sicherheit entlang der gesamten Lieferkette stellt eine große Herausforderung dar, die Unternehmen in verschiedenen Branchen, vor allem in der kritischen Infrastruktur, bewältigen müssen. Es ist daher von großer Wichtigkeit, umfassende Maßnahmen zur Umsetzung der eurpäischen ITRichtlinie zu ergreifen, um den Sicherheitsanforderungen gerecht zu werden. Dabei spielen Erfolgsfaktoren wie eine klare Kommunikation der Anforderungen an alle beteiligten Akteure sowie die regelmäßige Überprüfung und Aktualisierung der getroffenen Sicherheitsmaßnahmen eine herausragende Rolle.

Um Best Practices umzusetzen, ist es essenziell, Sicherheitsmaßnahmen in allen relevanten Sektoren konsequent zu implementieren. Ebenso sollten Schulungen für Mitarbeiter durchgeführt werden, um das Bewusstsein für Cybersicherheit zu schärfen. Darüber hinaus sind regelmäßige Audits und Zertifizierungen unerlässlich, um die Sicherheit der IT-Systeme zu gewährleisten.

Kontinuierliche Prüfung der Maßnahmen

Es ist essenziell, dass Unternehmen ihre Sicherheitsmaßnahmen regelmäßig überprüfen und bei Bedarf anpassen, um mit den aktuellsten Technologien Schritt zu halten. Durch regelmäßige Schwachstellen-Scans und Aktualisierungen können potenzielle Risiken frühzeitig erkannt und behoben werden. Eine solide Cyberhygiene erfordert außerdem regelmäßige Sicherheitsupdates sowie die flächendeckende Implementierung von Multi-Faktor-Authentifizierungsmethoden. Auf diese Weise können Unternehmen ihre Daten und Systeme effektiv schützen und potenzielle Cyberbedrohungen abwehren.

Implementierung eines Incident-Response-Teams

Die Implementierung eines Incident-Response-Teams stellt eine wichtige Maßnahme dar, um im Fall von Sicherheitsvorfällen effektiv und professionell handeln zu können. Ein gut aufgestelltes Team ermöglicht es Ihrem Unternehmen, jederzeit prompt zu reagieren und potenzielle Bedrohungen rasch einzudämmen. Durch die Einrichtung eines solchen Teams signalisieren Sie nicht nur Ihren Mitarbeitern, sondern auch Ihren Kunden und Geschäftspartnern, dass Sicherheit für Sie oberste Priorität hat.

Kooperation mit den Behörden und externen Fachleuten

Die erfolgreiche Umsetzung der NIS2-Richtlinie erfordert auch eine enge Zusammenarbeit zwischen Unternehmen, relevanten Behörden wie dem BSI und der IHK sowie weiteren involvierten Institutionen. Die Integration in bestehende IT-Sicherheitskonzepte ist von enormer Bedeutung und erfordert eine kontinuierliche Anpassung an neu auftretende Cyberbedrohungen.

Die Kooperation mit externen Fachleuten spielt eine bedeutende Rolle für die Gewährleistung der IT-Sicherheit eines Unternehmens. Durch regelmäßige Sicherheitsprüfungen und Audits können potenzielle Schwachstellen identifiziert und behoben werden, um die IT-Infrastruktur effektiv vor Bedrohungen zu schützen. Ein Beispiel hierfür wäre die Integration technischer Maßnahmen zur Erkennung und Abwehr von Cyberangriffen mittels eines Managed Detection & Response (MDR)-Services.

Auditierung und Zertifizierung für Unternehmen

Eine effiziente Überprüfung und Zertifizierung gemäß des Regelwerks sind essenziell für Unternehmen, um die Wirksamkeit ihrer Cybersicherheitsmaßnahmen zu bestätigen und zu gewährleisten. Besonders in sektorübergreifenden Betrieben und Einrichtungen spielen diese Prozesse eine entscheidende Rolle, um die ordnungsgemäße Umsetzung der NIS2-Richtlinie zu überwachen.

Es ist wesentlich für Unternehmen sicherzustellen, dass alle erforderlichen Vorgaben erfüllt werden, um eine erfolgreiche Zertifizierung zu erreichen. Die Richtlinie unterstützt die Anwendung von europäischen und internationalen Normen und technischen Spezifikationen, wie zum Beispiel ISO27001. Eine Zertifizierung sendet ein klares Signal an Kunden und Geschäftspartner, dass die IT-Sicherheit des Unternehmens auf einem hohen Standard basiert und somit vor potenziellen Sicherheitsrisiken schützt. Die Durchführung einer Überprüfung stellt einen zentralen Schritt zur Stärkung der Cybersicherheit innerhalb von Unternehmen dar.

Kommunikation und Sensibilisierung der Mitarbeiter

Eine zentrale Voraussetzung für die erfolgreiche Implementierung des Cyber-Risiko-Gesetzes in Unternehmen liegt in der gezielten Kommunikation und Sensibilisierung der Mitarbeiter für die damit einhergehenden Sicherheitsanforderungen. Durch Schulungen und Trainings kann das Bewusstsein für IT-Sicherheit gestärkt und die Risiken minimiert werden. Insbesondere in sensiblen Branchen wie der Energie-, Gesundheits- oder Finanzbranche spielen gut informierte Mitarbeiter eine essenzielle Rolle im Sicherheitskonzept. Denn die Sensibilisierung der Belegschaft für Cyber-Bedrohungen, wie etwa Phishing-Attacken, ist von entscheidender Bedeutung, um die Sicherheit des Unternehmens zu gewährleisten.

Business Continuity Strategy

Ein wesentlicher Bestandteil der Strategie ist die Stärkung der Geschäftskontinuität im Falle eines Angriffs. Dies beinhaltet eine gründliche Überprüfung und Optimierung der Backup- und Wiederherstellungsoptionen sowie die Erstellung eines umfassenden Notfallhandbuchs zur effektiven Bewältigung von Cyberzwischenfällen. Das Design und die Implementierung eines gut durchdachten Notfallplans sind essenziell, um möglichen Cyberbedrohungen wirksam entgegenzutreten und das reibungslose Funktionieren des Unternehmens auch in Krisensituationen sicherzustellen.

Fazit: Die Bedeutung von NIS2 für eine sichere Lieferkette und IT-Infrastruktur

Der deutsche Gesetzgeber schätzt, dass ungefähr 30.000 Unternehmen in Deutschland von den Anforderungen der Zweiten Netz- und Informationssicherheitsrichtlinie (NIS2) betroffen sein könnten. Diese Unternehmen müssen entsprechende Maßnahmen ergreifen, um die Sicherheit ihrer Netzwerke und Informationen zu gewährleisten.

Die EU-Mitgliedsländer machen Fortschritte bei der Umsetzung der Richtlinie zur Netz- und Informationssicherheit in nationales Recht. Der aktuelle Regierungsentwurf des NIS2-Umsetzungsgesetzes vom Juli 2024 enthält wichtige Regelungen zur Stärkung der Cybersicherheit und zur Erhöhung der Resilienz kritischer Infrastrukturen. Unternehmen sollten bereits frühzeitig die rechtlichen Anforderungen prüfen und ihre IT-Sicherheitsmaßnahmen überarbeiten, um für zukünftige Änderungen gerüstet zu sein. Laut einer Umfrage sind nur 14% der europäischen IT-Leiter derzeit auf die neuen Vorschriften vorbereitet.

Erfolgsfaktoren wie klare Kommunikation, regelmäßige Sicherheitsüberprüfungen und Schulungen für Mitarbeiter sind von großer Bedeutung. Die Kontinuität der Maßnahmen und die Implementierung eines Incident-Response-Teams sind entscheidend. Die Zusammenarbeit mit Behörden und externen Experten ist unerlässlich, um sich gegen Cyberbedrohungen zu schützen. Auditierung und Zertifizierung nach NIS2-Standards sind essenziell, um die Wirksamkeit von Cybersicherheitsmaßnahmen zu überprüfen. Ein effektiver Business Continuity-Plan spielt eine zentrale Rolle im Umgang mit Cyberangriffen, um einen reibungslosen Geschäftsbetrieb auch in Krisensituationen sicherzustellen

Durch eine konsequente Umsetzung dieser Maßnahmen können Unternehmen ihre Widerstandsfähigkeit gegen potenzielle Cyberbedrohungen stärken und somit die Integrität und Vertraulichkeit ihrer Daten gewährleisten. Es ist unerlässlich, dass Unternehmen proaktiv agieren und die erforderlichen Sicherheitsvorkehrungen treffen, um sich effektiv gegen Cyberangriffe zu schützen und die Kontinuität ihrer Geschäftsprozesse sicherzustellen.

FAQ

arrow_left_alt Vorheriger Beitrag Nächster Beitrag arrow_right_alt