NIS 2 & Cybersecurity Readiness:
Wie ist die Lage?

Mit dem Bericht zur Lage der IT-Sicherheit in Deutschland informiert das BSI jährlich über die Bedrohungslage im Cyberraum. Im Bericht für das Jahr 2024 kommt die Cybersicherheitsbehörde des Bundes zu der Einschätzung: Die Lage der IT-Sicherheit in Deutschland war und ist noch immer besorgniserregend.

Auch im neuen Jahr unterschätzen viele Unternehmen die Gefahren durch Cyberbedrohungen weiterhin und sind sich über ihr eigenes Risikoprofil nicht ausreichend bewusst. Grundlegende Sicherheitsmaßnahmen werden oft vernachlässigt, selbst elementare, oftmals kostenfrei umsetzbare Präventionsmaßnahmen, werden häufig nicht ergriffen.

Allerdings wächst das Bewusstsein – wenn auch nur langsam – vor allem bei kleinen und mittleren Unternehmen (KMU), mehr für die eigene IT-Sicherheit zu tun. Die Herausforderung liegt oft darin, zu wissen, wo man beginnen soll. Wir helfen gerne!

Die Network-and-Information-Security-Directive (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, kurz NIS2, wurde am 14. Dezember 2022 veröffentlicht. Sie verpflichtet betroffene Unternehmen und Organisationen dazu, stärkere Sicherheitsmaßnahmen zu etablieren und zieht Führungskräfte für die Auswirkungen eines Angriffs in die Verantwortung.

Mit der NIS2-Richtlinie reagiert die EU auf die zunehmenden, fortschrittlichen Gefahren durch Cyberangriffe. Sie erweitert die bisher geltende NIS-Richtlinie von 2016 und rückt Informationssicherheit verstärkt in den Fokus. Alle EU-Staaten mussten die NIS2-Richtlinie bis Oktober 2024 in nationales Recht umsetzen. Deutschland ist dabei nicht das einzige Land, welches die Frist nicht einhalten konnte.

Auch wenn die ursprüngliche Deadline zur Umsetzung der NIS-2-Richtlinie bereits verstrichen ist: NIS-2 wird noch im ersten Quartal 2025 in Kraft treten. Voraussichtlich gelten die neuen Vorhaben verbindlich und ohne weitere Verlängerungen der Frist ab März 2025.

Alle betroffenen Unternehmen, die noch unsicher sind, wie sie die Anforderungen erfüllen können, sollten jetzt unbedingt aktiv werden. Mit unserem NIS2 Readiness Check unterstützen wir Sie jederzeit dabei, Ihre Vorbereitung zu prüfen und konkrete Maßnahmen für Ihre NIS-2 Konformität abzuleiten. Sprechen Sie uns gerne an!

Die NIS-2-Richtlinie verpflichtet Organisationen, ein Risikomanagement-System einzuführen und Cybersicherheitsvorfälle zu melden. „Wesentliche Einrichtungen“ unterliegen dabei strengeren Vorgaben und stärkerer behördlicher Kontrolle als „wichtige Einrichtungen“. Die konkreten Maßnahmen richten sich nach Faktoren wie Größe, Risikoprofil und Lieferketten-Sicherheit. Führungsgremien tragen dabei Verantwortung für die Umsetzung und Kontrolle – und können persönlich haftbar gemacht werden.

Die Zahlen sind alarmierend: Laut dem Blackberry Global Threat Intelligence Report stieg die Anzahl von Malware-Angriffen auf Unternehmen, die nach eigener Aussage der NIS-2-Richtlinie unterliegen, pro Minute im ersten Quartal 2024 gegenüber dem letzten Berichtszeitraum um über 40 %. Besonders anfällig ist die Software-Lieferkette. 81 % der Unternehmen hatten in den letzten 12 Monaten Schwachstellen oder Angriffe in diesem Bereich. Schnelles Handeln ist entscheidend, da eine Verzögerung zu Compliance-Verstößen führen und schwerwiegende Konsequenzen und Sanktionen nach sich ziehen kann. Denn nach NIS2 müssen Unternehmen dem Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) innerhalb von 24 Stunden erhebliche Sicherheitsvorfälle melden. Verstöße können hohe Strafen nach sich ziehen – bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes.

Mit rund 99,4 % der deutschen Wirtschaft bilden KMU das Rückgrat der Wirtschaft, sie stellen mehr als die Hälfte aller Arbeitsplätze und erwirtschaften dabei mehr als jeden zweiten Euro (Nettowertschöpfung). Jedoch stehen sie oft ohne ausreichende IT-Ressourcen da. Schätzungen zufolge sind 25.000 bis 40.000 Unternehmen von der NIS2-Richtlinie betroffen – einige von ihnen kämpfen noch mit der Planung und Implementierung NIS2-konformer Sicherheitsmaßnahmen.

Die NIS2-Richtlinie fordert u.a. umfangreiche Maßnahmen im Risikomanagement und bei der Netzwerksicherheit. Wir unterstützen Unternehmen dabei, diese Anforderungen zu verstehen und strukturiert umzusetzen.

Der erste Schritt und eine zentrale Maßnahme der NIS2-Richtlinie ist die Erstellung einer Informationssicherheitsrichtlinie. Diese dient als verbindlicher Leitfaden, um den Schutz von Netzwerken und IT-Systemen im Unternehmen sicherzustellen.

Doch was macht eine gute Richtlinie aus, und wie setzen Sie diese effektiv um?

Form und Freigabe:

Erstellen Sie ein dokumentiertes Sicherheitskonzept, das von der Geschäftsführung freigegeben wird. Stellen Sie sicher, dass wichtige Angaben wie Version, Datum und Verantwortliche klar vermerkt sind. Dieses Dokument sollte regelmäßig überprüft, aktualisiert und im gesamten Unternehmen bekannt gemacht werden – auch bei externen Partnern und Dienstleistern.

Inhaltliche Schwerpunkte:

Zielsetzungen und Ressourcen: Definieren Sie klare Ziele im Bereich IT- und Informationssicherheit. Zeigen Sie auf, welche Ressourcen – personell, finanziell und organisatorisch – bereitgestellt werden.

Grundsätze im Umgang mit Informationen: Beschreiben Sie zentrale Prinzipien wie das Need-to-know-Prinzip oder Zero-Trust-Strategien. Legen Sie fest, wie mit sensiblen Daten umzugehen ist.

Rollen und Verantwortlichkeiten: Halten Sie fest, wer im Ernstfall welche Aufgaben übernimmt, von der Geschäftsleitung bis zu IT-Fachkräften.

Konkret definierte Inhalte:

Geltungsbereich: Grenzen Sie ab, welche Systeme, Anwendungen oder Prozesse von der Richtlinie erfasst sind.

Bedeutung der Informationssicherheit: Verdeutlichen Sie, wie wichtig IT-Sicherheit für den Unternehmenserfolg ist. Erklären Sie, welche Risiken ein Verstoß gegen die Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) mit sich bringt.

Compliance und gesetzliche Vorgaben: Weisen Sie auf relevante Gesetze hin und verpflichten Sie alle Mitarbeitenden zur Einhaltung.

Wichtige Geschäftsprozesse: Benennen Sie Prozesse, die besonders schutzbedürftig sind, und erläutern Sie deren Bedeutung.

Bewusstsein stärken:

Awareness-Trainings: Regelmäßige Schulungen sorgen dafür, dass alle Mitarbeitenden die Richtlinie verstehen und anwenden können.

Verantwortlichkeiten in der Organisation: Legen Sie die Struktur der Sicherheitsverantwortlichen fest und beschreiben Sie deren Aufgaben.

Mit diesen Schritten schaffen Sie eine solide Grundlage, um die Anforderungen der NIS2-Richtlinie zu erfüllen und die IT-Sicherheit in Ihrem Unternehmen nachhaltig zu stärken. Wir beraten Sie sehr gerne zu all diesen Punkten und Ihren weiteren Schritten!

Ein effektives Risikomanagement ist unerlässlich, um den Anforderungen der NIS2-Richtlinie gerecht zu werden. Betroffene Unternehmen müssen zunächst alle relevanten Vermögenswerte (Assets) und Geschäftsprozesse identifizieren und diese mit potenziellen Risiken abgleichen. Dabei gilt es, Eintrittswahrscheinlichkeit, Auswirkungen und das Risikolevel zu bewerten. Der daraus resultierende Risikobehandlungsplan legt konkrete Maßnahmen fest, um Bedrohungen auf ein akzeptables Niveau zu senken.

Doch die Umsetzung ist komplex: Von der Bewertung unterschiedlicher Asset-Typen (etwa Web-Applikationen vs. Endgeräte) über die Festlegung von Zuständigkeiten bis hin zur regelmäßigen Überprüfung durch externe Audits gibt es viele Stellschrauben.

Nutzen Sie die Gelegenheit, Ihre IT-Sicherheitsstrategie auf den Prüfstand zu stellen und sich auf die NIS2-Richtlinie vorzubereiten. Wir stehen Ihnen dabei als verlässlicher Partner zur Seite.

Ob Risikoanalyse, Maßnahmenplanung oder Audit-Vorbereitung – wir unterstützen Sie dabei, ein effizientes und gesetzeskonformes Risikomanagement in Ihrem Unternehmen zu etablieren. Kontaktieren Sie uns, um Ihre NIS2-Compliance voranzutreiben! 

Weitere Artikel zum Thema:

NIS2: Wieso stockt die Umsetzung?

Auf Entdeckungstour mit NIS2!