NIS2: Verschärfte EU-Regeln zur Informationssicherheit fordern Unternehmen einiges ab

Bericht zum AG Treffen der mbuf Arbeitsgruppe IT Security Management am 14.03.2024.

Das Thema an sich ist nicht neu und der Hintergrund bekannt: Mit der fortschreitenden Digitalisierung und der damit einhergehenden wachsenden Abhängigkeit von funktionierenden IT-Systemen steigt die Gefahr von Angriffen in einem beachtlichen Tempo. Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) hat erst kürzlich in seinem Lagebericht 2023 darauf hingewiesen, dass die Bedrohungen weiter zugenommen haben. 68 erfolgreiche Ransomware-Angriffe auf Firmen (davon 15 auf IT-Dienstleister) wurden 2023 bekannt – sprich etwa durchschnittlich alle fünf Tage wurde ein Unternehmen Opfer eines solchen Angriffs. Eine Viertelmillion neue Schadprogramm-Varianten wurden durchschnittlich pro Tag gefunden. Aber die Bedrohung besteht auch für kommunale Verwaltungen und Betriebe, Bildungseinrichtungen oder Verkehrs- und Energieinfrastrukturen.

Viele dieser Unternehmen und Einrichtungen fallen unter den Geltungsbereich von KRITIS – Regeln zum Schutz kritischer Infrastrukturen. Das BSI hat bereits 2009 mit der Novellierung des BSI-Gesetzes spezielle Regeln für kritische Infrastrukturen festgeschrieben. Im Juli 2015 wurden mit dem „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT -Sicherheitsgesetz 1.0)“ rechtliche Rahmenbedingungen festgelegt. Das EU-Regelwerk NIS von 2017 führte 2021 zu einer Neufassung, die unter dem Begriff IT-Sicherheitsgesetz 2.0 bekannt wurde. Im vergangenen Jahr nun wurde die EU-Richtlinie NIS2 veröffentlicht, die bis zum 17. Oktober 2024 in nationales Recht – vermutlich nicht in Form eines IT-Sicherheitsgesetzes 3.0, sondern als „Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit (NIS2UmsuCG)“ – umgesetzt werden soll. Die EU reagiert mit NIS2 auf die gestiegenen Anforderungen an die IT-Sicherheit von Unternehmen und Verwaltungen. Derzeit wird ein vierter Referentenentwurf zum NIS2UmsuCG (Stand Dezember 2023) in den Gremien diskutiert. Da nach wie vor viele Fragen offen sind, ist es fraglich, ob ein solches Gesetz wirklich zum Oktober 2024 in Kraft treten kann. Das Treffen der mbuf Arbeitsgruppe IT-Security-Management im März 2024 diente nun dazu, sich über den aktuellen Stand des Gesetzgebungsverfahrens, über die künftigen Regelungen und über die Vorbereitung der Mitgliedsunternehmen auf die Umsetzung der neuen Vorschriften auszutauschen.

Was kommt mit NIS2 auf die Unternehmen zu?

Wesentliche Eckpunkte von NIS2:

• Der Scope wird wesentlich erweitert

  Waren bislang „nur“ 30-35 Tausend meist größere Unternehmen im Fokus der besonderen Sicherheitsregeln gemäß KRITIS, werden künftig schätzungsweise 100-120 Tausend Unternehmen unter die verschärften Regelungen fallen. Dabei können bereits Unternehmen ab 50 Mitarbeitenden oder einem Jahresumsatz ab 10 Mio EUR in den Geltungsbereich der neuen Bestimmungen fallen. Und das gilt auch zum Beispiel für ausgelagerte IT-Dienstleistungsunternehmen von großen Unternehmen!

• Mehr Branchen und Bereiche sind betroffen
  NIS2 definiert nun 11 Sektoren mit hoher Kritikalität (wesentliche Einrichtungen) sowie 7 sonstige kritische Sektoren (wichtige Einrichtungen). Es geht nicht mehr nur um Energieversorgung, Verkehr, Gesundheitswesen oder Informationstechnologieanbieter. Es geht künftig z.B. auch um die Lebensmittelversorgung, den Handel, die Herstellung von IT- und Kommunikationstechnik, den Maschinenbau oder auch die ganze Automotive-Branche.

• Informationssicherheits-Management-System (ISMS)

  Wer in den Geltungsbereich von NIS2 beziehungsweise den nationalen Umsetzungen fällt, muss eine firmeninterne Struktur aufbauen, die zum Beispiel Zuständigkeiten, Prozesse, Meldewege und ein Risiko-Management rund um das Thema IT-/ Informationssicherheit regelt – und das bis in die Lieferketten hinein (Vertragsgestaltung mit Lieferanten und 3rd-Party-Unternehmen, ggf. inklusive Auditierung). Gefordert sind auch eine umfangreiche Dokumentation und regelmäßige Schulungen aller Mitarbeitenden bis hoch zum Firmenchef.

  Während die meisten größeren Unternehmen bereits über einen CISO (Chief Information Security Officer) und entsprechende Regeln und Strukturen verfügen, wird das bei den kleineren Firmen, die jetzt auch in den Scope fallen, zu großen Herausforderungen führen.

• Drastische Strafen möglich

  Kommt es zu Sicherheitsvorfällen (die übrigens alle meldepflichtig sind) und dem Unternehmen können Versäumnisse nachgewiesen werden, drohen Strafen in Höhe von bis zu 10 Mio EUR beziehungsweise 2% des weltweiten Umsatzes.

Einige gute Zusammenstellungen zum Thema NIS2-Richtlinie und deren Umsetzung in nationales Recht findet man im Internet, unter anderem auf den Webseiten des BSI, aber zum Beispiel auch hier.

Fazit und wichtige Erkenntnisse

Dass man um die Umsetzung der neuen rechtlichen Vorschriften nicht herumkommen wird, darüber waren sich alle Teilnehmer einig. In den meisten Unternehmen hat man sich auch schon intensiv mit diesem Thema beschäftigt. Man kann aber durchaus unterschiedliche Reifegrade beobachten, denn für etliche Unternehmen, die jetzt neu in den Scope fallen, war KRITIS ja bislang nur ein Randthema („Für uns bislang nice to know, aber eigentlich waren wir ja nicht unmittelbar betroffen“, war in manchen Pausengesprächen zu hören).

Allen Teilnehmern war und ist auch klar, dass die Bedrohungen zunehmen. Nach wie vor geht von Ransomware die höchste Bedrohung aus: Es droht die Fremd-Verschlüsselung der eigenen Daten mit einer nachfolgenden Erpressung von Lösegeld (engl. ransom). Ein neuer Trend erweitert dieses „Geschäftsmodell“: Nach der Entschlüsselung der Daten wird nochmals Geld dafür gefordert, dass man die gehackten Daten nicht veröffentlicht. Und schließlich fordert man weitere Zahlungen, um eine umfangreiche Meldung an die Behörden zu vermeiden.

Manchem Teilnehmer war aber anzumerken, dass dieser sehr interessante Austausch Nachholbedarf im eigenen Unternehmen offenbarte. Nicht alle Unternehmen verfügen in Sachen IT- und Informationssicherheit schon über den geforderten Reifegrad. Und da kam diese Veranstaltung gerade zum richtigen Zeitpunkt!

Wer den Austausch in diesem Themenbereich sucht und mit eigenen Erfahrungen zum Knowhow-Transfer in der mbuf Community beitragen möchten, der sollte mit der Geschäftsstelle Kontakt aufnehmen. Karl Gerd Zimmermann

Archiv:

AG-Bericht vom 16.11.2023

AG-Bericht vom 06.07.2023

AG-Bericht vom 23.03.2023

AG-Bericht vom 10.11.2022