Berichte aus der Arbeitsgruppe
Lesen Sie hier immer den aktuellen Bericht aus der Arbeitsgruppe IT-Security-Management.
NIS2: Verschärfte EU-Regeln zur Informationssicherheit fordern Unternehmen einiges ab
Bericht zum AG Treffen der mbuf Arbeitsgruppe IT Security Management am 14.03.2024.
Das Thema an sich ist nicht neu und der Hintergrund bekannt: Mit der fortschreitenden Digitalisierung und der damit einhergehenden wachsenden Abhängigkeit von funktionierenden IT-Systemen steigt die Gefahr von Angriffen in einem beachtlichen Tempo. Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) hat erst kürzlich in seinem Lagebericht 2023 darauf hingewiesen, dass die Bedrohungen weiter zugenommen haben. 68 erfolgreiche Ransomware-Angriffe auf Firmen (davon 15 auf IT-Dienstleister) wurden 2023 bekannt – sprich etwa durchschnittlich alle fünf Tage wurde ein Unternehmen Opfer eines solchen Angriffs. Eine Viertelmillion neue Schadprogramm-Varianten wurden durchschnittlich pro Tag gefunden. Aber die Bedrohung besteht auch für kommunale Verwaltungen und Betriebe, Bildungseinrichtungen oder Verkehrs- und Energieinfrastrukturen.
Viele dieser Unternehmen und Einrichtungen fallen unter den Geltungsbereich von KRITIS – Regeln zum Schutz kritischer Infrastrukturen. Das BSI hat bereits 2009 mit der Novellierung des BSI-Gesetzes spezielle Regeln für kritische Infrastrukturen festgeschrieben. Im Juli 2015 wurden mit dem „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT -Sicherheitsgesetz 1.0)“ rechtliche Rahmenbedingungen festgelegt. Das EU-Regelwerk NIS von 2017 führte 2021 zu einer Neufassung, die unter dem Begriff IT-Sicherheitsgesetz 2.0 bekannt wurde. Im vergangenen Jahr nun wurde die EU-Richtlinie NIS2 veröffentlicht, die bis zum 17. Oktober 2024 in nationales Recht – vermutlich nicht in Form eines IT-Sicherheitsgesetzes 3.0, sondern als „Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit (NIS2UmsuCG)“ – umgesetzt werden soll. Die EU reagiert mit NIS2 auf die gestiegenen Anforderungen an die IT-Sicherheit von Unternehmen und Verwaltungen. Derzeit wird ein vierter Referentenentwurf zum NIS2UmsuCG (Stand Dezember 2023) in den Gremien diskutiert. Da nach wie vor viele Fragen offen sind, ist es fraglich, ob ein solches Gesetz wirklich zum Oktober 2024 in Kraft treten kann. Das Treffen der mbuf Arbeitsgruppe IT-Security-Management im März 2024 diente nun dazu, sich über den aktuellen Stand des Gesetzgebungsverfahrens, über die künftigen Regelungen und über die Vorbereitung der Mitgliedsunternehmen auf die Umsetzung der neuen Vorschriften auszutauschen.
Was kommt mit NIS2 auf die Unternehmen zu?
Wesentliche Eckpunkte von NIS2:
-
Der Scope wird wesentlich erweitert
Waren bislang „nur“ 30-35 Tausend meist größere Unternehmen im Fokus der besonderen Sicherheitsregeln gemäß KRITIS, werden künftig schätzungsweise 100-120 Tausend Unternehmen unter die verschärften Regelungen fallen. Dabei können bereits Unternehmen ab 50 Mitarbeitenden oder einem Jahresumsatz ab 10 Mio EUR in den Geltungsbereich der neuen Bestimmungen fallen. Und das gilt auch zum Beispiel für ausgelagerte IT-Dienstleistungsunternehmen von großen Unternehmen!
-
Mehr Branchen und Bereiche sind betroffen
NIS2 definiert nun 11 Sektoren mit hoher Kritikalität (wesentliche Einrichtungen) sowie 7 sonstige kritische Sektoren (wichtige Einrichtungen). Es geht nicht mehr nur um Energieversorgung, Verkehr, Gesundheitswesen oder Informationstechnologieanbieter. Es geht künftig z.B. auch um die Lebensmittelversorgung, den Handel, die Herstellung von IT- und Kommunikationstechnik, den Maschinenbau oder auch die ganze Automotive-Branche. -
Informationssicherheits-Management-System (ISMS)
Wer in den Geltungsbereich von NIS2 beziehungsweise den nationalen Umsetzungen fällt, muss eine firmeninterne Struktur aufbauen, die zum Beispiel Zuständigkeiten, Prozesse, Meldewege und ein Risiko-Management rund um das Thema IT-/ Informationssicherheit regelt – und das bis in die Lieferketten hinein (Vertragsgestaltung mit Lieferanten und 3rd-Party-Unternehmen, ggf. inklusive Auditierung). Gefordert sind auch eine umfangreiche Dokumentation und regelmäßige Schulungen aller Mitarbeitenden bis hoch zum Firmenchef.
Während die meisten größeren Unternehmen bereits über einen CISO (Chief Information Security Officer) und entsprechende Regeln und Strukturen verfügen, wird das bei den kleineren Firmen, die jetzt auch in den Scope fallen, zu großen Herausforderungen führen.
-
Drastische Strafen möglich
Kommt es zu Sicherheitsvorfällen (die übrigens alle meldepflichtig sind) und dem Unternehmen können Versäumnisse nachgewiesen werden, drohen Strafen in Höhe von bis zu 10 Mio EUR beziehungsweise 2% des weltweiten Umsatzes.