EU-Cybersecurity reloaded: NIS 2 verschärft die Pflichten in der EU

Die Bedrohung durch Cyberkriminalität wächst alarmierend: Laut BSI-Lagebericht gehen Cyberkriminelle immer professioneller vor, um Schwachstellen in Unternehmen anzugreifen – und die Schäden sind enorm. Allein in Deutschland entstand im vergangenen Jahr durch IT-Diebstahl und Wirtschaftsspionage ein Schaden von über 200 Milliarden Euro. Die EU reagiert auf diese eskalierende Bedrohung mit der neuen NIS 2-Richtlinie. Diese erweitert den bisherigen Rechtsrahmen deutlich und bringt strengere Sicherheitsanforderungen und Meldepflichten für Unternehmen mit sich.

Die Diskrepanz ist enorm: Der IT-Verband Bitkom hat in einer Umfrage 2023 herausgefunden, dass zwei Drittel der Unternehmen in Deutschland mit Hackerangriffen rechnen, aber nur 43 Prozent sich darauf vorbereitet fühlen. Die Folge: Im vergangenen Jahr entstand der Wirtschaft hierzulande durch Cyberkriminalität ein Schaden von über 200 Milliarden Euro. Zunehmend geraten auch kleine Unternehmen ins Visier der Cyberkriminellen. Das Bundesamt für Sicherheit in der Informationstechnik prognostiziert in seinem Lagebericht 2023 eine Verlagerung der Angriffe von zahlungskräftigen Großunternehmen hin zu kleinen und mittleren Unternehmen. Und mit der fortschreitenden Digitalisierung verschärft sich das Problem weiter. Laut der aktuellen Studie „Foresight Cybersecurity Threats for 2023“ der europäischen Cybersicherheitsagentur enisa gehören mangelndes Wissen und menschliches Versagen derzeit zu den Top 3 der Bedrohungen – auf Platz 1 sieht enisa die Kompromittierung der Lieferkette durch Software-Abhängigkeiten.

Das Problem ist nicht neu. Um die Cyber-Resilienz in Europa zu stärken, hatte die Europäische Kommission bereits 2016 die erste Version der „Network and Information Security Directive“ – kurz NIS – verabschiedet. Das Ziel: ein hohes Sicherheitsniveau für Netz- und Informationssysteme in der Europäischen Union zu etablieren und die Grundlage für ein einheitlich hohes Sicherheitsniveau zu schaffen. Angesichts wachsender Cyber-Bedrohungen hat die EU-Kommission nun nachgelegt: Die im Januar 2023 in Kraft getretene NIS 2-Richtlinie erweitert den bestehenden Rechtsrahmen und bringt weitreichende Änderungen und erweiterte Pflichten für Unternehmen mit sich. Die EU-Mitgliedstaaten waren verpflichtet, diese Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. In Deutschland verzögert sich die Umsetzung jedoch. Obwohl das Gesetz am 24. Juli 2024 das Bundeskabinett passierte, steht ein Beschluss des Deutschen Bundestages noch aus. Daher wird mit einem Inkrafttreten des Gesetzes erst in einigen Monaten gerechnet.  Als realistischer Zeitpunkt für die nationale Umsetzung gilt derzeit das Frühjahr 2025.

Eine der wichtigsten Neuerungen der NIS 2-Richtlinie ist ihr erweiterter Anwendungsbereich. Während die ursprüngliche NIS-Richtlinie vor allem Betreiber kritischer Infrastrukturen (dazu zählen unter anderem die Bereiche Energie, Verkehr, Banken, Wasserversorgung und Gesundheit) betraf, nimmt NIS 2 nun deutlich mehr Unternehmen in die Pflicht. Auch viele mittelständische Unternehmen in der Industrie, die bisher nicht reguliert waren, müssen nun robuste Cybersicherheitsmaßnahmen umsetzen. Das bedeutet: Mehr Unternehmen als je zuvor müssen sich jetzt intensiv mit Cybersicherheit auseinandersetzen. Insgesamt sind nun 18 Branchen betroffen, die in „wesentliche“ und „wichtige“ Kategorien unterteilt werden. Dazu gehören nun auch Chemie- und Pharmaunternehmen. Experten schätzen, dass allein in Deutschland rund 40.000 Unternehmen zusätzlich von den neuen Regelungen betroffen sein werden.

Nach der neuen NIS 2-Richtlinie sind Unternehmen verpflichtet, eine Vielzahl von Cyber-Sicherheitsmaßnahmen umzusetzen. Dazu gehören die Entwicklung eines umfassenden Risikomanagementkonzepts und die Einführung von Notfallplänen. Darüber hinaus müssen Unternehmen Systeme einrichten, um Sicherheitsvorfälle schnell an die zuständigen Aufsichtsbehörden zu melden.

NIS 2 verschärft die Sicherheitsanforderungen deutlich. Unternehmen müssen neben technischen Maßnahmen wie Firewalls und Intrusion Detection Systemen auch organisatorische Maßnahmen treffen. Dazu gehören regelmäßige Risikobewertungen, Schulungen der Mitarbeitenden und ein umfassendes Incident Management. Ziel ist es, die gesamten IT-Systeme und -Prozesse gegen eine Vielzahl von Bedrohungen abzusichern.

Eine weitere wichtige Änderung ist die Ausweitung der Meldepflichten. Unternehmen müssen schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden an die zuständigen nationalen Behörden melden. Diese erste Meldung muss eine vorläufige Bewertung des Vorfalls enthalten, gefolgt von einer detaillierten Analyse innerhalb von 72 Stunden. Die Richtlinie fördert auch die Zusammenarbeit zwischen Unternehmen und Behörden, um die Reaktion auf Cyber-Angriffe zu verbessern und den Austausch von Informationen über Bedrohungen zu erleichtern.

Die NIS 2-Richtlinie sieht auch schärfere Sanktionen vor. Unternehmen, die die Sicherheitsanforderungen nicht erfüllen oder meldepflichtige Vorfälle nicht melden, müssen mit empfindlichen Geldbußen rechnen. Die Maßnahmen reichen von Kontrollen vor Ort bis hin zur Möglichkeit, die Geschäftsführung bei Verstößen von ihren Aufgaben zu entbinden. Zudem können die Aufsichtsbehörden künftig bei Verstößen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des Umsatzes verhängen. In Deutschland sieht das NIS 2-Umsetzungsgesetz de facto vor, dass verantwortliche Manager bei Verstößen sogar mit ihrem Privatvermögen haften.

Die Umsetzung der NIS 2-Richtlinie wird für viele Industrieunternehmen mit erheblichen Kosten verbunden sein. Notwendige Investitionen in IT-Sicherheitstechnologien, Mitarbeiterschulungen und die Einführung neuer Prozesse und Systeme können eine finanzielle Belastung darstellen. Insbesondere für kleine und mittlere Unternehmen können diese Kosten eine Herausforderung darstellen.

Auf der positiven Seite wird die NIS 2-Richtlinie die Cyber-Sicherheitsresilienz von Industrieunternehmen deutlich verbessern. Durch strengere Sicherheitsmaßnahmen sind Unternehmen besser vor Cyberangriffen geschützt. Dies kann langfristig nicht nur wirtschaftliche Schäden verhindern, sondern auch das Vertrauen von Kunden und Geschäftspartnern stärken.

Unternehmen, die die Anforderungen der NIS 2-Richtlinie erfolgreich umsetzen, können ihre Wettbewerbsfähigkeit stärken. Eine starke Cyber-Sicherheitsstrategie wird zunehmend zu einem wichtigen Differenzierungsmerkmal am Markt. Kunden und Geschäftspartner bevorzugen Unternehmen, die hohe Sicherheitsstandards einhalten und damit das Risiko von Betriebsunterbrechungen und Datenverlusten minimieren.

Doch trotz der Vorteile bringt die Umsetzung der NIS 2-Richtlinie viele Herausforderungen mit sich. Der Mangel an qualifizierten Fachkräften im Bereich der Cybersicherheit ist ein weit verbreitetes Problem. Unternehmen müssen ihre bestehenden IT-Systeme und Prozesse überprüfen und gegebenenfalls anpassen, um den neuen Anforderungen gerecht zu werden. Dies erfordert nicht nur finanzielle Mittel, sondern auch Zeit und Ressourcen.

Die Einführung der NIS 2-Richtlinie markiert einen wichtigen Schritt zur Stärkung der Cybersicherheit in der EU. Insbesondere für Industrieunternehmen und den Mittelstand bedeutet dies nicht nur eine große Herausforderung, sondern auch eine Chance, die eigene Cyber Security Resilience zu stärken. Die neuen Regelungen verpflichten eine Vielzahl von Unternehmen, umfassende technische und organisatorische Maßnahmen zum Risikomanagement zu implementieren und schnelle Meldeprozesse für Sicherheitsvorfälle zu etablieren. Obwohl die Umsetzung der Richtlinie mit erheblichen Kosten verbunden sein kann, bietet sie langfristig die Chance, wirtschaftliche Schäden zu vermeiden und das Vertrauen von Kunden und Geschäftspartnern zu stärken. Dazu müssen die Unternehmen jedoch erhebliche Investitionen in ihre IT-Sicherheitsinfrastruktur tätigen und ihre Prozesse an die neuen Anforderungen anpassen.