Die EU strebt durch ihre überarbeitete Richtlinie zur Sicherheit von Netz- und Informationssystemen, kurz NIS2, eine umfassendere Resilienz in der gesamten Infrastruktur an. Bisher waren viele Branchen von solchen Konzepten weitgehend verschont geblieben, doch nun steht eine ernsthafte Veränderung bevor. Mit NIS2 stehen Unternehmen zahlreiche Herausforderungen bevor, weshalb es umso entscheidender wird, frühzeitig aktiv zu werden.
Am 10. Oktober 2022 hat das Europäische Parlament in Brüssel ein Abkommen mit den EU-Staaten gebilligt, das darauf abzielt, Netz- und Informationssysteme besser vor Hackerangriffen zu schützen. Die neuen Anforderungen zielen insbesondere darauf ab, die Regeln in den 27 EU-Ländern zu vereinheitlichen. Dafür werden Mindestanforderungen an das Schutzniveau festgelegt, und Mechanismen zur Zusammenarbeit zwischen den Ländern werden eingeführt. Die Mitgliedsstaaten haben nun 21 Monate Zeit, um NIS2 in nationales Recht umzusetzen. Das bedeutet, dass deutsche Unternehmen spätestens im Herbst 2024 mit neuen Vorschriften konfrontiert werden.
Angesichts wirtschaftlichen Drucks vieler Akteure, die oft zu wenig Eigenverantwortung für den Selbstschutz zeigen, greift die Politik verstärkt ein. Viele Unternehmen, insbesondere Betreiber kritischer Infrastrukturen, nehmen den Schutz ihrer IT-Infrastruktur trotz wachsender Gefahren aus dem Cyberraum und anhaltender Krisen mit Auswirkungen auf die Lieferketten nicht ausreichend ernst. Laut einer Studie des Branchenverbands Bitkom entsteht der deutschen Wirtschaft durch Datendiebstahl, Spionage und Sabotage ein jährlicher Schaden von rund 203 Milliarden Euro. Die größte Sorge der Wirtschaft sind Ransomware-Angriffe. Gleichzeitig wünschen sich 98 Prozent der Befragten mehr Engagement für eine verstärkte EU-weite Zusammenarbeit bei der Cybersicherheit. 77 Prozent sind der Meinung, dass die Politik die Ermittlungsbefugnisse erweitern sollte.
Dem Wunsch nach stärkerer Regulierung muss der Gesetzgeber spätestens 2024 nachkommen. Unternehmen müssen künftig nicht mehr die Wahl haben, ob sie sich ausreichend gegen Hacker schützen wollen – sie müssen vielmehr einen Mindeststandard an Sicherheit erfüllen. NIS2 verschärft die Vorschriften in drei Kernbereichen: Aufsichtsmaßnahmen und Geldbußen, Zusammenarbeit und Kooperation sowie Anforderungen an das Risikomanagement. Der Adressatenkreis des Gesetzes wird deutlich erweitert, indem acht neue Sektoren hinzukommen. Wesentliche Dienste werden durch die Sektoren Abwasser, Raumfahrt und die öffentliche Verwaltung ergänzt, während wichtige Dienste durch die Sektoren Post und Kurier, Abfallwirtschaft, Chemikalien, Ernährung, Industrie sowie Bildung und Forschung repräsentiert werden. Die digitale Infrastruktur steht im Mittelpunkt der Richtlinie. Zudem sollen künftig neben den KRITIS-Einrichtungen auch Unternehmen und Organisationen mit 50 oder mehr Mitarbeitenden und einem Jahresumsatz von mindestens zehn Millionen Euro erfasst werden. Schätzungen zufolge erhöht sich damit die Zahl der betroffenen Unternehmen in Europa um 100.000 neue Betriebe und Organisationen.
Gleichzeitig sind klare Vorgaben definiert, welche technischen Maßnahmen erforderlich sind. Unternehmen müssen künftig zumindest die nachstehenden Cybersecurity-Maßnahmen implementieren, um die IT-Infrastruktur und Netzwerke ihrer kritischen Dienstleistungen zu schützen:
- Policies: Festlegung von Richtlinien für Risiken und Informationssicherheit
- Incident Management: Umsetzung von Maßnahmen zur Prävention, Detektion und Bewältigung von Sicherheitsvorfällen
- Business Continuity: Verwaltung von Backups, Desaster Recovery und Krisenmanagement
- Supply Chain: Sicherheitsmaßnahmen für die Lieferkette
- Einkauf: Sicherheitsaspekte bei der Beschaffung von IT- und Netzwerksystemen
- Effektivität: Festlegung von Standards zur Messung von Cyber- und Risikomaßnahmen
- Kryptographie: Anwendung von Verschlüsselung, wo immer dies möglich ist
- Zugangskontrolle: Implementierung von Multi-Faktor-Authentifizierung und Single Sign-on
- Kommunikation: Verwendung sicherer Methoden für Sprach-, Video- und Textkommunikation
In der technischen Umsetzung können die Verantwortlichen viele dieser Aspekte mithilfe einer Zero-Trust-Strategie und einem SIEM (Security Information and Event Management)- oder SOC (Security Operations Center)-System abdecken.
Eine andere Herausforderung, die Unternehmen ernsthaft in Bedrängnis bringen wird, ist die Verpflichtung, innerhalb von 24 Stunden nach Kenntniserlangung eines Sicherheitsvorfalls eine erste Meldung als Frühwarnung an die zuständigen Behörden zu senden. In dieser Meldung muss angegeben werden, ob der Sicherheitsvorfall voraussichtlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist. Innerhalb von 72 Stunden muss dann ein weiterer Bericht übermittelt werden, der die sogenannten Indicators of Compromise beschreibt. Dies stellt eine nahezu unlösbare Aufgabe dar, besonders für diejenigen ohne spezifisches Security-Know-how. Spätestens einen Monat nach dem Vorfall ist schließlich ein Abschlussbericht erforderlich. Dieser muss mindestens eine detaillierte Beschreibung des Sicherheitsvorfalls, seinen Schweregrad, die Auswirkungen sowie Angaben zur Art der Bedrohung und den ergriffenen Abhilfemaßnahmen enthalten.
Gleichzeitig wird eine nachlässige Haltung in der Abwehr von Hackerangriffen nun spürbar bestraft. Statt der früheren Höchststrafe von 150.000 Euro können Betreiber essenzieller Dienste nun mit Geldbußen von bis zu 1,4 Prozent des Jahresumsatzes oder 7 Millionen Euro rechnen. Betreiber kritischer Dienste müssen sogar mit Geldbußen in Höhe von 2 Prozent des Jahresumsatzes oder 10 Millionen Euro rechnen. Zusätzlich wird die Unternehmensführung für etwaige Verstöße haftbar gemacht. Zugleich werden die Befugnisse der Aufsichtsbehörden erheblich erweitert, darunter Inspektionen vor Ort, regelmäßige Sicherheitsaudits, Ad-hoc-Überprüfungen im Ernstfall und Sicherheits-Scans. Jedes Land muss zudem eine Strategie für die aktive Cyberreaktion formulieren, was bedeutet, dass nicht nur reaktiv über Vorfälle berichtet werden muss, sondern Angriffe proaktiv verhindert werden müssen. Die CSIRTs (Computer Security Incident Response Teams) der einzelnen Mitgliedsstaaten müssen außerdem zusammenarbeiten, um groß angelegte Cyberangriffe zu bewältigen.
Diese Vorgaben kommen nicht aus heiterem Himmel. Tatsache ist, dass viele Unternehmen bisher nur symbolische Maßnahmen im Bereich der Cybersicherheit ergriffen haben, und nur wenige überprüfen regelmäßig die Wirksamkeit dieser Lösungen. Selbst grundlegende Maßnahmen wie die Netzwerksegmentierung, um ein weiteres Eindringen der Hacker zu verhindern, werden kaum genutzt. In Deutschland steht nicht erst mit NIS2 eine verschärfte Regulatorik bevor. Schon ab dem 1. Mai 2023 ist beispielsweise der Einsatz von Technologien wie SIEM und SOC durch das IT-Sicherheitsgesetz 2.0 verpflichtend. Erfahrungen zeigen jedoch, dass viele betroffene Unternehmen bisher nicht die notwendigen Maßnahmen ergriffen haben. Dies könnte sogar zum Hindernis für eine fristgerechte Umsetzung von NIS2 werden, da die wenigsten Betriebe in der Lage sind, die geforderten Auflagen mit ihrer eigenen IT-Mannschaft zu erfüllen. Die Einstellung eines dedizierten Chief Information Security Officer (CISO) ist für die meisten nicht machbar.
Allerdings fehlen die erforderlichen Fachkräfte, um diese Lücken zu schließen. Die Verantwortlichen zeigen sich daher besorgt: Laut einer Bitkom-Studie sehen 72 Prozent der befragten Unternehmen den Mangel an IT-Sicherheitsexperten als eine Bedrohung für den eigenen Betrieb. Denn selbst große Unternehmen in attraktiven Metropolregionen haben Schwierigkeiten, kompetente Kräfte für ihre Sicherheitsteams zu finden. Ob kleine Mittelständler in ländlichen Gebieten angesichts dieses Wettbewerbs Zugang zu den begehrten Fachkräften bekommen, bleibt mehr als fraglich. Wenn man zudem bedenkt, dass einige Hardwarekomponenten derzeit immer noch eine Lieferfrist von bis zu einem Jahr haben, ist der Zeitrahmen, um ein adäquates Sicherheitspaket zu schnüren, äußerst knapp bemessen.
Zwar mögen sich Unternehmen über die zahlreichen Regularien ärgern, ein standardisiertes Vorgehen gegen Risiken jeder Art ist heute jedoch dringend notwendig. Statt sich von der Gesetzgebung treiben zu lassen, sollten Unternehmen proaktiv vorangehen und Problemfelder frühzeitig angehen. Denn der nächste Cyberangriff ist in der Regel nur eine Frage der Zeit.
Sie haben Fragen zum Beitrag?
Melden Sie sich bei uns, wir unterstützen Sie.
Wie können Sie uns erreichen?
Gerne telefonisch unter +49 (0)8669 9098975, per E-Mail an info@petzka-gmbh.com oder Sie verwenden das Kontaktformular unserer Webseite.