Die NIS2-Richtlinie („The Network and Information Security (NIS) Directive“) der Europäischen Union markiert eine bedeutende Veränderung im Bereich der Cybersicherheit. Sie erweitert den Geltungsbereich der ursprünglichen NIS-Richtlinie von 2016 und wird in der ganzen EU ab Oktober 2024 umgesetzt.
In Deutschland wird erst zu Ende März mit einem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) gerechnet (NIS2-Navigator).
Nicht alle Unternehmen werden unmittelbar vom NIS2UmsuCG getroffen sein. Anhand eines Entscheidungsbaums des BSI können Sie eruieren, ob Ihr Unternehmen zu den verpflichteten Organisationen gehört.
Dieser Betrag richtet sich an GeschäftsführerInnen der betroffenen Organisationen und zeigt einige der mit dem NIS2UmsuCG verbundenen Pflichten auf.
1. Erhöhte Verantwortung der Führungsebene (IHK Bonn)
Eine der zentralen Neuerungen der NIS2-Richtlinie ist die klare Verantwortung der Geschäftsleitung. Während Cybersicherheit zuvor häufig als technisches Problem angesehen wurde, liegt der Fokus nun auch auf dem Management. Führungskräfte müssen sich direkt um Cybersicherheitsrisiken kümmern, da sie für die Einhaltung der Vorschriften persönlich haftbar gemacht werden können. Dies bedeutet:
- Verstärkte Rechenschaftspflicht: Manager müssen sicherstellen, dass Cybersicherheitsmaßnahmen ordnungsgemäß implementiert werden. Zudem müssen Sie die Umsetzung der Maßnahmen überwachen (§ 38 Abs. 1 NIS2UmsuCG-E). Das Ignorieren von Risiken kann zu hohen Strafen führen.
- Weiterbildung und Kompetenzaufbau: Führungskräfte sind zur regelmäßigen Teilnahme an Schulungen verpflichtet (§ 38 Abs. 3 NIS2UmsuCG-E). Darin sollen sie Kenntnisse und Fähigkeiten zum Erkennen und Beurteilung von Risiken und Bedrohungen erlangen und sich über und Sicherheitsstrategien informieren. Cybersicherheit wird spätestens jetzt zum zentralen Teil des Risikomanagements.
2. Pflicht zur Meldung von Sicherheitsvorfällen (IHK Bonn)
Unternehmen müssen sicherstellen, dass sie über ein effektives System zur Meldung von Cybersicherheitsvorfällen verfügen. Die NIS2 verlangt, dass Vorfälle innerhalb von 24 Stunden nach ihrer Entdeckung an das BSI als zuständige Behörde gemeldet werden. Das bedeutet:
- Optimierung interner Prozesse: Informations-Sicherheits-Management-Teams (ISM-Teams) müssen sicherstellen, dass interne Systeme und Prozesse in der Lage sind, Vorfälle rechtzeitig zu erkennen und zu melden (§ 32 Abs. 1 NIS2UmsuCG-E). Dies erfordert Investitionen in geeignete Tools und Schulungen der Mitarbeiter (Art. 20 Abs. 2 NIS2-RL).
- Transparenz: Im Gegensatz zu früheren Regelungen müssen Betreiber kritischer Anlagen nicht nur Vorfälle melden, die zu erheblichen Beeinträchtigungen führen, sondern auch solche, die potenziell gravierend sein könnten (§ 32 Abs. 3 NIS2UmsuCG-E).
3. Ausbau von Cybersicherheitsressourcen
Die Anforderungen an die Cybersicherheitsmaßnahmen von Unternehmen werden durch das NIS2UmsuCG-E verschärft. Dazu gehören:
- Stärkung technischer Infrastrukturen: Unternehmen müssen sicherstellen, dass sie über wirksame technische und organisatorische Maßnahmen verfügen, die Cyberangriffe abwehren können (§ 30 Abs. 1 NIS2UmsuCG-E. Das Management muss in Technologien investieren, die Schutz bieten, und regelmäßig Aktualisierungen durchführen.
- Cyberresilienz erhöhen: Es reicht nicht mehr, sich ausschließlich auf Prävention zu konzentrieren. Resilienz, also die Fähigkeit, nach einem Cyberangriff schnell wieder funktionsfähig zu werden, spielt eine zentrale Rolle. Das Stichwort hier ist Business Continuity Management.
Für das Management bedeutet dies eine Überprüfung der Budgets und Prioritäten. Cybersicherheitsausgaben werden zunehmend als essenzieller Bestandteil der Unternehmensstrategie betrachtet. Die IHK Stuttgart empfiehlt ein Informationssicherheitsmanagement-System (ISMS) einzuführen.
4. Kultureller Wandel hin zur Sicherheitskultur
Ein weiteres Ziel der NIS2-Richtlinie ist es, eine Cybersicherheitskultur in Unternehmen zu fördern. Der kulturelle Wandel betrifft insbesondere:
- Schulungen für alle Mitarbeiter: Cybersicherheit darf nicht nur ein Anliegen der IT-Abteilung sein. Alle Mitarbeiter, vom Top-Management bis hin zu den operativen Kräften, müssen in sicherheitsrelevanten Bereichen geschult werden.
- Sicherheitsbewusstsein fördern: Führungskräfte müssen eine Vorbildfunktion übernehmen und das Bewusstsein für Cyberbedrohungen in allen Ebenen des Unternehmens steigern.
Das Management steht dabei in der Verantwortung, Sicherheitsstrategien nicht nur zu definieren, sondern sie auch konsequent umzusetzen und zu kommunizieren.
Resümee: Cybersicherheit als Chefsache
Die NIS2-Richtlinie setzt einen klaren Rahmen für die Zukunft der Cybersicherheit in Europa. Für das Management von betroffenen Einrichtungen bedeutet dies eine tiefgreifende Veränderung in der Art und Weise, wie Cybersicherheitsrisiken betrachtet und behandelt werden. Es reicht nicht mehr aus, die Verantwortung an die IT-Abteilung oder den Informationssicherheitsbeauftragten (ISB) abzugeben – Führungskräfte müssen die Leitung übernehmen und Cybersicherheit als strategische Priorität behandeln.