Die FTAPI Software GmbH hat ein Whitepaper veröffentlicht, das sich mit der NIS-2-Richtlinie der EU beschäftigt. Konkret geht es darum, welche Unternehmen von NIS-2 betroffen sind und welche Maßnahmen sie ergreifen sollten. Denn schon ab Oktober 2024 greift die Richtlinie in Deutschland.
„Die NIS-Richtlinie soll die Netzwerk- und Informationssicherheit in der EU stärken, indem sie bestimmte Unternehmen verpflichtet, einen Mindeststandard bei der Cybersecurity einzuhalten“, schreibt die Firma FTAPI in der Einleitung des kostenlos erhältlichen Whitepapers. „Im Fokus hatte man dabei sogenannte Betreiber kritischer Dienste, die für das Gemeinwohl und das Funktionieren eines Staates besonders wichtig, wenn nicht gar überlebenswichtig sind“, so das Münchner Unternehmen weiter. Diese müssen für einen extrem hohen Sicherheitslevel sorgen und diesen auch beweisen können. Während die 2016 eingeführte NIS-1-Richtlinie nur wenige Firmen betraf und von Land zu Land unterschiedlich umgesetzt wurde, erweitert sich dieser Kreis nun mit der NIS-2-Weiterentwicklung. „Ein Ziel von NIS-2 ist es daher, einheitliche Vorgaben zu schaffen und auf diese Weise das Niveau der Cybersicherheit EU-weit zu harmonisieren“, schreibt FTAPI. „Mit der überarbeiteten Richtlinie wird somit klar geregelt, welche Unternehmen betroffen sind, welche Sicherheitsstandards sie einhalten müssen, welchen Meldepflichten sie unterliegen und auch welche Sanktionen ihnen bei Nichtbeachtung drohen.“
Wesentliche und wichtige Einrichtungen
Dabei spielt es auch eine Rolle, dass sich die Bedrohungslage seit 2016 deutlich verschärft hat, weshalb NIS-2 strengere Regeln vorgibt. Rund 30.000 Unternehmen sollen in Deutschland von NIS-2 betroffen sein, so die Schätzungen der Bundesregierung – zehnmal mehr als noch im Fall von NIS-1. Anders formuliert: Es besteht dringender Handlungsbedarf. Im folgenden Abschnitt erklärt das Whitepaper, welche beiden Arten von Unternehmen handeln müssen: wesentliche Stützen des Staates (etwa der Energiesektor oder das Gesundheitswesen) und wichtige Einrichtungen (zum Beispiel die Abfallwirtschaft sowie Post- und Kurierdienste). Aber auch die Größe eines Unternehmens spielt eine Rolle, wenn es zu einer dieser beiden Gruppen gehört. Für kleine Firmen mit maximal 49 Beschäftigten und einem Jahresumsatz unter zehn Millionen Euro gilt NIS-2 nicht, für größere Betriebe darüber hingegen schon.
Unterschiede im Vergleich mit NIS-1
Im nächsten Abschnitt geht das Whitepaper genau darauf ein, was sich bald im Vergleich mit NIS-1 ändert. Im Bereich der Cybersicherheit müssen laut FTAPI „geeignete technische und organisatorische Maßnahmen“ umgesetzt werden. Dazu gehören beispielsweise Präventivmaßnahmen, Risikoanalysen oder Maßnahmen, die die Lieferkette schützen. Bei den Meldepflichten kommt es für betroffene Unternehmen darauf an, Cyberattacken, Störungen und Sicherheitszwischenfälle so schnell wie möglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. „Sich erst um entsprechende Prozesse zu kümmern, wenn das Kind schon in den Brunnen gefallen ist, wäre zu spät. Daher bedeutet NIS-2-Konformität auch, sich frühzeitig um mögliche Abläufe in Notfällen zu kümmern“, schreibt FTAPI. „Übersteigt das die eigenen Ressourcen, kann auch ein Dienstleister in Anspruch genommen werden, der beispielsweise die rechtzeitige Meldung an das BSI sicherstellt.“
Zertifizierungen und Sanktionen
Auch im Bereich der Zertifizierungen besteht Handlungsbedarf, obwohl keine Pflicht für bestimmte Zertifizierungen besteht. „In der Praxis aber werden sich Unternehmen zum einen häufig die Frage stellen, wie sie die Einhaltung der Vorgaben gewährleisten und dokumentieren können.“ Denn etwas schwarz auf weiß vorweisen zu können, schafft Vertrauen bei den Geschäftspartnern und Kunden. Neben strengeren Sanktionen (etwa Geldstrafen in Millionenhöhe) und effektiveren Bestrafungsmechanismen spielt auch die Haftung eine wichtige Rolle. „Die NIS-2-Richtlinie legt fest, dass die Geschäftsleitungen wesentlicher und wichtiger Einrichtungen verpflichtet sind, die zu ergreifenden Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen“, heißt es dazu im Whitepaper. Im Zweifelsfall muss eine Geschäftsführung „bei Verstößen gegen NIS-2 mit ihrem Privatvermögen haften“.
Weitere Themen
Im weiteren Verlauf des Whitepapers erklärt das Münchner Unternehmen, wie es dabei helfen kann, NIS-2-compliant zu werden und welche Vorteile eine Zusammenarbeit mit FTAPI noch bringt.