Straßenbahnschienen

Cyberresilienz und Cyber Response: Warum NIS2 eine Chance ist

Die EU-NIS2-Richtlinie stärkt die Cyberresilienz. Unternehmen sollten sich auf neue Sicherheitsherausforderungen vorbereiten.


Überblick

  • Die EU-NIS2-Richtlinie zielt auf Cyberresilienz ab. Sie erfordert von Unternehmen strenge Maßnahmen zur Abwehr von Cyberangriffen.
  • Die Richtlinie reagiert auf die neue Sicherheitslandschaft mit Cyberkriminalität und geopolitischen Konflikten.
  • NIS2 bietet die Chance zur Verbesserung der Krisenresilienz und zur Vereinheitlichung der Sicherheitsstandards in der EU.

Angesichts der dramatischen und folgenreichen Ereignisse der vergangenen Jahre ist die Sicherheit kritischer Infrastrukturen heute fester Bestandteil der öffentlichen Diskussion. Das gilt sowohl für den Cyberraum als auch für die physische Welt. Diese Diskussion hat zum einen lange vorhandene Herausforderungen in diesem Bereich in den politischen und medialen Fokus gerückt, zum anderen blicken wir heute aber auch auf eine signifikant veränderte Sicherheits- und Bedrohungslage. In dieser neuen Welt sind zahlreiche Dinge, die auch Fachleute lange Zeit nur als Planspiele kannten, konkrete Realität geworden.

Eine der wesentlichen Reaktionen auf diese veränderte Sicherheitslage ist die EU-Richtlinie 2022/2555, im Folgenden kurz „NIS2“ genannt. Aus dieser Richtlinie ergeben sich erhebliche Veränderungen sowohl auf staatlicher Ebene als auch für von der Richtlinie betroffene Unternehmen beziehungsweise Unternehmensteile.

 

Während sich so manche Diskussion rund um NIS2 auf die stetig zunehmende Regulierung und die damit verbundenen Kosten fokussiert, ist diese Sichtweise hier vielleicht etwas zu kurz gegriffen. Denn Regulierung kann auch eine Chance sein, und das gilt für die NIS2-Richtlinie ganz besonders.

 

NIS2 im Kontext der aktuellen Sicherheits- und Bedrohungslage

Die vergangenen Jahre waren für Unternehmen wie auch für die Menschen, die diese Unternehmen ausmachen, eine einzigartige Serie an Herausforderungen – und ein Ende ist nicht abzusehen. Ganz im Gegenteil, wir spüren in immer stärkerem Maße sowohl die gegenseitigen Verstärkungseffekte zwischen einzelnen Phänomenbereichen als auch den Einfluss komplett neuartiger Technologien. Auch aus Sicht der Cybersicherheit und der Cyber Response haben sich binnen kurzer Zeit gleich mehrere Paradigmenwechsel vollzogen. Es ist voraussehbar, dass weitere folgen werden.

 

Während insbesondere seit 2019 für mehrere Jahre zunächst die massive Professionalisierung von Cyber-Crime-Akteuren, verbunden mit Phänomenen wie „Crime as a Service“ (CaaS), das zentrale Thema der Cybersicherheit waren, stehen mittlerweile andere, deutlich folgenreichere und komplexere Themen im Fokus.

 

Der wohl wichtigste Aspekt sind aus heutiger Sicht aber natürlich die Auswirkungen der Kriege und weiterer, teils gewaltsam ausgetragener Konflikte, die unsere Welt derzeit so grundlegend erschüttern. Diese Konflikte bringen unglaubliches menschliches Leid mit sich, ihre Auswirkungen sind aber auch weit jenseits der geografischen Grenzen von Krisengebieten spürbar.

 

Ein Grund dafür ist die zunehmende Tendenz international agierender Akteure, sowohl die Konflikte selbst als auch die resultierende politische und gesellschaftliche Unsicherheit für ihre eigenen Zwecke zu missbrauchen. Und diese Akteure sind bei weitem nicht mehr nur Nationalstaaten oder deren Interessenvertretungen. 

 

Die gezielte, verdeckte Beeinflussung der öffentlichen Meinung, oft hin zu immer extremeren Positionen, die Manipulation demokratischer Wahlen und die Durchführung von Sabotageoperationen sind nur einige Beispiele für Phänomene, die binnen kürzester Zeit von theoretischen Risikoszenarien und Einzelphänomenen zur nahezu alltäglichen Medienmeldung mutiert sind. Und das, obwohl nur ein vergleichsweise kleiner Teil der tatsächlichen Vorfälle überhaupt die Öffentlichkeit erreicht.


Die Betrachtung von Sicherheit aus der Sicht des Einzelunternehmens, des Joint Venture oder sogar der unternehmens- oder branchenzentrierten Wertschöpfungskette ist ebenso unzureichend wie die technologiezentrierte Sichtweise, die in der Cybersicherheit vielfach immer noch weit verbreitet ist.


Mittlerweile ist damit in der Mitte der öffentlichen Diskussion angekommen, was Experten seit Jahren anmahnen: Die Betrachtung von Sicherheit aus der Sicht des Einzelunternehmens, des Joint Venture oder sogar der unternehmens- oder branchenzentrierten Wertschöpfungskette ist ebenso unzureichend wie die technologiezentrierte Sichtweise, die in der Cybersicherheit vielfach immer noch weit verbreitet ist. 

Vor diesem Hintergrund muss auch NIS2 betrachtet werden. Während sich die Regulierung selbst auf europäische und nationale Krisenresilienz konzentriert, mit deutlichem Fokus auf Unternehmen und Organisationen der kritischen Infrastruktur, betrifft das dahinter liegende Problem die Wirtschaft und die Gesellschaft als Ganzes.

Was ist NIS2?

„NIS2“ ist die Kurzform für die Richtlinie 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 mit dem Titel „Directive on measures for a high common level of cybersecurity across the Union (NIS2 directive)”. Diese Richtlinie zielt darauf ab, die Cyberresilienz in der Europäischen Union (EU) zu stärken und zu vereinheitlichen. 

Neben einer Reihe europäischer beziehungsweise zwischenstaatlicher Maßnahmen stehen bei NIS2 insbesondere auch Unternehmen, Unternehmensteile und Organisationen, die kritische Infrastrukturen betreiben, im Fokus. Im Vergleich zu den bisher geltenden Gesetzen und Verordnungen wird der Kreis der betroffenen Unternehmenssektoren hier aber deutlich weiter gefasst. Allein in Deutschland werden es etwa 30.000 Unternehmen sein. Die Richtlinie muss bis zum 18.10.2024 in deutsches Recht überführt werden.

Im Fokus
Unternehmen allein in Deutschland werden von der neuen EU-NIS2-Richtlinie betroffen sein.

NIS2 umfasst zahlreiche Maßnahmen auf unterschiedlichsten Ebenen. Auf nationaler wie auf zwischenstaatlicher Ebene werden beispielsweise die Verabschiedung einer nationalen Cybersicherheitsstrategie und die Benennung nationaler „Computer Security Incident Response“-Teams (CSIRTs) zur Pflicht. Hinzu kommen deutlich erweiterte Prüf- und Berichtspflichten sowie neue Befugnisse, Kontroll- und Sanktionsmöglichkeiten. Hier soll kein weiterer Papiertiger geschaffen werden, sondern ein Instrument mit unmittelbarer Wirkung auf die Cyberresilienz.

Auswirkungen auf Unternehmen und Organisationen

Ein wesentlicher Aspekt von NIS2 ist wie erwähnt die deutliche Erweiterung des Kreises betroffener Unternehmen. Diese werden in „wichtige“ und „besonders wichtige“ Einrichtungen unterteilt. Zukünftig gibt es nur noch für die untere der beiden Kategorien Grenzwerte in puncto Zahl der Beschäftigten (> 50) beziehungsweise Umsatz (> 10 Millionen Euro).

In der Praxis schreibt NIS2 ein ganzes Paket von Maßnahmen vor, angefangen bei Registrierungs- und Meldepflichten bei Sicherheitsvorfällen. Aus Sicht betroffener Unternehmen sind aber die Maßnahmen zum Risikomanagement und zur Implementierung des aktuellen Standes der IT-Sicherheit von erheblich größerer Bedeutung. Diese Maßnahmen können deutlich über das hinausgehen, was durch aktuelle Standards festgelegt wird. 

Einige wesentliche Fragen, beispielsweise die genaue Ausgestaltung der konkreten Prüf- und Nachweispflichten oder die Haftung der Geschäftsleitung, sind noch Gegenstand der Diskussion. Eine Reihe von Vorgaben ist aber bereits relativ spezifisch in der Richtlinie selbst genannt, wobei sich hier natürlich Unterschiede zwischen den „wichtigen“ und den „besonders wichtigen“ Einrichtungen ergeben. 

Generell ist ein risikoorientierter Ansatz gefordert, der eine wirkungsvolle Gefahrenabwehr und Incident-Bewältigung anhand des aktuellen Standes der Technik gewährleistet. Die Vorgaben umfassen dabei insbesondere folgende Punkte (Artikel 21 NIS2):

  1. Risikoanalyse und Sicherheit für Informationssysteme
  2. Bewältigung von Sicherheitsvorfällen 
  3. Aufrechterhaltung des Betriebs wie Backup-Management und Wiederherstellung nach einem Notfall sowie Krisenmanagement
  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
  7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
  8. Konzepte und Verfahren für den Einsatz von Kryptografie 
  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

Sicherheitsspezialisten sind mit diesen Themen wohlvertraut, vergleichbare Kataloge existieren seit geraumer Zeit. Hier ist aber Vorsicht geboten. NIS2 ist keine Diskussionsvorlage, sondern eine konkrete Regulierung, und so mancher Nebensatz kann hier ganze Projekte auslösen. Ein Beispiel wäre hier die Gewährleistung der Notfallkommunikation innerhalb der Einrichtung. Einerseits sind viele Unternehmen hier grundsätzlich bereits gut aufgestellt, andererseits sind vermutlich nur sehr wenige IT-Abteilungen mit Betriebsfunk ausgestattet. Und allein in der Frage, was die Formulierung „innerhalb der Einrichtung“ bedeutet, steckt erhebliches Potenzial.

Auch auf konzeptioneller beziehungsweise Prozessebene kann sich im Rahmen von NIS2 die ein oder andere Herausforderung ergeben. Beispiele wären hier die Sicherheit entlang der Lieferkette und die Überprüfung der Wirksamkeit getroffener Maßnahmen.

In diesem Zusammenhang sollten Unternehmen auch eine Besonderheit von NIS2 kennen: Die EU-Kommission hat die Möglichkeit, sogenannte Durchführungsrechtsakte („Implementing Acts“) zu erlassen. Dies sind Rechtsvorschriften, die unmittelbar gültig werden und gegebenenfalls die in NIS2 definierten Anforderungskataloge wie auch deren nationale Umsetzungsgesetze überstimmen. Anforderungen können sich also kurzfristig ändern, was angesichts der aktuellen Sicherheitslage durchaus sinnvoll erscheint, aber natürlich eine hohe Flexibilität und Reaktionsgeschwindigkeit bei der Umsetzung von Maßnahmen erfordert.

Cybersecurity

Vorsicht ist besser als Nachsicht – das gilt auch bei der Cybersecurity. Wir helfen Unternehmen aus allen Sektoren, sich strategisch aufzustellen, die eigene Resilienz zu erhöhen, aber auch im Fall der Fälle handlungsfähig zu bleiben.

NIS2 – Compliance-Aspekt oder konkreter Nutzen?

Nicht jede neue Vorschrift kann mit klar erkennbarem Nutzen für die betroffenen Unternehmen glänzen. NIS2 hat aber definitiv das Potenzial, nicht einfach nur eine weitere bürokratische Belastung zu werden, sondern die Krisenresilienz deutlich zu verbessern – sei es auf der Ebene einzelner Unternehmen, entlang der Wertschöpfungskette oder in der Wirtschaft und Gesellschaft als Ganzes.

Gerade die europaweite Vereinheitlichung von Sicherheitsstandards, Prozessen und Meldeketten sowie die Vernetzung auf nationaler Ebene können insbesondere für multinational tätige Unternehmen auf Dauer eine deutliche Verbesserung der Sicherheit bewirken. Natürlich wird das Grundproblem hier nicht gelöst, NIS2 konzentriert sich auf die Gefahrenabwehr. Aber es ist definitiv ein Schritt in die richtige Richtung.


Gerade die europaweite Vereinheitlichung von Sicherheitsstandards, Prozessen und Meldeketten sowie die Vernetzung auf nationaler Ebene können insbesondere für multinational tätige Unternehmen auf Dauer eine deutliche Verbesserung der Sicherheit bewirken.


Es wäre daher deutlich zu kurz gegriffen, NIS2 einfach nur als weiteren Compliance-Aspekt zu begreifen. Politischer Wille, öffentliches Interesse und Unternehmensstrategie sind hier zumindest auf weiten Strecken überwiegend deckungsgleich. Oder anders ausgedrückt: Es ist im Interesse jedes betroffenen Unternehmens, soweit noch nicht geschehen die geforderten Prozesse mit der entsprechenden Qualität umzusetzen und sie anschließend auch aktiv zu leben.

Dabei sollte man auch bedenken, dass die Motivation hinter NIS2 brandaktuell ist. Die betrachteten Risiken sind gegenwärtig und erheblich, die Folgen von Cyber Incidents können massiv sein und die Gesellschaft als Ganzes betreffen. Vor diesem Hintergrund wäre es eine riskante Wette, im Ernstfall auf Verständnis zu hoffen, sei es von den zuständigen Behörden oder von Presse und Öffentlichkeit.

Unternehmen, die unter diese Richtlinie fallen, sei es als wichtige oder besonders wichtige Einrichtung, sollten hier auf jeden Fall kurzfristig tätig werden. Auch wenn NIS2 noch nicht abschließend in deutsches Recht überführt ist, werden die Anforderungen in jedem Fall so umfassend sein, das je nach Entwicklungsstand und spezifischer Ausgestaltung der eigenen präventiven und reaktiven Sicherheit einiges zu tun beziehungsweise anzupassen bleibt.

Ausblick

Angesichts der komplexen geopolitischen Lage, der massiven Paradigmenwechseln und der immer weiter steigenden Bedrohung durch Cyberkriminalität sind Cybereesilienz und speziell Cyber Response für Unternehmen und Organisationen wichtiger denn je. Die NIS2-Richtlinie ist mit ihrer klaren Fokussierung auf kritische Infrastrukturen eine wichtige Konsequenz dieser Bedrohungslage. Die dahinter liegende Herausforderung geht aber weit darüber hinaus und betrifft uns alle.

In den nächsten Wochen und Monaten erwartet Sie daher eine ganze Reihe weiterer interessanter Artikel, Whitepapers und Videos zu unterschiedlichsten Aspekten von Cyberresilienz und Cyber Response, wie immer hart am Puls der Zeit und direkt aus der Praxis für die Praxis.

EY steht Ihnen mit unseren deutschen und internationalen Teams jederzeit beratend und unterstützend zur Seite, sei es allgemein bei der Verbesserung Ihrer Cyberresilienz und Cyber Response oder ganz speziell im Rahmen der Umsetzung von NIS2. Klingt interessant? Kontaktieren Sie uns gerne.

Co-Autor: Michael Ritter

Fazit

Die EU-NIS2-Richtlinie zielt darauf ab, die Cyberresilienz in der EU zu stärken, insbesondere für kritische Infrastrukturen. In einer sich rapide wandelnden Sicherheitslandschaft reagiert sie auf neue Bedrohungen, von Cyberkriminalität bis zu geopolitischen Konflikten. Die Richtlinie fordert weitreichende Maßnahmen von Unternehmen, um sich gegen Cyberangriffe zu schützen, und sieht detaillierte Anforderungen für Risikomanagement, Incident Response und Sicherheitsmaßnahmen entlang der Lieferkette vor. Dies stellt eine erhebliche Herausforderung dar, bietet aber auch die Chance, die Krisenresilienz erheblich zu verbessern und Sicherheitsstandards europaweit zu vereinheitlichen. Unternehmen sollten heute aktiv werden, da die Vorschriften bald umgesetzt werden müssen.

Über diesen Artikel

Mehr zum Thema

Retain or Regret: Die richtige Vorsorge für den Cybernotfall

Gefahren durch Hacker werden immer komplexer. Unternehmen müssen flexibler reagieren können. Wie Incident Response Retainer helfen können, lesen Sie hier.

„Das Gefahrenpotenzial von Cyberangriffen ist endlich in den Köpfen der Führungskräfte angekommen“

Die EY Datenklaustudie 2023 zeigt, dass Cybercrime für Unternehmen eine reale Gefahr ist. Erfahren Sie hier mehr über die aktuelle Bedrohungslage.

Neue Ziele und Lösungen: Warum Cybersecurity mehr als ein IT-Thema ist

Cybersecurity entsteht durch die gesamte Organisation – lesen Sie hier, die wichtigsten Impulse für Einführung und Umsetzung.