Die NIS2-Richtlinie und der Mittelstand: Ein Sturm im Wasserglas oder das nächste große Ding?

BEITRAG TEILEN

Cyber-Bedro­hun­gen ber­gen längst auch für mit­tel­stän­di­sche Unter­neh­men erheb­li­che, ganz rea­le und sehr teu­re Risi­ken. Die NIS2-Richt­li­nie soll Unter­neh­men und öffent­li­che Ein­rich­tun­gen wider­stands­fä­hi­ger gegen Cyber­an­grif­fe machen. Vie­le mit­tel­stän­di­sche Unter­neh­men sind von der Richt­li­nie betrof­fen – oder soll­ten sich ihre Zie­le frei­wil­lig zu eigen machen.

Die NIS2-Richt­li­nie (Richt­li­nie über Maß­nah­men zur Gewähr­leis­tung eines hohen gemein­sa­men Sicher­heits­ni­veaus von Netz- und Infor­ma­ti­ons­sys­te­men in der Uni­on) ist eine Wei­ter­ent­wick­lung der ursprüng­li­chen NIS-Richt­li­nie aus dem Jahr 2016. Am 18. Okto­ber 2024 tritt sie ver­bind­lich in Kraft, ihr Haupt­ziel ist es, das Schutz­ni­veau von Unter­neh­men und Orga­ni­sa­tio­nen zu erhö­hen, die als Betrei­ber kri­ti­scher Infra­struk­tu­ren (KRITIS) ein­ge­stuft wer­den. Die Defi­ni­ti­on sol­cher “kri­ti­schen Infra­struk­tu­ren” wird in der NIS2-Richt­li­nie deut­lich aus­ge­wei­tet und umfasst nun wesent­lich mehr Sek­to­ren und auch die Lie­fer­ket­ten.

Für Unter­neh­men und Orga­ni­sa­tio­nen, die in den genann­ten Berei­chen tätig sind, legt die NIS2-Richt­li­nie hohe Cyber­si­cher­heits­an­for­de­run­gen fest. Sie ver­langt von den betrof­fe­nen Unter­neh­men unter ande­rem die Ein­füh­rung bestimm­ter Sicher­heits­maß­nah­men, ein sys­te­ma­ti­sches Risi­ko­ma­nage­ment und eine Mel­de­pflicht für Cyber­vor­fäl­le. Die Vor­ga­ben müs­sen ab dem 18. Okto­ber 2024 erfüllt wer­den.

Betrifft die NIS2-Richt­li­nie den Mit­tel­stand?

Bis­lang gal­ten Cyber­si­cher­heits­an­for­de­run­gen ent­we­der nur für aus­ge­wähl­te kri­ti­sche Infra­struk­tu­ren oder gro­ße Kon­zer­ne. Vie­le mit­tel­stän­di­sche Unter­neh­men haben sich daher trotz der bald enden­den fast zwei­jäh­ri­gen Umset­zungs­pha­se noch gar nicht oder nur ober­fläch­lich mit der neu­en Richt­li­nie befasst. Doch der Anwen­dungs­be­reich von NIS2 ist deut­lich brei­ter und reicht bis weit in den Mit­tel­stand.

» Unter­neh­mens­grö­ße

Die NIS2-Richt­li­nie greift für Unter­neh­men ab 50 Mit­ar­bei­tern und 10 Mio. Jah­res­um­satz. Ent­spre­chend vie­le mit­tel­stän­di­sche Unter­neh­men sind nun erfasst, auch wenn sie sich bis­lang nur rudi­men­tär mit ihrer Infor­ma­ti­ons­si­cher­heit aus­ein­an­der­ge­setzt haben.

Umge­kehrt kön­nen sich Unter­neh­men unter­halb der genann­ten Schwel­len mit Blick auf NIS2 und die in Kür­ze enden­de Umset­zungs­frist zwar ent­span­nen. Sie sind aber gut bera­ten, die Aktua­li­tät des The­mas zum Anlass zu neh­men, eben­falls die eige­nen Cyber­si­cher­heits­vor­keh­run­gen zu hin­ter­fra­gen.

» Erfass­te Sek­to­ren

 Zwei­te Vor­aus­set­zung der Anwend­bar­keit ist die Tätig­keit in einem der 18 (nun neu defi­nier­ten) kri­ti­schen Infra­struk­tur­sek­to­ren. Hier­zu zäh­len unter ande­rem

• Ener­gie (z. B. Strom- und Gas­ver­sor­gung)
• Ban­ken und Finanz­dienst­leis­ter
• Ver­kehr und Logis­tik
• Was­ser- und Abfall­wirt­schaft
• Gesund­heits­we­sen
• Digi­ta­le Infra­struk­tu­ren (z. B. Clou­dan­bie­ter und Rechen­zen­tren)
• Lie­fer­ket­ten für kri­ti­sche Pro­duk­te und Dienst­leis­tun­gen

» In der Lie­fer­ket­te

Der Anwen­dungs­be­reich ist dabei wei­ter, als es auf den ers­ten Blick scheint: Auch Unter­neh­men, die selbst nicht unmit­tel­bar als kri­ti­sche Infra­struk­tur gel­ten, kön­nen betrof­fen sein, wenn sie in den Lie­fer­ket­ten eines sol­chen Unter­neh­mens tätig sind. Dies wird von vie­len Mit­tel­ständ­lern ger­ne unter­schätzt. So sind zum Bei­spiel Unter­neh­men jetzt erfasst, die wich­ti­ge Tei­le oder Maschi­nen für die Auto­mo­bil­in­dus­trie oder den Maschi­nen­bau her­stel­len oder Roh­stof­fe oder Bau­tei­le lie­fern, die für die Pro­duk­ti­on in gro­ßen Indus­trie­un­ter­neh­men uner­läss­lich sind.

Was müs­sen betrof­fe­ne mit­tel­stän­di­sche Unter­neh­men tun?

Für Unter­neh­men, die unter den Anwen­dungs­be­reich der NIS2-Richt­li­nie fal­len, gibt es eine Rei­he von Pflich­ten, die ein­zu­hal­ten sind, um sich vor Cyber­be­dro­hun­gen zu schüt­zen und den Anfor­de­run­gen der neu­en Vor­schrif­ten zu genü­gen. Dazu gehö­ren unter ande­rem:

1. Risi­ko­ma­nage­ment und Cyber­si­cher­heits­maß­nah­men

Betrof­fe­ne Unter­neh­men müs­sen ein umfas­sen­des Risi­ko­ma­nage­ment­sys­tem eta­blie­ren, das Cyber­ri­si­ken iden­ti­fi­ziert, bewer­tet und mini­miert. Das umfasst die Ein­füh­rung von bestimm­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men.

2. Vor­falls­mel­dun­gen

Eine wesent­li­che Neue­rung der NIS2-Richt­li­nie ist die Pflicht zur Mel­dung von Cyber­vor­fäl­len an die zustän­di­gen Behör­den. Vor­fäl­le, die den Betrieb des Unter­neh­mens gefähr­den oder zu erheb­li­chen Daten­ver­lus­ten füh­ren, müs­sen inner­halb von 24 Stun­den gemel­det wer­den. Schon eine ver­spä­te­te Mel­dung kann zu erheb­li­chen Buß­gel­dern füh­ren.

3. Zusam­men­ar­beit mit Behör­den

Die NIS2-Richt­li­nie for­dert von den Unter­neh­men eine deut­lich enge­re Zusam­men­ar­beit mit dem Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) sowie wei­te­ren zustän­di­gen Stel­len auf Lan­des- und Bun­des­ebe­ne.

4. Doku­men­ta­ti­ons- und Nach­weis­pflich­ten

Die Unter­neh­men müs­sen durch die Doku­men­ta­ti­on von Sicher­heits­vor­keh­run­gen, inter­ne Audits und regel­mä­ßi­ge Berich­te nach­wei­sen, dass sie die Anfor­de­run­gen der NIS2-Richt­li­nie ein­hal­ten.

Hohe Buß­gel­der bei Ver­stö­ßen

Mit der NIS2-Richt­li­nie wer­den auch deut­lich stren­ge­re Sank­tio­nen ein­ge­führt. Unter­neh­men, die ihre Pflich­ten aus der NIS2-Richt­li­nie nicht erfül­len, dro­hen Buß­gel­der in Höhe von bis zu 10 Mil­lio­nen Euro oder 2 % des welt­wei­ten Jah­res­um­sat­zes.

IT-Sicher­heit: Wirk­lich ein gro­ßes Ding – für alle Mit­tel­ständ­ler

Für vie­le mit­tel­stän­di­sche Unter­neh­men ist die NIS2-Richt­li­nie tat­säch­lich ein “nächs­tes gro­ßes Ding”. Gera­de bei der Beur­tei­lung, ob das eige­ne Unter­neh­men in den Anwen­dungs­be­reich der Richt­li­nie fällt, soll­ten Ent­schei­der lie­ber einen selbst­kri­ti­schen Stand­punkt ein­neh­men.

Die ver­blei­ben­de Zeit bis zum Inkraft­tre­ten am 18. Okto­ber wird zumin­dest für die die­je­ni­gen mit­tel­stän­di­schen Unter­neh­men, die sich bis­lang noch gar nicht mit dem The­ma befasst haben, wohl nicht mehr zu Umset­zung rei­chen. Den­noch – oder gera­de des­halb – soll­te jetzt aber auch kei­ne Zeit mehr ver­schwen­det, son­dern die eige­ne Betrof­fen­heit geklärt und mit der Umset­zung begon­nen wer­den.

Allen nicht betrof­fe­nen Unter­neh­men kann man ange­sichts der fast täg­li­chen Cyber­si­cher­heits­vor­fäl­le und Angrif­fe nur ans Herz legen, sich an den Vor­ga­ben der Richt­li­nie zu ori­en­tie­ren und in ihrem urei­ge­nen Inter­es­se – viel­leicht in etwas abge­schwäch­ter Form – eige­ne Maß­nah­men zu tref­fen, um die eige­ne IT-Sicher­heit zu stär­ken.

BEITRAG TEILEN