NIS-2: Was müssen Unternehmen tun? (Teil 3)

Die­ser Artikel ist Teil der Se­rie zum The­ma NIS-2. Lernen Sie kennen, was die NIS-2 Richtlinie ist und welche Anforderungen an Unternehmen gestellt werden.

Um die Informationssicherheit in Einrichtungen voranzubringen, stellt die EU mit der NIS-2 Richtlinie eine ganze Reihe von Anforderungen. Als erste Schritte sollten Verantwortlichkeiten im Unternehmen festgelegt werden. Die NIS-2 macht dabei klar, dass Informationssicherheit Chef-Sache ist und definiert explizite Anforderungen für die Geschäftsleitung von betroffenen Einrichtungen.

Pflichten der Geschäftsleitung

Die Geschäftsleitung muss bestimmte Risikomaßnahmen umsetzen und überwachen. Deshalb muss die Geschäftsleitung auch mindestens alle drei Jahre im Umgang mit Informationssicherheitsrisiken geschult werden. Im Rahmen der Schulung muss die Fähigkeit erlangt werden, Risiken und ihre Auswirkungen zu identifizieren, zu bewerten und angemessene Maßnahmen zu ergreifen.

Die Geschäftsleitung kann – wenn sie ihre Pflichten schuldhaft verletzt – für entstandene Schäden nun sogar persönlich haftbar gemacht werden.

Zum Teil können die Pflichten der Umsetzung delegiert werden. Die Pflicht zur Überwachung und die Schulung, um sinnvoll überwachen zu können, verbleiben jedoch immer bei der Geschäftsleitung.

Meldepflicht

Wenn erhebliche Sicherheitsvorfälle auftreten, müssen Unternehmen eine Reihe von Meldungen an das BSI machen. In bestimmten Fällen kann das BSI zudem anordnen, das Kunden oder die Öffentlichkeit über Vorfälle informiert werden müssen.

Wie genau eine Meldung ablaufen muss, wird vom BSI noch festgelegt. Eine Gestaltung ähnlich zur bestehenden Meldepflicht für Betreiber kritischer Anlagen ist jedoch wahrscheinlich.

Ein Sicherheitsvorfall gilt als erheblich, wenn er zu schwerwiegenden Betriebsstörungen, finanziellen Verlusten oder erheblichen Schäden an Dritten führt oder führen kann. Wie diese Bewertung im Detail aussieht, müssen die meisten Einrichtungen selbst festlegen.

Für alle Einrichtungen, die unter die erste Durchführungsverordnung fallen, gibt es konkrete Vorgaben, wie erhebliche Sicherheitsvorfälle bewertet werden müssen.

Registrierung beim BSI

Betroffene Einrichtungen sind verpflichtet, sich beim BSI zu registrieren. Dabei müssen neben allgemeinen Daten zum Unternehmen und Kontaktdaten auch Angaben zur Branche und den EU-Ländern, in denen das Unternehmen tätig ist, übermittelt werden. Änderungen dieser Informationen müssen sie dem BSI innerhalb von zwei Wochen mitteilen.

Risikomanagementmaßnahmen umsetzen

Einen zentralen Teil des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) bildet die Pflicht zu Risikomanagementmaßnahmen:

„[...] Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit [...] zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.“

Die NIS-2 beschreibt danach eine Reihe von konkreten Maßnahmen:

  • Grundlegende Risiko- und Informationssicherheitskonzepte
  • Handhabung von Sicherheitsvorfällen
  • Business Continuity Management (BCM)
  • Sicherheit der Lieferkette und Systementwicklung
  • Security-Awareness-Schulungen
  • Kryptographie-Konzepte
  • Personalsicherheit und physische Sicherheit
  • Bewertung der Wirksamkeit des Risikomanagements

Hierbei handelt es sich jedoch lediglich um Mindestanforderungen – je nach Risikosituation des Unternehmens können auch weitere Maßnahmen notwendig sein, um die Anforderung zu erfüllen.

Wann müssen betroffenen Einrichtungen aktiv werden?

Unmittelbar mit dem voraussichtlichen Inkrafttreten der NIS-2 Richtlinie zum 17.10.2024 müssen Einrichtungen die Anforderungen an Risikomanagementmaßnahmen und Meldepflichten erfüllen. Um notwendige Maßnahmen rechtzeitig auf den Weg zu bringen, gilt es also, jetzt aktiv zu werden.

Für alle, die zum Inkrafttreten betroffen sind, muss die Registrierung der Organisation beim BSI bis spätestens 17.01.2025 erfolgt sein. Für Einrichtungen, die erst später betroffen sind, beispielsweise weil erst dann die Mitarbeiterzahl überschritten wurde, gilt eine Frist von drei Monaten.

Was sollten betroffene Einrichtungen jetzt tun?

Durch die wenig verbleibende Zeit, bis Maßnahmen umgesetzt sein müssen, sollten Betroffene zügig aktiv zu werden.

1. Betroffenheit feststellen
Wie die Betroffenheit festgestellt werden kann, lesen Sie im zweiten Teil der NIS-2-Artikelserie.
2. Gap-Analyse
Es muss festgestellt werden, in welchen Bereichen Lücken zur Erfüllung der NIS-2 Anforderungen bestehen.
3. Maßnahmen definieren
Für alle Lücken müssen passende Maßnahmen definiert werden.
4. Maßnahmen umsetzen
Die Registrierung muss vorbereitet, ein Meldeverfahren aufgesetzt und das Risikomanagement etabliert werden.

In allen Schritten können die aramido Berater Sie unterstützen.

Um das Unternehmen im Angesicht einer sich ständig ändernden Bedrohungslage auch nachhaltig zu schützen, muss Informationssicherheit als Prozess verstanden werden. Neue Risiken müssen immer wieder identifiziert und behandelt werden – nicht nur, um die gesetzlichen Anforderungen zu erfüllen, sondern vor allem, um das Unternehmen vor erheblichen Schäden zu bewahren.

Wir begleiten Sie gerne auf dem Weg zur NIS-2 Umsetzung. Nutzen Sie das kostenlose Erstgespräch, um mit einem Sicherheitsexperten über Ihr Vorhaben zu sprechen.

Mehr zum Thema NIS-2

Was ist die NIS-2?

Wer ist von der NIS-2 betroffen?