Cyberattacken und die damit verbundenen Folgen wie Betriebsunterbrechungen gehören seit Jahren zu den größten Risiken für Unternehmen – und das weltweit.
Auch Unternehmen in Europa müssen sich zunehmend gegen Bedrohungen aus dem Internet wappnen. In Deutschland berichten mittlerweile 9 von 10 Unternehmen von Datenpannen, Sabotageversuchen oder Spionageangriffen. Die deutsche Wirtschaft erleidet jährlich dadurch Schäden in dreistelliger Milliardenhöhe. Versicherungsunternehmen können das Risiko nicht mehr allein tragen. Anbieter von Cyberversicherungen machten 2022 erstmals Verluste in diesem Segment. Daher müssen die Versicherungsnehmer stärker in die Pflicht genommen werden.
Um Cyberkriminellen entgegenwirken zu können, hat die Europäische Union im Jahr 2016 eine Richtlinie zur Gewährleistung der Netz- und Informationssicherheit – kurz NIS – verabschiedet. Ziel dieser Richtlinie (EU) 2016/1148 war der Aufbau von Cyberresilienz in der gesamten EU. Bedrohungen für Netz- und Informationssysteme wesentlicher Dienste sollten eingedämmt werden. Damit sollte die Kontinuität der Dienstleistungen – insbesondere in den Schlüsselsektoren – sichergestellt werden, um die Wirtschaft und die Gesellschaft nicht zu schädigen.
Erste Erfolge sind bereits zu verzeichnen. Untersuchungen haben gezeigt, dass bei der Stärkung der Cyberresilienz erhebliche Fortschritte erzielt wurden. Allerdings wurde auch deutlich, dass die Umsetzung der Anforderungen der Richtlinie (EU) 2016/1148 in den einzelnen EU-Mitgliedstaaten sehr unterschiedlich ausfällt, was letztlich dazu führt, dass das Risiko eines Angriffs für bestimmte Mitgliedstaaten höher ist als für andere. Dieser Zustand kann aber im schlimmsten Fall negative Konsequenzen für die gesamte Europäische Union haben. Daher wurde entschieden, Mindestanforderungen für alle Mitgliedstaaten verpflichtend zu machen. Diese wurden nun in einer aktualisierten Richtlinie über die Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (Kurz NIS2 – (EU) 2022/2555) zusammengefasst (Amtsblatt der Europäischen Union).
Perseus als Anbieter eines 365° Grad-Ansatzes im Bereich Cybersicherheit kann vor allem kleinen und mittelständischen Unternehmen bei der Umsetzung der NIS 2-Richtlinie und den darin enthaltenen Maßnahmen beratend zur Seite stehen und aktiv bei der Umsetzung unterstützen.
Weitere Sektoren werden in die Pflicht genommen
Die NIS 2-Richtlinie weitet das Feld der Unternehmen aus, die den festgelegten Mindestanforderungen entsprechen müssen. Neben “wesentlichen” Sektoren, wie bspw. Energieversorger oder Unternehmen des Gesundheitswesen, werden zudem auch “wichtige” Sektoren herangezogen. Hierzu zählen bspw. die Abfallwirtschaft oder Post-Dienstleister.
Hier die komplette Liste:
Wesentlich:
- Energie (Strom, Öl, Gas, Wärme, Wasserstoff)
- Gesundheit (Versorger, Labore, F&E, Pharma)
- Transport (Luft, Schiene, Wasser, Straße)
- Banken und Finanzmärkte
- Wasser und Abwasser
- Digitale Unternehmen (dazu zählen Anbieter von Internet Exchange Points (IXP), DNS-Dienstanbieter, TLD-Namensregistrierungen,
- Anbieter von Rechenzentrumsdiensten, Anbieter von Cloud-Computing-Diensten, Anbieter von Inhaltsbereitstellungsnetzwerken, Anbieter von Vertrauensdiensten)
- ICT-Dienstleistungsverwaltung, Raumfahrt, öffentliche Verwaltung
Wichtig:
- Post und Kurier
- Abfallwirtschaft
- Chemie
- Ernährung
- Industrie (Technik und Ingenieurwesen)
- Digitale Dienste (Online-Marktplätzen, Online-Suchmaschinen, sozialer Netzwerke)
- Forschung
Auch kleine Unternehmen sind gefordert
Neu ist ebenfalls, dass nicht nur Konzerne und Großunternehmen Konzepte zur Netz- und IT-Sicherheit vorweisen müssen. Es wird die sogenannte “size-cap rule” eingeführt. Dadurch werden nun auch Unternehmen, die mehr als 50 Mitarbeitende beschäftigen, einen Jahresumsatz oder eine Jahresbilanz von mehr als 10 Millionen Euro haben, sowie in einem kritischen oder wichtigen Sektor agieren, den Forderungen nachkommen müssen (Infoguard.ch). Dies stellt eine Änderung zu vorhergehenden Richtlinien dar.
Der Grund für diese Erweiterung ist, dass kleine und mittlere Unternehmen in allen EU-Mitgliedstaaten einen erheblichen Anteil an der Wirtschaft ausmachen. Erschwerend kommt hinzu, dass gerade diese Unternehmen Schwierigkeiten haben, sich an eine stärker vernetzte und zunehmend digitalisierte Welt anzupassen. Jüngste Entwicklungen, wie die Covid-19-Pandemie, und die daraus resultierende Verlagerung der Arbeit nach Hause sowie die häufigere Nutzung von Dienstleistungen im Internet haben die Lage weiter verschärft.
Geringes Cyberbewusstsein, mangelnde IT-Sicherheit und hohe Kosten für Cybersicherheitslösungen sind nur einige der Herausforderungen, denen sich kleine und mittlere Unternehmen stellen müssen.
Diese Themen zu vernachlässigen, zu verzögern oder gar zu ignorieren ist nun keine Option mehr. Die NIS2-Richtlinie muss durch die Mitgliedstaaten bis zum 17. Oktober 2024 umgesetzt werden. Anschließend muss die Kommission in regelmäßigen Abständen das Funktionieren der Richtlinie überprüfen – erstmals bis zum 17.10.2027.
NIS 2 fordert konkrete Maßnahmen für die Cybersicherheit
Um die geforderten Mindestanforderungen umzusetzen, gibt die EU einen Maßnahmenkatalog vor, den Unternehmen befolgen müssen und die durch nationale Behörden überwacht werden. Dieser Maßnahmen werden im Artikel 21 der NSI 2 definiert. Ziel ist es hier vor allem, die Risiken für die IT-Sicherheit nachhaltig zu reduzieren und die Auswirkungen so minimal wie möglich zu halten. Die Umsetzung und Verhältnismäßigkeit der Maßnahmen hängt von bestimmten Parametern der Organisation ab: Risikoexposition des Unternehmens, die Größe des Unternehmens und die Wahrscheinlichkeit, dass ein Sicherheitsvorfall eintritt – und letztlich wie gravierend das Ausmaß eines Cybervorfalls auf Gesellschaft und Wirtschaft wäre.
Die wichtigsten Inhalte finden Sie hier einmal zusammengefasst:
- Konzepte der Risikobewertung, Risikoanalyse und Informationssicherheit
- Krisenmanagement und Umgang mit Sicherheitsvorfällen
- Sicherstellung des Geschäftsbetriebs (Backup-Management)
- Bereitstellung von Konzepten zur Zugriffssicherheit
- Bereitstellung von Konzepten zur Multi-Faktor-Authentifizierung und verschlüsselter Kommunikation
- Präventive Maßnahmen (z.B. grundlegende Verfahren zur Cyberhygiene und Schulungen im Bereich der Cybersicherheit, Sicherheit des Personals)
Herausforderungen für die betroffenen Unternehmen
Laut Handelsblatt sieht Hisolution-Gründer Tino Kob als erste Herausforderung, dass viele Unternehmen gar nicht wissen, dass sie von der NIS 2 Richtlinie betroffen sind. Laut seiner Schätzung werden nun 40.000 Unternehmen zusätzlich in die Verantwortung genommen.
Experten sehen bei größeren Unternehmen und Organisationen, die bereits von der NIS-Richtlinie aus 2016 betroffen waren, keine größeren Stolpersteine. Auch meinen sie, dass sich Unternehmen durch Auflagen der Sorgfaltspflicht bereits vor der Verabschiedung der NIS 2-Richtlinie mit den Themen IT-Sicherheits und Cybersicherheit auseinandergesetzt haben. Anders ist es nun, dass dies durch systematisch aufgesetzte Prozesse nachgewiesen werden muss (Handelsblatt).
Probleme bei der Integration der Mindestanforderungen sehen die Experten von Perseus vor allem bei Kleinst-, kleinen und mittleren Unternehmen. Vor allem der Mangel an IT-Fachkräften kann dazu führen, dass es an beratenden Instanzen mangelt, die die Entwicklung und Umsetzung der geforderten Maßnahmen unterstützen und diese Unternehmen auf sich allein gestellt sind. Sind viele der geforderten Aspekte neu oder bisher in der Organisation noch nicht relevant, besteht die Gefahr, dass diese Unternehmen überfordert sind.
Andere Hindernisse wie fehlende finanzielle und personelle Ressourcen können die Umsetzung der NIS-2-Richtlinie ebenfalls beeinträchtigen.
Perseus ist der perfekte Partner für KMU
Und genau hier kann Perseus Unternehmen helfen. Das Cybersicherheits-Produktportfolio von Perseus beinhaltet viele der geforderten Maßnahmen. So kann die Perseus-Präventionslösung bei der Schulung und Sensibilisierung der Mitarbeitenden helfen. Ausgearbeitete Richtlinien zu Themen wie Datensicherheitskonzepte, Berechtigungsmanagement, Patch Management und mobiles Arbeiten tragen zur Umsetzung der Vorgaben zur Cyberhygiene bei.
Mit dem Security Baseline Check können Unternehmen standardisiert das grundlegende Sicherheitskonzept überprüfen. Vertiefende Einblicke gewährt der Cyber Risiko Dialog.
Und auch im Bereich des Notfallmanagements kann Perseus die Unternehmen unterstützen. Ein individualisierbarer Notfallplan verschafft einen Überblick über alle Prozesse und Anwendungen, die im Notfall beachtet bzw. die vor einem Vorfall gesondert geschützt werden müssen. Auch hilft der Plan dabei, den Geschäftsbetrieb – im möglichen Schadenfall – zügig wieder anlaufen zu lassen. Im Cybernotfall hilft darüber hinaus das Perseus Notfallteam bei der Bewältigung der Schäden. Hier steht das Team seinen Kunden rund um die Uhr zur Verfügung und berät auch im Verdachtsfall.