NIS2
NIS2 in Deutschland: Eine neue Ära der Cybersicherheitsregulierung
Von Kim Larsen, CISO Keepit
Da sich die digitale Landschaft weiterentwickelt, wird der Bedarf an robusten Cybersicherheitsmaßnahmen immer wichtiger.
Als Reaktion auf die zunehmenden Cyberbedrohungen hat die Europäische Union die NIS2-Richtlinie eingeführt, einen aktualisierten Rahmen, der die Cyber Security auf dem gesamten Kontinent verbessern soll. Deutschland, als eine der führenden Volkswirtschaften der EU, ist derzeit dabei, diese Richtlinie in nationales Recht umzusetzen, was erhebliche Auswirkungen auf Unternehmen im ganzen Land haben wird. Im Folgenden untersuchen wir, wie weit Deutschland in diesem Prozess fortgeschritten ist, welche Auswirkungen dies für deutsche Unternehmen hat und wie die jüngsten Cybervorfälle die Dringlichkeit dieser Maßnahmen unterstreichen.
Deutschlands Fortschritte bei der Umsetzung von NIS2
Deutschland arbeitet eifrig daran, die NIS2-Richtlinie in nationales Recht zu überführen. Die Richtlinie, die von allen EU-Mitgliedsstaaten bis zum 17. Oktober 2024 umgesetzt werden muss, erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie, um eine breitere Palette von Sektoren und Einrichtungen abzudecken. In Deutschland hat dies zur Ausarbeitung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) geführt. Die Bundesregierung hat den Gesetzesentwurf am 25. Juli 2024 verabschiedet und durchläuft derzeit das Gesetzgebungsverfahren.
Der Gesetzentwurf stellt eine umfassende Überarbeitung der bestehenden Cybersicherheitsvorschriften in Deutschland dar. Er weitet den Kreis der Unternehmen, die den Cybersicherheitsverpflichtungen unterliegen, erheblich aus, darunter fallen nun auch Betreiber kritischer Infrastrukturen, Anbieter digitaler Dienste und zahlreiche andere Sektoren. Nach dem neuen Gesetz sind diese Einrichtungen verpflichtet, strenge Cybersicherheitsmaßnahmen zu ergreifen, regelmäßige Risikobewertungen durchzuführen und robuste Protokolle für die Reaktion auf Vorfälle zu erstellen. Einer der Hauptaspekte der NIS2-Richtlinie ist die Betonung der Verantwortung des Managements. Der deutsche Gesetzesentwurf sieht eine direkte Haftung der Unternehmensleitung für Versäumnisse im Bereich der Cybersicherheit vor , was die Ernsthaftigkeit unterstreicht, mit der die deutsche Regierung an die Umsetzung von NIS2 herangeht.
Die Dringlichkeit von NIS2: Jüngste Vorfälle im Bereich der Cybersicherheit in Deutschland
Die kritischen Infrastrukturen in Deutschland waren in den letzten Jahren Ziel mehrerer aufsehenerregender Cyberangriffe, was die Notwendigkeit strengerer Cybersicherheitsvorschriften wie NIS2 unterstreicht. Laut dem Bericht Cybersecurity Report H1 2024 von Myra Security zielen drei von vier Cyberangriffen auf kritische Infrastrukturen ab.
Diese Vorfälle zeigen die möglichen Folgen einer unzureichenden Cybersicherheit und die Bedeutung der in der neuen Richtlinie vorgeschriebenen Maßnahmen. Ein bemerkenswertes Beispiel war der Lockbit-Ransomware-Angriff auf das deutsche Gesundheitssystem im Jahr 2023, bei dem Hacker auf kritische Krankenhausinfrastrukturen abzielten und weitreichende Störungen verursachten. Dieser Angriff beeinträchtigte nicht nur die Patientenversorgung, sondern unterstrich auch die Schwachstellen im Gesundheitswesen, einem der Bereiche, mit denen sich NIS2 speziell befasst .
Ein weiterer wichtiger Vorfall war der Cyberangriff auf die Deutsche Windtechnik, einen großen deutschen Energieversorger im Jahr 2022, der die Energieversorgung im ganzen Land zu unterbrechen drohte. Der Angriff machte deutlich, wie wichtig die Cybersicherheit im Energiesektor ist – einem Sektor, der von NIS2 als hochkritisch eingestuft wird und daher den strengsten Cybersicherheitsanforderungen unterliegt. Ein bemerkenswerter Cyberangriff, der sich auf die deutsche digitale Infrastruktur auswirkte, ereignete sich im Februar 2022, als das Mineralölvertriebsunternehmen Oiltanking Deutschland GmbH Opfer einer Ransomware-Attacke wurde. Dieser Vorfall zielte zwar in erster Linie auf den Ölvertriebssektor ab, hatte jedoch weiterreichende Auswirkungen auf die kritische Infrastruktur des Landes, einschließlich der Auswirkungen auf die Kraftstoffversorgung in ganz Deutschland. Der Angriff störte die IT-Systeme, die die Versorgungskette verwalten, was wiederum den Logistik- und Transportsektor beeinträchtigte und Schwachstellen in der kritischen Infrastruktur des Landes aufzeigte.
Cyberangriffe auf deutsche Behörden und Unternehmen haben die deutsche Regierung in letzter Zeit ebenfalls beschäftigt. Grund dafür waren die Aktionen der Hackergruppe APT28, die mit dem russischen Militärgeheimdienst GRU in Verbindung gebracht wird und Organisationen in den Bereichen Logistik, Verteidigung, Luft- und Raumfahrt sowie IT-Dienstleistungen, Stiftungen und Verbände angriff.
Auswirkungen für deutsche Unternehmen
Für deutsche Unternehmen wird die Umsetzung von NIS2 in nationales Recht erhebliche Veränderungen mit sich bringen. Unternehmen, die bisher nur geringe oder gar keine Cybersicherheitsverpflichtungen hatten, könnten sich nun strengen neuen Anforderungen ausgesetzt sehen. Selbst Unternehmen, die bereits über einige Cybersicherheitsmaßnahmen verfügen, müssen sicherstellen, dass sie die höheren Standards der NIS2-Richtlinie erfüllen.
Die Richtlinie verlangt von den Unternehmen, dass sie umfassende Risikomanagementverfahren einführen, robuste Reaktionsmöglichkeiten auf Vorfälle unterhalten und die Sicherheit ihrer Lieferketten gewährleisten. Die Nichteinhaltung dieser Anforderungen kann schwere Strafen nach sich ziehen, darunter Geldstrafen von bis zu 20 Millionen Euro oder 2 Prozent des weltweiten Umsatzes des Unternehmens (Führende Europäische Kanzlei – Noerr).
Darüber hinaus unterstreicht die NIS2-Richtlinie die Bedeutung einer kontinuierlichen Überwachung der Cybersicherheit und einer entsprechenden Berichterstattung. Die Unternehmen werden verpflichtet sein, bedeutende Vorfälle im Bereich der Cybersicherheit innerhalb kurzer Fristen zu melden – zunächst innerhalb von 24 Stunden, gefolgt von Aktualisierungen innerhalb von 72 Stunden und einem Abschlussbericht innerhalb eines Monats (Führende Europäische Kanzlei – Noerr). Mit diesem strukturierten Meldeverfahren soll sichergestellt werden, dass die Behörden auf dem Laufenden gehalten werden und effektiv auf neue Bedrohungen reagieren können.
Vorbereitungen für die Zukunft
Da die Frist für die Umsetzung der NIS2 näher rückt, müssen deutsche Unternehmen umgehend handeln, um sich an die neuen Anforderungen anzupassen. Dazu gehört die Überprüfung und gegebenenfalls die Überarbeitung bestehender Cybersicherheitspraktiken, um sicherzustellen, dass sie den strengen Standards der Richtlinie entsprechen.
Unternehmen sollten damit beginnen, gründliche Risikobewertungen durchzuführen, um potenzielle Schwachstellen zu ermitteln. Anschließend gilt es, umfassende Sicherheitsmaßnahmen einzuführen, einschließlich Plänen für die Reaktion auf Zwischenfälle und regelmäßiger Cybersicherheitsschulungen für die Mitarbeiter. Da in NIS2 der Schwerpunkt auf der Sicherheit der Lieferkette liegt, muss außerdem sichergestellt sein, dass Lieferanten und Dienstleister ähnlich strenge Standards einhalten (OpenKRITIS, Roland Berger).
Zusätzlich zu diesen Maßnahmen müssen Unternehmen der Geschäftskontinuität durch ein effektives Backup-Management und regelmäßige, dokumentierte Tests von Disaster-Recovery-Plänen Priorität einräumen, wie in Artikel 21 der NIS2-Richtlinie vorgeschrieben. Diese Maßnahmen sind von entscheidender Bedeutung, um sicherzustellen, dass sich Organisationen schnell von Störungen erholen, Ausfallzeiten minimieren und die betriebliche Widerstandsfähigkeit angesichts der zunehmenden Cyber-Bedrohungen aufrechterhalten können. Werden diese Maßnahmen nicht ergriffen, könnte dies erhebliche betriebliche und finanzielle Auswirkungen haben. Schließlich müssen sich deutsche Unternehmen der Möglichkeit künftiger regulatorischer Entwicklungen bewusst sein, die die Anforderungen der NIS2-Richtlinieweiter ausbauen oder verfeinern könnten. Informiert zu bleiben und proaktiv zu handeln ist der Schlüssel zur Einhaltung der Vorschriften und zum Schutz vor der allgegenwärtigen Gefahr von Cyberangriffen.
Schlussfolgerung
Während man in Deutschland mit der Umsetzung der NIS2-Richtlinie vorankommt, müssen sich Unternehmen hierzulande auf eine neue Ära der Cybersicherheitsvorschriften vorbereiten. Die jüngste Flut von Cyberangriffen auf kritische Infrastrukturen in Deutschland verdeutlicht die Dringlichkeit dieser Maßnahmen und die möglichen Folgen von Untätigkeit. Durch die Anpassung an die neuen Anforderungen können deutsche Unternehmen nicht nur Strafen vermeiden, sondern auch ihre Abwehrkräfte gegen die wachsende Flut von Cyber-Bedrohungen stärken und so ihre Widerstandsfähigkeit in einer zunehmend digitalen Welt sicherstellen.