30.000 Unternehmen und Behörden betroffen : NIS-2: Härtere Vorgaben, strengere Regeln – auch für IT-Dienstleister

Von Ina Märzluft, noris network AG

Mit NIS-2 verdeutlicht der europäische Gesetzgeber, dass er künftig keine Nachlässigkeit mehr im Umgang mit der Cybersicherheit und der Prävention von Online-Kriminalität dulden wird. So werden betroffene Unternehmen und Einrichtungen der öffentlichen Hand nach NIS-2-Lesart unter anderem fest dazu verpflichtet, robuste Sicherheitskonzepte zu implementieren. Sie umfassen sowohl technische als auch organisatorische Maßnahmen und haben zum Ziel, Netz- und Informationssysteme bestmöglich zu schützen. Ein besonderes Auge wirft die EU auf kritische Infrastrukturen (KRITIS) und Finanzinstitute. Sie sind dazu angehalten, umfassende Strategien zur Risikominimierung zu entwickeln und zeitnah umzusetzen.

Dazu gehören unter anderem die Analyse und Bewertung potenzieller Bedrohungen und deren Verhinderung, beispielsweise durch die Einführung von Intrusion-Detection- und Prevention-Systemen sowie starken Authentifizierungs- und Autorisierungskonzepten. Hier haben sich Multifaktor-Authentifizierung (MFA) und Zero-Trust-Architekturen (ZTA) beziehungsweise biometrische Verfahren durchgesetzt. Ebenso sind Notfallpläne für Disaster-Recovery und Business-Continuity mit Risikoanalysen und Hochverfügbarkeitsstrategien – Stichwort Georedundanz – künftig essenziell, um im Krisenfall schnell reagieren zu können.

Auch proaktive Maßnahmen wie regelmäßige Penetrationstests und ein professionelles Schwachstellenmanagement spielen eine entscheidende Rolle, um Risiken zu minimieren und den Schutz der IT-Systeme weiter zu optimieren. Ebenso sind Incident-Response-Pläne sowie regelmäßige Schulungen für Mitarbeitende in der NIS-2-Novelle nicht mehr optional: Durch gezielte Trainings und Sensibilisierungsmaßnahmen für Mitarbeitende hofft die EU, wachsende Cybergefahren und Sicherheitslücken möglichst im Keim zu ersticken.

Strenge Audit-Pflichten für Unternehmen

Um die Sicherstellung der Einhaltung und die Wirksamkeit des Risikomanagements zu gewährleisten, sieht die NIS-2 Audits als wesentliche Bestandteile vor. Sie dienen dazu, Prozesse, Systeme und Organisationen systematisch und regelmäßig zu überprüfen und zu bewerten. Unternehmen müssen innerhalb dieser Audits nachweisen, dass sie die gesetzlichen Anforderungen der Direktive erfüllen. Dies betrifft besonders KRITIS-Betreiber, die gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) dokumentieren müssen, dass ihre IT-Sicherheitsmaßnahmen tatsächlich den NIS-2-Vorschriften entsprechen.

Auditpflichten umfassen sowohl regelmäßige externe und interne Sicherheitsprüfungen zur Erkennung von Schwachstellen als auch umfassende Berichtspflichten gegenüber Aufsichtsbehörden über die Wirksamkeit der Sicherheitsmaßnahmen. Zudem sind Unternehmen und Behörden verpflichtet, alle sicherheitsrelevanten Prozesse und Vorfälle lückenlos zu dokumentieren. Banken und Finanzmarktinfrastrukturen sind dabei zusätzlich an die Anforderungen der Europäischen Bankenaufsicht (EBA) gebunden; sie verzahnt NIS2-konforme Sicherheitsmaßnahmen eng mit den bestehenden IT-Governance-Richtlinien.

Verschärfte Meldepflichten bei Sicherheitsvorfällen

Im Rahmen der Meldepflichten stehen Unternehmen laut NIS-2 in der Pflicht, „erhebliche Sicherheitsvorfälle“ innerhalb von 24 Stunden an das zuständige Computer-Security-Incident-Response-Team (CSIRT) oder eine nationale Behörde zu melden. Zusätzliche Berichte sind innerhalb von 72 Stunden sowie nach maximal einem Monat erforderlich. Ein erheblicher Sicherheitsvorfall liegt vor, wenn kritische Systeme betroffen, finanzielle oder betriebliche Auswirkungen erheblich sind oder Datenlecks beziehungsweise Datenschutzverstöße eintreten. Die frühzeitige Identifikation von Bedrohungen durch umfassende Monitoring-Systeme ist daher essenziell.

Zertifizierungen als Nachweis der IT-Sicherheit

Ein zentraler Aspekt der NIS-2-Umsetzung ist der Nachweis durch anerkannte Zertifizierungen. Sie bestätigen, dass Unternehmen die notwendigen Sicherheitsstandards einhalten. Besonders für KRITIS-Unternehmen und Finanzdienstleister spielen Standards wie ISO 27001, der BSI-Grundschutz sowie TÜViT TSI Level 4 eine wichtige Rolle. ISO 27001 bildet die Basis für ein wirksames Informationssicherheits-Managementsystem, während der BSI-Grundschutz als umfassendes Framework für IT-Sicherheit in Deutschland dient. Das TÜViT TSI Level 4-Zertifikat richtet sich besonders an Rechenzentren und bestätigt, dass höchste Sicherheitsanforderungen erfüllt werden.

Dazu gehören unter anderem der Brandschutz und das Notfallmanagement für den Katastrophenfall. Außerdem stellen Zertifizierungen sicher, dass kritische Infrastrukturkomponenten wie Stromversorgung, Klimatisierung und Netzwerkverbindungen redundant und hochverfügbar zur Verfügung stehen. Finanzdienstleister und Betreiber kritischer Infrastrukturen profitieren von der Implementierung dieser Standards, da sie nicht nur Compliance-Anforderungen erfüllen, sondern auch das Vertrauen von Kunden und Partnern stärken. Vor allem für Banken und deren IT-Dienstleister haben sich Zertifizierungen längst zum entscheidenden Wettbewerbsfaktor entwickelt, da sie ihre Fähigkeit zur sicheren Verarbeitung sensibler Finanzdaten belegen.

NIS-2 setzt neue Standards in der Cybersicherheit

Klar ist: Mit der NIS-2-Richtlinie verschärft die EU die Anforderungen an Cybersicherheit erheblich. Besonders betroffen sind die Finanzbranche und KRITIS-Unternehmen – sowie ihre IT-Dienstleister und Rechenzentrumsbetreiber –, die umfassende Sicherheitskonzepte umsetzen, strenge Audit-Anforderungen erfüllen und anerkannte Zertifizierungen nachweisen müssen. Unternehmen, die sich rechtzeitig auf die neuen Vorgaben einstellen, sichern nicht nur ihre Compliance, sondern stärken auch ihre Widerstandsfähigkeit gegen Cyberangriffe.

Unbestritten ist damit aber auch: Der Weg zur erfolgreichen Umsetzung von NIS-2 erfordert eine enge Zusammenarbeit zwischen IT-Sicherheitsverantwortlichen, Behörden und unabhängigen Prüfinstanzen, um höchste Sicherheitsstandards zu gewährleisten. Damit profitieren alle Beteiligten von der erhöhten Cybersicherheit, während das vorausschauende Sicherheitsmanagement zum Schlüssel für eine nachhaltige Resilienz gegenüber den Bedrohungen der digitalen Welt wird.