NIS2 umsetzen: Leitfaden für KMU

INHALTSVERZEICHNIS
NIS2 in mittelständischen Unternehmen umsetzen

Die NIS2 Richtlinie („The Network and Information Security (NIS) Directive“) wird voraussichtlich ab 18. Oktober 2024 (nach Umsetzung der EU Directive / Richtlinie in nationales Recht) viele europäische Unternehmen betreffen und die aus 2016 stammende NIS ablösen.

Die NIS2 gibt Unternehmen vor, Risikomanagementmaßnahmen zu treffen und Meldepflichten zu beachten. Die Leitungsorgane (Geschäftsführer bei GmbH, Vorstände bei Aktiengesellschaft) überwachen die Umsetzung und haften persönlich bei Verstößen.

Das Ziel ist es die Cyber Widerstandsfähigkeit (Resilienz) sowie die Reaktion auf Cybervorfälle EU-weit zu verbessern. Dafür sollen Maßnahmen wie die Durchführung von Risikomanagement, die Implementierung von Datensicherungen, das Anbieten von Schulungen für das Personal, die Einführung von Zugriffsbeschränkungen, die Nutzung der Multifaktor-Authentifizierung sowie den Einsatz sicherer Methoden für Sprach-, Video- und Textübertragungen von Unternehmen ergriffen werden. Zudem ist es für Unternehmen erforderlich, die Cybersicherheitspraktiken innerhalb ihrer Lieferkette zu evaluieren und einzufordern (z.B. mittels DIN SPEC 27076).

Ab dem Inkrafttreten des Gesetzes bzw. der zugehörigen Verordnungen gelten die Regelungen für die betroffenen Einrichtungen. Das heißt, dass die NIS2 per 18.10.2024 umgesetzt sein muss.

NIS2 Countdown

Damit wir genau wissen bis wann wir unseren Verpflichtungen zur NIS2 nachkommen müssen hier unser Countdown.


In nur
Tagen Stunden Min Sek
tritt die NIS2-Richtlinie in Österreich und Deutschland in Kraft.


Um herauszufinden ob dein Unternehmen betroffen ist kann ich nur an offiziellere Stellen verweisen. Das ist in Deutschland BSI und in Österreich die WKO. (Teste mit dem WKO NIS2 Online-Ratgeber, ob dein Unternehmen von NIS2 betroffen ist)

Weshalb betrifft das Mittelständische Unternehmen?

Große Firmen mit spezialisierten IT- und Sicherheitsteams finden sich mit den neuen Vorschriften einfacher zurecht als mittelständische Unternehmen. Wie können Letztere sich effektiv anpassen?

Direkt oder indirekt betroffen

NIS2 wird in Deutschland etwa 30000 Unternehmen direkt betreffen.

NIS2 wird in Österreich 3000-4000 Unternehmen direkt betreffen und bis zu 15000 Unternehmen indirekt betreffen.

Betroffene Unternehmen und Einrichtungen müssen die NIS2 erfüllen. Da jedoch auch viele mittelständische Unternehmen zur Lieferkette (Supply Chain) dieser Unternehmen zählen wird die NIS2 auch indirekt viele zusätzliche Unternehmen treffen. Nicht im vollen Ausmaß, aber treffen.

Aus diesem Grund werden große Auftraggeber, einschließlich Betreiber von Energie- und Telekommunikationsnetzen, die NIS2-Anforderungen in ihre Einkaufsrichtlinien für Zulieferer einfließen lassen. Folglich müssen auch kleine Unternehmen einen Beitrag zur Einhaltung der NIS2-Richtlinien leisten, denn die Verpflichtung zur Gewährleistung der Sicherheit der Lieferkette führt dazu, dass Unternehmen künftig ihre Lieferanten hinsichtlich ihres Cybersicherheitsrisikos einschätzen und bewerten müssen und Vertragsbeziehungen mit cybersicherheitsrechtlich bedenklichen Lieferanten vermeiden sollten.

Die zentrale Frage ist, wie Sicherheitsmaßnahmen effizient implementiert, betrieben und gewartet werden können, sodass auch kleine und mittelgroße Betriebe ihre Systeme ohne erheblichen Aufwand und Kosten absichern können. Dies wird eine wesentliche Herausforderung für den europäischen Markt darstellen und uns alle betreffen.

Das Ziel der NIS2 ist vernünftig und notwendig. Man sollte die NIS2 nicht nur aus Compliance Gründen implementieren.

Ziele der NIS2

Ziel der Richtlinie ist es, auf europäischer Ebene ein hohes gemeinsames Cybersicherheitsniveau sicherzustellen. Einen wichtigen Bestandteil dieser Sicherheitsstrategie stellt die Stärkung der Sicherheit und Cyberabwehrfähigkeit von Unternehmen dar. 

Welche Maßnahmen im Risikomanagement sind zu treffen

NIS2 Unternehmen

Gemäß der NIS-2 müssen Unternehmen angemessene technische, operative und organisatorische Maßnahmen (TOM) ergreifen, um die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern bzw. möglichst gering zu halten.

An dieser Stelle sind die zehn spezifischen Risikomanagement Mindestmaßnahmen der NIS-2 (lt. Artikel 21) zu erwähnen, die jedes Unternehmen das direkt unter NIS2 fällt, erfüllen muss:

  • Risikoanalyse und Sicherheitskonzepte
  • Bewältigung von Sicherheitsvorfällen (Incident Response) inklusive Notfallwiederherstellung
  • Business Continuity und Krisenmanagement
  • Sicherheit der Lieferkette (Bewertung von Lieferanten)
  • Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
  • Cyberhygiene und Mitarbeiterschulungen im Bereich Cybersicherheit
  • Kryptografie und ggf. Verschlüsselung
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle
  • Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung

Diese Maßnahmen sollen sowohl dem aktuellen Risiko als auch dem Stand der Technik entsprechen und die Kosten der Umsetzung, die Unternehmensgröße, die Branche sowie die Wahrscheinlichkeit eines Sicherheitsvorfalls berücksichtigen.

Durch die Lieferkette betroffene Unternehmen

Zulieferer von NIS2 Unternehmen werden durch die „Verpflichtung zur Gewährleistung der Sicherheit der Lieferkette“ ihrer Kunden dazu verpflichtet Cybersecuritymaßnahmen zu setzen. Dabei muss nicht unbedingt ein großes Budget und ein komplexes Projekt realisiert werden.

Die Behörde kontrolliert das NIS2 betroffene Unternehmen und verlangt von diesen Unternehmen einen Nachweis dafür, dass auch seine Lieferanten „Cybersicher“ sind und das NIS2 unterworfene Unternehmen nicht gefährden.

Der Nachweis könnte sein

  • indem das NIS2 Unternehmen beim Lieferanten ein Audit macht,
  • der Dienstleister/Lieferant eine ISO27001 Zertifizierung vorweist,
  • der Dienstleister/Lieferant ein Ergebnis der Beratung nach DIN SPEC 27076 vorweist,
  • ein Cyber Risk Rating (e.g. von KSV1870) vorzeigt oder
  • auch eine Excel-Liste mit den entsprechenden Informationen übermittelt.

Das NIS2 unterworfene Unternehmen legt für seine Lieferanten vertraglich fest, wie der Nachweis erbracht werden soll und auch welche Sicherheitsmaßnahmen er vom Lieferanten verlangt.

Die meisten Angriffe lassen sich durch einfache Grundmaßnahmen effektiv verhindern. Die Basissicherheit bietet Werkzeuge an, die es auch kleinen und mittleren Unternehmen ermöglichen, diese essenziellen Sicherheitsmaßnahmen problemlos umzusetzen.

Ein Unternehmen, das die Basissicherheitsmaßnahmen erfüllt, sollte folgende Aspekte schon berücksichtigt, ausgearbeitet oder implementiert haben:

  1. Informationssicherheitsrichtlinie für das eigene Unternehmen erlassen
  2. Mitarbeiter werden regelmäßig in Informationssicherheit geschult
  3. zuständige Ansprechpartner für Informationssicherheit sollen ernannt und aktiv sein
  4. Verzeichnis der Systeme, Anwendungen und Daten soll vorhanden und gewartet sein
  5. Zugriffe auf Dateien und Programme sollen auf das erforderliche Ausmaß reduziert sein
  6. MFA sollte weitestgehend implementiert sein und eine Passwort-Policy soll existieren
  7. eingesetzten Systeme sollen eine sichere Konfiguration (hardening) haben
  8. Der eigene Internetauftritt ist geschützt (Attack Surface soll möglichst gering sein)
  9. Updates und Upgrade Policy soll implementiert sein
  10. Schutz des Netzwerks gegen unberechtigte Zugriffe von außen
  11. Schutzprogramme gegen Malware sollen implementiert sein 
  12. Backup Strategie soll implementiert sein. Backups sollen auch kontrolliert werden!
  13. Ein Notfallplan für einen IT-Sicherheitsvorfall muss implementiert sein

Kontaktiere uns jetzt, um mehr zu erfahren!
Mache einen Termin aus oder sende uns deine Anfrage!

Weshalb sollte ich externe Unterstützung nutzen

Ähnlich wie auch beim Cybersecurity Risk Assessment kann man dadurch sehr spezielle Expertise und Erfahrung einzukaufen und bekommt gleich dazu eine Effizienz und Zeitersparnis sowie eine Objektivität.

Leere Kilometer kosten Geld: Wer am Beginn eines Weges ein Grad abweicht, wird am Ende viele Meilen am Ziel vorbei laufen.

Obwohl die Inanspruchnahme externer Dienstleistungen anfänglich als zusätzliche Ausgabe erscheinen mag, kann sie langfristig kosteneffizient sein.

Wichtige Pflichten für Unternehmen

An dieser stelle ist vor allem die Meldepflicht bei Sicherheitsvorfällen zu erwähnen! Diese unterliegt klaren zeitlichen und Inhaltlichen Vorgaben.

Die Meldung eines Sicherheitsvorfalles muss üblicherweise an das Computer Emergency Response Team (CERT) erfolgen.

Neben den Berichtspflichten gibt es auch die Option für freiwillige Berichte in anonymisierter Form.

Dies wird besonders relevant, wenn ähnliche Vorfälle von verschiedenen Unternehmen berichtet werden. Solche Meldungen könnten auf eine potenzielle breitere Gefahr hinweisen, die sich zu einem umfassenderen Problem entwickeln könnte.

Sanktionsmaßnahmen

Die Sanktionen bei Missachtung der Vorgaben sind sowohl für das Unternehmen als auch für den Geschäftsführer und andere Leitungsorgane (inkl. Haftung mit Privatvermögen) konkret festgeschrieben.

Weshalb ist die NIS2 Gamechanger für die EU Cybersecurity?

Die NIS2-Richtlinie ist ein entscheidender Wendepunkt für die Cybersicherheit in der EU. Indem sie mehr Sektoren umfasst, darunter Anbieter digitaler Dienste, erweitert sie den Schutzrahmen deutlich über kritische Infrastrukturen hinaus. Dieser breitere Anwendungsbereich ist essenziell, da digitale Dienste zunehmend in das Zentrum der EU-Wirtschaft rücken. Durch die Einführung strengerer Anforderungen an das Risikomanagement und die Berichterstattung stellt NIS2 sicher, dass Unternehmen proaktiv Sicherheitslücken adressieren und potenzielle Bedrohungen minimieren. Die deutliche Erhöhung der Bußgelder für Nichteinhaltung unterstreicht die Bedeutung, die die EU der Cybersicherheit beimisst, und zwingt Unternehmen, Cybersicherheit als oberste Priorität zu behandeln. NIS2 agiert somit als Katalysator für eine stärkere und einheitlichere Cybersicherheitslandschaft in der EU.

NIS2 Timeline

2016: NIS-Richtlinie 2016/1148

2018: Durchführungsverordnung (EU) 2018/151 (EU-NIS-Df-VO). 

2018: NIS Gesetz (Österreich)

2019: NIS Verordnung zur näheren Festlegung verschiedener Sachverhalte aus dem NIS-Gesetz (Österreich)

2023: NIS2-Richtlinie Directive / Richtlinie

Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, Bearbeitungsstand 24.06.2024 Deutschland

3.4.2024: Gesetz zur Begutachtung in Österreich

Vermutlich 17. Oktober 2024: Cybersicherheitsgesetz und nationale Verordnung

Relevante Artikel

Risikomanagement für mittelständische Unternehmen

Cybersicherheitspraktiken innerhalb der Lieferkette einzufordern mittels DIN SPEC 27076

Cybersecurity Geschäftsführerhaftung

Notfallplan für Cyberangriffe: Intelligente Vorsorge für KMUs

Du willst das Thema Cybersecurity professionell angehen und systematisch die Cyber-Resilienz verbessern?
Herwart Wermescher

Managing Director

Herwart ist Gründer von kmusec.com und Cybersecurity-besessen seit 2011.

Artikel teilen!