Die NIS-2 (Network and Information Security), auch bekannt als die zweite Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union, ist ein rechtlicher Rahmen, der darauf abzielt, die Cybersicherheit in der EU zu stärken. Im Folgenden wollen wir Ihnen einen kurzen Überblick über die NIS-2-Richtlinie geben.
Mit der NIS-2-Richtlinie, die in Deutschland ab Oktober 2024 gilt und hier durch das Deutsche IT-Sicherheitsgesetz 3.0 umgesetzt wird, kommen auf viele Unternehmen und Organisationen in den 18 kritischen Sektoren Sicherheitsmaßnahmen und Meldepflichten zu, die verpflichtend sind. Mit der NIS-2-Richtlinie erweitert sich auch das Feld der Unternehmen, die von dieser betroffen sind. Im Vergleich zur vorherigen NIS-Richtlinie werden vor allem die Pflichten und die behördliche Aufsicht stark erweitert und die drohenden Geldstrafen deutlich angehoben.
Die NIS-2-Richtlinie ist 2023 auf EU-Ebene in Kraft getreten. Sie ist in der vorliegenden EU-Form als Richtlinie nicht direkt anwendbar, sondern muss erst in nationales Recht umgesetzt werden (IT-Sicherheitsgesetz 3.0). Die Richtlinie gibt einen Mindeststandard vor, was bedeutet, dass die EU-Staaten strengere Vorschriften erlassen. Es wird also ein Fakt sein, dass in den EU-Staaten die Richtlinie auch in verschiedenen Formen und Anforderungen umgesetzt wird.
In den Anhängen I und II sind die 18 Sektoren und die dazugehörigen Einrichtungen aufgeführt und näher beschrieben.
Anhang I
Anhang II
Sollten Sie nach einer Prüfung feststellen, dass Sie mit Ihrem Unternehmen unter die NIS-2-Richtlinie fallen, müssen Sie mindestens die folgenden Cybersecurity-Maßnahmen nach einem risikobasierten Ansatz umsetzen. Das Ziel ist, die Auswirkungen von Sicherheitsfällen komplett zu verhindern aber zumindest gering zu halten:
Policies
Um alle Punkte sauber zu prüfen und umzusetzen, muss es ein Konzept für die Sicherheitssysteme und die Risikoanalyse geben.
Vorfallsbewältigung
Ein Vorfall kann immer vorkommen, hier geht es um dessen Erkennung, Reaktion, Eindämmung und Analyse.
Einkauf
Dieser Punkt bezieht sich auf die Sicherheitsaspekte beim Erwerb, der Entwicklung und der entsprechenden Wartung der IT-Systeme.
Wirksamkeit
Nach einem Vorfall müssen die Risikomanagementmaßnahmen auf ihre Wirksamkeit bewertet werden, hierfür sollte ein entsprechender Prozess bestehen.
Personal, Zugriffe, Assets
Hier werden die Themen Asset Management, Zugriffskontrolle und Personalsicherheit betrachtet.
Authentifizierung
Die Stichpunkte sind Multi-Faktor-Authentifizierung oder auch kontinuierliche Authentifizierung. In diesem Punkt und vor allem im Bereich „Personal, Zugriffe, Assets“ sind IAM-Systeme ein möglicher Lösungsansatz.
Kommunikation
Zum Risikomanagement gehört auch die Betrachtung der Kommunikation (Video und Textkommunikation), die im eingetretenen Notfall funktionieren sollte.
Business Continuity
In der Maßnahme „Business Continuity” geht es neben dem Krisenmanagement auch um die Wiederherstellung und das Backup-Management.
Schulungen und Cyberhygiene
Hier sind Schulungen zum Thema Security und der Cyberhygiene inkludiert. Unter Cyberhygiene sind hier z.B. die Updates der IT-Systeme gemeint.
Kryptografie
Ganz zentrale Themen sind die Verschlüsselung und der Einsatz von Kryptografie.
Supply Chain
Immer häufiger werden auch die Lieferketten der Lieferanten bedroht. Wenn Ihre Firma davon betroffen ist, müssen Sie auch verschiedene Prüfungen bei Ihren Lieferanten durchführen.
Was resultiert aus der NIS-2-Richtlinie?
Unternehmen, die unter die NIS-2-Richtlinie fallen, müssen sich bei der nationalen Behörde registrieren lassen, wobei zurzeit noch nicht ganz feststeht, wie genau das geschehen soll. Sicherheitsvorfälle, die in dem entsprechenden Unternehmen auftreten, müssen der dann Behörde nach bestimmten Fristen gemeldet werden. Sollten noch Empfänger von z.B. Diensten betroffen sein, müssen diese ebenfalls informiert werden.
Die Haftung und die Verantwortung der Geschäftsführung ist in der NIS-2-Richtlinie nochmals etwas angezogen worden.
Was muss ich tun, wenn ich ein SAP-System im Einsatz habe?
Wenn Sie ein SAP-System in Ihrem Unternehmen einsetzen, sollten Sie zur Berücksichtigung der NIS-2-Richtlinie folgende Punkte beachten:
- Identifizieren Sie kritische Infrastrukturen: Überprüfen Sie, ob Ihr SAP-System als kritische Infrastruktur eingestuft wird. Die NIS2-Richtlinie gilt insbesondere für Unternehmen aus den Sektoren Energie, Verkehr, Banken, Gesundheitswesen und digitale Dienste.
- Implementieren Sie Sicherheitsmaßnahmen: Ergreifen Sie angemessene Sicherheitsmaßnahmen, um Ihr SAP-System vor Cyberangriffen zu schützen. Dies kann die Implementierung von Firewalls, Intrusion Detection Systems, Zugriffskontrollen und Verschlüsselungen umfassen.
- Überprüfen Sie die Sicherheitsrichtlinien von SAP: Stellen Sie sicher, dass Sie die Sicherheitsrichtlinien und - empfehlungen von SAP befolgen. SAP bietet umfangreiche Informationen und Best Practices zur Sicherheit von SAP-Systemen.
- Regelmäßige Überprüfung der Sicherheitsmaßnahmen: Führen Sie regelmäßige Sicherheitsaudits und -überprüfungen durch, um sicherzustellen, dass Ihre Sicherheitsmaßnahmen den aktuellen Bedrohungen entsprechen. Dies kann die Durchführung von Penetrationstests, Schwachstellenanalysen und Sicherheitsbewertungen beinhalten.
- Melden von Sicherheitsvorfällen: Stellen Sie sicher, dass Sie Sicherheitsvorfälle, die Ihr SAP-System betreffen, gemäß den Meldepflichten der NIS-2-Richtlinie melden. Dies kann die Meldung an nationale Behörden oder Computer Security Incident Response Teams (CSIRTs) umfassen.
- Schulung der Mitarbeiter: Sensibilisieren Sie Ihre Mitarbeiter für die Bedeutung der Cybersicherheit und nehmen Sie Schulungen in den besten Sicherheitspraktiken für die Nutzung des SAP-Systems vor. Dazu können Schulungen zur Erkennung von Phishing-E-Mails, zur sicheren Passwortverwaltung und zur Vermeidung von Malware-Infektionen zählen.
Um Zugang zu dem Thema zu finden, schlagen wir folgende Tipps in der dargestellten Reihenfolge vor:
Fazit
Schon aus Eigeninteresse sollten sich Unternehmen aktiver und weitreichender gegen Cyberkriminalität schützen, aber wie hier die NIS-Richtlinien bezeugen, steigt auch der Druck durch den Gesetzgeber immer weiter.
Viele Unternehmen, die vielleicht nicht unter die NIS-1-Richtlinie (IT-Sicherheitsgesetz 2.0) gefallen sind, können ab Ende 2024 von der NIS-2 (IT-Sicherheitsgesetz 3.0) betroffen sein, auch wenn die Anforderungen und Meldepflichten nur unwesentlich über die NIS-2 hinausgehen. Daher sollte alle Unternehmen prüfen, ob sie unter die NIS-2-Richtlinie fallen.
Die angedrohten Bußgelder bei Verstößen gegen die Richtlinie sind teilweise deutlich angehoben worden und können bis zu zehn Millionen Euro betragen.