NIS-2-Richtlinie: Unternehmen sollten jetzt aktiv werden
Photo credit: depositphotos.com
Seit einigen Jahren gelten Cyberangriffe als eines der größten Geschäftsrisiken für Unternehmen weltweit. Doch längst nicht alle Unternehmen haben diese Bedrohung für ihr eigenes Geschäft erkannt. So fehlt es auch 2023 flächendeckend noch am richtigen Sicherheitsbewusstsein.
Ein Beitrag von Michael Horchler, Chief Cyber Security Officer der Perseus Technologies
Der Gesamtverband der Deutschen Versicherungswirtschaft hat in einer Umfrage unter kleinen und mittleren Unternehmen im Jahr 2022 festgestellt, dass zwar fast 80 Prozent der befragten Unternehmen das Risiko von Cyberkriminalität als sehr hoch einschätzen, aber weniger als 40 Prozent ein Risiko für den eigenen Betrieb sehen. Infolgedessen bilden auch nur wenige Unternehmen ihre Mitarbeitenden in den Bereichen Cybersicherheit und Datenschutz weiter (35 Prozent).
Dies ist besonders fahrlässig, da vor allem die eigenen Angestellten die größte Schwachstelle in der IT-Sicherheit darstellen. 95 Prozent der Sicherheitsverletzungen werden durch menschliches Versagen verursacht (IBM, 2022), wobei E-Mails mit Phishing-Inhalten oder Angriffswerkzeugen an der Spitze stehen. Ohne die Interaktion der Mitarbeiter würden viele dieser Angriffe ins Leere laufen.
9 von 10 Unternehmen wurden Opfer eines Cyberangriffs
Die ungeschönte Realität sieht folgendermaßen aus: 90 Prozent der Unternehmen sind mittlerweile Opfer von Cyberkriminalität in Form von Phishing, Betrug, Sabotage, Wirtschaftsspionage oder Datendiebstahl geworden. Im Jahr 2022 entstand der deutschen Wirtschaft das dritte Mal in Folge ein Schaden von über 200 Milliarden Euro.
Auf die einzelnen Unternehmen heruntergebrochen, entstehen pro IT-Sicherheitsvorfall Kosten in Höhe von durchschnittlich 67.000 Euro. Bei Unternehmen mit einem Jahresumsatz von mehr als 25 Millionen Euro liegen die durchschnittlichen Kosten sogar bei 217.000 Euro (HDI Cyber-Studie 2023).
Die Schaffung einer europaweiten Cyber-Resilienz
Es ist daher nicht verwunderlich, dass auch die Politik zunehmend ein Augenmerk darauf legt, die von Cyberangriffen ausgehenden Bedrohungen für Wirtschaft und Gesellschaft zu minimieren. Die erste Richtlinie zur Gewährleistung eines hohen Niveaus der Netz- und Informationssicherheit (NIS-Richtlinie) wurde bereits 2016 verabschiedet.
Das Ziel: die europäische Cyber-Resilienz zu stärken. Ein hohes Maß an Cyber-Resilienz garantiert, dass Institutionen und Einrichtungen einen Hacker-Angriff im Vorfeld verhindern, im Ernstfall überleben und sich anschließend von einem Angriff schnell wieder erholen können. In einer von digitaler Technologie abhängigen Welt ist diese Resilienz entscheidend für die Aufrechterhaltung von Stabilität und Sicherheit, aber auch von Wohlstand.
Obwohl erste Erfolge erzielt werden konnten, sind Ungleichheiten innerhalb der EU sichtbar geworden. Dies zeigte sich insbesondere darin, dass die Mitgliedsstaaten die Bestimmungen der NIS-Richtlinie sehr unterschiedlich interpretierten. So haben einige Länder sehr strenge Gesetze und Vorschriften erlassen, während andere Staaten den betreffenden Unternehmen und Organisationen sehr viel mehr Spielraum ließen.
Zudem hat sich gezeigt, dass durch die zunehmende Digitalisierung und die immer weiter fortschreitende Vernetzung von Maschinen und Prozessen, bestimmte Branchen und Industriezweigen nicht ausreichend berücksichtigt wurden. Ein IT-Sicherheitsvorfall und die damit verbundene Betriebsunterbrechung in einem dieser Bereiche, würde eine massive Einschränkungen für die Wirtschaft und die Bevölkerung bedeuten. Diese Risiken konnten bisher durch die bestehenden Regulierungen, wie KRITIS, KonTraG sowie die DSGVO und weitere nicht hinreichend reduziert werden.
Die NIS-2-Richtlinie soll diese Lücken schließen, aktuelle Entwicklungen berücksichtigen und auch klarere Vorgaben unterbreiten.
Was bedeutet das konkret für Unternehmen
Ein umfassender Maßnahmenkatalog wurde im Spätherbst 2022 vorgestellt. Dieser sieht vor, dass Unternehmen die täglichen Bedrohungen aus dem Internet verstehen und auch verinnerlichen, wie sie mit ihnen umgehen müssen. Besonderes Augenmerk wird dabei auf das Risikomanagement und das Cyber-Notfallmanagement gelegt.
Die NIS-2-Richtlinie richtet sich an weit mehr Unternehmen als ihre Vorgängerin. So werden nun auch kleine und mittlere Unternehmen außerhalb des KRITIS-Bereichs in die Verantwortung genommen.
Kritische und wichtige Sektoren stehen im Fokus
Auch der Kreis der betroffenen Branchen ist erweitert worden. Innerhalb der kritischen Industrien kommen zu den ursprünglichen Sektoren (Digitale Infrastrukturen, Energie, Verkehr, Bankwesen und Finanzinfrastruktur, Trinkwasser, Gesundheit) weitere hinzu: Abwasser, Weltraum, ICT Management Services (B2B) und öffentliche Verwaltungen.
Ganz neu werden nun auch “wichtige” Sektoren in die Pflicht genommen. Dies betrifft Unternehmen aus folgenden Sektoren: Post- und Kurier, Abfall, Lebensmittel, Herstellung und Vertrieb von Chemikalien, Forschung, Digitale Dienste sowie Unternehmen des verarbeitenden Gewerbes, insbesondere wenn sie medizinische Geräte, Computer, Transportmittel und so weiter herstellen.
Warum warten? Unternehmen sollten jetzt aktiv werden
Derzeit werden die Vorgaben und der Maßnahmenkatalog der NIS-2-Richtlinie in nationales Recht umgesetzt. Die Gesetze werden voraussichtlich im Herbst 2024 in Kraft treten. Unternehmen sollten aber nicht bis dahin warten, um sich mit den Themen IT-Sicherheit und Datenschutz zu beschäftigen. Je früher Investitionen in diese Bereiche getätigt werden, desto besser sind die von der NIS-2-Richtlinie betroffenen Unternehmen auf die neue Gesetzgebung vorbereitet.
Doch sollten auch Unternehmen, die nicht explizit den genannten Industrien und Sektoren angehören, in die Cybersicherheit investieren. Denn nur durch eine nachhaltige Sicherheitskultur können Unternehmen technologischen Bedrohungen trotzen und Haftungsrisiken für die Geschäftsführung reduzieren.
Cybersicherheit muss Chefsache sein
Nur wenn die oberste Führungsebene diesem Thema die entsprechende Priorität einräumt, kann ein aktives Sicherheitsbewusstsein im Unternehmen verankert werden. Um dies zu schaffen, müssen Unternehmen vor allem in die Prävention von Cyberangriffen investieren. Bieten Sie Ihren Beschäftigten Weiterbildungen zu Cybersicherheit und Datenschutz an und reduzieren Sie so das eigene Geschäftsrisiko spürbar.
Es lohnt sich auch, eine Risikoanalyse der eigenen Organisation durchzuführen, um einen Überblick über wichtige Daten und kritische Systeme zu erlangen. Suchen Sie aktiv nach offenen Sicherheitslücken und schließen Sie diese, bevor Cyberkriminelle sie ausnutzen können. Ein „Bug Bounty“-Programm (Unternehmen belohnen/bezahlen Personen für die Entdeckung von Sicherheitslücken) und Penetrationstests (umfassende Sicherheitstests) können ebenfalls hilfreich sein.
Investieren Sie darüber hinaus in die Sicherheitsrichtlinien und Vorgaben Ihres Unternehmens. Dadurch erhalten Ihre Mitarbeitenden ausreichende Anleitungen, wie sie sich am Arbeitsplatz sicher verhalten können. Geben Sie Ihren Mitarbeitenden beispielsweise konkrete Richtlinien für die sichere Verwaltung von Passwörtern oder den Einsatz der Multi-Faktor-Authentifizierung an die Hand, oder instruieren Sie Ihre IT-Mitarbeitenden unter anderem über die regelmäßige und sichere Erstellung von Backups oder den Umgang mit Software-Updates.
Wenn Sie einen externen IT-Dienstleister haben, vereinbaren Sie nötige Arbeiten und wiederkehrende Tätigkeiten schriftlich und mit festen SLAs (Service Level Agreements). Diese können auch im Cybernotfall eine überlebenswichtige Unterstützung sein. Legen Sie frühzeitig fest, an wen sich Ihr Team im Ernstfall wenden kann und informieren Sie die gesamte Belegschaft über die verantwortlichen Personen inkl. E-Mail-Adressen, Telefonnummern und Stellvertretern.
Und schließlich sollten Sie lieber früher als später einen Notfallplan aufstellen. Mit der richtigen Vorbereitung können Cyberangriffe geordnet abgewickelt werden, und Sie können den laufenden Betrieb schnell wiederherstellen. Vor allem aber gilt: Übung macht den Meister. Führen Sie regelmäßig Notfalltests durch, um sicherzustellen, dass der Plan aktuell und durchführbar ist.
Wenn es Anzeichen dafür gibt, dass externe Hilfe benötigt wird oder dass ein Notfall das Unternehmen an seine Grenzen bringen könnte, sollten Sie Vorverträge mit einem Anbieter von Reaktions- und Forensikdiensten in Betracht ziehen. Auch kann es hilfreich sein, eine Cyberversicherung abzuschließen, um weitere Risiken abzusichern.
Über den Autor
Michael Horchler ist Chief Cyber Security Officer des Cybersicherheitsunternehmens Perseus Technologies mit mehr als 10 Jahren Erfahrung in IT Sicherheit, Compliance und Industrie unter anderem in hochregulierten Bereichen, Geheimschutz, E-Commerce, B2B Cloud, Banking.
Bild (2): © Perseus Technologies GmbH
