NIS-2: Viele Unternehmen sind noch nicht vorbereitet – Was kann man tun?

Geschrieben von Tresorit Team Compliance de
NIS-2: Viele Unternehmen sind noch nicht vorbereitet – Was kann man tun?

Der Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes musste bis zum 17. Oktober in nationales Recht umgesetzt werden. Nicht viel Zeit für Unternehmen, sich damit zu befassen, wie sie die Vorgaben von NIS-2 im eigenen Betrieb umsetzen können. Eine kleine Schonfrist scheint es noch zu geben: Der Entwurf muss noch im Bundesrat gehört werden, der Bundestag noch zustimmen – Experten gehen davon aus, dass erst im Frühjahr 2025 mit einem In-Kraft-Treten zu rechnen ist.

Alarmierende Zahlen: Betroffene Unternehmen hinken hinterher

Es wird höchste Zeit für Unternehmen, sich mit NIS-2 zu beschäftigen. Das bedeutet konkret: Prüfen, ob sie betroffen sind und dann entsprechende Maßnahmen in die Wege zu leiten, denn – deren Implementierung wird nicht über Nacht vonstattengehen.

Viele Unternehmen scheinen sich dessen aber nicht bewusst zu sein. Zumindest legen das die Zahlen einer Studie zur Umsetzung NIS2 in Deutschland nahe, die der Marktforscher TechConsult gemeinsam mit dem Telekommunikationsanbieter Plusnet kürzlich veröffentlichte. Hier gaben zwei Drittel der befragten IT-Leiter, Sicherheitsverantwortlichen und Geschäftsführer von 200 Unternehmen und Organisationen ab 50 Mitarbeitern an, eine Umsetzung der entsprechenden Maßnahmen zu NIS-2 sei noch nicht erfolgt.

Das ist besonders interessant, weil die Studienteilnehmer zu Unternehmen in Sektoren gehören, die von NIS-2 betroffen sind. Die zögerliche Umsetzung scheint  nicht mit mangelndem Problembewusstsein zusammenzuhängen. Die Studie zeigt nämlich ebenfalls, dass drei Viertel der Unternehmen in einem Zeitraum von 12 Monaten vor der Befragung einen Angriff oder mehr auf ihre IT-Infrastruktur erlitten. Dass sich solche Vorkommnisse in Zukunft häufen werden, glauben laut Studie zudem zwei Drittel.

Die NIS-2-Richtlinie  kommt also wie gerufen, 38 Prozent bezeichnen sie sogar als „lange überfällig“.  Aber wie können Unternehmen hier ins Handeln kommen und mit der Umsetzung beginnen?

Konkrete Schritte zur Vorbereitung

Ist mein Unternehmen von NIS-2 betroffen?

Dazu ist zunächst zu klären, ob der eigene Betrieb von der NIS-2-Richtlinie betroffen ist. Im Fokus stehen sogenannte „Operators of Essential Services“ (OES), also alle diejenigen, die notwendige Services oder Infrastrukturen betreiben. Diese werden in zwei Kategorien eingeteilt: Wesentliche und wichtige Einrichtungen.

Dazu gehören bei den wesentlichen Einrichtungen:

  • Energie (Elektrizität, Fernwärme und -kühlung, Öl und Gas)
  • Transport (Luft-, Schienen-, Schiffs- und Straßenverkehr)
  • Bankwesen
  • Infrastrukturen im Finanzwesen
  • Gesundheitswesen
  • Herstellung pharmazeutischer Produkte, einschließlich Impfstoffe
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur (Internet-Knoten, DNS-Anbieter, TLD-Namensregister, Serviceprovider für Cloud Computing, Serviceprovider von Datencentern, Content Delivery Networks, Vertrauensdiensteanbieter sowie Netzwerke für die öffentliche elektronische Kommunikation und elektronische Kommunikationsdienste)
  • Öffentliche Verwaltung
  • Raumfahrt

Zu den wichtigen Einrichtungen gehören:

  • Post- und Kurierdienste
  • Abfallentsorgung
  • Chemikalien
  • Lebensmittel
  • Herstellung medizinischer Geräte, Computer und Elektronik, Maschinenausstattung, Kraftfahrzeuge
  • Digitale Anbieter (Online-Marktplätze, Online-Suchmaschinen und soziale Netzwerke)

Zusätzlich zum Sektor, in dem ein Unternehmen tätig ist, spielen außerdem weitere Schwellenwerte eine Rolle. Dabei geht es um Unternehmensgröße, die nach Umsatz, Bilanz und Anzahl der Beschäftigten eines Betriebes bemessen wird.

Für die wesentlichen Einrichtungen gilt dabei:

  • mehr als 250 Beschäftigte
  • Umsatz: mehr als 50 Millionen Euro
  • Bilanz: mehr als 43 Millionen Euro

Kleine Unternehmen aus diesen Sektoren mit den folgenden Parametern sind nicht von NIS-2 betroffen:

  • mehr als 50 Beschäftigte
  • Umsatz: mehr als 10 Millionen Euro
  • Bilanz: mehr als 10 Millionen Euro

Ausgenommen sind einige Sonderfälle, die unabhängig ihrer Größe als wesentliche Einrichtung von NIS-2 betroffen sind.

Welche Anforderungen hat NIS-2?

Ist die Frage geklärt, ob der eigene Betrieb von den Regulierungen von NIS-2 betroffen ist, gilt es, einen Blick auf die Anforderungen zu werfen, die mit der Richtlinie einhergehen.

Artikel 20 der NIS-2-Direktive legt fest, dass Maßnahmen zur Erhöhung der Cybersicherheit im Unternehmen ergriffen werden müssen, die den Schutz von IT-Infrastrukturen und Netzwerken gewährleisten. Zu diesen Maßnahmen gehören unter anderem:

  • Risikoanalysen und Policies: Im Sinne von Richtlinien für Risiken und Informationssicherheit
  • Incident Management: Dazu gehört Prävention, aber auch die Detektion und Bewältigung von Cybervorfällen. Außerdem müssen gesicherte Notfall-Kommunikationssysteme im Einsatz sein
  • Business Continuity: Business Continuity Management mit Backup, aber auch ein Krisenmanagement muss systematisch aufgesetzt werden
  • Supply Chain: Unternehmen müssen ihre gesamte Lieferkette im Blick behalten und deren Sicherheit einschätzen, auch in Bezug auf die Zulieferbetriebe
  • Einkauf: Unternehmen müssen für eine sichere Beschaffung von IT und Netzwerk-Systemen sorgen
  • Effektivität: Cyber und Risikomaßnahmen müssen in ihrer Effektivität messbar sein, dazu müssen KPIs festgelegt werden
  • Training: Mitarbeiter müssen für das Thema Cyberrisiko sensibilisiert werden. Dazu muss es Trainings und Schulungen geben, aber auch Leitfäden und Handlungsempfehlungen.

Neben diesen kommen noch weitere wichtige Maßnahmen hinzu – und da kommt Tresorit ins Spiel. 

Wie erleichtert Tresorit die NIS2-Implementierung?

Kryptographie als Waffe gegen Cyberattacken

Tresorit bietet durch Ende-zu-Ende-Verschlüsselung nach dem Zero-Knowledge-Prinzip einen umfassenden Schutz von Nutzern und Daten in der Cloud. Das bedeutet konkret: Die Daten werden auf dem Gerät des Senders mit einem Code verschlüsselt. Diesen zu entschlüsseln gelingt nur dem Empfänger, der einen ebenso zufällig generierten Code besitzt.

All das passiert automatisiert, es entsteht kein zusätzlicher Aufwand bei der Nutzung der Services von Tresorit. Da nur die beiden, Sender und Empfänger, die jeweiligen Codes haben, nicht aber Tresorit, bleiben die übermittelten oder gespeicherten Inhalte vertraulich, selbst wenn ein erfolgreicher Angriff auf den Tresorit-Server gelänge.

Datensicherheit in der internen- und externenKommunikation

Unser Arbeitsalltag lebt von Kommunikation und Zusammenarbeit – dazu müssen selbstverständlich Daten geteilt werden. Passiert dies in virtuellen Datenräumen, mithilfe automatisch verschlüsselter Mailanhänge oder über einen Cooperative Link zur Absicherung des Dateiaustausches in beide Richtungen, sind alle Inhalte rundum sicher, sowohl intern als auch extern.

Tresorit bietet die Möglichkeit einer Integration in Gmail, MS Outlook, Teams, Sentinel, Entra ID (vormals AD) und Okta – damit können Ihre Mitarbeiter alle gängigen Programme weiter nutzen, nur eben mit einem Plus an Sicherheit dank E2E.

Zugangskontrolle für mehr Sicherheit und Transparenz

Viele Cyberangriffe zielen darauf ab, Schwachstellen in der Zugriffskontrolle auszunutzen, um in ein Netzwerk einzudringen. Dem können Sie mit dezidiert einstellbaren Zugriffsrechten entgegenwirken. Tresorit bietet die Möglichkeit, feingranular zu bestimmen, wer auch welche Daten wie lange Zugriff hat. Das sorgt nicht nur für Transparenz, sondern hält nicht autorisierte Benutzer oder Systeme davon ab, auf sensible Informationen zuzugreifen. Dadurch werden Datenlecks und potenzieller Missbrauch minimiert.

NIS-2-konformes Asset Management mit E2E

Die automatisierte Protokollierung von Dateiaktivitäten sorgt für ein transparentes und sicheres Asset Management. Mithilfe kryptographischer Authentifizierung, die ganz einfach auf Daten in den Formaten HMAC und AEAD angewendet werden kann, können Dateiinhalte nun nicht mehr im Verborgenen verändert werden. So haben Sie jederzeit die volle Kontrolle darüber, was mit ihren Daten geschieht.

Sicherheitsrichtlinien festlegen und einhalten

Wer was wie verändern darf und wie mit sensiblen Inhalten umgegangen wird, sollten Unternehmen in internen Sicherheitsrichtlinien festlegen. Um die Einhaltung dieser Richtlinien zu unterstützen, bietet Tresorit 2-Stufen-Verifizierung, IP-Filter und Zeitüberschreitungs- und Datenaustauschrichtlinien. Diese können individuell oder gruppenspezifisch festgelegt und eingestellt werden.

NIS-2 einhalten, Resilienz stärken

Über die genauen Gründe, warum eine so große Zahl der für die Studie befragten Unternehmen noch keine Maßnahmen in Richtung NIS-Konformität ergriffen haben, lässt sich natürlich nur spekulieren.

Schaut man sich aber die Vielzahl der unterschiedlichen Handlungsfelder an, für die Betriebe belastbare Lösungen finden müssen, liegt der Schluss nahe, dass ein signifikanter Teil ihrer Zurückhaltung auch mit Überforderung zu tun hat.

Hier ist gut beraten, wer in eine Lösung investiert, die einen großen Teil der Anforderungen auf einmal abdeckt – nicht nur, um den Vorgaben der NIS-2-Richtlinie zu entsprechen, sondern auch um perspektivisch die Cyberresilienz des gesamten Unternehmens zu stärken.

Sie möchten mehr dazu erfahren, wie Tresorit Ihnen auf dem Weg zur NIS-2 helfen kann? Für mehr Informationen besuchen Sie gerne unsere NIS2-Seite.

Vorgeschlagene Artikel