Die Frage nach NIS2 erreicht uns in letzter Zeit häufiger, so dass wir dazu eine Stellung abgeben möchten.
NIS2 ist eine EU-Richtlinie zur Netz- und Informationssicherheit. Sie wurde im Oktober 2022 beschlossen und soll seit 2024 in den Unternehmen eingeführt sein. Ziele ist es die Cybersicherheit in der EU zu stärken. Betroffen sind Unternehmen, die kritische oder wichtige Dienste bereitstellen.
Im Detail:
Wer ist von NIS2 betroffen?
Unternehmen auf den Gebieten
- Energie (Strom, Gas, Öl)
- Transport (Bahn, Luftfahrt, Schifffahrt)
- Gesundheitswesen
- Trinkwasser- und Abwasserversorgung
- Öffentliche Verwaltung
- Digitale Infrastruktur (z. B. Rechenzentren, DNS-Anbieter)
- Lebensmittelproduktion
- Chemie
- Maschinenbau
- Post- und Kurierdienste
- Anbieter digitaler Dienste (Cloud, E-Mail, Suchmaschinen)
Ausgenommen sind Unternehmen mit weniger als 50 Mitarbeitern und weniger als 10 Mio. Euro Jahresumsatz.
Was regelt NIS2?
Die Richtlinie verpflichtet Unternehmen und Behörden zu strengen Cybersicherheitsmaßnahmen. Hierzu zählen u.a.
- Technische und organisatorische Schutzmaßnahmen
- Regelmäßige Risikoanalysen, Notfallpläne, Sicherheitsupdates usw.
- Meldepflichten bei Sicherheitsvorfällen. Schwere IT Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden.
- Die Unternehmensleitung wird persönlich verantwortlich, wenn Sicherheitsanforderungen nicht erfüllt werden
- Es drohen hohe Bußgelder (je nach Land mehrere Millionen Euro), ähnlich wie bei der DSGVO
Was muss ich konkret für NIS2 tun?
TOP 1: Betroffenheits-Check
Zuerst: Klären ob ihr betroffen seid! Gehört ihr zu den betroffenen Unternehmen oder fallt ihr in die Ausnahmen-Regelung?
TOP 2: Verantwortlichkeiten benennen
Falls ihr betroffen seid – die Geschäftsführung ist haftbar. Es muss eine verantwortliche Person benannt werden. Diese sollte sich jetzt via weiterführender Literatur oder Schulungen mit dem Thema vertraut machen.
TOP 3: Risiko-Management aufsetzen
Es wird ein Risiko-Management benötigt, das folgende Punkte dokumentiert:
- Bedrohungsanalyse (z. B. durch Penetrationstests),
- Bewertung der IT-Risiken,
- Maßnahmenplan zur Risikominimierung
TOP 4: Technische und organisatorische Maßnahmen umsetzen (TOMs)
- Zugangskontrollen, Firewalls, VPN
- Patch- und Update-Management
- Schutz vor Malware & Ransomware
- Datensicherung (Backups, Notfallwiederherstellung)
- Logging & Monitoring von Vorfällen
- Incident-Response-Plan
- Lieferkettenabsicherung (z. B. Prüfung von IT-Dienstleistern)
TOP 5. Meldeprozesse einrichten
Achtung: Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden! Meldekette einrichten, definieren, was meldepflichtig ist und gffs. eine Kommunikationsschnittstelle zur zuständigen Behörde vorbereiten. (In Deutschland: BSI? Kann sich aber noch ändern.)
TOP 6 . Schulungen und Awareness
Betrifft alle Mitarbeiter, incl. Führungskräfte. Regelmäßige Schulungen (z. B. zu Phishing, Passwortsicherheit, IT-Notfällen) und Wissen, wie sie sich im Ernstfall verhalten sollen
TOP 7. Dokumentation und Nachweisfähigkeit
Du musst gegenüber Behörden nachweisen können, dass du NIS2 einhältst.
- Dokumentiere alle Sicherheitsmaßnahmen und Prozesse,
- Halte deine Sicherheitsstrategie schriftlich fest
- Pflege ein Verzeichnis deiner IT-Systeme und Dienste (Hardware, Software, Webanbieter, Adressen u. Ansprechpartner)
Die ursprüngliche Idee sich aus irgendeiner Quelle mal eben eine Software aus dem Dark Web besorgen, die aufspielen und solange zu verwenden, bis die Hardware ins Museum gehört, könnt ihr erst einmal vergessen! Aber falls ihr das doch machten wollt – ihr müsst dann dafür sorgen, dass dieses besondere IT Gebilde keine Sicherheitslücken nach außen aufbaut, also z.B. nur interne Verbindungen (eigenes Netzwerk, VPN Absicherung oder gar kein Netzwerk), abgekoppelt vom öffentlichen Netz des Unternehmens und natürlich auch mit einer Backup-Technologie ausgestattet, die im Fall einer Fehlfunktion den weiteren Betrieb übernehmen und sicherstellen kann. Kurzum: natürlich könnt ihr auch ein potenziell unsichereres System betreiben. Ihr müsst es nur in so einen dicken Käfig isolieren, dass nichts und niemand von außen ran kommt. Und es entsprechend dokumentieren!
Wie meistens in der Marktwirtschaft gibt es für NIS2 Dienstleister und Hilfen. Die IHKs halten in der Regel viele nützliche Informationen bereit, Dienstleister begleiten euch auf Wunsch bei dem ganzen Prozess usw usf.
Beispiel für eine Bonbonfabrik Leckersüss GmbH
Unternehmensprofil: Kleiner Lebensmittelhersteller (Bonbons), 80 Angestellte, 12 Mio. € Jahresumsatz, moderne Produktionsanlagen, IT-gestützte Logistik und ERP-System
So setzt Leckersüss GmbH NIS2 um:
-) Zuständigkeiten klären. Die Geschäftsführung benennt NIS2-Verantwortlichen (z. B. IT-Leiter). Führungskräfte werden geschult – sie haften bei grober Fahrlässigkeit
-) Risikobewertung durchführen. Analyse: Welche IT-Systeme sind betriebs- oder versorgungsrelevant? Produktionssteuerung ERP-System (Lager, Lieferanten) Versand- und Logistiksysteme. Bewertung: Was passiert bei Ausfall, Hack, Datenleck?
-) Sicherheitsmaßnahmen umsetzen. Technische Maßnahmen:
- Starke Passwörter + 2FA für kritische Systeme,
- Regelmäßige Updates für Maschinensteuerung & Server
- Firewall, Virenschutz, Netzwerksegmentierung
- Tägliche Backups + Wiederherstellungstests
-) Organisatorische Maßnahmen:
- IT-Sicherheitsrichtlinie (z. B. keine USB-Sticks, Updatepflicht)
- Schulung der Mitarbeiter zu Cybergefahren
- Notfallplan bei Ransomware oder Systemausfall
-) Meldesystem einführen. Eigene IT-Vorfälle intern erfassen und bewerten. Bei kritischen Ausfällen: Meldung innerhalb von 24h an BSI (oder zuständige Stelle)
-) Lieferkette im Blick. Prüfen: Wie sicher sind die Systeme von Zulieferern (z. B. Verpackung, Zuckerlieferanten)? Vertragsklauseln zu IT-Sicherheit und Ausfällen ergänzen
-) Dokumentation. Alles wird schriftlich festgehalten:
- Risikobewertung
- Maßnahmenpläne
- Schulungsnachweise
- Vorfallberichte
Diese Dokumentation dient dem Nachweis gegenüber Behörden
NIS2 bei Produkten von AE SYSTEME