Wie können sich Unternehmen systematisch vor Hackern schützen? NIS2 und VdS 10100 bieten systematische Blaupausen für die zukünftige IT-Sicherheit. Wer sie ignoriert, dem drohen unkalkulierbare Haftungsrisiken.

Die Bedrohungslandschaft im Bereich der Cybersicherheit entwickelt sich rasant. Angesichts der zunehmenden Komplexität und Häufigkeit von Cyberangriffen, die nicht nur Unternehmen, sondern auch kritische Infrastrukturen betreffen, hat die Europäische Union ihre Gesetzgebung zur Netz- und Informationssicherheit überarbeitet. Das Ergebnis ist die NIS2-Richtlinie, die am 16. Januar 2023 in Kraft getreten ist und bis zum 17. Oktober 2024 von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden sollte. Was auf den ersten Blick wie Bürokratie aussieht, sind für jedes betroffene Unternehmen lebensnotwendige Schutzmaßnahmen. Geschäftsführer, welche diese Anpassungen fahrlässig versäumen, übernehmen ein unkalkulierbares Haftungsrisiko.

Was Ist NIS2?

Die Network and Information Security Directive 2 (kurz NIS2) ist eine Richtlinie der EU, die in nationales Recht überführt werden muss. Mit ihrer Umsetzung in deutsches Recht werden mehr als 30.000 Unternehmen zu umfassenden Maßnahmen im Bereich Cybersecurity verpflichtet.

Sie zielt darauf ab, das allgemeine Cybersicherheitsniveau innerhalb der EU zu erhöhen und eine gemeinsame, robuste Antwort auf Cyberbedrohungen zu gewährleisten. Die Richtlinie reagiert auf die wachsende Vernetzung und Digitalisierung sowie auf die Erfahrungen aus der ersten NIS-Richtlinie, die in Bezug auf den Anwendungsbereich und die Sanktionen als zu lasch empfunden wurde.

Wer Ist von NIS2 betroffen?

Der Anwendungsbereich von NIS2 wurde erheblich erweitert und ist nicht mehr auf „Betreiber wesentlicher Dienste“ und „Anbieter digitaler Dienste“ beschränkt. Stattdessen unterscheidet NIS2 zwischen „wesentlichen Einrichtungen“ (Essential Entities – EE) und „wichtigen Einrichtungen“ (Important Entities – IE). Die Kriterien hierfür basieren hauptsächlich auf der Sektor- und Größenklassifizierung (Mitarbeiterzahl und Jahresumsatz).

Zu den betroffenen Sektoren gehören u. a.:

• Energie: Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff
• Verkehr: Luftfahrt, Schifffahrt, Eisenbahn, Straßenverkehr
• Bankwesen und Finanzmarktinfrastrukturen
• Gesundheitswesen: Gesundheitsdienstleister, pharmazeutische Industrie, Arzneimittelforschung
• Trinkwasser und Abwasser
• Digitale Infrastrukturen: Internet-Knoten, DNS, TLD-Register, Cloud- und Hostingdienste
• Verwaltung öffentlicher Dienste, Raumfahrt, Abfallwirtschaft
• Herstellung kritischer Güter: Medizinprodukte, Chemikalien, Lebensmittel
• Digitale Dienste: Online-Marktplätze, Suchmaschinen, soziale Netzwerke

Unternehmen können eine systematische Betroffenheitsprüfung des BSI durchführen, um herauszufinden, ob sie betroffen sind.

Die NIS2-Richtlinie legt eine Reihe verbindlicher Pflichten für alle betroffenen Einrichtungen (sowohl „wesentliche“ als auch „wichtige“ Einrichtungen) fest, die darauf abzielen, das Cybersicherheitsniveau in der gesamten EU zu erhöhen. Hier sind die Kernpflichten, die sich aus NIS2 ergeben:

• Technisch-organisatorische Maßnahmen zur Abwehr von Cyberangriffen (z.B. Risikoanalysen, BCM, Zugangskontrollen, Verschlüsselung) sind zu ergreifen.
• Schulungspflicht: Geschäftsführungen betroffener Unternehmen müssen sich regelmäßig (alle 3 Jahre) fortbilden – zum Beispiel mit unserer NIS-2-Schulung.
• Registrierungs- und Meldepflicht: Unternehmen müssen sich bei der zuständigen Behörde (BSI) registrieren und erhebliche IT-Sicherheitsvorfälle unverzüglich melden.
• Haftung des Managements: Geschäftsleitungen haften persönlich für die Umsetzung.
• Prüfung der Einhaltung der Verpflichtung ist jederzeit möglich (für besonders wichtige Einrichtungen) bzw. die Prüfung bei Verdacht der Nichteinhaltung (für wichtige Einrichtungen)

Achtung! Die detaillierte Ausgestaltung dieser Pflichten erfolgt im nationalen Umsetzungsgesetz der jeweiligen EU-Länder (in Deutschland voraussichtlich das NIS2UmsuCG). Entscheidend ist daher nicht allein die Richtlinie, sondern auch die nationalen Bestimmungen, sobald diese in Kraft getreten sind. Grundsätzlich sind alle mittleren und großen Unternehmen in diesen Sektoren betroffen, d. h. Unternehmen mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz von über 10 Millionen Euro.

Durch VdS 10100 heute schon NIS2 umsetzen

Durch die VdS 10100 können betroffene Unternehmen bereits heute Maßnahmen ergreifen, um die Anforderungen der NIS2 umzusetzen und sich proaktiv auf die neuen regulatorischen Vorgaben vorzubereiten.

Die Richtlinie bietet eine praxisnahe und skalierbare Grundlage für die Umsetzung der NIS2-Anforderungen. Besonders für mittelständische Unternehmen konzipiert, eignet sich die VdS 10100 jedoch auch für Unternehmen jeder Größe. Ebenso wie bei der VdS 10000 besteht auch hier die Möglichkeit, eine Zertifizierung durch die VdS Schadenverhütung GmbH zu erlangen.

Die Veröffentlichung der VdS 10100 erfolgt in zeitlicher Abstimmung mit dem erwarteten Inkrafttreten des NIS2UmsuCG.

Wesentliche Merkmale der VdS 10100:

• Praxisorientierte Umsetzung: Die Richtlinie ermöglicht eine effiziente und klare Umsetzung der NIS2-Vorgaben.
• Flexibles Konzept: Basierend auf dem Prinzip „So wenig wie möglich, so viel wie nötig!“ lässt sich die VdS 10100 an die jeweiligen Unternehmensbedürfnisse anpassen.
• Ergänzung zur VdS 10000: Die Richtlinie baut auf der etablierten VdS 10000 auf. Unternehmen, die diese bereits umgesetzt haben, profitieren von einer soliden Basis für NIS2.
• Kerninhalte:
  • Netzwerkmanagement
  • Datensicherung
  • Umgang mit Sicherheitsvorfällen
  • Einsatz von Cloud-Lösungen

Durch die Kombination von VdS 10000 und VdS 10100 können Unternehmen so ihre Informationssicherheit gezielt stärken, die Anforderungen der NIS2-Richtlinie erfüllen und sich frühzeitig auf künftige regulatorische Entwicklungen vorbereiten. Je eher dies passiert, umso besser, denn Hackern ist es egal, wann ein neues Gesetz in Kraft tritt.

Falls Ihr Unternehmen für die Durchführung eines solchen Projektes ein erfahrenes Expertenteam braucht, stehen Ihnen PeschMann Consulting und MEMOCINE als Projektpartner an Ihrer Seite. Dies gilt auch für das sich dann anschließende Change Management, um das Einhalten der IT-Sicherheitsmaßnahmen gemäß NIS2 und VdS 10100. Gerne beraten wir Sie zu möglichen Fördermitteln.