NIS2: The Network and Information Security Directive
Das Thema Cyber-Sicherheit steht aktuell besonders im Zusammenhang mit der NIS2-Richtlinie im Zentrum der Diskussionen. Die Network and Information Security Directive sollte bis zum 17. Oktober 2024 durch das NIS2-Umsetzungs- und Cyber-Sicherheitsstärkungsgesetz (NIS2UmsuCG), in deutsches Recht überführt werden. Doch wer ist betroffen von NIS2?
November 2024
Inhaltsverzeichnis
Cyber-Sicherheit im Fokus: NIS2-Richtlinie und gesetzliche Entwicklungen
Cybersecurity-Gesetze und -Richtlinien
NIS2 – Anforderungen und Definition
Die Einführung eines Risikomanagements
Berichtspflicht bei Sicherheitsvorfällen
Sicherheit der Lieferkette
Mehr staatliche Befugnisse/erweiterte Sanktionen
NIS2-Anforderungen
Status quo: Aktueller Regierungsentwurf
Ausblick: Regierungsentwurf
DSAG-Bewertung zu NIS2
NIS2-Richtlinie: Chancen
NIS2-Richtlinie: Kritikpunkte/Risiken
SAP und NIS2
Fazit
Exkurs: KRITIS und NIS2
Cyber-Sicherheit im Fokus: NIS2-Richtlinie und gesetzliche Entwicklungen
Das Thema Cyber-Sicherheit steht aktuell besonders im Zusammenhang mit der NIS2-Richtlinie im Zentrum der Diskussionen. Der European Cyber Security Month (ECSM) im Oktober 2024 hat erneut die Bedeutung digitaler Sicherheit hervorgehoben. Obwohl Deutschland im Global Cybersecurity Index 2024 zu den weltweit führenden Nationen in der Cybersicherheit zählt[1],[2] und mit anderen westeuropäischen Ländern an der Spitze steht, zeigt das „Bundeslagebild Cybercrime 2023“ deutlich, dass Cyber-Straftaten weiterhin auf hohem Niveau bleiben[3]. Expert:innen des Bundeskriminalamts (BKA) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) gehen zudem davon aus, dass die tatsächliche Anzahl der Vorfälle aufgrund eines großen Dunkelfelds deutlich höher liegt, als die offiziellen Zahlen vermuten lassen[4]. Dies führt zu erheblichen wirtschaftlichen Schäden, die für deutsche Unternehmen auf über 200 Milliarden Euro geschätzt werden[5], was die Dringlichkeit effektiver Sicherheitsstrategien und einer gesteigerten Cyber-Resilienz verdeutlicht.
Parallel dazu nimmt die Anzahl der gesetzgeberischen Maßnahmen zu, wie etwa der EU AI Act und das KRITIS-Dachgesetz zeigen, die in direkter Verbindung zur NIS2-Richtlinie stehen. Weitere Regelwerke, wie die Digital Operational Resilience Act- (DORA)-Verordnung für den Finanzsektor und der Cyber Solidarity Act, der den Schutz der EU-Mitgliedstaaten bei groß angelegten Angriffen stärken soll, befinden sich ebenfalls in der Umsetzung[6].
Besonderes Augenmerk liegt auf dem bevorstehenden NIS2-Umsetzungs- und Cyber-Sicherheitsstärkungsgesetz (NIS2UmsuCG), das die NIS2-Richtlinie bis zum 17. Oktober 2024 in deutsches Recht überführen sollte. Bereits im April 2023 wurde eine erste Fassung eines Referentenentwurfs des Bundesinnenministeriums vorgelegt, der nach diversen weiteren Fassungen am 19. Juli 2024 in einen ersten Regierungsentwurf überführt wurde[7]. (Die aktuelle Fassung des Regierungsentwurfs ist vom 2. Oktober 2024.)
Wer ist betroffen von NIS2? Der Anwendungsbereich der NIS2-Richtlinie erweitert sich erheblich: Er betrifft nicht mehr nur kritische Infrastrukturen (KRITIS), sondern auch etwa 6.000 Betreiber kritischer Anlagen sowie etwa 24.000 wichtige und besonders wichtige Einrichtungen in Deutschland. Im Energiesektor zum Beispiel umfasst NIS2 nicht mehr nur Unternehmen, die Strom oder Gas erzeugen, liefern oder regulieren. Nun wird auch die Lieferkette, einschließlich Windturbinenhersteller und Betreiber von Ladeinfrastrukturen für Elektrofahrzeuge, von den Anforderungen erfasst.[8] Auch die Geschäftsleitung betroffener Unternehmen wird mit strengeren Haftungsregeln konfrontiert[9].
Cybersecurity-Gesetze und -Richtlinien
NIS2 – Anforderungen und Definition
Unternehmen sind gemäß der NIS2-Richtlinie verpflichtet, eine Reihe von Cybersecurity-Maßnahmen zu implementieren, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Diese Maßnahmen dienen dazu, Sicherheitsrisiken effektiv zu beherrschen, Sicherheitsvorfälle zu minimieren und ihre IT-Systeme sowie die physische Infrastruktur zu schützen (im Sinne des „All-Gefahren-Ansatzes“). Der Umfang der erforderlichen Maßnahmen richtet sich nach einem risikobasierten Ansatz, der individuell für jedes Unternehmen bestimmt wird. Hier eine Checkliste, was die wichtigsten Anforderungen umfassen:
Die Einführung eines Risikomanagements
Unternehmen sind künftig verpflichtet, angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder zu minimieren. Die NIS2-Richtlinie fordert daher auch die Implementierung technischer und organisatorischer Maßnahmen (TOM) gemäß dem sogenannten „Stand der Technik“. Durch ein strukturiertes Risikomanagement können Unternehmen potenzielle Bedrohungen und Schwachstellen in ihren Netz- und Informationssystemen frühzeitig erkennen. Dies umfasst sowohl interne als auch externe Bedrohungen, wie zum Beispiel Cyberangriffe, Datenschutzverletzungen, Systemausfälle oder menschliches Versagen. Die Anforderungen beinhalten dabei sowohl die Analyse von Risiken auf Ebene des einzelnen Betreibers als auch die Integration des Risikomanagements der IT-Sicherheit in das umfassende Risikomanagement des Unternehmens.[10]
Berichtspflicht bei Sicherheitsvorfällen
Unternehmen sind künftig verpflichtet, ihre nationale Cybersecurity-Behörde unverzüglich über signifikante Störungen, Vorfälle und Bedrohungen ihrer kritischen Dienstleistungen zu informieren. In besonders schweren Fällen müssen auch die Nutzer:innen und gegebenenfalls die Öffentlichkeit informiert werden.[11] Hierbei haben sich die Vorgaben zu den Meldefristen im Vergleich zu den heutigen Vorgaben an KRITIS-Betreiber deutlich verschärft.Im Rahmen der NIS2-Umsetzung müssen Unternehmen zudem ein effektives Sicherheitsprogramm mit klaren Richtlinien und Verfahren für den Umgang mit Sicherheitsvorfällen implementieren.[12] Während viele Unternehmen bereits heute durch den ISO 27001-Standard eine schnelle Identifizierung und Behebung von Vorfällen, die Aufrechterhaltung des Betriebs während eines Vorfalls und die Wiederherstellung der Systeme nach einem Notfall sicherstellen, werden künftig klare Kommunikationswege, Eskalationsverfahren und Notfallpläne erforderlich sein, um angemessen auf Sicherheitsvorfälle reagieren zu können.
Sicherheit der Lieferkette
Unternehmen müssen sicherstellen, dass ihre Geschäftspartner und Dienstleister angemessene Vorkehrungen für ihre Informationssicherheit treffen. Dies umfasst unter anderem den Abschluss vertraglicher Vereinbarungen, in denen Sicherheitsanforderungen festgelegt werden. Zertifizierungen spielen dabei eine wichtige Rolle, um die Einhaltung von Standards nachzuweisen. Zudem gelten neue Anforderungen für zu liefernde Systeme, deren Entwicklung, Lieferung und Inbetriebnahme. Für den Einkauf bedeutet dies die Definition von technischen und organisatorischen Maßnahmen (TOM) für Produkte und Dienstleistungen, die verbindliche Regelung der Einhaltung von Sicherheitsstandards und die klare Verantwortungsteilung im Rahmen des Business Continuity Managements.
Gemäß der EU NIS2-Richtlinie sind Unternehmen verpflichtet, zahlreiche weitere Anforderungen zu erfüllen. Die Geschäftsführung der Betreiber kritischer Infrastrukturen ist dafür verantwortlich, die Einhaltung dieser Anforderungen gemäß nationaler Gesetzgebung zu überwachen. Unternehmen sollten sich bewusst sein, dass die Geschäftsführung im schlimmsten Fall für Verstöße haftbar gemacht werden kann.
Mehr staatliche Befugnisse/erweiterte Sanktionen
Im Gegensatz zu den bisherigen Regelungen sind Sicherheitsvorfälle künftig verpflichtend an das BSI zu melden. Ein effektives (Security-)Incident-Management-System zur schnellen Erkennung und Meldung von Vorfällen wird obligatorisch. Die Bußgelder werden deutlich erhöht, und es werden neue Strafbestände eingeführt. Die in den ersten Referentenentwürfen umfassend definierte Geschäftsführerhaftung wurde im aktuellen Regierungsentwurf auf eine Binnenhaftung beschränkt.[13]
NIS2-Anforderungen
Status quo: Aktueller Regierungsentwurf
Aktueller Stand: Neben der Konkretisierung der Pflichten für regulierte Einrichtungen der Bundesverwaltung (§ 44 BSIG-E) beinhaltet der Regierungsentwurf einige Erleichterungen für spezifische Branchen. So kann das BSI von besonders wichtigen Einrichtungen, die den wesentlichen Einrichtungen gemäß der NIS2-Richtlinie entsprechen, grundsätzlich frühestens drei Jahre nach Inkrafttreten des neuen Bundesamt für Sicherheit in der Informationstechnik-Gesetzes (BSIG) Nachweise zur Erfüllung von Audit-, Prüfungs- oder Zertifizierungspflichten verlangen. Für zugelassene Krankenhäuser wurde diese Mindestfrist jedoch auf fünf Jahre verlängert.
Darüber hinaus sieht das BSIG-E umfassende Bereichsausnahmen für die mehrfach regulierten Sektoren Energie und Telekommunikation vor. Für diese Einrichtungen gelten spezialgesetzliche Anforderungen aus den jeweiligen Fachgesetzen, die durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungs-Gesetz (NIS2UmsuCG) NIS2UmsuCG diverse Änderungen im Bereich der Cybersicherheit erfahren haben.
Zudem wurden Klarstellungen zur öffentlich viel kritisierten Haftung der Geschäftsleitung für Verstöße gegen Vorgaben im Bereich der Cybersicherheit (z. B. § 165 Abs. 2c TKG-neu) eingeführt. Darüber hinaus wird das Management dieser Einrichtungen gesetzlich verpflichtet, regelmäßig an Schulungen teilzunehmen. Diese Vorgaben gelten gemäß dem BSIG-E auch für alle anderen NIS2-regulierten Einrichtungen.
Ausblick: Regierungsentwurf
Die NIS2-Richtlinie fordert die Umsetzung in die nationalen Rechtsordnungen der EU-Mitgliedstaaten bis spätestens zum 17.10.2024. Der veröffentlichte Regierungsentwurf soll dies gewährleisten, jedoch besteht die Möglichkeit, dass sich das Gesetzgebungsverfahren durch mögliche Vorbehalte des Bundesrats noch verzögern könnte. Angesichts der knappen verbleibenden Zeit sind zudem keine umfangreichen inhaltlichen Änderungen und Konkretisierungen im weiteren Gesetzgebungsprozess zu erwarten. Formal gilt noch der in der NIS2-Richtlinie stehende Termin Mitte Oktober 2024 – auch wenn bereits eine inoffiziele Zeitplanung bis Ende März 2025 im Raum steht. Daher werden bestehende Klärungsfragen wahrscheinlich einer (richterlichen) Rechtsfortbildung überlassen bleiben, um die erforderliche Rechtssicherheit zu gewährleisten.
Obwohl Unternehmen, die von NIS-2 betroffen sind, die Vorgaben erst mit dem endgültigen Inkrafttreten des neuen BSIG erfüllen müssen, ist zu beachten, dass keine Übergangsfristen vorgesehen sind. Deshalb sollten Unternehmen umgehend mit der Prüfung der Anwendbarkeit der NIS-2-Richtlinie auf ihr eigenes Geschäft und, im Falle eines positiven Ergebnisses, mit der Registrierung und Umsetzung der Verpflichtungen gemäß dem neuen BSIG beginnen.
DSAG-Bewertung zu NIS2
Die DSAG unterstützt die NIS2-Richtlinie ausdrücklich und fordert seit Jahren ein verstärktes Engagement von Software-Herstellern sowie Anwendungsunternehmen. Dabei bietet sie zahlreiche Formate für den Austausch mit Expert:innen des DSAG-Arbeitskreises Security & Vulnerability Management und initiiert umfassende Security-Awareness-Kampagnen.
Die NIS2-Richtlinie stellt einen entscheidenden Fortschritt in der europäischen Gesetzgebung dar, mit dem Ziel, das Niveau der Informationssicherheit in der Europäischen Union (EU) zu erhöhen. Sie bringt das Thema IT-Security in den Fokus, das seit Jahren die Aufmerksamkeit verdient, um Unternehmen vor Cyber-Bedrohungen zu schützen.
NIS2-Richtlinie: Chancen
- Die Umsetzung der NIS2-Richtlinie bringt hohe Anforderungen mit sich und bringt Unternehmen so dazu, ihre IT-Sicherheit auf ein höheres Niveau zu heben. Durch proaktives Risikomanagement, die effektive Umsetzung von Meldepflichten und eine enge Zusammenarbeit mit den Behörden können Unternehmen ihren Schutz gegen Cyber-Bedrohungen optimieren und ihre Resilienz stärken.
- NIS2 verlangt keine grundlegend neuen Standards, sondern fordert die konsequente Implementierung von State-of-the-Art-Lösungen, die bereits in vielen Unternehmen vorhanden sein sollten, wie z. B. Multi-Faktor-Authentifizierung, Risikomanagement und Notfall- sowie Business-Continuity-Management.
- Laut Bundesminsterium des Inneren und für Heimat (BMI) wird das Meldewesen klarer und einfacher gestaltet. Idealerweise werden diese Prozesse künftig durch einheitliche und voll digitalisierte Verfahren sowohl für das NIS2UmsuCG als auch für das KRITIS-Dachgesetz unterstützt.
- Für SAP bietet sich die Möglichkeit, einen spezifischen Fokus auf die Umsetzung von IT-Security-Maßnahmen innerhalb der oft hybriden SAP-Architekturen zu legen. Hierbei besteht in den Unternehmen häufig ein Mangel an Expertise, und die SAP-Architekturen werden in Sicherheitsorganisationen zu selten berücksichtigt.
- Obwohl die neuen Regelungen auf die Stärkung der Cyber- und IT-Sicherheit innerhalb der KRITIS-Unternehmen und deren Dienstleistern abzielen, bleiben sowohl die NIS2-Richtlinie als auch das geplante NIS2-Umsetzungsgesetz in Bezug auf ihre spezifischen Anforderungen an IKT-Produkte, -Dienste und -Prozesse vage. Hier könnten regelungsübergreifende Standards und Zertifizierungsverfahren des BSI zur Klarheit beitragen, sowohl für Unternehmen als auch für Software-Anbieter. Sie könnten Planungssicherheit geben und helfen, Standards für Software-Produkte und Cloud-Services zu entwickeln.
NIS2-Richtlinie: Kritikpunkte/Risiken
- Eine effiziente Koordination, verbesserte Abstimmung und klare Kommunikation zwischen den Mitgliedstaaten der EU sind notwendig, um ein einheitlich hohes IT-Sicherheitsniveau zu erreichen und das Risiko eines Audit-Chaos zu minimieren. Diese Maßnahmen sind entscheidend, um die Implementierung und Effektivität von Cybersicherheitsmaßnahmen für international tätige Unternehmen nicht zu behindern.
- Asynchrone Anforderungen zwischen verschiedenen Richtlinien führen zu Verwirrung und Verantwortungsdiffusion, insbesondere in Bezug auf die Synchronisation des NIS2UmsuCG mit dem KRITIS-Dachgesetz. Trotz erheblicher Fortschritte im aktuellen Regierungsentwurf bleibt die Gefahr einer Doppelregulierung (z. B. bezüglich des BSI-Gesetzes und des Telekommunikationsgesetzes, aber auch in Bezug auf die Zuständigkeit der diversen Aufsichtsbehörden) bestehen. Für die Finanzbranche existiert mit DORA eine sektorspezifische Umsetzung von NIS2 unter der Aufsicht der BaFin. In der Telekommunikationsbranche sind entsprechende Ausnahmen im Telekommunikations- und Telemediengesetz sowie bei der Bundesnetzagentur geregelt. Individuelle Ausnahmen betreffen auch die Gesellschaft für Telematik und weitere Einrichtungen auf Basis der Sozialgesetzbücher – einheitliche und übergreifende Regelungen sehen anders aus.
- Die Ausnahme der Kommunen und Landkreise von der neuen Richtlinie, da das Gesetz diese nicht als relevante öffentliche Verwaltung ansieht, bleibt unverständlich. Im IT-Planungsrat wurde empfohlen, die ca. 11.500 Kommunen nicht in NIS2 aufzunehmen. Eine weitere Standardisierung, Digitalisierung und Sicherung der IT-Systeme der öffentlichen Verwaltung ist jedoch dringend erforderlich, insbesondere vor dem Hintergrund der zunehmenden Angriffe auf staatliche Einrichtungen aufgrund geopolitischer Spannungen.
- Obwohl frühestens drei Jahre nach Inkrafttreten des neuen BSIG-Nachweise zur Erfüllung von Audit-, Prüfungs- oder Zertifizierungspflichten von den Unternehmen (mit Ausnahme konkreter Sicherheitsvorfälle) eingefordert werden können, sorgen fehlende Umsetzungsfristen, insbesondere bei kleinen und mittleren Unternehmen, für erhebliche Unsicherheiten. Die Umsetzung der Standards sollte daher von einem verbindlichen Zeitplan begleitet werden, um die erforderlichen Reifegrade konsequent und kontinuierlich umzusetzen.
- Eine individuelle und konkrete Einstufung für kleine und mittlere Unternehmen sowie die daraus abzuleitenden erforderlichen Maßnahmen sind erst nach einer ausführlichen und individuellen Betroffenheitsanalyse möglich. Eine Schärfung der Einstufungskriterien durch einen harmonisierten, gesetzesübergreifenden Kriterienkatalog wird dringend benötigt. Der zwischenzeitlich veröffentlichte Selbst-Check des BSI zur NIS2-Einstufung ermöglicht bereits eine recht einfache und klare Ersteinstufung.
- Aus Sicht der Security-Expert:innen der DSAG stehen viele Unternehmen vor erheblichen Herausforderungen aufgrund der aktuellen Anforderungen. Oftmals mangelt es an Personal und Know-how, um die neuen Vorgaben erfolgreich umzusetzen. NIS2 wird häufig auf die IT reduziert, während alle (digitalen) Unternehmensprozesse im Fokus stehen. Dies erhöht den Personalbedarf und kann mit hohen Kosten verbunden sein – schließlich gibt es bereits ohne NIS2 einen Mangel an Sicherheitsexpert:innen auf dem Markt, die dringend benötigt werden.
SAP und NIS2
- Guidelines von SAP zur Sicherheitsoptimierung: SAP sollte Unternehmen konkrete und aktualisierte Richtlinien für IT-Sicherheit gemäß NIS2 zur Verfügung stellen. Diese Guidelines können dabei helfen, klassische Sicherheitslücken zu vermeiden. Sinnvoll wären u. A. konkrete Entwicklungsrichtlinien für ABAP-Programme, Vorgaben zu notwendigen Berechtigungsprüfungen sowie sichere Richtlinien zur konformen Vergabe von fest codierten Passwörtern oder Usern.
- Konsequentes Monitoring: Um Integrationsszenarien über die SAP Integration Suite sicher zu gestalten, benötigen Anwenderunternehmen technische Unterstützung. Dies betrifft insbesondere den Schutz von RFC-Verbindungen, etwa durch präventive Maßnahmen gegen Call-back-Aufrufe. Zu den empfohlenen Sicherheitsmaßnahmen gehört der Einsatz einer obligatorischen ACL-Liste sowie die Registrierung externer Verbindungen über das SAP RFC Gateway (Reginfo/Secinfo) während des laufenden Betriebs.
- SAP-Standard-User mit privilegierten Berechtigungen: Die Nutzung und Bereitstellung von SAP-Standard-Usern mit privilegierten Berechtigungen im SAP-System und in der SAP HANA Datenbank, z. B. SAP* oder SYSTEM, sollte standardmäßig überprüfbar sein, um Sicherheitslücken zu verhindern.
- Neue Compliance- und Governance-Regeln für SAP-Systeme: SAP muss neue Regelungen im Bereich Compliance und Governance sowohl für On-Premises- als auch für Cloud-Lösungen unverändert im Rahmen der Wartung bereitstellen. Für das immer heterogenere SAP-Produktportfolio ist hierbei die Verwaltung von SAP-Berechtigungen in hybriden Umgebungen, um SOD-Konflikte sowohl On-Premises, als auch in der Cloud zu identifizieren besonders relevant.
- Weiterentwicklung der SAP-Cloud-Lösungen und der SAP BTP: SAP sollte die Weiterentwicklung der SAP-Cloud-Lösungen und der SAP BTP noch stärker vorantreiben. Beispielhaft wären hier die Bereitstellung einheitlicher SAP Cloud Identity Services sowie bspw. der SAP Data Custodian zu nennen, der Single Sign-On (SSO) ermöglicht und eine Alternative zu heutigen technischen Usern oder Zertifikat-basierten Zugriffen bietet.
- Integration von Security-Tools und -prozessen: Eine nahtlose Integration von Security-Tools und Prozessen im gesamten Entwicklungszyklus ist unerlässlich, um die SAP-Landschaft bspw. gemäß der Secure Operations Map abzusichern, denn ein sicherer Betrieb setzt die ganzheitliche Betrachtung aller benötigten Komponenten und Prozesse voraus.
- Security by Default in SAP-Systemen: Die Standardkonfigurationen der SAP-Systeme sollten konform zu NIS-2 künftig so ausgeliefert werden, dass IT-Sicherheit und Datenschutz optimal berücksichtigt werden. Obwohl S/4HANA-Releases bereits heute Standardwerte bieten, entsprechen diese nicht immer den BSI-Vorgaben oder Prüfungsempfehlungen externer Auditoren, etwa zu Passwortlängen oder Cipher-Suiten (SAP Note).
- Einheitliches Release-Management für SAP-Sicherheit:
Die Einführung eines einheitlichen Release-Managements auf Grundlage des SAP Security Optimization Services Portfolio über das gesamte SAP-Produktportfolio hinweg ist notwendig. SAP RISE sollte zudem ein Plattform-Release-Management umfassen, dass alle Infrastrukturkomponenten (OS; Nicht-SAP-Datenbanken, SAP-Druckserver etc.) berücksichtigt und ein umfassendes, detailliertes Monitoring für alle Komponenten ermöglicht. Ziel muss es sein, den Anwendungsunternehmen ein Monitoring der gesamten digitalen SAP-Lieferkette im Kontext eines gesamtheitlichen Monitorings der Enterprise Architektur zu ermöglichen. - Verzahnung mit ITSM und Notfallmanagement: SAP RISE- und GROW-Modelle sollten stärker mit den ITSM-Prozessen sowie mit dem Business Continuity- und Notfallmanagement der Kunden verzahnt sein. Aktuell sind die Prozesse oft noch SAP-zentrisch und werden bspw. über SAP for Me oder nicht-integrierte Support- und Ticketprozesse abgebildet.
- Absicherung essenzieller Geschäftsprozesse im Rahmen von SAP RISE: Anwendungsunternehmen sollten durch organisatorische und technische Maßnahmen in die Lage versetzt werden, ihre essenziellen Geschäftsprozesse zu schützen. Dies bedeutet, dass im Rahmen des SAP RISE-Betriebsmodells entsprechende Wahlmöglichkeiten wie bspw. geografisch getrennte Redundanzen, eine gezielte Risikoverteilung bei der Dienstleisterwahl und Transparenz in IT-Security-Themen erreicht werden, um die NIS2-konformen, unternehmensspezifischen IT-Sicherheitsziele zu erreichen und die korrespondierenden Meldepflichten einzuhalten.
Fazit
Alles in allem ist das NIS2UmsuCG ein Schritt in die richtige Richtung. Die betroffenen Einrichtungen haben die Möglichkeit, bereits jetzt verschiedene Maßnahmen zu initiieren, sofern diese nicht bereits implementiert sind. Es ist jedoch zu erwarten, dass die Verabschiedung des Gesetzes in der Öffentlichkeit mit erheblicher Kritik einhergehen wird. Angesichts der circa 30.000 betroffenen Einrichtungen wird der Prozess ähnlich verlaufen wie beim ITSIG20, der etwa 2.000 KRITIS-Umgebungen umfasst.
Anwendungsunternehmen sind daher gut beraten, die Maßnahmen trotz der bestehenden Auslegungsfragen zeitnah zu bewerten und umzusetzen. Denn IT- und Cybersicherheit können nicht einfach im Vorbeigehen implementiert werden oder durch den momentan viel diskutierten Begriff der „Generativen KI“ gelöst werden. IT- und Cybersicherheit müssen in alle Unternehmensprozesse integriert werden und fester Bestandteil der täglichen Arbeit von Verantwortlichen, Mitarbeitenden und Führungskräften bis hin zur Unternehmensleitung werden. Auch der Aufbau von Know-how gehört dazu.
Exkurs: KRITIS und NIS2
- Jeder KRITIS-Betreiber ist NIS2-Einrichtung, aber nicht jede NIS2-Einrichtung ist auch KRITIS-Betreiber.
- NIS2 gilt für das Gesamt-Unternehmen (abhängig von Sektorzugehörigkeit und Mitarbeitendenzahl, Unternehmensgewinn und/oder -umsatz). Insbesondere sieht das NIS2UmsuCG_E für NICHT-KRITIS-Betreiber keine Schwellwerte vor.
- Zukünftig werden aktuelle KRITIS-Betreiber mit ihren jeweiligen – weiterhin über Schwellwerte – definierten kritischen Dienstleistungen unter die bekannten KRITIS-Anforderungen fallen (bzw. dort verbleiben), mit dem Rest des Unternehmens aber unter die NIS2-Anforderungen.
- KRITIS-Betreiber werden in Bezug auf ihre kritischen Anlagen durch NIS2 keinen hohen neuen fachlichen Anforderungen ausgesetzt. Für den Rest des Unternehmens sind aber durchaus zusätzliche Anforderungen zu erwarten.
- Fachlich neu ist – auch für KRITIS-Betreiber – der starke Fokus in Bezug auf die Sicherheit in der digitalen Lieferkette, der auch für KRITIS-Betreiber zusätzliche Anforderungen mit sich bringt.
- Hilfreich für die Umsetzungsplanung kann eine getrennte Analyse von fachlichen und sonstigen/prozessualen Anforderungen der NIS2 wirken: Zwar trennen die NIS2-RL und das NIS2UmsuCG_E hier nicht absolut, aber die fachlichen Anforderungen sind §30 des aktuellen Regierungsentwurfs, die sonstigen/prozessualen Anforderung u.a. in den §§32, 33, 35 etc. zu entnehmen.
Abkürzungsverzeichnis
BKA: Bundeskriminalamt
BMI: Bundesminsterium des Inneren und für Heimat
BSI: Bundesamt für Sicherheit in der Informationstechnik
BSIG: Bundesamt für Sicherheit in der Informationstechnik Gesetz
DORA: Digital Operational Resilience Act
ECSM: European Cyber Security Month
KRITIS: Kritische Infrastrukturen
NIS2UmsuCG: NIS2-Umsetzungs- und Cyber-Sicherheitsstärkungsgesetz
TOM: Technische und organisatorische Maßnahmen
[1] Cybersicherheitsindex 2024 – Einschätzung und Ranking der Cybersicherheit von Ländern in Europa, https://www.digitale-gesellschaft.org, zuletzt abgerufen: 17.10.2024, 20:00 Uhr
[2] Global Cybersecurity Index 2024, https://www.itu.int/en/ITU-D/Cybersecurity/Documents/WP-GCI-101.pdf, zuletzt abgerufen: 17.10.2024, 20:21 Uhr
[3] Bundeslagebild Cybercrime 2023, Bundeskriminalamt, https://www.bka.de/DE/UnsereAufgaben/Deliktsbereiche/Cybercrime/cybercrime_node.html, zuletzt abgerufen: 17.10.2024, 20:00 Uhr
[4] Bericht zur Cybersicherheitslage in Deutschland 2023, BSI, https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/cyber-sicherheitslage/cyber-sicherheitslage_node.html; zuletzt abgerufen: 17.10.2024, 20:00 Uhr
[5] Organisierte Kriminalität greift verstärkt die deutsche Wirtschaft an, https://www.bitkom.org/Presse/Presseinformation/Organisierte-Kriminalitaet-greift-verstaerkt-deutsche-Wirtschaft-an; zuletzt abgerufen: 17.10.2024, 20:10 Uhr
[6] EU-Gesetzgebungen zu Cybersicherheit, u.a. DORA und Cyber Solidarity Act, https://ec.europa.eu/commission/presscorner; zuletzt abgerufen: 17.10.2024, 20:12 Uhr
[7] NIS-2-Richtlinie und ihre Umsetzung in Deutschland, Bundesinnenministerium, https://www.bmi.bund.de/DE/Themen/Sicherheit/Cybersicherheit/nis2-umsetzung.html; zuletzt abgerufen: 17.10.2024, 20:11 Uhr
[8] NIS-2: Die Richtlinie betrifft nicht nur kritische Infrastrukturen, https://www.pwc.de/de/cyber-security/europaeische-nis-2-richtlinie-implikationen-fuer-unternehmen-und-institutionen.html, zuletzt abgerufen: 17.10.2024, 20:39 Uhr
[9] Unternehmen bei EU-Vorschrift für IT-Sicherheit in Verzug, https://www.handelsblatt.com/technik/it-internet/it-sicherheit-tausende-firmen-bei-eu-vorschrift-fuer-cybersicherheit-in-verzug-02/100061239.html, zuletzt abgerufen: 17.10.2024, 20:35 Uhr
[10] The NIS 2 Directive, https://www.pwc.com/mt/en/services/pwc-digital-services/cyber-security-and-privacy/cyber-security-services/NIS-2-directive.html, zuletzt abgerufen: 17.10.2024, 21:50 Uhr
[11] Six Steps on the Road to NIS2 Compliance, https://www.cybersecurityintelligence.com/blog/six-steps-on-the-road-to-nis2-compliance-7951.html, zuletzt abgerufen: 17.10.2024, 22:00 Uhr
[12] NIS2 Directive, https://www.nis2-info.eu/article-23-reporting-obligations/, zuletzt abgerufen: 17.10.2024, 21:55 Uhr
[13] NIS2 Compliance: Updated for 2024, Complete Guide, https://flare.io/learn/resources/blog/nis2-compliance/, zuletzt abgerufen: 17.10.2024, 22:00 Uhr
Mehr zu diesem Tag
Digitale Souveränität in der Öffentlichen Verwaltung stärken
DSAG: Digitale Souveränität erfordert genaue Prüfung von Cloud-Angeboten.
SAP-KI-Strategie
Welche Stärken und Schwächen birgt sie? Wie beurteilt die DSAG die Fokussierung der SAP-KI-Strategie auf die Automatisierung von Geschäftsprozessen, Verbesserung der Kundenerfahrung und Entwicklung neuer Produkte und Services? Stand Oktober 2024 Inhaltsverzeichnis EinleitungDie SAP-KI-StrategieDas kommerzielle ModellStärken und SchwächenChancen und RisikenFokussierung der SAP-KI-StrategieWeitere Bereiche der SAP-KI-StrategieWeiterentwicklung der KI-StrategieWas soll Joule bieten?Beurteilung von SAP JouleOffene Fragen Einleitung […]
Adobe Document Service
Das DSAG-Positionspapier beleuchtet Ausgangslage, Wirtschaftlichkeit, Stabilität und Migration im Zusammenhang mit SAP Interactive Forms by Adobe, besser bekannt als Adobe Document Service (ADS).
Mehr in dieser Kategorie
Green (SAP) IT
Nachhaltigkeit, Digitalisierung und Künstliche Intelligenz bestimmen die aktuellen Konzepte der Strategieberatungen und die Agenda der großen Softwarehersteller.
Abbildung länderspezifischer gesetzlicher Anforderungen in SAP-Stammdaten
Für DSAG-Anwenderunternehmen ist es schwierig, alle Änderungen lokaler Bestimmungen fortlaufend in den SAP-Anwendungen umzusetzen. Deshalb wird von SAP eine zeitgerechte Unterstützung für Anpassungen an geänderte lokale Bestimmungen erwartet.
Künstliche Intelligenz
Eine Einordnung zu Relevanz, Chancen und Risiken von Künstlicher Intelligenz (KI) sowie den Entwicklungen bei SAP zu KI - und mehr gibt das DSAG-Positionspapier.
Mehr von diesem Format
DSAG-Technologietage 2025 in Wiesbaden
Das Motto: "Strategy Royale: Call, Raise or Fold?"
Was ist eigentlich… die SAP Business Technology Platform?
Mit der BTP funktionsübergreifend Innovationen entwickeln und beschleunigen
SAP LeanIX
LeanIX wurde 2023 in das SAP-Produktportfolio integriert. Was hat sich seitdem rund um die Lösung getan?