Die EU-Direktive für die Netzwerk- und IT-Sicherheit (NIS2) hat das Ziel, die Resilienz kritischer Infrastrukturen sowie deren Liefer- und Wertschöpfungsketten europaweit zu stärken und zu vereinheitlichen. Dabei wurde der Geltungsbereich dessen, was unter die Definition ‚kritisch‘ fällt, im Vergleich zum ursprünglichen NIS1-Cyber-Gesetz ausgedehnt. So ist die Direktive nun auch auf Unternehmen und Dienstleistungsbetriebe anwendbar, die bisher nicht unter die Regelungen für kritische Infrastrukturen fielen. Daraus ergeben sich für Industrie und Mittelstand einige Neuentwicklungen.
Wann greift NIS2
Ist ein Unternehmen in einem der insgesamt 18 Sektoren tätig (oder greift eine der Sonderregelungen), so ist die NIS2 anwendbar. Hinzu kommt: Wenn das Gesetz im Oktober 2024 in Kraft tritt – derzeit ohne Übergangsfristen. Je spezialisierter ein Industriezweig ist, desto gravierender können die Folgen eines vermeintlich lokal begrenzten Angriffs sein. Vor allem dann, wenn ein Unternehmen Komponenten fertigt, die für KRITIS-Unternehmen überlebenswichtig sind, etwa für die Wasserversorgung oder Energieerzeugung. Handelt es sich um das bundesweit einzige Unternehmen, das diese Bauteile herstellt, unterliegt es potenziell den Anforderungen der NIS2 – unabhängig vom Umsatz oder der Größe der Belegschaft.
Bestandsaufnahme
Der erste Schritt Richtung NIS2-Compliance ist eine Bestandsaufnahme der aktuellen Sicherheitsmaßnahmen. Oft lassen sich so Versäumnisse aufdecken und beheben – sei es das Installieren eines Updates zur Behebung einer alten Sicherheitslücke oder die Außerbetriebnahme eines nicht mehr benötigten aber zum Internet hin exponierten Systems.
Regelmäßige Prüfung
Ein oft vernachlässigter Teilbereich ist die Überwachung von Netzwerkaktivitäten. Diese kann jedoch frühzeitig Aufschluss über laufende Angriffe geben. Auch die regelmäßige Prüfung bestehender Sicherheitskonzepte gehört zu den Forderungen der NIS2. Überprüfungen sind nun in regelmäßigen Abständen vorgeschrieben. Teil dieser Überprüfungen können auch Penetrationstests sein, bei denen Dienstleister helfen können.