Artikel

Die ursprüngliche NIS-Richtlinie von 2016 legte erstmals grundlegende Anforderungen an die Cybersicherheit in der EU fest. Sie richtete sich an Betreiber kritischer Infrastrukturen wie Energieversorger, Verkehrsunternehmen und Banken. Die rapide Zunahme von Cyberangriffen und die immer komplexer werdenden digitalen Lieferketten machten deutlich, dass der bisherige Schutzansatz einer Ausweitung bedurfte.  

Cyberkriminalität ist inzwischen nicht nur eine Bedrohung für einzelne Unternehmen, sondern auch für die wirtschaftliche Stabilität ganzer Länder. Beispiele zu erfolgreichen Cyberangriffen erfolgen im Wochentakt. Die EU hat festgestellt, dass ein fragmentierter Ansatz, bei dem jedes Land eigene Sicherheitsstandards setzt, nicht ausreicht, um eine koordinierte und effektive Abwehrstrategie zu gewährleisten, und handelt mit der Einführung der Richtlinie NIS-2. 

Die Einführung von NIS-2 ist ein entscheidender Schritt, um die Sicherheitsstruktur der europäischen Wirtschaft zu stärken.  

Zielsetzung der Einführung von NIS-2 

• Stärkung der Resilienz 
  Mit NIS-2 werden Unternehmen verpflichtet, ihre Cybersicherheitsmaßnahmen zu verbessern und Schwachstellen zu minimieren. Das bedeutet nicht nur besseren Schutz vor Angriffen, sondern auch höhere Widerstandsfähigkeit gegen Störungen in der digitalen Lieferkette. 

• Vertrauen in die digitale Wirtschaft 
  Cybersicherheit ist ein entscheidender Faktor für das Vertrauen in die digitale Wirtschaft. Wenn Unternehmen und Kunden sich sicher fühlen, sind sie eher bereit, digitale Dienstleistungen zu nutzen und neue Technologien zu implementieren. 

• Sicherung von Wettbewerbsvorteilen für Unternehmen 
  Unternehmen, die hohe Cybersicherheitsstandards erfüllen, können dies als Wettbewerbsvorteil nutzen. Kunden und Geschäftspartner werden zunehmend auf Sicherheit und Compliance achten. 

Herausforderungen bei der Umsetzung 

Die Anforderungen von NIS-2 stellen Unternehmen vor große Herausforderungen, da sie ein umfassendes Cyberrisikomanagement verlangen. Investitionen in Cybersicherheit erfordern Budget, Ressourcen und Expertise, was insbesondere für kleine und mittlere Unternehmen (KMU) eine erhebliche Belastung darstellt. 

Die EU NIS-2-Richtlinie erweitert die ursprüngliche NIS-Richtlinie in mehreren zentralen Punkten. 

1. Erhebliche Ausweitung der betroffenen Sektoren 

Während die ursprüngliche Richtlinie nur kritische Infrastrukturen erfasste, gilt NIS-2 auch für viele weitere Sektoren, wie zum Beispiel: 

• IT-Dienstleister und Cloud-Anbieter 
• Hersteller von Produkten für die digitale Versorgungskette 
• Lebensmittelwirtschaft, Gesundheitswesen und Abwasserwirtschaft 
• Post- und Kurierdienste 
• Verarbeitendes Gewerbe/Herstellung von Waren 

Diese Erweiterung spiegelt wider, dass Cyberrisiken nicht nur für kritische Infrastrukturen eine Gefahr darstellen. Vielmehr müssen alle Sektoren einbezogen werden, die für die Wirtschaft und Gesellschaft als essenziel gelten. 

2. Verschärfte Sicherheitsanforderungen 

Unternehmen und deren Verantwortliche müssen nun umfassendere Maßnahmen zur Cybersicherheit ergreifen. Dazu gehören unter anderem: 

• Implementierung von Risikoanalysen und Sicherheitsmaßnahmen 
• Schutz der Lieferkette und der eingesetzten Drittanbieter 
• Einführung von Mechanismen zur Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden 
• Sicherstellung der Kontinuität der Dienstleistungen auch im Falle eines Cyberangriffs 

Artikel 21 der NIS-2-Richtlinie definiert Maßnahmen, die umzusetzen sind. Aus unserer Perspektive ergeben sich daraus insbesondere neun Handlungsfelder für die betroffenen Unternehmen. 

3. Klare Verantwortlichkeiten und Sanktionen 

Die Richtlinie legt fest, dass die Unternehmensleitung für die Umsetzung der Sicherheitsmaßnahmen verantwortlich ist. Fahrlässigkeit oder Verstöße können zu hohen Geldbußen führen. Damit nimmt die EU Führungskräfte stärker in die Pflicht und setzt einen Anreiz, Cybersicherheit als Teil der Unternehmensstrategie zu priorisieren. Die Höhe und Art der Sanktionen obliegen den Mitgliedsstaaten. Die EU fordert lediglich Sanktionen, die „wirksam, verhältnismäßig und abschreckend“ seien. Im deutschen Entwurf des NIS2UmsuCG sind Bußgelder von bis zu zehn Millionen Euro oder bis zu 2% des Jahresumsatzes vorgesehen. 

4. Harmonisierung und stärkere Kooperation 

NIS-2 strebt eine Harmonisierung der Cybersicherheitsanforderungen innerhalb der EU-Mitgliedstaaten an. Es soll verhindert werden, dass einzelne Länder als „Schwachstellen“ innerhalb der Union agieren. Die Richtlinie fördert außerdem die Zusammenarbeit zwischen den Mitgliedstaaten, etwa durch das European Cyber Crisis Liaison Organisation Network (EU-CyCLONe), das bei grenzüberschreitenden Cyberangriffen koordiniert eingreifen kann. 

Dennis Müllerschön, Principal und Cybersecurity-Epxerte bei Horváth, erläutert im Interview, welche Maßnahmen Unternehmen ergreifen sollten, um den Anforderungen gerecht zu werden. 

Ja, der Handlungsdruck ist eindeutig. Unsere jüngste CxO-Studie aus dem Jahr 2024, bei der wir mehr als 750 Vorstandsmitglieder aus verschiedenen Branchen befragt haben, liefert alarmierende Zahlen:

Das verdeutlicht, wie akut die Bedrohungslage ist. Cyberrisiken gehören mittlerweile zu den größten Geschäftsrisiken, sie gefährden nicht nur den Betrieb, sondern auch das Vertrauen von Kunden und Partnern in die Organisation. 

Durch die erweiterten Schwellenwerte und die Ausdehnung der Geltungsbereiche sind allein in Deutschland etwa 30.000 Unternehmen von den neuen Regelungen betroffen. Im Fokus stehen dabei drei wesentliche Handlungsfelder: 

1. Risikomanagement: Unternehmen müssen systematisch identifizieren, welche Risiken für ihre IT-Infrastruktur bestehen und wie diese minimiert werden können. 

2. Sicherheitskonzepte: Auf Basis des Risikomanagements müssen Konzepte entwickelt werden, um potenziellen Bedrohungen proaktiv zu begegnen. 

3. Vorfallsbewältigung: Auch wenn Sicherheitsmaßnahmen ergriffen wurden, bleibt das Risiko eines Cyberangriffs bestehen. Daher müssen Unternehmen in der Lage sein, im Ernstfall schnell und effizient zu reagieren, um Schäden zu minimieren und den Betrieb wiederherzustellen. 

Unternehmen, die die Anforderungen korrekt umsetzen, können ihre Cyberresilienz auf ein hohes, den Risiken angemessenes, Niveau heben. Dadurch wird nicht nur die Sicherheit gestärkt, sondern auch das Vertrauen in die eigenen Fähigkeiten und in den Schutz der Unternehmenswerte. 

Unternehmen stehen nun vor der Aufgabe, schnell und zielgerichtet zu handeln. Unsere Erfahrung zeigt, dass ein systematisches und gut strukturiertes Vorgehen sich auszahlt. Neben Feststellung der Betroffenheit und von Verantwortlichkeiten, sollte ein erster Schritt eine umfassende Reifegrad-Analyse sein. Diese Analyse hilft Unternehmen, den aktuellen Stand ihrer Cyberresilienz zu ermitteln und mögliche Lücken zu identifizieren. 

Basierend auf den Ergebnissen dieser Analyse sollten die wichtigsten Handlungsfelder priorisiert werden. Hierzu eignet sich die Definition einer Cyberstrategie.  Ein klares Zielniveau das den individuellen Risikoappetit des Unternehmens berücksichtigt ist ein Muss. Dies bedeutet, dass Unternehmen abwägen müssen, wie viel Risiko sie bereit sind zu tragen und welche Schutzmaßnahmen sie dementsprechend ergreifen sollten. Ein risikobasierter Ansatz ist hier der Schlüssel zum Erfolg: Es geht darum, Maßnahmen gezielt dort zu ergreifen, wo die größten Risiken bestehen und wo der potenzielle Schaden am höchsten wäre. 

Es empfiehlt sich, in diesen Prozessen auf bewährte Methoden zurückzugreifen und gleichzeitig flexibel auf neue Bedrohungslagen zu reagieren. Die fortlaufende Anpassung der Cyberstrategien ist essenziell, da sich auch die Angriffsmethoden kontinuierlich weiterentwickeln. 

Abschließend lässt sich sagen: Cyberresilienz ist kein einmaliger Zustand, sondern ein fortlaufender Prozess. Unternehmen, die frühzeitig handeln und die Vorgaben der NIS-2-Richtlinie umsetzen, werden langfristig erfolgreicher und widerstandsfähiger gegen Cyberangriffe sein.  

Die Anforderungen durch NIS-2 werden insbesondere initial eine große Herausforderung für betroffene Unternehmen darstellen. Die Richtlinie sieht eine Umsetzung in nationales Recht vor. Der deutsche Gesetzgeber sieht hierzu das „Gesetz zur Umsetzung von EU NIS-2 und Stärkung der Cybersicherheit“ (NIS2UmsuGC) vor, das für alle deutschen Unternehmen Rechtsverbindlichkeit schafft. Unternehmen sollten frühzeitig tätig werden und die eigene Cyberresilienz stärken. 

Sie möchten mehr zu dem Thema erfahren? Sprechen Sie uns gerne an. 

Müllerschön, D. / Letzgus, M. / Nitukowski, J.