NIS2 umsetzen: So helfen euch eure Systeme dabei

Sicherheit und deren Gewährleistung, ein heikles und wild diskutiertes Thema. Ein Thema, vor dem viele vollkommen berechtigt Respekt haben. Aber auch ein Thema, bei dem alle Verantwortung übernehmen müssen.  

Daher soll die neue NIS2-Richtlinie genau das auf digitaler Ebene unterstützen: ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der Europäischen Union. 

Und auch wenn sich die Umsetzung von NIS2 in Deutschland weiter verzögert, gibt es genug Gründe, spätestens jetzt entsprechende Sicherheitsanforderungen im eigenen Unternehmen umzusetzen.  

Welche das sind und wie ihr mit gezielten Maßnahmen Sicherheitslücken minimiert und gleichzeitig eure bestehende Systemlandschaft optimiert, zeigen wir euch hier.

Die Bedeutung von NIS2 für Unternehmen

Die Zahl der Cyberangriffe nimmt weiter zu. Allein in Deutschland sind die Attacken von 2023 zu 2024 um 78 Prozent gestiegen. Ursachen dafür gibt es zahlreiche. Dazu gehören, unter anderem, wachsende Betrugsmöglichkeiten durch den Einsatz fortschrittlicher Technologien wie KI und maschinelles Lernen oder wirtschaftspolitisch motivierte Angriffe. Bereiche wie Bildung und Forschung sind besonders betroffen. Allerdings bleibt letztendlich keine Branche verschont.

Daher brauchen Unternehmen gezielte Maßnahmen, um ihre Netzwerke und Informationssysteme vor eben solchen Bedrohungen zu schützen. Die Umsetzung von NIS2 ist also weit mehr als eine gesetzliche Verpflichtung. Sie ist Verantwortung gegenüber all eurer Stakeholder und gleichzeitig Chance für eine stabile Infrastruktur.

Mit gezielten Sicherheitsmaßnahmen stärkt ihr nicht nur das Vertrauen eurer Kunden und Geschäftspartner, sondern verschafft euch einen erheblichen Wettbewerbsvorteil.

NIS2 Anforderungen im Überblick

Mit der NIS2-Richtlinie werden Maßnahmen festgelegt, mit denen die Cybersicherheit der gesamten EU erheblich verbessert werden soll. Diese sind in den nachfolgenden Punkten kurz erklärt:

• Sicherheitsrichtlinien für Informationssysteme und die Bewertung von Sicherheitsmaßnahmen erstellen und umsetzen. 
• Risikomanagement-Framework einführen und Risikobewertung vorhandener Netz- und Informationssysteme durchführen. 
• Richtlinien für den Umgang mit Sicherheitsvorfällen etablieren, die es ermöglichen, Vorfälle schnell zu erkennen, zu melden und entsprechende Gegenmaßnahmen einzuleiten. 
• Monitoring der IT-Systeme durch die automatisierte Dokumentation von Ereignissen wie ein- und ausgehender Netzwerktraffic oder Anpassung von Zugriffsrechten. 
• Notfallplan für die Betriebsfortführung (Business Continuity) und die Wiederherstellung des Normalbetriebs (Disaster Recovery); dazu gehört bspw. auch, dass Backups immer aktuell sein müssen. 
• Sicherheitsmaßnahmen entlang der Lieferkette (Supply Chain Security); dazu gehört beispielsweise die Bewertung aller Lieferanten in Bezug auf ihr Gesamtsicherheitsniveau und die Festlegung konkreter Kriterien für die Zusammenarbeit. 
• Sicherheitsmaßnahmen bei der Beschaffung von Systemen sowie der Entwicklung und dem Betrieb von Systemen festlegen, bspw. sollten Produkte und Systeme ausgetauscht werden, die keine Sicherheitsupdates mehr erhalten (End of Life). 
• Prozesse für die Verschlüsselung von Daten und den Einsatz von Kryptografie implementieren.
• Sicherheitsverfahren für Mitarbeitende mit Zugang zu sensiblen oder wichtigen Daten, darunter fällt zum Beispiel der Einsatz von Mehrfaktor-Authentifizierung und die Gewährleistung eines sicheren Remote-Zugriffs.
• Regelmäßige Schulungen für alle Mitarbeitendenüber Risiken und die Notwendigkeit sowie sicherheitskonforme Praktiken für den Arbeitsalltag.  

Diese NIS2-Anforderungen sollen lediglich als erste Orientierung dienen und ersetzen keine umfassende Rechtsberatung. 

Allerdings lohnt es sich, für die konkrete Auswahl und Umsetzung der Maßnahmen, Digitalexpertinnen und -Experten einzubeziehen. Das Team von dotSource verfügt über umfassende Erfahrungen in verschiedensten digitalen Bereichen und ist daher in der Lage, euch bei der Konzeption eines Sicherheitskonzepts zu unterstützen, das zu eurem Unternehmen passt. Informiert euch jetzt in einem kostenfreien Erstgespräch.  

Welche Unternehmen sind von der NIS2-Richtlinie betroffen?

NIS2-Anforderungen gelten für Einrichtungen ab einer bestimmten Unternehmensgröße und bei besonderer Bedeutung für die Gesellschaft. Kleine Unternehmen müssen die NIS2-Anforderungen nicht erfüllen, insofern sie nicht als Sonderfall gelten.

Einordung entsprechend der Unternehmensgröße

Einordnung	Mitarbeitende	Umsatz
Groß- und mittlere Unternehmen	≥ 50	≥ 10 Mio. EUR
Klein- und Kleinstunternehmen	≤ 49	≤ 10 Mio. EUR

Unterteilung in wesentliche und wichtige Einrichtungen

Ob Unternehmen mit der entsprechenden Unternehmensgröße die NIS2-Anforderungen umsetzen müssen, hängt außerdem davon ab, in welcher Branche sie tätig sind. Diese werden in »wesentliche Einrichtungen« und »wichtige Einrichtungen« unterteilt.

Zu wesentlichen Einrichtungen gehören:

• Energiebranche (Stromversorgung, Fernwärme, Erdöl, Gas) 
• Finanzwesen (Banken, Finanzmarkt)  
• Gesundheitswesen (Gesundheitsdienstleister, Labore, Medizinforschung, Pharmazeutik, Medizinprodukte) 
• Transport und Verkehr (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr) 
• Wasserversorgung (Trinkwasser, Abwasser) 
• IT und Telekommunikation (TK) (Internet-Knoten (IXP), DNS-Anbieter, Top-Level-Domain-Registrare, Cloud-Provider, Rechenzentren, Content Delivery Networks (CDN), Vertrauensdienste (TSP), Elektronische Kommunikation) 
• Weltraum (Bodeninfrastruktur) 

Zu wichtigen Einrichtungen nach NIS2 gehören: 

• Lebensmittel (Produktion, Herstellung und Handel) 
• Chemikalien (Produktion, Herstellung und Handel) 
• digitale Dienste (Marktplätze, Suchmaschinen, Soziale Netzwerke)  
• Post- und Kurierdienste 
• Abfallwirtschaft  
• Verarbeitendes Gewerbe (Medizin/Diagnostik, Datenverarbeitung, Elektronik, Optik, Maschinenbau, Kraftwagen und Teile, Fahrzeugbau) 
• Forschung (Forschungsinstitute) 
• Während wesentliche Einrichtungen die Umsetzung von NIS2 unabhängig ihrer Unternehmensgröße oder der Umsatzsumme gewährleisten müssen, wird bei wichtigen Einrichtungen nochmal zwischen mittleren und großen Unternehmen unterschieden. Kleine Unternehmen und Kleinstunternehmen müssen die NIS2-Anforderungen nicht erfüllen.  

Einstufung als Sonderfall

Auch unabhängig ihrer Größe oder ihres Umsatzes können Unternehmen in den Anwendungsbereich von NIS2 fallen. Unter diese sogenannten Sonderfälle zählen Unternehmen, die eine besondere Relevanz für die jeweiligen EU-Staaten haben. Dazu gehören Einrichtungen,

• auf nationaler oder regionaler Ebene wichtig für Wirtschaft und Gesellschaft sind
• deren Ausfall verehrende Folgen auf die öffentliche Sicherheit oder Gesundheit hätte

Ob ihr euch zukünftig an die Anforderungen von NIS2 halten müsst, könnt ihr anhand der NIS-2-Betroffenheitsprüfung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausfinden.

Dort meldet ihr euch auch, wenn der NIS2 Anwendungsbereich auf euch zutrifft. Neben grundlegenden Unternehmensinformationen müsst ihr eine Liste über alle EU-Mitgliedstaaten einreichen, in denen ihr tätig seid.

Ab wann müssen Unternehmen NIS umsetzen?

Tatsächlich ist NIS2 bereits im Januar 2023 in Kraft getreten. Allerdings ist zu beachten, dass das Inkrafttreten der Richtlinie auf EU-Ebene nicht bedeutet, dass diese bereits in den einzelnen Mitgliedstaaten umgesetzt ist. Die Umsetzung in allen EU-Staaten sollte ursprünglich bis zum 17. Oktober 2024 erfolgen.

In Deutschland liegt das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) als Entwurf für das Kabinett vor. Allerdings konnten sich die Regierungsparteien SPD, Grünen und FDP nicht einigen, sodass sich die Umsetzung verzögert. Erst nach den Neuwahlen muss eine neu gebildete Bundesregierung erneut über die Umsetzung der NIS2-Richtlinien verhandeln. Durch die Verzögerung droht Deutschland ein Vertragsverletzungsverfahren auf EU-Ebene.  

Höchste Zeit also, sich jetzt mit der konkreten Umsetzung zu befassen. Einige Tipps dafür gibt es im nächsten Abschnitt.

NIS2 Umsetzung: Wie betroffene Unternehmen auf die NIS2 Anforderung reagieren sollten

Mehr Sicherheit für eure Kunden, eure Mitarbeitenden, eure Daten und euer gesamtes Unternehmen sollten Grund genug sein, eure bestehende Systemlandschaft auf den Prüfstand zu stellen. Das ist aber längst nicht alles. Denn das Aufdecken von potenziellen Sicherheitslücken, ineffizienten Systemen und undurchsichtigen Prozessen hat langfristig Einfluss auf eure Unternehmensperformance.

Penetrationstests durchführen

Penetrationstests, auch Pentests genannt, ermöglichen euch, Sicherheitslücken und Schwachstellen aufzudecken, bevor Cyberkriminelle diese überhaupt ausnutzen können.

Dazu führen Expertenteams realistische Angriffsszenarien auf ihrem IT-System durch. Im Gegensatz zu automatisierten Schwachstellenanalysen sind Pentests individuell an eure Systeme angepasst und somit auch wesentlich zuverlässiger. Wie ein solcher Penetrationstest abläuft und welche verschiedenen Möglichkeiten des Security-Checks sich euch bieten, erfahrt ihr auf der dotSource Leistungsseite.

End-of-Life-Szenarien als Chance verstehen

End of Life bedeutet nicht End of Business. Im Gegenteil. Droht einem System das Supportende und bleiben Sicherheitsupdates aus, ist es höchste Zeit, sich nach einer alternativen Lösung umzusehen. Schließlich ist es sonst besonders anfällig für Cyberangriffe, Compliance-Anforderungen können nicht mehr eingehalten werden und das Risiko für Systemausfälle und Datenverluste steigt.

Dass eine gut durchdachte Migrationsstrategie euch nicht nur vor diesen Herausforderungen bewahrt, sondern gleichzeitig Motivation ist, bestehende Prozesse zu hinterfragen, beweist die Erfolgsgeschichte vom Agrarhändler KWS Saat.

Im On-Demand-Webinar erhaltet ihr von Mario Klaas, Head of Customer Management and Sales Effectiveness bei KWS SAAT konkrete Management-Tipps und exklusive Projekteinblicke, die auch euch helfen, eine Migration erfolgreich zu meistern.

Datenmanagementsystem modernisieren

Damit ihr die NIS2-Anforderung zur Lieferkettensicherheit bestmöglich gewährleisten könnt, braucht ihr ein entsprechendes PIM- oder DAM-System. Durch die Verwendung eines zentralen Systems verbessert ihr die Datenqualität und reduziert Inkonsistenzen.

Beispielsweise könnt ihr in einer Digital-Asset-Management-Lösung wichtige Assets wie Zertifikate oder Berichte von Lieferanten hinterlegen und durch vordefinierte Workflows regelmäßig prüfen und aktualisieren lassen. Durch diese Dokumentation könnt ihr vorgeschriebene Risikobewertungen schnell und zuverlässig durchführen.

Wie ihr ein umfassendes Datenmanagement für euer Unternehmen etabliert, erfahrt ihr auf der dotSource Leistungsseite zu PIM, MDM & DAM.

Künstliche Intelligenz (KI) und maschinelles Lernen nutzen

Für die Cybersicherheit sind Künstliche Intelligenz und maschinelles Lernen Fluch und Segen zugleich. So gefährlich sie sind, wenn sie bei Cyberangriffen zum Einsatz kommen, so hilfreich können sie auch sein, ungewöhnliche Aktivitäten und potenzielle Bedrohungen zu identifizieren. Sie sind in der Lage, eure gesamten IT- und Geschäftsabläufe in Echtzeit zu überwachen und bieten somit enormes Potenzial für die Umsetzung verschiedener NIS2-Anforderungen.

NIS2 mit digital Experten umsetzen

Richtlinien allein gewährleisten noch keine Sicherheit. Erst wenn diese auch fester Bestandteil eurer Unternehmenspraxis werden, könnt ihr eure Daten sichern und potenzielle Systemausfälle verhindern.

Mit welchen konkreten Maßnahmen ihr ein solides Sicherheitsniveau erreicht, erfahrt ihr von unseren Security-Experts auf der Handelskraft Konferenz 2025. Im Workshop bekommt ihr effektive Strategien an die Hand, mit denen ihr den Web-Auftritt eures Unternehmens schützt und Risiken nachhaltig minimiert.