Die NIS-2-Direktive der Europäischen Union etabliert umfassende Standards für die IT-Sicherheit von Unternehmen. Ein Großteil der darin enthaltenen Vorgaben sollte längst gängige Praxis sein und betrifft nicht nur Unternehmen in kritischen Sektoren. Die Größe eines Unternehmens spielt für Kriminelle und Industriespione keine Rolle, daher betrifft die NIS-2-Direktive eine breite Palette von Unternehmen.

Die Zielsetzung der NIS-2-Direktive erstreckt sich über die Stärkung der Sicherheit in Wertschöpfungs- und Lieferketten. Dabei wird deutlich, dass mehr Unternehmen betroffen sind, als viele IT-Verantwortliche zunächst annehmen. Die Bewertung erfolgt anhand der Anzahl der Vollzeitbeschäftigten und des Jahresumsatzes, unabhängig davon, ob die NIS-2-Direktive direkt anwendbar ist. Zudem entfällt der bisherige „Anlagenbezug“, sodass nicht nur spezifische Einrichtungen, sondern potenziell das gesamte Unternehmen, das eine bestimmte Anlage betreibt, Sicherheitsmaßnahmen umsetzen muss.

Die Umsetzung von IT-Sicherheitsmaßnahmen wird durch die NIS-2-Direktive auf Management- und Geschäftsleitungsebene gehoben. Gemäß dem Grundsatz „Unwissenheit schützt vor Strafe nicht“ können Geschäftsleitungsmitglieder direkt zur Verantwortung gezogen werden. Verstöße gegen die Richtlinien werden empfindlich bestraft, wobei die Bußgelder in ähnlichen Dimensionen wie bei Datenschutzverstößen liegen.

Die Gefahren des Spielens mit Risiken zeigen sich besonders deutlich bei IT-Sicherheitsvorfällen. Unternehmen müssen potenzielle Sicherheitsvorfälle innerhalb von 24 Stunden melden, auch an Feiertagen und Wochenenden. Zusätzlich sind regelmäßige Updates nach 72 Stunden und 30 Tagen verpflichtend. Abschlussberichte müssen detailliert den genauen Hergang und die Ursachen für sicherheitsrelevante Vorfälle dokumentieren.

Die Beseitigung von „weißen Flecken“ auf der IT-Landkarte erfordert regelmäßige Überprüfungen der bestehenden IT-Sicherheitsmaßnahmen, inklusive Penetrationstests. Die Schulung von Mitarbeitenden im Bereich IT-Sicherheit wird zur Verpflichtung. Ein besonderer Fokus liegt auf der Herausforderung der Überwachung von Netzwerkaktivitäten, die in vielen IT-Abteilungen aufgrund von personellen Engpässen problematisch ist.

Ein wertvolles Instrument für die Überwachung von Netzwerkaktivitäten ist ein SIEM-System, dessen Nutzen jedoch ohne geschultes Personal eingeschränkt ist. Externe Dienstleister können hier unterstützen, da es für die meisten Unternehmen finanziell nicht sinnvoll ist, alle erforderlichen Infrastrukturen selbst zu betreiben und eigenes Personal zu rekrutieren oder zu qualifizieren. Die Zusammenarbeit mit einem unabhängigen Dienstleister, der auf IT-Sicherheit spezialisiert und erfahren ist, gewinnt daher an Bedeutung.

Die Vorbereitung auf Zwischenfälle erfordert ein spezialisiertes Incident Response Team, das für die meisten Unternehmen jedoch nicht realisierbar ist. In-house-Qualifizierung von Mitarbeitenden gestaltet sich insbesondere im Bereich der Incident Response als nahezu unmöglich, da dieser spezifische Erfahrungen im Umgang mit Sicherheitsvorfällen erfordert. Die Investition in externe Dienstleistungen und Retainer-Verträge zahlt sich aus, wenn ein Unternehmen schneller als erwartet wieder arbeitsfähig ist.

Die Zeit drängt, da immer mehr Unternehmen den unmittelbaren Handlungsbedarf erkennen und in den Dialog mit Dienstleistungsunternehmen und Beratern treten. Die Umsetzung der NIS-2-Direktive im nationalen Recht bis zum 17. Oktober 2024 erfordert schnelles Handeln, und Übergangsfristen sind wahrscheinlich nicht vorgesehen.

Die Vielschichtigkeit der NIS-2-Direktive lässt sich nicht sofort perfekt im Gesetzestext abbilden. Es werden Verfahren und Gerichtsurteile zu einzelnen Fragestellungen notwendig sein. Unternehmen sollten daher keine Lücken zulassen, um nicht selbst zum Präzedenzfall in einem möglichen Verfahren zu werden.