Neue Regulierung in der Cybersicherheit Wird durch NIS2 die Kür für KMU zur Pflicht?

Die aktuelle Cybersicherheitslage zeigt, dass mögliche schwerwiegende Sicherheitsvorfälle oft bedeutende Auswirkungen auf das eigene Unternehmen, aber auch auf die damit verbundene Lieferkette haben. Um das Funktionieren des Gemeinwesens in unserem Land sicherzustellen, werden ca. 30.000 Unternehmen durch das Inkrafttreten der NIS2-Richtlinie zur Umsetzung erhöhter IT-Sicherheit verpflichtet. Diese Vorgaben dienen im Besonderen dazu, die Resilienz von Unternehmen zu erhöhen.

Aktueller Stand der Umsetzung der NIS2-Richtlinie

Die NIS2-Richtlinie ist Ende 2025 durch die Verabschiedung des NIS2-Umsetzungsgesetztes in Deutschland in Kraft getreten. Da es keine Übergangsfristen gibt, gelten die erhöhten Cybersicherheitsanforderungen seit diesem Datum verbindlich für betroffene Unternehmen und Einrichtungen, die nun handeln müssen, um die Vorgaben zu erfüllen.

Erster Einblick in die verpflichtenden Maßnahmen für betroffene Unternehmen

Die betroffenen Unternehmen werden in besonders wichtige Einrichtungen (bwE) und wichtige Einrichtungen (wE) aufgeteilt und unterliegen dann umzusetzenden Maßnahmen.

Neben der eigenständigen Identifikation (Betroffenheitsprüfung) und ​Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt es weitere Umsetzungsverpflichtungen. So ist ein strukturiertes Risikomanagement einzurichten. Zudem sind entsprechende Meldefristen von möglichen schwerwiegenden Sicherheitsvorfällen gegenüber dem BSI einzuhalten und Nachweise und Dokumentationen zu führen.

Um eine hohe Reaktionsfähigkeit und mögliche Wiederherstellung der betroffenen Geschäftsprozesse sicherzustellen, ist auch die unmittelbare Lieferkette mit in die Betrachtung einzubeziehen. Auch die Geschäftsleitungen der von diesem Gesetz betroffenen Unternehmen werden verpflichtet, einen eigenen fachlichen Wissenstand zur Begleitung der Umsetzung aufzubauen.

In nachfolgenden Bereichen sind entsprechende Maßnahmen umzusetzen:

• Einrichtung eines funktionierenden Informationssicherheitsmanagements (ISM)
• Aufbau eines Notfallmanagements (BCM)
• Betrachtung und Einbeziehung der unmittelbaren Lieferkette (SupplyChain-Management)
• Umsetzung von Schulungen und Sensibilisierungsmaßnahmen
• Erhöhte Kryptographie und Authentifizierung
• Erhöhter Schutz vor physischen Gefahren

Bei Folgen durch Nichtumsetzung wird das Gesetz Sanktionen entsprechend der Zuordnung für „besonders wichtige Einrichtungen“ bis zu zehn Millionen Euro oder zwei Prozent und bei „wichtigen Einrichtungen“ bis zu sieben Millionen Euro oder eins Komma vier Prozent des globalen Umsatzes auferlegen.

Erste Schritte für KMU

• Entwickeln einer Sicherheitsleitlinie
  Hiermit sollte das Bekennen der Unternehmensleitung zu einer gelebten Informationssicherheit dargestellt werden.

• Schaffen von Übersichten
  Strukturierte Dokumentation ist das A und O für funktionierende Prozesse. Hier sollten Berechtigungs- und Zugangskonzepte geprüft und aktualisiert werden. Außerdem sollten die wichtigsten Geschäftsprozesse analysiert und Folgen aus Sicherheitsvorfällen betrachtet werden, sowie Infrastrukturübersichten erstellt bzw. aktualisiert werden.

• Sensibilisierungsmaßnahmen und Schulungen
  Der Mensch ist und bleibt auf lange Sicht die „Schwachstelle Nr.1“ in Bezug auf die Angriffsfläche bei Cyberangriffen. Hier sind Schulungen zur Erläuterung möglicher Gefahren und dem richtigen Umgang ein wichtiger Schritt zu erhöhter IT-Sicherheit.