Sind Sie „kritisch“? Dann müssen Sie auf NIS2 reagieren

In diesem Artikel lesen Sie,

• warum sich Unternehmen jetzt mit der europäischen Sicherheitsrichtlinie NIS2 auseinandersetzen müssen,
• wie der Cloud-Trick hilft, die NIS2-Anforderungen einfach zu erfüllen
• und warum Sie sich mit der Open Telekom Cloud keine Gedanken um NIS2 und andere sicherheitsrelevante Richtlinien machen müssen. 

Am 18. Oktober ist das Inkrafttreten einer weiteren europäischen Compliance-Richtline geplant: NIS2 für Netzwerk- und Informationssicherheit („Cyberresilienz“). NIS2 strebt ein höheres gemeinsames Cybersicherheitsniveau in der EU an – durch erweiterte Anforderungen an Unternehmen und Organisationen in kritischen Sektoren. Als „kritisch“ werden sehr viel mehr Unternehmen eingestuft als bislang (beispielsweise durch die Kritis-VO des Bundes). Unternehmen, die neu als kritisch eingestuft werden, sollten jetzt handeln.

„Zu gering ausgeprägte Cyberresilienz“ – mit dieser Aussage begründen EU-Gremien häufig die Entwicklung neuer Richtlinien, die dann von den einzelnen Mitgliedsstaaten in nationales Recht umgewandelt werden müssen. Das war zuletzt bei der EU-Verordnung DORA (Digital Operational Resilience Act) der Fall, die 2023 in Kraft trat und im Januar 2025 angewendet wird. Aber auch die aktuelle Initiative NIS2 (für Netzwerk- und Informationssicherheit) gründet auf einer „schwach ausgeprägten Cyberresilienz“ von Unternehmen. NIS2 ist eine Art „DORA für alle“, die eine Vielzahl von kritischen Industrien/Unternehmen anspricht.  

NIS2 deutet an, dass es eine Vorgeschichte gibt: Bereits 2016 verabschiedete die EU die Vorläuferrichtlinie, die dazu dienen sollte, ein höheres Niveau der Netzwerk- und Informationssystemsicherheit für Unternehmen in der gesamten EU zu schaffen. Die NIS-Richtlinie war das erste EU-weite und einheitliche Rahmenwerk für Cybersicherheit. Mit NIS2 wird die Situation nun erneut bewertet und geregelt. Das zu erwartende Resultat: strengere Anforderungen, erweiterte Sanktionsmöglichkeiten. 

Dabei verlangt NIS2 nicht unbedingt Neues. Vielmehr werden Regularien und Anforderungen an kritische Infrastrukturen (KRITIS) ausgeweitet – sowohl auf neue Sektoren als auch auf kleinere Unternehmen. NIS2 fordert von Unternehmen, dass sie aktuelle Best Practices der IT-Sicherheit einsetzen, Konzepte für Zugriffskontrollen und das Management von Anlagen und Resilienz des Betriebs von Services haben, professionell mit Sicherheitsvorfällen umgehen, ihre Lieferketten absichern und Verschlüsselung einsetzen – kurzum ein aktives IT-Risikomanagement betreiben.

Neben neuen Sanktionen (die sich wie bei der EU-DSGVO am Jahresumsatz orientieren können) und einer persönlichen Haftungsverpflichtung für Manager ändert sich vor allem die Bewertung, welche Sektoren als kritisch – und damit von NIS2 betroffen – eingeordnet werden. Insgesamt 18 Sektoren hat die EU nun als wichtig („important“) oder besonders wichtig („essential“) eingestuft. Neu ist die Aufnahme von Forschung, öffentlicher Verwaltung und ICT-Dienstleistern. 

Damit Unternehmen dieser Branchen unter die NIS-Ägide fallen, müssen sie mehr als 50 Mitarbeiter oder 10 Millionen Euro Jahresumsatz ausweisen. Das zumindest ist die Daumenregel. Doch eine kleinere Unternehmensgröße oder ein geringerer Umsatz ist nicht per se ein „Schutz“ vor NIS2: Sobald ein Unternehmen „kritische“ Tätigkeiten wahrnimmt, bei deren Ausfall „substanzielle“ Auswirkungen entstehen können, fällt es ebenfalls unter die Regulatorik. Hier galt bislang als Faustregel, dass etwa eine halbe Million Menschen vom Ausfall einer Leistung betroffen sind. Das könnte bei einem Top Level Domain Registrar oder einem Trust Provider ziemlich schnell der Fall sein. Unter dem Strich bedeutet das, dass NIS2 deutlich mehr Unternehmen adressiert als zuvor die Kritis-VO. Das BSI bietet auf seinen Seiten eine unverbindliche NIS2-Betroffenheitsprüfung an.

Geplant ist, dass NIS2 in Deutschland am 18. Oktober 2024 in Kraft treten soll, auch wenn über das entsprechende Umsetzungsgesetz (NIS2UmsuCG) noch diskutiert wird. Selbst wenn sich NIS2 noch um einige Wochen oder Monate verschiebt: Unternehmen sollten heute bereits eruieren, ob sie unter die entsprechende Richtlinie fallen – und wie sie die umfangreichen Anforderungen erfüllen. Denn die Einstufung als „NIS2-Unternehmen“ bringt umfassende Pflichten und Verantwortungen mit sich. Wenn ein Unternehmen neu als NIS2-relevant eingestuft wird, bedeutet das, dass es ein zusätzliches Arbeitspaket schultern muss, um seine Dienste weiterhin anbieten zu können.

Experten empfehlen als Lösung für eine NIS2-Compliance u.a. eine Zertifizierung wie die ISO 27001. Aber eine ISO-Zertifizierung bindet umfassende Ressourcen und dauert seine Zeit – bis zum 18. Oktober (oder auch zum Ende des Jahres 2024) lässt sich das kaum machen. Eine Alternative könnte es sein, einen Teil der Nachweise und Verpflichtungen an einen Dienstleister auszulagern, indem IT-Services auf eine Plattform umziehen, die die Compliance-Anforderungen erfüllt. 

Hier kommen auch Clouds wie die Open Telekom Cloud ins Spiel. Die Open Telekom Cloud erfüllt die wichtigsten Sicherheitsanforderungen schon seit vielen Jahren. Wer Workloads in sie umzieht, profitiert von umfassenden Zertifizierungen sowie einem ausgefeilten Informationssicherheits- und Risikomanagement über die ISO 27001 hinaus. Dazu zählt auch die KRITIS-Zertifizierung der Open Telekom Cloud.  

Der Sprung in eine sichere, europäische Cloud wird zu einem cleveren Trick, um zügig mit geringen Aufwänden NIS2-Compliance herzustellen – oder zumindest substanzielle Beiträge für die Erfüllung der NIS2-Anforderungen zu erzielen.