NIS2: Risiken und Chancen für Unternehmen

Einleitung und rechtliche Hinweise

NIS ist eine Abkürzung für „Netzwerk- und Informationssicherheit“.

Mit diesem Akronym wollte die Europäische Gemeinschaft die gesetzgeberischen Bemühungen bezeichnen, einen einheitlichen Ansatz für die Cybersicherheit in allen EU-Mitgliedstaaten zu definieren.

Im Jahr 2018 wurde die erste europäische Verordnung namens NIS1 (EU-Richtlinie 2016/1148) verabschiedet; sie wurde auf nationaler Ebene durch das Gesetzesdekret Nr. 65 vom 18.05.2018 umgesetzt.

Das NIS-Dekret sah zudem die Verabschiedung einer „nationalen Cybersicherheitsstrategie“ vor und führte das italienische CSIRT (Computer Security Incident Response Team) ein, das in Zusammenarbeit mit europäischen CSIRTs technische Aufgaben im Zusammenhang mit der Prävention, der Reaktion auf und der Überwachung von Cybervorfällen wahrnimmt.

NIS1 wurde anschließend durch NIS2 (EU-Richtlinie 2022/2555) abgelöst; die Umsetzung auf nationaler Ebene erfolgte durch das Gesetzesdekret Nr. 138 vom 4. September 2024.

NIS 2 zielt darauf ab, die Einschränkungen von NIS 1 zu überwinden, das den Mitgliedstaaten bei der Umsetzung zu viel Ermessensspielraum ließ, was dazu führte, dass das Harmonisierungsziel verfehlt wurde, und zudem bestimmte Kategorien von Einrichtungen ausschloss, die aufgrund ihrer Bedeutung für den europäischen Markt hätten reguliert werden müssen.

Darüber hinaus wurde NIS2 eingeführt, um auf die zunehmende Digitalisierung zu reagieren, die in allen Mitgliedstaaten stattgefunden hat und durch die Pandemie noch beschleunigt wurde; dadurch hat sich die Angriffsfläche für Cyberangriffe vergrößert, ohne dass die Sicherheitssysteme entsprechend ausgebaut wurden.

Schließlich besteht ein weiteres Ziel von NIS2 darin, Betreiber kritischer und wichtiger Dienste sowie Anbieter digitaler Dienste zu verpflichten, angemessene Sicherheitsmaßnahmen zu ergreifen und Vorfälle unverzüglich den zuständigen Behörden sowie den Nutzern ihrer Dienste zu melden.

Die neue Richtlinie wurde an andere spezifische europäische sektorale Vorschriften angepasst, darunter:

- die Richtlinie über die digitale Betriebsresilienz im Finanzdienstleistungen (DORA). Dabei handelt es sich um die am 10.11.2022 verabschiedete Verordnung, deren Ziel es ist, die Sicherheitsmaßnahmen zugunsten der Resilienz und Cybersicherheit des Finanzdienstleistungen durch die Umsetzung einer Reihe verbindlicher Sicherheitsmaßnahmen zu verstärken, die die Integrität von Informationen und die Cybersicherheit von Diensten gewährleisten;

- die Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen (CER); sie soll für Rechtsklarheit und Kohärenz zwischen den verschiedenen Richtlinien sorgen.

Die betreffenden Unternehmen wurden wie folgt unterteilt:

• Systemrelevante Bereiche (Energie; Verkehr; Gesundheit; Wasserversorgung; öffentliche Verwaltung; Finanzen; Raumfahrt; digitale Infrastruktur)
• Wichtige Bereiche (Forschung; Chemikalien; Lebensmittel; industrielle Produktion; digitale Dienstleister; Postdienste; Abfallwirtschaft)
• Öffentliche Einrichtungen: Zentralregierung (verfassungsmäßige und verfassungsrelevante Organe; das Amt des Ministerpräsidenten und Ministerien; Steuerbehörden; Unabhängig ) | Regionalregierung (Regionen und autonome Provinzen) | Kommunalverwaltung (Großstädte; Gemeinden mit mehr als 100.000 Einwohnern; Regionalhauptstädte; lokale Gesundheitsbehörden) | Sonstige öffentliche Einrichtungen (Wirtschaftsregulierungsbehörden; wirtschaftliche Dienstleister; Verbände; Sozial-, Freizeit- und Kulturdienstleister; Forschungseinrichtungen und -institute; experimentelle zooprophylaktische Institute) | Sonstige Arten von Einrichtungen (Einrichtungen, die öffentliche Nahverkehrsdienste erbringen; Bildungseinrichtungen, die Forschungstätigkeiten ausüben; Einrichtungen, die Tätigkeiten von kulturellem Interesse ausüben; interne Unternehmen; Beteiligungsunternehmen und öffentlich kontrollierte Unternehmen)
• Zulieferer: Unternehmen, die für von NIS2 betroffene Einrichtungen kritische Dienste erbringen, müssen ihre digitale Sicherheit verbessern, auch wenn sie ausdrücklich zu den betroffenen Branchen gehören.

Inhalt von NIS2

Die allgemeinen Verpflichtungen, die sich aus dem Inhalt von NIS2 ergeben, lassen sich anhand von vier Hauptsäulen zusammenfassen:

Führung: Die Geschäftsleitung muss die von der Organisation getroffenen Risikomanagementmaßnahmen genehmigen und deren Wirksamkeit im Laufe der Zeit bewerten: Sie sollte regelmäßig an Schulungen zu Fragen der Cybersicherheit teilnehmen und den Mitarbeitern ähnliche Schulungen anbieten.

Risikomanagement: Die Organisation muss Sicherheits- und Netzwerkrisiken bewerten und angemessene sowie verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Auswirkungen von Vorfällen auf die Nutzer ihrer Dienste zu verhindern oder zu minimieren.

Geschäftskontinuität: Die Organisation muss Lösungen einführen, um die Geschäftskontinuität sicherzustellen (z. B. Datensicherungen, Notfallwiederherstellungsplan und Krisenmanagementverfahren), mit dem Ziel, die Auswirkungen etwaiger Unterbrechungen der erbrachten Dienstleistungen so gering wie möglich zu halten.

Lieferkette: Das Unternehmen muss die Schwachstellen jedes einzelnen direkten Lieferanten sowie die Gesamtqualität der Produkte und die Cybersicherheitspraktiken seiner Lieferanten bewerten. Die Bewertung umfasst IKT-Lieferanten und andere kritische Lieferanten, die zu einer Unterbrechung des Dienstes führen könnten, für den die Organisation in den NIS2-Perimeter aufgenommen wurde.

Unternehmen müssen daher in der Lage sein, Folgendes zu messen und darüber Bericht zu erstatten:

• Risikoanalyse und Richtlinien zur Sicherheit von Informationssystemen
• Verfahren zum Vorfallmanagement
• Lösungen zur Aufrechterhaltung des Geschäftsbetriebs (Datensicherung und Notfallwiederherstellung) sowie Verfahren für Krisenmanagement und Krisenkommunikation
• Richtlinien zur Sicherheit in der Lieferkette (Lieferanten und Dienstleister)
• Sicherheit bei der Beschaffung, Entwicklung, Wartung und Verwaltung von Schwachstellen in Informationssystemen und Netzwerken

NIS2-Zeitplan

Unternehmen und öffentliche Verwaltungen müssen eine Prüfung durchführen, um festzustellen, ob sie den Verpflichtungen der NIS2-Richtlinie unterliegen oder nicht.

Vom 1. Dezember 2024 bis zum 28. Februar 2025 sollten sich Unternehmen über das Portal der ACN (Nationale Behörde für Cybersicherheit) mit ihren SPID-Zugangsdaten authentifiziert haben. Während dieses Zeitraums sind die als „Registrierungsdienst“ bezeichneten Benutzer

Insbesondere sind Unternehmen verpflichtet:

• Geben Sie an, ob das Unternehmen Teil einer Unternehmensgruppe ist, und nennen Sie gegebenenfalls die Steuernummer der Muttergesellschaft.
  
• Führen Sie die verbundenen Unternehmen auf und geben Sie deren Steuerkennzeichen an.
  
• Geben Sie die ATECO-Codes an, die die Tätigkeit des Unternehmens beschreiben.
• Geben Sie die einschlägigen sektoralen Vorschriften der Europäischen Union an.
• Geben Sie den Umsatz, die Bilanzsumme und die Mitarbeiterzahl an, um die Kategorie des Unternehmens zu bestimmen.
• Führen Sie die Arten von Unternehmen auf, zu denen das Unternehmen gehört.

Bis zum 17. Januar 2025 sollten sich Betreiber von Top-Level-Domain-Registries, Anbieter von DNS- und Domain-Registrierungsdiensten, Cloud-Computing-Anbieter, Rechenzentren, Anbieter von Content-Delivery-Netzwerken, Managed-Service-Provider, Managed-Security-Service-Provider sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für soziale Netzwerke auf der Plattform registriert haben.

Bis zum 31. März 2025 stellte das ACN auf der Grundlage der über die Plattform eingegangenen Registrierungen eine Liste der wesentlichen und wichtigen Einrichtungen zusammen.

Zwischen dem 1. April 2025 und dem 15. April 2025 teilte die ACN den betroffenen Einrichtungen mit, ob sie in die Liste der systemrelevanten oder wichtigen Einrichtungen aufgenommen worden waren.

Bis zum 15. April 2025 mussten die Einrichtungen, die die Mitteilung erhalten hatten, durch einen gesonderten Rechtsakt eine Stelle benennen, die für die Erfüllung der Verpflichtungen aus dem Erlass zuständig ist.

Danach müssen die von der Richtlinie betroffenen Unternehmen weitere Anforderungen erfüllen:

• bis zum 1. Januar 2026; Meldepflicht für Vorfälle
• bis zum 1. Oktober 2026; die Verpflichtungen in Bezug auf Verwaltungsorgane und Sicherheitsmaßnahmen müssen erfüllt sein

Jedes Jahr wird das ACN die Liste der betroffenen Einrichtungen aktualisieren. Unternehmen und öffentliche Verwaltungen haben jedes Jahr zwischen Januar und Februar die Möglichkeit, sich zu registrieren, wenn sie der Ansicht sind, dass sie zu den betroffenen Einrichtungen gehören.

Risiken für Unternehmen, aber auch Chancen

Nach Inkrafttreten der NIS2-Richtlinie und der Ermittlung der betroffenen Betreiber können die zuständigen Behörden Überwachungsmaßnahmen und Stichproben durchführen, um die Einhaltung der Richtlinie zu überprüfen. Bei Nichteinhaltung werden gegen die betroffenen Unternehmen Sanktionen verhängt.

Die Strafen sind sehr hoch: für große Unternehmen bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes; für mittelständische Unternehmen bis zu 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes.

Zwar erfordert die Einhaltung der Vorschriften einen erheblichen Aufwand und Investitionen seitens der Unternehmen; doch muss auch anerkannt werden, dass die Vorschriften selbst darauf abzielen, eine wirksame Lösung für das Problem der Cyberangriffe zu bieten, für die italienische Unternehmen nach wie vor sehr anfällig sind und die sie aus Imagegründen oft zu vertuschen neigen. In wirtschaftlicher Hinsicht beläuft sich der geschätzte durchschnittliche Schaden pro Cyberangriff auf mehr als 2 Millionen Euro, unabhängig vom Umsatz des Unternehmens.

Wie ERA beim NIS2-Compliance-Management helfen kann

Trotz alledem – was darauf hindeuten könnte, dass Unternehmen ein großes Interesse an Fragen der Cybersicherheit haben und sich intensiv damit befassen – ist es nicht ungewöhnlich, insbesondere bei kleinen und mittleren Unternehmen (KMU), auf Firmen zu stoßen, die Über uns wenig oder gar nichts unternommen haben und derzeit nicht in der Lage sind, ihre Position hinsichtlich der Risiken, denen sie ausgesetzt sind, zu definieren – sowohl aus technischer Sicht als auch im Hinblick auf die Einhaltung der verschiedenen geltenden Vorschriften.

Einige Unternehmen gehen das Thema Cybersicherheit über den Abschluss von Versicherungen an. Allerdings zögern Versicherungsgesellschaften oft, Unternehmen, die im Cyberbereich noch nie konkrete Maßnahmen ergriffen haben, einen solchen Schutz anzubieten. Der Grund dafür ist, dass es keine zuverlässige Methode gibt, um die durch einen Cyberangriff verursachten Schäden genau abzuschätzen. Daher konzentrieren sich „NIS2-Pakete“ auf Dienstleistungen zur Bewertung von Cyberrisiken, überlassen es jedoch den Unternehmen, die notwendigen Maßnahmen zu ergreifen, um etwaige Lücken zu schließen. ERA kann einen umfassenderen Service anbieten und stützt sich dabei auf ein Netzwerk hochqualifizierter Anbieter zu sehr wettbewerbsfähigen Konditionen.

Im Einzelnen umfasst die Unterstützung durch ERA Folgendes:

• Eine Bewertung der organisatorischen und technischen Struktur des Unternehmens; mithilfe von Fragebögen zur Selbsteinschätzung unter Verwendung vordefinierter Indikatoren;
• Sensibilisierungs- und Schulungsmaßnahmen; mit Grundkursen für alle Mitarbeiter und Fortgeschrittenenmodulen für die obere und mittlere Führungsebene; im Einklang mit den NIS2-Richtlinien;
• Spezifische und hochqualitative Tests zur Schwachstellenanalyse, zur Bekämpfung von Phishing und zur Bewertung des Ransomware-Risikos;
• Unterstützung durch engagierte Berater während der Sanierungsphase im Anschluss an die Begutachtung;
• Fachliche Unterstützung durch engagierte Berater zur Begleitung strategischer Entscheidungen im Bereich Cybersicherheit.

Unsere Lösung umfasst die Analyse der Einhaltung der NIS2-Vorschriften – was zweifellos das dringlichste Anliegen ist –, kann den Kunden aber auch beim Projektmanagement der Behebungsphase begleiten, d. h. der Phase, in der der Kunde die verschiedenen im Diagnoseprozess festgestellten „Mängel“ beheben muss; und dies ist die Phase, in der die Schwierigkeiten einiger Unternehmen am deutlichsten zutage treten, sowohl hinsichtlich der internen Kompetenzen als auch hinsichtlich der Verfügbarkeit von Zeit und Ressourcen.