Unternehmen, die noch nicht wissen, ob das Gesetz zur Umsetzung der Informationssicherheits-Richtlinie für sie gilt, sollten sich rasch mit dem Thema beschäftigen. Es weitet die Anforderungen an die IT-Sicherheit aus – und Übergangsfristen gibt es nicht. 

Die EU-Richtlinie NIS 2 will Angriffe auf die IT-Sicherheit erschweren. Künftig werden 30.000 Unternehmen als „besonders wichtige“ oder „wichtige“ Einrichtungen mit Kritischen Infrastrukturen erfasst, auch Energieversorger. Geschäftsleitungen sind verantwortlich für Umsetzung der Maßnahmen, Überwachungs- und Schulungspflicht. Unternehmen müssen prüfen, ob sie in den Anwendungsbereich fallen und welche Nachweispflichten sie haben. 

Den 6. Oktober 2023 dürfte in der Verwaltung des Frankfurter Universitätsklinikums wohl niemand so schnell vergessen: Spätabends fällt einem Mitarbeiter der IT-Sicherheitsabteilung auf, dass sich jemand mit höchsten Zugriffsrechten im IT-System der Klinik befindet. Privilegien, die nur wenige Personen genießen. Tatsächlich verschaffte sich ein virtueller Eindringling Zugang – ein Hacker. Auf die Patientenversorgung hat der Angriff keine Auswirkungen, das ist die gute Nachricht. Die schlechte lautet: Die Klinik muss einen Großteil ihrer IT-Systeme herunterfahren. Rechnungen werden wieder gefaxt, Verbindlichkeiten per Papierüberweisungsträger beglichen. Termine gibt es nur noch per Telefon. Es sind genau solche Angriffe, die die Europäische Union mit der jüngsten Netzwerk- und Informationssicherheits-Richtlinie (NIS 2) erschweren will. „Die Richtlinie weitet die Anforderungen an die IT-Sicherheit von Unternehmen, die bisher nicht als KRITIS-Unternehmen klassifiziert waren, deutlich aus“, weiß Anne Radermacher aus dem Thüga-Kompetenzcenter Recht. KRITIS bezeichnet die Kritischen Infrastrukturen, also alle Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Neben der Energie- und Wasserwirtschaft sind unter anderem Telekommunikation, IT-Dienstleister und Transportunternehmen betroffen. Statt etwa 4.700 Organisationen werden künftig wohl rund 30.000 Unternehmen als „besonders wichtige“ oder „wichtige“ Einrichtungen von der Regulierung erfasst.  

In NIS 2-Verantwortung: die Geschäftsleitung

Die Regulierung verlangt Mindestanforderungen wie etwa  

  • ein Konzept zum Risiko- und Schwachstellenmanagement,
  • den Einsatz von Kryptografie- und Verschlüsselungstechnologien sowie
  • die Gewährleistung der Sicherheit der Lieferketten.

Die Verantwortung für die wirksame Umsetzung dieser Maßnahmen wird in der Regulierung explizit den Geschäftsleitungen auferlegt, inklusive Überwachungs- und Schulungspflicht. Bei Verstößen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. 

Registrierungspflicht nach drei Monaten

Geplant war, dass das NIS 2-Umsetzungs- und Cybersicherheitsstärkungsgesetz im Frühjahr 2025 in Kraft tritt. Wegen des verspäteten Gesetzgebungsprozesses in der nationalen Umsetzung der NIS 2-Richtlinie droht Deutschland ein Vertragsverletzungsverfahren der EU-Kommission. Fest steht: „Die Anforderungen des Gesetzes müssen erfüllt sein, sobald es rechtsverbindlich ist“, sagt Radermacher. „Übergangsfristen sieht der Gesetzesentwurf derzeit nicht vor. Wer jetzt noch nicht weiß, ob sein Unternehmen in den Anwendungsbereich fällt und welche Nachweispflichten auf das Unternehmen zukommen, sollte sich zeitnah mit dem Thema befassen.“ Zu beachten ist auch die Registrierungspflicht spätestens drei Monate nach Inkrafttreten. 

Zu komplex für One-size-fits-all-Lösung

Bei einem kleineren Stadtwerk liegen die Dinge wahrscheinlich noch recht übersichtlich. Anders sieht es bei Muttergesellschaften mit mehreren Unternehmenstöchtern aus. Sektor, Versorgungsgrad und diverse Unternehmenskennzahlen spielen bei der Bewertung der NIS 2-Verpflichtungen eine Rolle. „Manchmal ist sogar entscheidend, von welchem Hersteller bestimmte IT- und OT-Systeme stammen“, erklärt Irana Mahrad aus der Thüga-Digitalisierung und kaufmännischen Beratung. OT steht für Operational Technology und bezeichnet eine IT-Kategorie, die in industriellen Umgebungen zur Steuerung und Überwachung physischer Prozesse eingesetzt wird. „Die NIS 2-Anforderungen sind so individuell wie die Geschäftsmodelle der allermeisten Unternehmen in der Energiebranche“, sagt Mahrad. „Leider gibt es daher bei der Umsetzung keine One-size-fits-all-Lösung, die für alle passt.“ Die Expertin rät Unternehmen, Betroffenheiten und Maßnahmen entlang eines klassischen Projektmanagements zu erarbeiten und umzusetzen. „Das bringt Struktur in die Abläufe und schafft klare Verbindlichkeiten.“ Gerade verhandelt die Fachabteilung Rahmenvereinbarungen mit Dienstleistern für etwa IT-Notfallmanagement und Cybersecurity-Beratung für Thüga-Konzerngesellschaften und -Partnerunternehmen. 

Glück im Unglück

Das Frankfurter Universitätsklinikum ist nach dem Angriff vom 6. Oktober 2023 gezwungen, seine gesamte IT neu aufzusetzen. Wochen vergehen, bis die IT-Abteilung mit umfassender externer Unterstützung die Systeme sukzessive wieder hochfahren kann. Trotzdem hat die Klinik Glück im Unglück: Weder verschlüsselten die Hacker Daten oder lasen welche aus noch stellten sie Forderungen.