NIS2 im Kontext: IT-Grundschutz, KRITIS-Vorgaben und Co. in neuem Gewand?

28.

Nov.

2024

B3S, BCM, Business Continuity Management, IT-Grundschutz, KRITIS, NIS2, TISAX

Die europäische NIS2-Richtlinie wird in der IT-Sicherheitsszene heiß diskutiert. In Deutschland läuft die Ratifizierung aktuell. Bis zur rechtsgültigen Verabschiedung und Einführung des Gesetzes dürften wohl noch einige Monate vergehen.

+++ UPDATE 27.01.25: KRITIS-Organisationen waren in 2024 von deutlich mehr Cybersicherheitsvorfällen als in den Jahren zuvor betroffen, beim BSI gingen 769 solcher Meldungen ein. Ein weiteres Indiz, weshalb NIS2 durchaus Berechtigung hat.
Zugleich sind die Umsetzungsgesetze zu CER- und NIS2-Richtlinie in den Verhandlungen endgültig gescheitert, die kommende Bundesregierung muss dann einen zweiten Anlauf unternehmen. Vorsichtige Prognose: Frühestens im Herbst 2025 werden die Gesetze zustande kommen. +++

+++ UPDATE 28.11.24: Die EU hat wegen der Verzögerung bei der Einführung Vertragsverletzungsverfahren eingeleitet. +++

Viele Unternehmen fragen sich derzeit, ob das nur eine Neuauflage bestehender Regularien ist, oder ob NIS2 ihnen gerade jetzt zusätzliche Lasten aufbürdet – und vor allem, ob sie überhaupt betroffen sind.

In unserer Blog-Serie, die wir in Zusammenarbeit mit dem Datenschutzbeauftragten Maximilian Hartung erstellt haben, gehen wir näher auf die NIS2-Thematik ein.
Teil 2 der Serie beleuchtet die Gemeinsamkeiten von NIS2, IT-Grundschutz, KRITIS-Vorgaben, B3S und DSGVO.
Teil 3 der Serie zeigt sechs praxisorientierte Handlungsempfehlungen, mit denen man step-by-step NIS2-Compliance erreichen kann.

Gerade für viele mittelständische Unternehmen (KMU) kommt die NIS2-Einführung zur Unzeit:
Der wirtschaftliche Druck durch Inflation, Bürokratie, steigende Kosten und Investitionsstau nimmt zu – und die Zahl der Cyberangriffe steigt mehr und mehr an. Zu alledem herrscht seit Jahren enormer IT-Fachkräftemangel.

Grundsätzlich sind Maßnahmen, die die Cyber-Sicherheit stärken, durchaus richtig und wichtig. In der unguten Gesamtsituation dann aber neue, komplexe IT-Sicherheits-Regularien wie NIS2 fristgerecht zu erfüllen, wird von vielen Unternehmen als Bürde wahrgenommen und aufgeschoben: Zwei Drittel der betroffenen 30.000 Unternehmen hinken mit der NIS2-Umsetzung hinterher.

Für betroffene Unternehmen und KRITIS-Organisationen stellt sich daher die Frage, wie sie trotz der belastenden Situation auch zusätzliche Regularien wie NIS2 erfolgreich umsetzen können.

NIS2 und Co: Vier Sicherheitsrichtlinien auf einen Streich?

Für Unternehmen und Organisationen ist es naheliegend, die Synergie-Effekte einer zentralisierten Sicherheitsstrategie sowie bereits vorhandene Sicherheitsmaßnahmen zu nutzen, und so idealerweise gleich mehrere Regularien auf einmal zu erfüllen.
Wenn man wie im Folgenden die wichtigsten bestehenden Regularien wie IT-Grundschutz, KRITIS, branchenspezifische Sicherheitsstandards (B3S) gegenüber der kommenden NIS2-Richtlinie betrachtet, zeigen sich tatsächlich viele Überschneidungen.

IT-Grundschutz (BSI) – die Grundlage für (fast) alles:

Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) bildet seit Jahren den Standard für die Informationssicherheit in Deutschland. Er umfasst grundlegende Maßnahmen und Empfehlungen zur Absicherung von IT-Systemen und -Prozessen und bietet einen modularen, anpassbaren Ansatz für die Umsetzung. Der IT-Grundschutz gliedert sich in mehrere Bausteine, die auf typische Gefährdungen und Risiken eingehen.

KRITIS – für Kritische Infrastrukturen:

KRITIS-Vorgaben richten sich an Betreiber kritischer Infrastrukturen und sind gesetzlich im IT-Sicherheitsgesetz verankert.

KRITIS-Betreiber müssen nachweisen, dass sie IT-Sicherheitsmaßnahmen getroffen haben, um die Verfügbarkeit ihrer Dienstleistungen und den Schutz sensibler Daten sicherzustellen.

Viele dieser Vorgaben finden auch im IT-Grundschutz Anwendung. Sie beruhen auf bewährten Sicherheitskonzepten, insbesondere in den Bereichen Risikomanagement, Zugangskontrollen, Netzwerk- und Systemüberwachung sowie Business Continuity Management (BCM).

B3S – Branchenspezifische Sicherheitsstandards:

Die Sicherheitsanforderungen der B3S-Standards wie z. B. TISAX für die Automobilindustrie sind eng mit den allgemeinen KRITIS-Vorgaben und dem IT-Grundschutz abgestimmt, viele finden sich auch in ISO-Normen (z. B. ISO 27001 oder IEC 62443 für OT-Sicherheit) wieder.
Ziel ist es, branchenspezifische Eigenheiten zu berücksichtigen, und dabei nahtlos integriert allgemeingültige Anforderungen und IT-Sicherheitsrichtlinien zu erfüllen.

NIS2-Richtlinie der EU:

Als Weiterentwicklung der bisherigen NIS-Richtlinie und zielt die NIS2-Richtlinie darauf ab, die Cybersicherheit in der EU weiter zu harmonisieren und zu stärken. Sie verschärft die Anforderungen an die Cybersicherheitsmaßnahmen und Berichterstattung.
Am Gravierendsten: NIS2 betrifft noch mehr Unternehmen als z. B. KRITIS. Ähnlich wie beim IT-Grundschutz oder KRITIS geht es bei NIS2 um den Aufbau robuster Strukturen für das Risikomanagement, Vorfallreaktionen und BCM.
Unternehmen müssen nachweisen können, dass sie geeignete technische und organisatorische Maßnahmen zur Abwehr von Cyberangriffen getroffen haben.

Die NIS2-Richtlinie erweitert den Kreis der betroffenen Unternehmen erheblich. Neben den klassischen Betreibern kritischer Infrastrukturen wie Energie, Wasser und Gesundheit betrifft die Richtlinie nun auch Bereiche wie das verarbeitende Gewerbe, digitale Dienste, Telekommunikation und den Finanzsektor. Selbst etliche mittelständische, bislang außen vor gebliebene Unternehmen, fallen jetzt unter die NIS2-Anforderungen – für die meisten „Neuen“ wohl überraschend.

NIS2-Richtlinie: Ist Ihr Unternehmen auch betroffen?

Die BSI-Betroffenheitsprüfung ermöglicht Ihnen eine erste Einschätzung.

Die Prüfung ist rechtlich nicht bindend, bietet aber wertvolle Orientierung und nützliche Hinweise.

Zum NIS2-Test

FAZIT
Lapidar gesagt: Die NIS2-Richtlinie „kocht auch nur mit Wasser“ – es gibt zum Teil große Schnittmengen mit bestehenden IT-Sicherheitsrichtlinien wie IT-Grundschutz, B3S oder ein ISMS gemäß ISO-27001.

Jedoch erweitert sich der Kreis der betroffenen Unternehmen erheblich. Diese Organisationen stehen nun bei der Umsetzung unter Druck. Deshalb ist es sinnvoll, zunächst die BSI-Betroffenheitsprüfung zur Selbsteinschätzung zu nutzen.

Ist Ihr Unternehmen womöglich betroffen? Wir bei ProSoft vermitteln Ihnen gerne unentgeltlich Berater für die NIS2-Zertifizierung. Auch wenn die Richtlinie wahrscheinlich nicht vor 2025 in geltendes Recht in Deutschland und Österreich umgesetzt wird, empfiehlt es sich frühzeitig erste Maßnahmen anzugehen. Bei ProSoft finden Sie technische Lösungen und Managed Services, die Ihnen helfen Ihre IT-Security zu verbessern und dies auch nachzuweisen.