Kurz nachgefragt
Was ist die NIS2?
Mehr Cybersicherheit für mehr Unternehmen in Europa.
Kurz nachgefragt
Mehr Cybersicherheit für mehr Unternehmen in Europa.
29. Februar 2024
Die Bedrohung durch Hackerangriffe ist so hoch wie noch nie, warnt das Bundesamt für Sicherheit in der Informationstechnik. Mit der NIS2 will die EU wichtige Unternehmen und Einrichtungen widerstandsfähiger gegen Cyberangriffe machen. Bis zum 17. Oktober 2024 muss die neue Richtlinie von den EU-Mitgliedsstaaten in nationales Recht übersetzt werden. Welchen Sicherheitsanforderungen welche Unternehmen künftig gerecht werden müssen, erklärt Cybersecurity-Experte Jacques Kruse Brandao von TÜVIT.
Herr Kruse Brandao, was ist die NIS2?
Jacques Kruse Brandao: NIS steht für „Network Information Security“, also für alles, was in einem Unternehmen an Kommunikation passiert, was an Hard- oder Software verwendet oder an Daten geteilt wird. Die NIS2 löst die bisherige NIS-Richtlinie ab, verschärft die Anforderungen an die Cybersecurity und betrifft zugleich deutlich mehr Unternehmen. Während sich die bisherige Richtlinie vornehmlich auf kritische Infrastrukturen wie Energieversorger oder das Finanzwesen konzentrierte, kommen nun etwa auch Post- und Kurierdienste, Fahrzeug- und Maschinenbauer, der Lebensmittelsektor und digitale Dienste hinzu. Also Onlinemarktplätze, Suchmaschinen, Social-Media-Plattformen und die Data-Center hinter diesen Unternehmen, deren Ausfall uns alle massiv betreffen würde. Die NIS2 gilt dabei für Unternehmen ab 50 Mitarbeitenden und zehn Millionen Euro Umsatz aus 18 Branchen und Bereichen, die die Richtlinie definiert. Teile der digitalen Infrastruktur und die öffentliche Verwaltung werden unabhängig von der Größe erfasst..
Wie viele Unternehmen wird die NIS2 voraussichtlich betreffen?
In Deutschland fallen schätzungsweise 29.000 Unternehmen unter die NIS2, in Europa etwa 400.000. Letztlich wird die Richtlinie aber wesentlich mehr Unternehmen betreffen. Denn die direkt betroffenen Betriebe müssen die Cybersecurity ihrer Lieferketten nun ebenfalls in den Blick nehmen. Automobilhersteller könnten künftig auch ihre mittelständischen Zulieferer dazu verpflichten, entsprechende Cybersecurity-Maßnahmen einzuführen, um selbst nicht gegen die EU-Vorgaben zu verstoßen.
Welche weiteren neuen Anforderungen stellt die NIS2?
Unternehmen müssen ihre Mitarbeitenden in puncto Cybersecurity schulen, sie etwa über entsprechende Programme für Phishing-Mails sensibilisieren, um hier eine entsprechende Acht- und Wachsamkeit aufzubauen. Außerdem soll bei Verstößen gegen die Anforderungen die Geschäftsführung persönlich haftbar gemacht werden. Diese trägt also künftig die Verantwortung für die Umsetzung der Sicherheitsmaßnahmen und kann sie nicht länger an Dritte delegieren. Grundsätzlich gilt: Cybersecurity-Management wird für die betroffenen Unternehmen zur Pflicht. Sie müssen zunächst eine Risikoanalyse durchführen, welche Geräte und Software sie verwenden, klären, wer welchen Zugang zu den internen Systemen hat und welches Risiko damit verbunden ist, und daraufhin geeignete Sicherheitsmaßnahmen implementieren. Dann geht es darum, Strukturen für einen möglichen Cyberangriff zu schaffen: Wer kümmert sich darum, dass bestimmte IT-Systeme vom Netz genommen werden, wer informiert Behörden, Geschäftspartnerinnen und -partner sowie Kundinnen und Kunden ? Denn mit der NIS2 werden auch strenge Meldepflichten eingeführt. Die Aufsichtsbehörden müssen innerhalb von 24 Stunden über den Vorfall und binnen 72 Stunden über die ergriffenen Gegenmaßnahmen informiert werden. Bei Verstößen gegen diese oder andere Anforderungen drohen empfindliche Strafen von bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes. Die Anforderungen vollumfänglich umzusetzen ist für Unternehmen also elementar, um Strafen zu vermeiden und um die Folgen von Cyberangriffen zu minimieren und so zu gewährleisten, dass Produktion und Geschäftsbetrieb nach einer solchen Attacke möglichst uneingeschränkt weiterlaufen können. .
Und warum wollen Sie diese Quantenschlüssel über Satelliten senden?
Grundsätzlich kann man Photonen zwar auch über das Glasfasernetz schicken. Da bei der Übertragung aber unweigerlich Verluste entstehen, also Photonen auf dem Weg zur Empfängerin oder zum Empfänger verloren gehen, funktioniert das heute nur auf Distanzen bis etwa 300 Kilometer effizient. Bei der Übertragung über einen Satelliten kann man dagegen Distanzen von bis zu 5.000 Kilometern überwinden. China hat seit 2016 einen Quantensatelliten im All und auch bereits ein Quantennetzwerk zwischen Peking und Schanghai aufgebaut, an das über tausend Endabnehmende angeschlossen sind: von der Regierung über Banken bis zum Militär. In Europa nachzuziehen und ein eigenes Satellitensystem aufzubauen ist essenziell. Schließlich könnten wir kein fremdes System verwenden, bei dem wir nicht wissen, wie es aufgebaut ist und ob es nicht zu Spionagezwecken missbraucht werden könnte. Erste Bestrebungen in Europa gibt es dazu bereits, zu denen wir mit unserer Arbeit beitragen wollen.
Dies ist ein Artikel von #explore. #explore ist eine digitale Entdeckungsreise in eine Welt, die sich in rasantem Tempo wandelt. Die zunehmende Vernetzung, innovative Technologien und die alles umfassende Digitalisierung schaffen Neues und stellen Gewohntes auf den Kopf. Doch das birgt auch Gefahren und Risiken: #explore zeigt einen sicheren Weg durch die vernetzte Welt.