NIS2 kommt: Viele Unternehmen sind nicht vorbereitet
Die EU verschärft die Vorgaben für Informationssicherheit: Mit NIS2 müssen sich deutlich mehr Unternehmen als bisher auf strengere Sicherheitsmaßnahmen, klare Meldepflichten und höhere Bußgelder einstellen. Die Richtlinie soll helfen, kritische Infrastrukturen und wichtige Dienstleistungen besser vor Cyberangriffen zu schützen – doch die neuen Regeln bringen für Unternehmen auch einige Herausforderungen mit sich.
Bis voraussichtlich Mai 2025 wird diese EU-Richtlinie in Deutschland in nationales Recht als NIS 2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft treten. Die Zeit drängt also. Was sich konkret ändert, vor welchen Herausforderungen Unternehmen stehen und welche Chancen ihnen NIS2 bietet, erklärt IT-Experte Rafał Małek im Interview.
Rafał Małek ist studierter Wirtschaftsinformatiker mit langjähriger Erfahrung in der Systemintegration, Softwareentwicklung sowie IT- und Informationssicherheit, 2017 wechselte er in den IT-Bereich im Bankwesen, wo er zunächst als IT-Projektleiter und dann als Informationssicherheitsbeauftragter tätig war. In den Folgejahren war er bei großen Unternehmen als IT-Sicherheits-Experte beziehungsweise -Architekt tätig. 2023 machte sich Malek als IT-Consultant selbstständig. Er unterstützt seitdem Unternehmen dabei, ihr Informationssicherheitssystem aufzubauen, zu verwalten, zu stärken und sich gegenüber Cyberbedrohungen resilient aufzustellen.
NIS2 ist aktuell ein wichtiges Thema in der IT-Branche, aber ganz neu ist es ja nicht, oder?
Genau, die erste EU-Richtlinie zur Netzwerk- und Informationssicherheit NIS gilt schon seit 2016 und wurde in Deutschland als das IT-Sicherheitsgesetz und die BSI-Kritisverordnung umgesetzt. Damals waren vor allem „wesentliche Dienste“ von den Vorgaben betroffen, also große Unternehmen aus Branchen wie Energie, Verkehr und dem Bank- oder Gesundheitswesen. Auch digitale Dienstleister wie Suchmaschinen oder Cloud-Computing-Anbieter waren betroffen.
Mit NIS2 erweitert sich der Geltungsbereich deutlich. Die neue Richtlinie betrifft auch kleinere Unternehmen sowie weitere Branchen, darunter die IT-Dienstleistungsbranche. Die EU-Vorgaben werden mit einem entsprechenden Gesetz in deutsches Recht überführt. Dieses tritt voraussichtlich im Mai 2025 in Kraft – und gilt dann sofort, ohne Übergangszeit. Das bedeutet: Betroffene Unternehmen müssen die Anforderungen ab dem ersten Tag erfüllen.
Die neuen Vorgaben sind zudem strenger als bisher. Gefordert wird nichts weniger als ein funktionierendes Risikomanagement für IT und Prozesse, welches durch ein Informationssicherheitsmanagementsystem (ISMS) realisiert werden kann. Ein ISMS beinhaltet eine Vielzahl von Risikomanagement- und Sicherheitsmaßnahmen, z.B. zur Bewertung von IT-Risiken, zur Gewährleistung der Sicherheit in der Lieferkette oder auch zur Erkennung und Meldung von Sicherheitsvorfällen.
Welche Anforderungen stellt NIS2 konkret?
Die Anforderungen sind in NIS2 (§ 21) in zehn Kategorien zusammengefasst, Diese betreffen Prozesse, Dokumentation, Technik sowie Verträge mit Dienstleistern. Beispielsweise müssen Unternehmen eine Firewall implementieren. Zudem muss es Prozesse zur Vergabe von Zugriffsberechtigungen geben. Auch für den Umgang mit Sicherheitsvorfällen gibt es strenge Vorgaben.
Ein Beispiel: Sollte es zu einem Ransomware-Angriff kommen, muss dieser dem BSI gemeldet werden. Dafür braucht das Unternehmen jedoch IT-Systeme und Prozesse, um den Vorfall überhaupt zu erkennen. Erst dann kann eine Meldung erfolgen – ein Aspekt, der zeigt, wie umfassend die Anforderungen sind.
Das klingt wirklich nach strengen Vorgaben. Liegt darin die größte Herausforderung für Unternehmen?
Alle Vorgaben gehören bereits zum Standard in der Informationssicherheit. Doch gerade für kleinere Unternehmen stellt NIS2 eine besondere Herausforderung dar, wenn diese bis dato noch kein ISMS betrieben haben. Das ändert sich jetzt.
NIS2 gilt künftig für Unternehmen ab 50 Mitarbeitenden oder einem Umsatz von 10 Millionen Euro im Jahr. Auch kleinere Firmen, die bisher wenig in Informationssicherheit investiert haben, müssen nun handeln. Der Aufbau eines funktionierenden ISMS ist jedoch komplex und zeitaufwendig.
Ein Beispiel: Der Standard ISO 27001 umfasst fast 100 Sicherheitsmaßnahmen, mit insgesamt mehreren Hundert einzelnen Anforderungen. Unternehmen müssen nicht nur selbst technische und organisatorische Maßnahmen umsetzen, sondern auch sicherstellen, dass ihre Dienstleister hohe Sicherheitsstandards einhalten. Das führt zu mehr Prozessen, mehr Dokumentation und regelmäßigen Audits. Gerade für kleinere Firmen ist das eine große Herausforderung.
Sind noch kleinere Unternehmen von NIS2 betroffen?
Ja, indirekt schon. NIS2 verpflichtet Unternehmen, auch ihre Dienstleister und Lieferanten in die Pflicht zu nehmen. Wer mit einem NIS2-pflichtigen Unternehmen zusammenarbeitet, muss oft ebenfalls die Vorgaben umsetzen.
Ein Beispiel aus der Praxis: Ein Kunde aus der Labor- und Testindustrie hat weniger als 50 Mitarbeitende und einen Umsatz unter 10 Millionen Euro. Trotzdem ist er betroffen. Der Grund: Seine Kunden müssen NIS2 einhalten und verlangen vertraglich die Einhaltung der Sicherheitsanforderungen. Dadurch muss das Unternehmen Sicherheitsmaßnahmen umsetzen, dokumentieren und sich im Zweifel auditieren lassen. Große Unternehmen geben diese Anforderungen an ihre Lieferkette weiter – ähnlich wie beim Lieferkettengesetz.
Wo fängt man da am besten an und wie viel Zeit sollten Unternehmen dafür einplanen?
Muss man ein ISMS neu aufbauen, startet man am besten mit einer Analyse: Wo steht das Unternehmen? Welche Sicherheitsmaßnahmen gibt es schon? In welchem Umfang sind diese nachvollziehbar dokumentiert? Vor allem in kleinen Unternehmen gibt es meist zum Beispiel gar keine Dokumentation der Prozesse – dann ist das der Ansatzpunkt. Diese dient dann als Basis für die weiteren Schritte. Eine große Herausforderung liegt aber vor allem darin, dass der Workload wahrscheinlich sehr groß sein wird und man dann die größten Risiken – und die Anforderungen der Kunden – priorisieren muss. Der Aufbau eines NIS2-konformes Systems dauert ein bis mehrere Jahre.
Viel Zeit ist nicht mehr. Also was sollten Unternehmen tun, wenn sie plötzlich feststellen, dass sie auch betroffen sind?
In diesem Fall muss schnell ein Projekt aufgesetzt werden. Idealerweise holt sich das Unternehmen Fachleute an Bord. Die definieren dann Arbeitspakete und priorisieren: Was ist am dringendsten? Was ist für das Unternehmen selbst entscheidend? Was erwarten die Kunden?
Solch ein Projekt führe ich gerade bei einem IT-Dienstleister durch. Dieser Dienstleister betreut das Webportal eines großen Unternehmens. Da dieser nun von NIS2 betroffen ist, stellt er neue Anforderungen – und zwar den gesamten ISO 27001-Standard.
Damit muss der Dienstleister schnell handeln. Um den Kunden nicht zu verlieren, priorisiert er zuerst die Absicherung der betreuten Anwendung. Solche Fälle zeigen, wie wichtig eine strategische Herangehensweise ist, um den neuen Anforderungen gerecht zu werden.
Was sollten Unternehmen bei der Umsetzung von NIS2 beachten?
Wie so oft gilt: Wer billig kauft, kauft zweimal. Unternehmen sollten sich daher rechtzeitig mit qualifizierten Expert:innen zusammensetzen und einen risikoorientierten Plan entwickeln. Wer noch kein ISMS hat, muss es neu aufbauen und anschließend verwalten. Das bindet Ressourcen und braucht Zeit.
Unternehmen sollten zudem keine Abkürzungen nehmen. Ein ISMS nur auf dem Papier zu erstellen – etwa durch Richtliniendokumente ohne echte Umsetzung – ist riskant. Spätestens beim ersten Audit oder im Ernstfall fällt ein solches Konstrukt in sich zusammen. Das kann zu noch höheren Kosten führen.
Auch Sicherheitslücken müssen Unternehmen proaktiv schließen. Wer intern nicht die nötigen Kapazitäten hat, kann sich externe Unterstützung holen. Dienstleister helfen dabei, Maßnahmen effizient umzusetzen.
Ist es realistisch, NIS2 ohne externe Unterstützung und Expertise umzusetzen?
Letztendlich holen sich Unternehmen jeder Größe zusätzliche Ressourcen an Bord, um Projekte wie NIS2 zu stemmen. Großkonzerne bauen vielleicht gleich ein internes Team auf, das dann auch mit der anschließenden Verwaltung der Informationssicherheit betraut ist. KMU sind mit externen Dienstleistern oder Freelancern flexibler – und profitieren nicht nur von deren Expertise und Erfahrung, sondern auch vom „Blick von außen“ auf interne Prozesse und Arbeitsweisen.
NIS2 wirkt erst einmal auf viele wahrscheinlich wie eine anstrengende Pflicht. Bietet die neue Richtlinie denn auch Vorteile für Unternehmen?
Das finde ich schon. NIS2 macht die Netzwerk- und Informationssicherheit endlich zur „commodity“, ähnlich wie die Digitalisierung. NIS2 wird somit eine Art „verpflichtende Haftpflichtversicherung“ für Unternehmen, die bis dato den wenig Wert auf Informationssicherheit gelegt haben.
Langfristig kann das zum Wettbewerbsvorteil werden: Die EU könnte sich so zu einem besonders „cyber-resilienten“ Standort entwickeln. Kunden suchen nicht nur nach günstigen Angeboten, sondern auch nach sicheren Lösungen.
Ein funktionierendes ISMS erhöht zudem die Widerstandsfähigkeit gegen Cyberangriffe – und sind besser vor Umsatzausfällen und Mehrkosten geschützt.
Vielen Dank für das Gespräch, Rafal!
Sie brauchen Unterstützung bei der Umsetzung von NIS2 oder anderen IT-Projekten? Dann melden Sie sich bei uns – wir bringen Sie mit den passenden IT-Expert:innen zusammen!