Neue EU-Regeln zur Cybersicherheit verpflichten bald auch einige kleine und mittlere Unternehmen, ihre Standards auf ein neues Niveau zu heben. Ein Tool hilft dabei zu prüfen, ob man betroffen ist – und unterstützt bei den nächsten Schritten.
Einige Handwerksbetriebe müssen sich auf strengere Vorschriften zur IT-Sicherheit einstellen. Mit der neuen EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) werden erstmals auch kleine und mittlere Unternehmen (KMU) umfassenden Anforderungen zur Cybersicherheit unterworfen.
Die Regelung gilt zwar grundsätzlich nur Unternehmen bestimmter Sektoren, die als kritisch oder wichtig für die Gesellschaft angesehen werden, jedoch sind auch die zugehörigen Lieferketten betroffen. Damit können auch Handwerksbetriebe unter die Richtlinie fallen, die etwa als Zulieferer in diesen Sektoren tätig sind. Anhaltspunkte, ob der eigene Betrieb betroffen ist, liefert die Betroffenheitsprüfung des Bundesamtes für Sicherheit in der Informationstechnik.
Die NIS2-Richtlinie, offiziell als Richtlinie (EU) 2022/2555 bekannt, stellt die Nachfolgerin der ursprünglichen NIS-Richtlinie von 2016 dar. Sie schafft einen einheitlichen Rechtsrahmen für die Aufrechterhaltung der Cybersicherheit in 18 kritischen Sektoren in der gesamten EU.
Die EU-Mitgliedstaaten waren eigentlich verpflichtet, die NIS2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Deutschland hat diese Frist jedoch nicht eingehalten, ebenso wie viele andere EU-Mitgliedstaaten. NIS2 wurde zwar vom Kabinett beschlossen und in den Bundestag eingebracht, konnte aber aufgrund des Bruchs der Ampel-Koalition nicht rechtzeitig verabschiedet werden. Das Gesetz wird deshalb voraussichtlich frühestens Ende 2025 in Kraft treten. Aktuell wird noch am Referentenentwurf gearbeitet.
Trotz der Verzögerung bei der nationalen Umsetzung empfehlen Experten, bereits jetzt mit den Vorbereitungen in betroffenen Betrieben zu beginnen. Die Anforderungen müssen mit Inkrafttreten des Gesetzes direkt erfüllt werden. Eine Übergangsphase ist derzeit nicht geplant.
Das sind die Vorgaben der neuen Richtlinie für Cybersicherheit
Das Ziel der Richtlinie ist es, die Cyberresilienz in der EU zu stärken und gleichzeitig ein hohes gemeinsames Cybersicherheitsniveau zu gewährleisten. Im Vergleich zur Vorgängerrichtlinie bringt NIS2 einen breiteren Anwendungsbereich, klarere Vorschriften und stärkere Aufsichtsinstrumente mit sich.
Zu den wesentlichen Neuerungen der NIS2-Richtlinie zählen:
- Alle Mitgliedstaaten müssen nationale Cybersicherheitsstrategien verabschieden
- Benennung zuständiger nationaler Behörden, Computer-Notfallteams und zentraler Anlaufstellen
- Umfassende Pflichten zum Cybersicherheitsrisikomanagement für betroffene Einrichtungen
- Verpflichtung zur Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden
- Vorschriften zum Austausch von Cybersicherheitsinformationen
- Erweiterte Befugnisse für Mitgliedstaaten bei der Überwachung und Durchsetzung
Ein wesentlicher Unterschied zur Vorgängerrichtlinie liegt in der erheblichen Ausweitung des Anwendungsbereichs. Bisher waren nur etwa 2.000 Unternehmen als kritische Infrastrukturen (KRITIS) eingestuft.
Diese Maßnahmen zur Cybersicherheit gelten
Für betroffene KMU bringt die NIS2 konkrete Anforderungen mit sich. Diese betreffen die Bereiche Risikomanagement, Unternehmerische Verantwortung, Meldepflichten und Geschäftskontinuität. Dazu gehören:
Risikomanagement
Unternehmen müssen Maßnahmen zur Minimierung von Cyberrisiken implementieren, einschließlich :
- Incident Management-Prozesse zur schnellen Behebung von IT-Störungen
- Stärkung der Lieferkettensicherheit
- Verbesserte Netzwerksicherheit
- Bessere Zugriffskontrolle
- Einsatz von Verschlüsselungstechnologien
- Multifaktor-Authentifizierung
- Sichere Kommunikationsmethoden für Sprach-, Video- und Textübertragungen
Unternehmerische Verantwortung
Ein besonders wichtiger Aspekt der NIS2-Richtlinie ist die persönliche Haftung der Geschäftsführung. Sie müssen:
- Die Cybersicherheitsmaßnahmen des Unternehmens überwachen und genehmigen
- Regelmäßige Schulungen zu Cybersicherheit absolvieren
- Bei Verstößen persönlich haften, einschließlich möglicher Tätigkeitsverbote
Meldepflichten
Betroffene Unternehmen müssen Prozesse für die unverzügliche Meldung von Sicherheitsvorfällen einrichten. Die Richtlinie sieht spezifische Meldefristen vor, insbesondere eine 24-Stunden-"Frühwarnung" bei schwerwiegenden Vorfällen.
Geschäftskontinuität
Betriebe müssen Pläne für die Aufrechterhaltung des Geschäftsbetriebs bei größeren Cybervorfällen entwickeln. Dies umfasst Überlegungen zur Systemwiederherstellung, Notfallverfahren und die Einrichtung von Krisenreaktionsteams.
Um deutsche Unternehmen bei den anstehenden Herausforderungen zu unterstützen, hat das Bundesministerium für Wirtschaft und Energie den "FitNIS2-Navigator" entwickelt - ein kostenloses Online-Tool, das Unternehmen systematisch auf die neuen Regeln vorbereitet. Es wurde von Deutschland sicher im Netz e.V. in Zusammenarbeit mit der Universität Paderborn erstellt.
Tool hilft Handwerksbetrieben bei der Vorbereitung
Der FitNIS2-Navigator ist modular aufgebaut und unterstützt Unternehmen in vier aufeinander abgestimmten Schritten:
- Quick-Check: Prüfung der eigenen Betroffenheit.
- Self-Assessment: Beurteilung der vorhandenen IT-Sicherheitsmaßnahmen.
- Delta-Auswertung: Abgleich, in welchen Bereichen Lücken zur Erfüllung der neuen – von der NIS2-Richtlinie im Wesentlichen bereits zwingend vorgesehenen – Anforderungen bestehen.
- Aktionspläne: Passgenaue Handlungsempfehlungen zur Verbesserung der eigenen Sicherheitsmaßnahmen und zur Erfüllung der neuen Sicherheitsvorgaben.
Neben dem Online-Tool bietet der FitNIS2-Navigator ein umfassendes Begleitprogramm. Dazu zählen Beratungsangebote, Schulungen und Workshop-Reihen.
Weitere Unterstützung für Betriebe zur Cybersicherheit
Zusätzlich zum FitNIS2-Navigator stehen Unternehmen weitere Unterstützungstools zur Verfügung, wie etwa die ISMS-Werkstatt: Die Transferstelle Cybersicherheit im Mittelstand bietet eine Workshop-Reihe zum Aufbau eines Informationssicherheits-Managementsystems (ISMS) an. Das Programm umfasst fünf Basis- und optional zwei Aufbaumodule und wird regelmäßig wiederholt .
Die NIS2-Richtlinie stellt für Handwerksbetriebe zwar eine neue Herausforderung dar, bietet aber gleichzeitig die Chance, die eigene Cybersicherheit systematisch zu verbessern. Unternehmen, die frühzeitig mit der Vorbereitung beginnen, können ihre digitale Widerstandsfähigkeit stärken.