Schärfere Regeln für Cybersicherheit: Viele KMU betroffen

Mit der neuen EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) müssen sich erstmals auch kleine und mittlere Unternehmen (KMU) den umfassenden Anforderungen zur Cybersicherheit unterwerfen. So sind auch Unternehmen aus Branchen betroffen, die mit Digitalisierung sonst nur wenig zu tun haben. Auch einige Handwerksbetriebe müssen sich den neuen EU-Regeln anpassen. Grundsätzlich gilt die Regelung zwar nur für Betriebe, die als kritisch oder wichtig für die Gesellschaft angesehen werden. Doch mit ihnen sind auch ihre Lieferketten betroffen. Dadurch müssen auch einige Handwerksbetriebe, die als Zulieferer in der Lieferkette tätig sind, aufrüsten. Nun gilt es also, sich entsprechend vorzubereiten. Wir erklären, was jetzt zu tun ist.

Auch spannend für dich:

• Cyber-Security 2025: So bleiben Unternehmen den Hackern voraus
• Cybersicherheit in Zeiten von künstlicher Intelligenz
• Sicherheitslücke Mitarbeiter: Mehr Bewusstsein für Cybersecurity in KMU

Wann treten die neuen Regeln für Cybersicherheit in KMU in Kraft?

Die NIS2-Richtlinie, offiziell als Richtlinie (EU) 2022/2555 bekannt, stellt die Nachfolgerin der ursprünglichen NIS-Richtlinie von 2016 dar. Ihr Ursprung liegt nun also schon wieder ein gutes Stück zurück. Sie schafft einen einheitlichen rechtlichen Rahmen für die Aufrechterhaltung der Cybersicherheit in kritischen Sektoren in der gesamten EU. Ursprünglich waren die EU-Mitgliedstaaten dazu verpflichtet, die Richtlinien bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Wie viele andere EU-Staaten auch konnte Deutschland diese Frist nicht einhalten. Zwar wurde NIS2 bereits vom Kabinett beschlossen, konnte allerdings aufgrund des Ampel-Bruchs nicht mehr zeitig verabschiedet werden. Bis mindestens Ende 2025 bleibt den KMU daher noch Zeit, sich vorzubereiten – frühestens dann wird das Gesetz verabschiedet. Eine Übergangsphase ist nicht geplant, daher raten Experten dazu, sich jetzt schon auf die Änderungen vorzubereiten.

Anhaltspunkte dafür, ob sie möglicherweise von den neuen Richtlinien betroffen sind, können die KMU mit dem Betroffenheitsprüfung des Bundesamtes für Sicherheit in der Informationstechnik finden.

Das sind die neuen Vorgaben der EU-Richtlinien

Wesentliches Ziel der neuen EU-Regeln ist es, die Cyberresilienz in der EU zu stärken. Daher bringt NIS2 im Vergleich zur Vorgängerrichtlinie nun einen breiteren Anwendungsbereich, noch klarere Vorgaben und stärkere Aufsichts-Tools mit sich. Zu den wesentlichen Neuerungen der neuen NIS2-Richtlinie zählen:

• Alle Mitgliedstaaten müssen nationale Cybersicherheitsstrategien verabschieden
• Erschaffung nationaler Behörden, Computer-Notfallteams und zentraler Anlaufstellen
• Umfassende Gestaltung der Pflichten zum Risikomanagement im Bereich Cybersicherheit für betroffene Einrichtungen
• Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden
• Austausch von Cybersicherheitsinformationen muss geregelt werden
• Mitgliedstaaten erhalten erweiterte Befugnisse bei der Überwachung und Durchsetzung

Ein besonders bedeutsamer Unterschied zur Vorgängerrichtlinie ist die erhebliche Ausweitung des Anwendungsbereichs. Bisher wurden nur etwa 2.000 Unternehmen als kritische Infrastrukturen eingestuft – das dürfte sich mit den neuen Richtlinien jedoch bald ändern.

Diese Maßnahmen müssen KMU für Cybersicherheit umsetzen

Von der Richtlinie betroffene Unternehmen müssen konkrete Maßnahmen zur Minimierung von Risiken für die Cybersicherheit einführen. Die Maßnahmen lassen sich dabei in die Bereiche Risikomanagement, Unternehmerische Verantwortung, Meldepflichten und Geschäftskontinuität einteilen:

• Risikomanagement:
  • Incident Management-Prozesse zur schnellen Behebung von IT-Störungen
  • Stärkung der Lieferkettensicherheit
  • Verbesserte Netzwerksicherheit
  • Bessere Zugriffskontrolle
  • Einsatz von Verschlüsselungstechnologien
  • Multifaktor-Authentifizierung
  • Wahl sicherer Kommunikationsmethoden für Sprach-, Video- und Textübertragungen
• Unternehmerische Verantwortung:
  • Geschäftsführung überwacht und genehmigt Sicherheitsmaßnahmen
  • Geschäftsführung muss regelmäßige Schulungen zur Cybersicherheit absolvieren
  • Geschäftsführer haften persönlich, einschließlich möglicher Tätigkeitsverbote
• Meldepflichten:
  • Unverzügliche Meldung von Vorfällen mit spezifischen Meldefristen
  • 24-Stunden-„Frühwarnung“
• Geschäftskontinuität:
  • Betriebe müssen Pläne für Aufrechterhaltung des Geschäftsbetriebs bei größeren Cybervorfällen entwickeln
  • Umfasst Systemwiederherstellung, Notfallverfahren und Einrichtung von Krisenreaktionsteams

Neben dem FitNIS2-Navigator stehen den Unternehmen auch zahlreiche weitere unterstützende Werkzeuge bei der Entwicklung der Cybersicherheitsstrategien zur Verfügung. So hilft etwa die Workshopreihe „ISMS-Werkstatt“ der Transferstelle Cybersicherheit im Mittelstand beim Aufbau eines Informationssicherheits-Managementsystems (ISMS). Das Programm umfasst fünf Basis- und zwei optionale Aufbaumodule und wird regelmäßig wiederholt.