Avoid common mistakes on your manuscript.
In der sich stetig wandelnden Welt der Technologie und Digitalisierung ist die Cybersicherheit zu einer zentralen Säule für das sichere und reibungslose Funktionieren von Unternehmen und sogar ganzen Volkswirtschaften geworden. Mit der zunehmenden Vernetzung und der Abhängigkeit von digitalen Infrastrukturen steigt jedoch auch das Risiko von Cyberangriffen, Datenlecks und anderen sicherheitsrelevanten Vorfällen. Das zeigt auch die Tatsache, dass täglich eine Vielzahl neuer Schadprogramm-Varianten entstehen (Abb. 1). Sie kommen auf unterschiedlichsten Wegen zum Einsatz, weshalb es auch so viele verschiedene Arten von Cyberangriffen gibt [1].
Täglicher Zuwachs neuer Schadprogramme, * Erfassung inkl. PUA (Potentially unwanted application)
Um diesen Herausforderungen zu begegnen und ein hohes gemeinsames Niveau an Cybersicherheit in der Europäischen Union sicherzustellen, wurde die NIS-Richtlinie (Network and Information Security – Richtlinie über die Sicherheit von Netz- und Informationssystemen) eingeführt und später durch die überarbeitete Version, NIS‑2, ergänzt und verstärkt.
Die NIS-2-Richtlinie zielt darauf ab, die Widerstandsfähigkeit (Resilienz) und Sicherheit kritischer und wichtiger Entitäten über eine breitere Palette von Sektoren hinweg zu verbessern. Sie bringt erweiterte Anforderungen und strenge Regeln mit sich, die vor allem auch das Management von Unternehmen direkt betreffen. Diese Entwicklungen erfordern eine umfassende Auseinandersetzung mit den neuen Vorschriften, um sowohl die Compliance sicherzustellen als auch die inhärenten Risiken zu minimieren, die mit der digitalen Transformation einhergehen [2].
Die Einführung dieser Richtlinie stellt Unternehmen vor die Aufgabe, ihre bestehenden Sicherheitspraktiken zu überdenken und anzupassen. Dies erfordert nicht nur eine technische Neuausrichtung, sondern auch ein Umdenken in der Unternehmenskultur und im Managementverhalten. Cybersicherheit wird nicht länger als eine isolierte IT-Aufgabe angesehen, sondern als eine zentrale Managementverantwortung, die wesentlich zur Wettbewerbsfähigkeit, zum Vertrauen der Stakeholder und zur langfristigen Nachhaltigkeit eines Unternehmens beiträgt.
Grundlagen von NIS-2
Angesichts wachsender Cyberbedrohungen hat die Europäische Union (EU) ihre Bemühungen intensiviert, ein einheitliches und hohes Sicherheitsniveau von Netz- und Informationssystemen über alle Mitgliedstaaten hinweg zu gewährleisten. Ein zentraler Baustein dieser Strategie ist die Überarbeitung der ursprünglichen NIS-Richtlinie (Direktive 2016/1148) zur NIS-2-Richtlinie. Diese Erweiterung reflektiert die Notwendigkeit, sowohl die Reichweite als auch die Tiefe der cybersicherheitsrelevanten Maßnahmen zu verstärken.
Die ursprüngliche NIS-Richtlinie, die erste EU-weite Cybersicherheitsvorschrift, trat 2016 in Kraft und zielte darauf ab, ein gemeinsames Niveau an Netz- und Informationssystemsicherheit innerhalb der EU zu etablieren [3]. Angesichts der dynamischen Cyberbedrohungslage, nicht zuletzt durch die Konflikte in der Ukraine, und der Erkenntnis, dass die ursprünglichen Maßnahmen nicht ausreichten, wurde die Notwendigkeit einer Überarbeitung deutlich.
Die NIS-2-Richtlinie baut auf den Grundlagen von NIS auf und erweitert diese signifikant. Hierbei wird das primäre Ziel verfolgt, ein hohes gemeinsames Sicherheitsniveau der Netz- und Informationssysteme in der gesamten EU zu erreichen. Dies soll durch die Stärkung der Sicherheitsanforderungen, die Ausweitung des Anwendungsbereichs auf mehr Sektoren und Unternehmen sowie durch verbesserte Meldepflichten im Falle von Sicherheitsvorfällen erreicht werden.
Die Richtlinie stellt eine umfassende Erweiterung der Cybersicherheitsanforderungen innerhalb der Europäischen Union dar, die mehrere Schlüsselelemente beinhaltet, um die Resilienz gegenüber Cyberbedrohungen zu stärken. Ein wesentliches Merkmal ist die Ausweitung des Kreises der betroffenen Entitäten. Indem sie zusätzliche Sektoren und Dienste einschließt, die als kritisch für die Gesellschaft und Wirtschaft angesehen werden, zielt NIS‑2 darauf ab, eine breitere und effektivere Sicherheitsbasis zu schaffen. Zu diesen Sektoren gehören beispielsweise Energie, Transport, Bankwesen, digitale Infrastruktur und öffentliche Verwaltung. Unternehmen, die unter diese erweiterte Definition fallen, sind nun angehalten, angemessene technische und organisatorische Maßnahmen zu ergreifen. Diese Maßnahmen sollen dazu dienen, Cyberrisiken zu managen und die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten, um so eine solide Verteidigungslinie gegen mögliche Cyberangriffe zu bilden – sowohl unternehmensintern als auch europaweit [4].
Zudem hat die Richtlinie die Anforderungen an die Meldung von Cybersicherheitsvorfällen verschärft. Dieser Schritt soll eine schnellere und stärker koordinierte Reaktion auf Sicherheitsbedrohungen ermöglichen, indem sicherheitsrelevante Informationen zeitnah geteilt werden, um potenzielle Schäden zu minimieren und die Reaktionsfähigkeit zu verbessern. Darüber hinaus schafft NIS‑2 einen rechtlichen Rahmen, der alle Mitgliedstaaten dazu verpflichtet, nationale Strategien zur Cybersicherheit zu entwickeln [5]. Die Einrichtung nationaler Kompetenzzentren für Cybersicherheit wird vorangetrieben, um Fachwissen zu bündeln und die Effektivität der Maßnahmen zu steigern. Mitgliedstaaten müssen zudem Aufsichts- und Sanktionsregime einführen, die die Einhaltung der Richtlinie überwachen und durchsetzen, was die Verbindlichkeit und Wirksamkeit der Cybersicherheitsbemühungen innerhalb der EU insgesamt stärkt [6].
Auswirkungen auf das Management von Unternehmen
Diese erweiterten Anforderungen haben tiefgreifende Auswirkungen auf das Management von Unternehmen, insbesondere in Sektoren, die als wesentlich für die Aufrechterhaltung kritischer gesellschaftlicher und wirtschaftlicher Aktivitäten angesehen werden. Die Richtlinie fordert eine proaktive und ganzheitliche Herangehensweise an die Cybersicherheit, die weit über die technischen Aspekte hinausgeht und strategische, organisatorische sowie compliancebezogene Maßnahmen umfasst.
Eine der signifikantesten Auswirkungen von NIS‑2 ist die Notwendigkeit für das Management, Cybersicherheit als integralen Bestandteil der Unternehmensstrategie zu betrachten [7]. Führungskräfte müssen nun sicherstellen, dass Cybersicherheitsrisiken auf höchster Ebene bewertet und gesteuert werden. Dies erfordert eine enge Zusammenarbeit zwischen IT-Sicherheitsteams und der Geschäftsführung, um sicherzustellen, dass Cybersicherheitsstrategien mit den Geschäftszielen in Einklang stehen und angemessene Ressourcen für ihre Umsetzung bereitgestellt werden.
Die NIS-2-Richtlinie bringt erweiterte Complianceanforderungen mit sich, die Unternehmen dazu zwingen, ihre bestehenden Sicherheitspraktiken zu überprüfen und anzupassen. Das Management muss ein tiefgehendes Verständnis der rechtlichen Anforderungen entwickeln und sicherstellen, dass die Organisation diese erfüllt. Dies umfasst die Implementierung von Richtlinien und Verfahren für das Risikomanagement, die Sicherheitsüberprüfung und die Meldung von Sicherheitsvorfällen. Die Nichtbeachtung kann zu erheblichen finanziellen Strafen und Reputationsverlust führen [8].
Die Richtlinie erfordert die Einrichtung eines robusten Risikomanagementsystems und Governancestrukturen, die sicherstellen, dass Cybersicherheitsrisiken systematisch identifiziert, bewertet und gemindert werden [9]. Unternehmen müssen in der Lage sein, ihre Risikoexposition kontinuierlich zu überwachen und anzupassen, um auf sich ändernde Bedrohungslandschaften zu reagieren. Dies schließt die Entwicklung von Notfallplänen und Reaktionsstrategien für Sicherheitsvorfälle ein.
Eine weitere wesentliche Auswirkung betrifft die Rolle der Mitarbeiter im Bereich der Cybersicherheit. Die NIS-2-Richtlinie betont die Notwendigkeit, das Bewusstsein und die Kompetenzen der Mitarbeiter in Bezug auf Cybersicherheitsrisiken zu erhöhen [10]. Dies erfordert regelmäßige Schulungen und Sensibilisierungsmaßnahmen, um sicherzustellen, dass alle Mitarbeiter die Sicherheitsrichtlinien verstehen und umsetzen können.
Während die Einhaltung der NIS-2-Richtlinie zunächst als Herausforderung erscheinen mag, bietet sie auch Chancen für Innovation und kann einem Unternehmen einen Wettbewerbsvorteil verschaffen. Unternehmen, die eine Vorreiterrolle in der Implementierung fortschrittlicher Cybersicherheitsmaßnahmen einnehmen, können das Vertrauen ihrer Kunden stärken und sich als vertrauenswürdige Partner auf dem Markt positionieren.
Herausforderungen und Chancen
Die Implementierung der NIS-2-Richtlinie stellt Unternehmen vor eine Vielzahl von Herausforderungen, bietet aber gleichzeitig auch bedeutende Chancen, ihre Cybersicherheitspraktiken zu verbessern und ihre Marktposition zu stärken.
Eine der größten Hürden ist die Schwierigkeit, die erweiterten und detaillierten Vorschriften einzuhalten. Unternehmen müssen ihre bestehenden Sicherheitspraktiken nicht nur überprüfen, sondern auch an die spezifischen Anforderungen der Richtlinie anpassen, was umfassende Kenntnisse der rechtlichen Rahmenbedingungen und eine kontinuierliche Anpassung an sich ändernde Vorschriften erfordert. Zusätzlich erfordert die Implementierung der durch NIS‑2 geforderten Sicherheitsmaßnahmen und Governancestrukturen erhebliche Investitionen in Zeit, Personal und Finanzen. Insbesondere kleinere und mittlere Unternehmen könnten vor der Herausforderung stehen, die notwendigen Ressourcen bereitzustellen. Darüber hinaus verlangt die Richtlinie von den Unternehmen technische und organisatorische Anpassungen, was eine umfangreiche Neugestaltung bestehender Systeme erfordern kann. Angesichts der dynamischen Natur der Cyberbedrohungslandschaft müssen Unternehmen ihre Sicherheitsmaßnahmen zudem kontinuierlich evaluieren und aktualisieren, was nicht nur technologische Agilität, sondern auch eine Kultur der ständigen Wachsamkeit und des Lernens voraussetzt.
Trotz dieser Herausforderungen bietet NIS‑2 den Unternehmen auch erhebliche Chancen. Die Richtlinie ermöglicht es ihnen, ihre Cybersicherheitspraktiken zu überprüfen und zu stärken, was zu einer erhöhten Widerstandsfähigkeit gegenüber Cyberangriffen führen kann. Dazu sind die aus Cyberangriffen hervorgehenden finanziellen Schäden erheblich. Eine weltweite Befragung von 3000 Führungskräften durch das Unternehmen PwC (Abb. 2) ergab, dass bei 70 % der deutschen Unternehmen, die Opfer von Cybervorfällen geworden sind, Kosten von 100.000 bis 20 Mio. US-Dollar entstanden [11]. Durch entsprechende Abwehrmaßnahmen, wie sie durch NIS‑2 nun zur Pflicht werden, lassen sich solche finanziellen Schäden minimieren, wenn nicht sogar vermeiden.
Geschätzte Kosten für die Organisation bei Cybervorfällen
Unternehmen, die hohe Cybersicherheitsstandards nachweisen können, stärken außerdem das Vertrauen ihrer Kunden und Geschäftspartner, was besonders in datensensitiven Branchen einen wichtigen Wettbewerbsvorteil darstellen kann. Die Anforderungen von NIS‑2 können zudem als Katalysator für die Entwicklung einer starken Cybersicherheitskultur innerhalb eines Unternehmens dienen und das Bewusstsein sowie die proaktive Haltung zur Risikominderung fördern. Schließlich kann die Notwendigkeit, sich an die Vorschriften anzupassen, Unternehmen dazu anregen, innovative Lösungen für Cybersicherheitsprobleme zu entwickeln. Das wiederum kann zu technologischen Fortschritten und einer Verbesserung der Effizienz und Effektivität von Cybersicherheitsmaßnahmen führen.
Fazit und Ausblick
Die Einführung und Implementierung der NIS-2-Richtlinie stellt einen bedeutenden Schritt in Richtung einer verstärkten Cybersicherheit und Resilienz digitaler Infrastrukturen dar. Durch die Erweiterung des Geltungsbereichs, die Verschärfung der Sicherheitsanforderungen und die Verbesserung der Meldepflichten bei Cybersicherheitsvorfällen wird das Bewusstsein für die Bedeutung einer robusten Cybersicherheit in Unternehmen und öffentlichen Einrichtungen signifikant erhöht. Diese Richtlinie fordert eine strategische Neuausrichtung, in der Cybersicherheit nicht nur als technische Notwendigkeit, sondern vor allem als integraler Bestandteil der Unternehmensführung und -kultur verstanden wird.
Die Anpassung an die beschriebenen Vorgaben bringt für Unternehmen selbstverständlich Herausforderungen mit sich, wie eine erhöhte Komplexität der Compliance, der Bedarf an zusätzlichen Ressourcen für die Implementierung der erforderlichen Maßnahmen und die Notwendigkeit, interne Prozesse und Systeme umfassend zu überdenken. Gleichzeitig eröffnet die Richtlinie aber auch bedeutende Chancen: Sie bietet die Möglichkeit, die eigene Cybersicherheit zu stärken, das Vertrauen von Kunden und Geschäftspartnern zu erhöhen und eine Kultur der Cybersicherheit zu fördern, die das Unternehmen gegenüber den sich ständig weiterentwickelnden Cyberbedrohungen sicherer macht.
Die kontinuierliche Anpassung und Verbesserung der Cybersicherheitsstrategien und -praktiken wird somit eine dauerhafte Aufgabe für Unternehmen sein. Die Cybersicherheitslandschaft gestaltet sich dynamisch und Bedrohungen entwickeln sich kontinuierlich weiter. Unternehmen müssen daher agil bleiben, ihre Sicherheitsmaßnahmen regelmäßig überprüfen und aktualisieren sowie in die Ausbildung und Sensibilisierung der Mitarbeiter investieren. Gleichzeitig ist zu erwarten, dass die Europäische Union ihre legislativen und regulativen Rahmenbedingungen weiterentwickeln wird, um auf neue Bedrohungen und technologische Entwicklungen zu reagieren. Dies könnte weitere Anpassungen der NIS-Richtlinie oder die Einführung neuer Vorschriften mit sich bringen.
Zusammenfassung
-
NIS‑2 intensiviert die Sicherheits- und Meldeanforderungen, erweitert den Anwendungsbereich und stärkt die Cybersicherheitskultur in Unternehmen.
-
Unternehmen stehen vor der Herausforderung, Ressourcen effizient einzusetzen, um Compliance zu erreichen, sehen sich aber auch mit Chancen für verbesserte Sicherheit und Wettbewerbsvorteile konfrontiert.
-
Kontinuierliche Anpassung an die dynamische Cybersicherheitsumgebung und proaktive Reaktion auf neue regulatorische Anforderungen sind für die langfristige Resilienz entscheidend.
Literatur
BSI (2023). Die Lage der IT-Sicherheit in Deutschland 2023, (S. 12), Lagebericht, Bundesamt für Sicherheit in der Informationstechnik. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2023.html. Zugegriffen: 15. März 2024.
Richtlinie (EU) Nr. 2022/2555 des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), ABI. L 333/80 Abs. 1.
Richtlinie (EU) Nr. 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, ABI. L 194/1 Abs. 4.
Richtlinie (EU) Nr. 2022/2555 des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), ABI. L 333/108-111 Art. 2-3.
Richtlinie (EU) Nr. 2022/2555 des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), ABI. L 333/115-116 Art. 7.
Richtlinie (EU) Nr. 2022/2555 des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), ABI. L 333/134-139 Art. 30-33.
Richtlinie (EU) Nr. 2022/2555 des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), ABI. L 333/88 Absatz 36.
Richtlinie (EU) Nr. 2022/2555 des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), ABI. L 333/139 Art. 34.
Richtlinie (EU) Nr. 2022/2555 des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), ABI. L 333/127 Art. 20.
Richtlinie (EU) Nr. 2022/2555 des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), ABI. L 333/80 Art. 7 Abs. 1f.
PwC (2024). Digital Trust Insights 2024. Die deutschen Ergebnisse einer weltweiten PwC-Befragung zum Thema Cyber Security, PricewaterhouseCoopers GmbH. https://www.pwc.de/de/cyber-security/digital-trust-insights.html. Zugegriffen: 15. März 2024.
Funding
Open Access funding enabled and organized by Projekt DEAL.
Author information
Authors and Affiliations
Corresponding author
Additional information
Hinweis des Verlags
Der Verlag bleibt in Hinblick auf geografische Zuordnungen und Gebietsbezeichnungen in veröffentlichten Karten und Institutsadressen neutral.
Rights and permissions
Open Access Dieser Artikel wird unter der Creative Commons Namensnennung 4.0 International Lizenz veröffentlicht, welche die Nutzung, Vervielfältigung, Bearbeitung, Verbreitung und Wiedergabe in jeglichem Medium und Format erlaubt, sofern Sie den/die ursprünglichen Autor(en) und die Quelle ordnungsgemäß nennen, einen Link zur Creative Commons Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden.
Die in diesem Artikel enthaltenen Bilder und sonstiges Drittmaterial unterliegen ebenfalls der genannten Creative Commons Lizenz, sofern sich aus der Abbildungslegende nichts anderes ergibt. Sofern das betreffende Material nicht unter der genannten Creative Commons Lizenz steht und die betreffende Handlung nicht nach gesetzlichen Vorschriften erlaubt ist, ist für die oben aufgeführten Weiterverwendungen des Materials die Einwilligung des jeweiligen Rechteinhabers einzuholen.
Weitere Details zur Lizenz entnehmen Sie bitte der Lizenzinformation auf http://creativecommons.org/licenses/by/4.0/deed.de.
About this article
Cite this article
Barenkamp, M. Auswirkungen von NIS-2 für das Management von Unternehmen. Wirtsch Inform Manag 16, 70–78 (2024). https://doi.org/10.1365/s35764-024-00518-1
Accepted:
Published:
Issue Date:
DOI: https://doi.org/10.1365/s35764-024-00518-1