Die NIS-2-Richtlinie tritt in Kraft: Was Unternehmen beachten sollten, um sich vor Cyberangriffen zu schützen (Quelle: sdecoret@shutterstock.com)
Um die NIS-2-Richtlinie einzuhalten, sollten Organisationen mehrere Schritte durchführen. Auf diese Weise ist dafür gesorgt, dass ihre Systeme angemessen vor Cyberangriffen geschützt sind. Zu den Schritten gehören die Verabschiedung einer formellen Richtlinie, die sich mit den Risiken von Cyberattacken befasst, sowie die Realisierung regelmäßiger Risikobewertungen, die Schulung der Mitarbeitenden in puncto Zugriffssicherheit, die Einführung von Sicherheitsmaßnahmen – z.B. Firewalls und Verschlüsselungen – und die wiederkehrende Überprüfung der Sicherheit ihrer Systeme.
Darüber hinaus sollten Unternehmen den Einsatz einer sicheren Automatisierungsplattform – etwa auf Basis der PLCnext-Steuerungen – in Betracht ziehen, die gemäß der internationalen Norm IEC 62443 zertifiziert ist. Solche Maßnahmen tragen dazu bei, dass die Netzwerke der Unternehmen die NIS-2-Richtlinie der EU erfüllen sowie adäquat vor Cyberangriffen geschützt sind.
Auch mittelgroße Energieunternehmen betroffen
Bei NIS 2 (Netz- und Informationssicherheit) handelt es sich um eine EU-Richtlinie, die sicherstellen soll, dass Betreiber öffentlicher oder privater Einrichtungen über passende Sicherheitsinstrumente verfügen, um ihre Systeme gegen Cyberattacken abzusichern. NIS 2 fungiert als Nachfolger der 2016 in Kraft getretenen NIS-Richtlinie. Diese definiert eine stärkere Harmonisierung der Maßnahmen zur Cybersicherheit in den EU-Staaten, sieht eine zentrale EU-Aufsicht vor und weitet ihre Vorschriften auf mittelgroße Unternehmen mit mehr als 50 Mitarbeitern und über 10 Mio. € Umsatz aus. Die NIS-2-Richtlinie, die am 16. Januar 2023 in Kraft trat, definiert, dass die EU-Staaten sie bis zum 18. Oktober 2024 in nationales Recht umsetzen müssen. Sie gilt für wesentliche (essential) und wichtige (important) Einrichtungen in der EU.
NIS 2 verpflichtet Organisationen, geeignete technische und organisatorische Aktivitäten zu ergreifen, damit sie den Risiken von Cyber-angriffen begegnen können. Unter den Begriff „wesentliche Unternehmen“ fallen Organisationen, die in kritischen Infrastrukturen tätig sind, beispielsweise den Bereichen Strom-/Gaserzeugung, -speicherung und -übertragung, Transport auf dem Wasser sowie der Straße und Schiene, Trinkwasser- und Abwasseranlagen sowie der digitalen Infrastruktur. Wichtige Einrichtungen werden aus einer Liste von sieben Sektoren auf der Grundlage ihrer Kritikalität für ihren Geschäftsbereich und die Art der Dienstleistung ausgewählt. Als Beispiel seien die Herstellung und der Vertrieb von Lebensmitteln und Chemikalien sowie die Produktion von elektrischen Geräten, Maschinen und Fahrzeugen genannt (Abb. 1).