Angesichts der wachsenden Bedrohung durch Cyberangriffe auch auf kritische Infrastrukturen (KRITIS) ist es unerlässlich, dass Unternehmen ihre Cyberresilienz (die Fähigkeit Cybervorfälle zu verhindern, ihnen standzuhalten und sich davon zu erholen) optimieren. NIS2 zielt auf ein besseres gemeinsames Cybersicherheitsniveau ab. Ab Oktober 2024 gelten für viele Unternehmen deutlich verschärfte, verpflichtende Sicherheitsmassnahmen und Meldepflichten. Auch für viele, die bisher nicht betroffen waren. Schweizer Firmen tun gut daran, sich ebenfalls an den Sicherheitsmassnahmen zu orientieren, obwohl sich NIS2 grundsätzlich an europäische Organisationen richtet.

Zukünftig sind ausser KRITIS-Betreiber, wie etwa Betriebe der Strom- und Wasserversorgung, die Finanzbranche, das Gesundheitswesen sowie Anbieter digitaler Dienste, neu auch Sektoren wie Post- und Kurierdienste, Abfallwirtschaft und Lebensmittelproduzenten verpflichtet, geeignete technische, operative und organisatorische Sicherheitsmassnahmen nach dem neuesten Stand der Technik zu implementieren, um sich angemessen gegen Cyberattacken zu schützen. So sind auch KMUs betroffen. Die Richtlinie gilt für Unternehmen ab 50 Mitarbeitenden und einem Jahresumsatz über 10 Millionen Euro.

Schwerpunkte und Herausforderungen

NIS2 erfordert die Implementierung von Risikoanalyse- und Sicherheitskonzepten für IT-Systeme, die Behandlung von Schwachstellen und Sicherheitsvorfällen, Backup, Notfall- und Krisenmanagement, Sensibilisierung von Mitarbeitenden, regelmässige Audits, Verfahren zur Bewertung der Wirksamkeit der eigenen Risikomanagement-Massnahmen. Zu den zentralen Praktiken zählen unter anderem Zero-Trust-Prinzipien, regelmässige Software-Updates, eine angemessene Netzwerksegmentierung. Ausreichendes Identitäts- und Zugriffsmanagement sowie Multi-Faktor-Authentifizierung sind ein Muss. Die Herausforderung liegt für Unternehmen einerseits darin, dies umzusetzen, andererseits die Wirksamkeit regelmässig zu überprüfen, sei es mit Vulnerability-Scans, Sicherheits-Assessments, Penetration Tests oder simulierten Cyberattacken.

Stärken der Cyber-Defence-Massnahmen

Cyberangriffe werden weiter zunehmen und eine umfassende Sicherheitsstrategie ist erforderlich. So ist die Auseinandersetzung mit NIS2 entscheidend für Unternehmen, um ein angemessenes Sicherheitsniveau aufrechtzuerhalten und sich gegen die wachsende Bedrohung durch Cyberangriffe zu wappnen. Denn Cybersicherheit ist nicht nur eine gesetzliche Auflage, sondern eine strategische Notwendigkeit für jede Organisation.

NIS2 ist unternehmerische Verantwortung

Künftig können CEOs und Verwaltungsräte für die Nichtumsetzung persönlich haftbar gemacht werden. Doch was heisst das konkret, was gilt es zu tun? Um die Reaktionszeit bei Cyberangriffen zu verkürzen, müssen Vorfälle innerhalb von 24 Stunden nach ihrer Entdeckung bei der nationalen Behörde gemeldet werden. Neu sind auch Vorfälle meldepflichtig, bei denen die Verfügbarkeit von Daten oder Diensten eingeschränkt ist. Innerhalb eines Monats nach der ersten Meldung muss die betroffene Organisation einen Abschlussbericht vorlegen. Eine derart schnelle Reaktion erfordert permanentes Monitoring, die Korrelation von Sicherheits­alarmen und eine fundierte Analyse von Indikatoren einer Kompromittierung – Stichwort: SOC.

Und die Zeit drängt: Die neue NIS2-Richtlinie muss bereits bis Oktober 2024 von den (betroffenen) Unternehmen vollzogen werden. Unternehmen sind gut beraten, frühzeitig externe Cybersicherheitsexperten hinzuzuziehen, um die NIS2-Anforderungen erfolgreich umzusetzen.

NIS2 Gap-Analyse

« Die EU-Richtlinie NIS2 kann auch Schweizer Unternehmen betreffen »
 

In der EU gilt ab Oktober eine neue Richtlinie: NIS2. Mit ihr kommen neue Anforderungen an die Cybersicherheit für Unternehmen. Wann und wie auch Schweizer Unternehmen betroffen sein könnten, sagt Markus Limacher, Head of Security Consulting bei Infoguard. Interview: Coen Kaat

NIS2 ist eine Richtlinie der EU. Weshalb sollten sich Schweizer Unternehmen damit befassen?

Markus Limacher: Weil die NIS2-Richtlinie ihren Fokus auf Cybersicherheit und Resilienz legt. In einer zunehmend digitalisierten Welt sind Unternehmen vermehrt von Cyberbedrohungen wie Datendiebstahl, Betriebsunterbrechungen und Cyberangriffen betroffen. NIS2 zielt darauf ab, die Widerstandsfähigkeit gegenüber solchen Angriffen zu stärken, indem es Mindestsicherheitsanforderungen und Meldepflichten für Betreiber wesentlicher Dienste festlegt. Obwohl die Richtlinie eine EU-Richtlinie ist, kann sie auch Schweizer Unternehmen betreffen. Insbesondere solche, die digitale Dienste oder Produkte in der EU anbieten, mit EU-Unternehmen handeln oder Zulieferer kritischer Infrastrukturen sind.

Welche Folgen hätte es für Schweizer Firmen, wenn sie die Richtlinie nicht einhalten?

Die Nichteinhaltung von NIS2 könnte zu erheblichen finanziellen Verlusten, Reputationsschäden und rechtlichen Konsequenzen führen, die den Geschäftsbetrieb negativ beeinträchtigen könnten. Konkret zu den Folgen zählen mögliche Geldstrafen oder Bussgelder, die von den zuständigen Behörden verhängt werden könnten. Die Höhe der Strafen kann erheblich sein und je nach Schwere des Verstosses variieren. 

Wie schätzen Sie die potenziellen Auswirkungen der NIS2-Richtlinie auf die gesamte Cybersicherheitslandschaft ein, insbesondere für Branchen, die nicht direkt in den Geltungsbereich der Richtlinie fallen?

Durch die Förderung von bewährten Verfahren und Standards für Cybersicherheit und Resilienz könnte NIS2 indirekt dazu beitragen, das Bewusstsein und die Reife von Unternehmen aller Branchen in Bezug auf Cybersicherheit zu erhöhen. Unternehmen könnten sich dadurch motiviert fühlen, ihre Sicherheitsmassnahmen zu optimieren, um besser auf aktuelle und zukünftige Cyberbedrohungen vorbereitet zu sein. Dies könnte letztlich zu einer insgesamt sichereren und widerstandsfähigeren Cybersicherheitslandschaft führen.

Wo sind die blinden Flecken der Richtlinie?

Die NIS2-Richtlinie konzentriert sich auf Betreiber kritischer In­frastrukturen und wesentlicher Dienste und legt Mindestsicherheitsanforderungen für diese Unternehmen fest. Ein potenzieller blinder Fleck der Richtlinie könnte darin liegen, dass sie möglicherweise nicht ausreichend auf die Bedürfnisse kleinerer Unternehmen oder Branchen eingeht, die nicht als «wesentliche Dienste» gelten. Diese Unternehmen könnten ebenfalls erheblichen Cyberbedrohungen und Cyberangriffen ausgesetzt sein – jedoch nicht die Ressourcen oder die Aufmerksamkeit erhalten, die erforderlich sind, um angemessen darauf reagieren zu können. Eine breitere Anwendung der Richtlinie auf eine Vielzahl von Unternehmen und Sektoren könnte daher zu einer verbesserten Gesamtsicherheit beitragen.

Wie ist die rechtliche Situation?

Da die Richtlinie durch die EU-Mitgliedsstaaten in nationales Recht umgesetzt werden muss, werden die Sicherheitsanforderungen je nach EU-Mitgliedsstaaten zu einem gewissen Grad variieren. Der damit verbundene Aufwand für die Sicherstellung der Konformität sollte nicht unterschätzt werden. Auch können die EU-Mitgliedstaaten die Liste der Branchen erweitern, die von NIS2 betroffen sind. Somit könnten Unternehmen betroffen sein, die davon ausgegangen sind, dass für sie NIS2 nicht anwendbar ist.

Wie kann ein Unternehmen - insbesondere ein KMU - prüfen, ob es konform ist mit NIS2 oder nicht?

Indem sie eine gründliche Sicherheitsbewertung durchführen. Dazu gehört die Überprüfung ihrer aktuellen Sicherheitspraktiken, die Identifizierung von potenziellen Schwachstellen und Risiken sowie die Umsetzung von angemessenen Sicherheitsmassnahmen (Etablierung von Richtlinien, robusten Notfallplänen und Incident-Response-Fähigkeiten, Security Monitoring, Business Continuity Management, Sicherheit in der Supply Chain, etc.) gemäss den Anforderungen. Nicht zuletzt empfiehlt es sich externe Sicherheitsfachleute hinzuzuziehen, um eine unabhängige Bewertung der Sicherheitslage durchzuführen und Empfehlungen zur Verbesserung der Konformität mit NIS2 zu erhalten.