
NIS2 steht für die zweite Version der EU-Richtlinie über Netz- und Informationssicherheit. Zum erweiterten Anwendungsbereich zählen auch kritische Sektoren wie Cloud-Dienste, Rechenzentren und elektronische Kommunikationsdienste. (Bild: Bild: Sahraya - stock.adobe.com)
Die NIS2-Richtlinie: Ein Gamechanger für die Cybersicherheit
Am 17. Oktober ist die europäische NIS2-Richtlinie in Kraft getreten und wird laut aktuellem Zeitplan des Bundesministeriums des Innern und Heimat (BMI) vorraussichtlich bis März 2025 als deutsches NIS2-Umsetzungsgesetz (NIS2UmsuCG) hierzulande verabschiedet. Es wird die Cybersicherheitslandschaft in Deutschland und Europa grundlegend verändern.
Welchen Beitrag zur Verbesserung der Resilienz können hierbei elektronische Schließanlagen leisten und welche Vorteile ergeben sich damit für Security-Verantwortliche? Diese und weitere Fragen beantwortet Peter Schippel, Business Development KRITIS bei ASSA ABLOY, im Video.
Welche Unternehmen sind von NIS2 betroffen?
Kritische Infrastrukturen sind vielfältigen Gefährdungen ausgesetzt, die keineswegs ausschließlich aus dem Cyberraum kommen. Neben digitalen Risiken können auch Naturereignisse, menschliches Versagen oder böswillige Manipulationen folgenschwere Konsequenzen für das Gemeinwesen nach sich ziehen. Das ist vor allem dann der Fall, wenn aufgrund wechselseitiger Abhängigkeiten zwischen solchen Einrichtungen der Ausfall gesamter Wertschöpfungsketten droht. Doch mit Ausnahme der IT-Sicherheit gibt es hierzulande bislang keine Regelung, in der ein solcher sektorenübergreifender Ansatz berücksichtigt ist.
Dies wird sich nun mit der Umsetzung der CER-Richtlinie (Directive on Critical Entities Resilience) ändern, die sämtliche EU-Mitgliedstaaten bis spätestens zum 17. Oktober 2024 in nationales Recht überführen müssen. Die Reichweite der NIS2 ist beeindruckend.
Während bisher nur wenige Unternehmen als Teil der kritischen Infrastruktur galten, breitete sich die neue Richtlinie den Kreis erheblich aus. In Deutschland allein sind zum Stichtag 17. Oktober 2024 rund 30.000 Unternehmen von den neuen Regelungen betroffen.
Was sind die Größenkriterien bei Unternehmen?
- Mittleres Unternehmen mit mindestens 50 Beschäftigten oder einem Jahresumsatz über 10 Mio. Euro und eine Jahresbilanzsumme über 10 Mio. Euro
- Großunternehmen mit mindestens 250 Mitarbeitern oder einem Umsatz über 50 Mio. Euro sowie einem Bilanzergebnis von mindestens 43 Mio. Euro
Um Störungen und Ausfälle zu verhindern, formuliert das hierzulande als KRITIS-Dachgesetz bezeichnete Regelwerk erstmals übergreifende Ziele für die Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Siedlungsabfallentsorgung, Informationstechnik und Telekommunikation, Ernährung, Weltraum sowie Öffentliche Verwaltung.
Unternehmen, die mehr als 500.000 Personen versorgen, müssen ab sofort zum Schutz der physischen Sicherheit verpflichtende und passgenaue Vorkehrungen gegen spezifische Risiken nachweisen. KRITIS-Betreiber und Industrieunternehmen sind also gut beraten, auf ein ganzheitliches Sicherheitskonzept zu setzen.
NIS2-Compliance schreibt konkrete Informations- und Meldepflichten vor
Ein ganz entscheidender Punkt der NIS2-Compliance besteht darin, dass diese ein proaktives Handeln seitens der Unternehmen voraussetzt. Das bedeutet, dass sich die Mehrzahl der Einrichtungen und Betreiber selbst identifizieren und beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren müssen. Für besonders wichtige und wichtige Einrichtungen sowie DNS-Registries ist hierfür eine dreimonatige Frist vorgesehen.
Sicher ist: Die Umsetzung der NIS2-Anforderungen erfordert einen ganzheitlichen Ansatz. Neben der digitalen Sicherheit gewinnt die physische Sicherheit an Bedeutung. Moderne Zutrittskontrollsysteme wie die von ASSA ABLOY bieten hier innovative Lösungen.
Warum wächst in dem Zusammenhang die Bedeutung von Zutrittskontrollsystemen?
Die digitale Zutrittskontrolle gewinnt stark an Bedeutung. Sie kann entscheidend dazu beitragen, neue Anforderungen zu erfüllen und ein zentraler Bestandteil der Betriebs- und Sicherheitsstrategie im physischen Schutzkonzept von Energieversorgungsunternehmen zu werden.
Dazu muss ein Schließsystem sowohl mechanischen als auch elektronischen Schutz gegen Manipulationen sowie umfängliche Verwaltungsfunktionen bieten. Hierzu zählen etwa die Protokollierung von Schließvorgängen und die Vergabe spezifischer Zugangsberechtigungen in Abhängigkeit von Rolle und Profil der Nutzer – einschließlich der Sperrung von Schlüsseln.
Häufig erstreckt sich das Versorgungsgebiet über ganze Regionen mit weit verstreuten Anlagen und Gebäuden. Die Schließlösung muss also an entfernten Standorten und bei extremer Witterung ebenso zuverlässig und effizient arbeiten wie in der Unternehmenszentrale. Da im Zuge des Netzausbaus und der Energiewende die Zahl externer Anlagen und Gebäude permanent steigt, ist es zudem entscheidend, dass Erweiterungen und Anpassungen des Schließsystems flexibel umgesetzt und wirtschaftlich instandgehalten werden können.
Best Practices mit der CLIQ®-Technologie für Energieunternehmen zum Download
Mit dem neuen eBook „Sicherheit für Energieversorger“ erhalten Verantwortliche für IT- und Gebäudesicherheit anschauliche Beispiele zu erfolgreich umgesetzten KRITIS-konformen Sicherheitslösungen, die alle auf der CLIQ®-Technologie der Marke IKON beruhen. Das eBook steht zum kostenlosen Download bereit.
Die Bandbreite der porträtierten Unternehmen reicht dabei vom regionalen Kleinwasserwerks- und Müllkraftwerksbetreiber über Stadtwerke in urbanen Ballungsräumen bis hin zum internationalen Energiekonzern mit landesweiten Tochtergesellschaften.
Im eBook werden konkrete ASSA ABLOY-Lösungen gezeigt, zum Beispiel wie
- die ZMS Schwandorf ihre Anlagensicherheit stärkt
- der Energieversorger E.ON seine Infrastruktur sichert
- die Stadtwerke München ihre Netztrafostationen absichern
- die Stadtwerke Kiel sich den stetig wandelnden Herausforderungen im Energiemarkt stellen
- die K.u.F. Drack GmbH & Co KG in Oberösterreich ihr Leitungsnetz einschließlich Trafostationen sichert.
Anhaltspunkte, wie zukunftssicher gegenwärtige Schließsysteme in Unternehmen vor dem Hintergrund der NIS2-Anforderungen sind, liefert eine im eBook enthaltene Checkliste. Eine Übersicht der bei ASSA ABLOY erhältlichen Lösungen von der Schließanlage über die Zutrittskontrolle bis hin zur Rettungswegtechnik rundet den informativen Leitfaden ab.
Fazit: Jetzt handeln!
Die Zeit drängt. Mit dem Inkrafttreten der NIS2-Richtlinie am 17. Oktober 2024 müssten die betroffenen Unternehmen ihre Hausaufgaben erledigt haben. Es gilt, jetzt zu prüfen, ob das eigene Unternehmen betroffen ist, und entsprechende Maßnahmen einzuleiten.
Die NIS2-Richtlinie mag auf den ersten Blick als eine weitere regulatorische Hürde erscheinen. Sie bietet jedoch die Chance, die eigene Cybersicherheit auf ein neues Level zu heben und sich so für die Herausforderungen der digitalen Zukunft zu wappnen. Denn eines ist klar: In einer zunehmend vernetzten Welt wird Cybersicherheit zum entscheidenden Wettbewerbsfaktor.