Die NIS-2-Richtlinie im Baugewerbe: Ihr Unternehmen optimal aufgestellt

Exklusiv für VbU -Tobias Diemer, Transferstelle Cybersicherheit im Mittelstand

Lassen Sie uns nicht um den heißen Brei herumreden. Die neue NIS-2-Richtline stellt kleine und mittlere Unternehmen in Deutschland vor die Herausforderung, komplexen Aufsichts- und Meldepflichten nachzukommen. Sie werden also einige Ressourcen aufwenden müssen, um auch in Zukunft gesetzeskonform zu wirtschaften. Dennoch, bei aller Kritik dient NIS (Netzwerk und Informationssicherheit) -2 letztlich der Harmonisierung europäischer Standards und kommt uns so am Ende allen zugute. Außerdem lohnt es, sich mit dem Thema frühzeitig auseinanderzusetzen. Denn richtig umgesetzt, stellt eine einwandfreie Cybersicherheit im Unternehmen einen Wettbewerbsvorteil dar. Lesen Sie im folgenden Artikel wie Sie das Thema am besten angehen.

Eines vorab: Die meisten Unternehmen aus dem Baugewerbe werden wohl nicht unter die neue Richtlinie fallen. Einige Ausnahmen, vor allem wenn Ihre Lieferkette betroffen ist, oder Sie Zulieferer für bestimmte Unternehmen sind, wird es dennoch geben. Gerne möchten wir Ihnen im folgenden Artikel deshalb einen Überblick über die Thematik liefern sowie Tipps geben, wie Sie sich schon jetzt auf die Einführung des deutschen NIS-2-Umsetzungsgesetzes im Herbst vorbereiten können.

Eine gemeinsame Richtline für Cybersicherheit

Die Bedrohung durch Cyberangriffe auf Unternehmen ist enorm, und die Folgen können verheerend sein. Laut dem Branchenverband Bitkom belaufen sich die Schäden für die deutsche Wirtschaft auf über 143 Milliarden Euro jährlich. Angesichts der zunehmenden Vernetzung und globalen Lieferketten muss Cybersicherheit international gedacht werden. Die EU hat dieses Thema entsprechend aufgegriffen und mit der NIS-2-Richtlinie bestehende Schwächen im bisherigen Rechtsrahmen behoben. Ab Herbst 2024 sollen die Anforderungen der EU-Richtlinie durch das NIS-2-Umsetzungsgesetz in deutsches Recht überführt werden. Diese Umsetzung wird für viele Unternehmen in Deutschland erhebliche Änderungen mit sich bringen.

Welche Handlungsfelder umfasst NIS-2?

Das Ziel von NIS-2 ist es, die Risiken von Cyberangriffen zu minimieren und ihre Auswirkungen zu begrenzen. Um diese Ziele zu erreichen, hat der Gesetzgeber eine Reihe von Maßnahmen vorgesehen:

Verpflichtende Maßnahmen

Sicherheitsrichtlinien:
Unternehmen müssen eine Risikoanalyse durchführen und Sicherheitskonzepte entwickeln. Das bedeutet, dass sie überprüfen müssen, welche Daten besonders schützenswert sind, und entsprechende technische und organisatorische Maßnahmen ergreifen, um diese Daten zu schützen.

Geschäftskontinuität:
Unternehmen müssen in der Lage sein, Sicherheitsvorfälle zu bewältigen und den Betrieb aufrechtzuerhalten. Sie müssen ein Krisenmanagement vorweisen können, das im Falle eines Sicherheitsvorfalls den Betrieb sichert. Dazu gehören Back-Ups und ein entsprechendes Konzept, um den Betrieb schnell wieder aufzunehmen. Die Technik im Unternehmen muss dem aktuellen Stand entsprechen.

Sicherheit der Lieferkette:
Unternehmen müssen ihre Lieferketten absichern, um die Cybersicherheit der gesamten Kette zu gewährleisten. Dies erfordert einen Überblick über alle Zulieferer, deren Zulieferer sowie die Beziehungen zu Dienstleistern und Subunternehmen.

Sicherheit bei Neuanschaffungen:
Beim Erwerb und der Entwicklung von IT-Systemen muss Cybersicherheit berücksichtigt und entsprechende Sicherheitsvorkehrungen getroffen werden.

Verschlüsselung und Kryptographie:
Unternehmen müssen Regelungen zur Nutzung von Verschlüsselungstechniken formulieren. Dies betrifft sowohl den Versand von Daten als auch Daten, die in IT-Systemen gespeichert sind.

Mitarbeitersensibilisierung:
Unternehmen sind verpflichtet, ihre Mitarbeiter zu sensibilisieren und zu schulen. Ein Schulungskonzept muss vorgeben, wer wann und in welcher Form eine Schulung erhält.

Zugangskontrolle:
Unternehmen sollen ein Berechtigungskonzept entwickeln, das sicherstellt, dass jeder Nutzer nur die unbedingt notwendigen Berechtigungen erhält. Adminrechte müssen sparsam vergeben werden.

Passwortregeln und Mehr-Faktoren-Authentifizierung:
Unternehmen sollen Mehr-Faktoren-Authentifizierung (MFA) einführen. Dies bedeutet, dass Mitarbeiter neben ihren Passwörtern weitere Faktoren nutzen, um ihre Identität zu bestätigen, z.B. Fingerabdruckscanner oder Freischaltcodes vom Smartphone. Unternehmen müssen zudem sichere Kommunikationswege für Notfälle bereithalten.

Meldepflichten:
Unternehmen sind verpflichtet, innerhalb von 24 Stunden nach einem Sicherheitsvorfall eine Erstmeldung abzugeben. Ja nach Schwere des Schadens können Sie vom BSI beauflagt werden, über den Schadensvorfall Ihre Kunden zu informieren. Das BSI kann dies übrigens auch selbst übernehmen.

Die Verpflichtungen variieren je nach Einstufung des Sektors. Besonders wichtige Einrichtungen müssen stärkere Sicherheitsvorkehrungen treffen als wichtige Einrichtungen. Für Betreiber kritischer Anlagen (KRITIS) gelten höhere Standards als für andere Einrichtungen.

Welche Unternehmen sind – Stand jetzt – betroffen?

Doch nicht alle Unternehmen sind von NIS-2 betroffen. Generell ist davon auszugehen, dass ca. 30.000 Unternehmen in Deutschland das NIS2UmsuCG umsetzen müssen. Ausschlaggebend dafür ist neben der Unternehmensgröße der Sektor, in dem ihr Unternehmen tätig ist.

Dabei unterscheidet der Gesetzgeber zwischen besonders wichtigen und wichtigen Einrichtungen. In der folgenden Tabelle sehen Sie, welche Sektoren unter die besonders wichtigen und wichtigen Einrichtungen fallen.

Betroffene Unternehmen

Ist Ihr Unternehmen kleiner als 50 Mitarbeitende, kann es trotzdem sein, dass Sie von NIS-2 betroffen sind. Das gilt für Unternehmen, die besonders kritische Tätigkeiten ausüben, deren Ausfall für Risiken im System sorgen würden. Insbesondere gilt das für kleine Unternehmen, die vorher bereits von KRITIS betroffen waren und Zulieferern von größeren Unternehmen. Die Unternehmen, die vorher von KRITIS betroffen waren, werden unter NIS-2 zu Betreibern kritischer Anlagen und gleichzeitig auch zu Betreibern einer besonders wichtigen Einrichtung.

Sie sehen schon, das Baugewerbe wird hier nicht explizit genannt. Unter Umständen können Sie jedoch trotzdem betroffen sein.

Szenario 1: Sie sind Zulieferer eines Unternehmens, welches unter die NIS-2-Richtlinie fällt

Unternehmen X beispielsweise der Flughafenbetreiber Fraport, beauftragt Sie mit dem Bau eines neuen Flughafens. Da dieses Unternehmen sowohl unter die KRITIS als auch die NIS-2-Richtlinie fällt, muss es sicherstellen, dass die Anforderungen an die Sicherheit des Betriebes gegeben sind. Im genannten Szenario würde dies Aspekte wie die geschlossene Architektur von Serverräumen, die Zugänge zu kritischen Einstiegspunkten ins System wie beispielsweiße Lan-Kabel oder schlicht die Notstromversorgung betreffen.

Szenario 2: Sie befinden sich in einer Firmengruppe und überschreiten so die Grenze von 250 Mitarbeitenden

Wie auch in anderen Branchen, werden Bauvorhaben oftmals von Firmengruppen umgesetzt, in welchen sich Handwerksbetriebe verschiedenster Art, teilweise dem Namen nach eigenständig, zu einem Bauträger verschmelzen. Würden Sie also in so einem Fall über die Grenze von 249 Mitarbeitenden rutschen, dann wären Sie ebenfalls von der Richtline betroffen, da Sie nunmehr als Großunternehmen zählen.

Szenario 3: Eines der Verbundunternehmen fällt unter die NIS-2-Richtlinie

Weiterhin ist die NIS-2-Richtlinie für Sie von Bedeutung, wenn eines der Unternehmen, mit welchen Sie sich in einer Verbundgruppe befinden unter die Richtlinie fällt. Der Gesetzgeber versteht darunter die gemeinsame Nutzung von IT-Systemen. Sollten Sie also mit einem Unternehmen, welches beispielsweise der Branche der Energieversorger zugerechnet wird, über gemeinsame Bauträgerschaften verbunden sein und entsprechen gemeinsame IT-Systeme nutzen so kann die NIS-Richtlinie ebenfalls für Ihr Unternehmen gültig sein.

Und jetzt?

Chance nutzen – auch wenn Sie nicht zwingend betroffen sind

Zugegeben, die Regeln und Pflichten rund um NIS-2 sind umfangreich und kompliziert. In Ihrem Kern ergeben Sie aber durchaus Sinn. Nutzen Sie als die Chance Ihr Unternehmen fit für die Zukunft zu machen.

Schritt 1: Erheben Sie den Stand der IT-Sicherheit in Ihrem Unternehmen mit unserem einfachen und praktischen Tool. Mithilfe des CYBERsicher Checks erfahren Sie im Handumdrehen welche Bedarfe Ihr Unternehmen im Bereich Cybersicherheit hat. Zusätzlich erhalten Sie am Ende der Auswertung maßgeschneiderte Handlungsempfehlungen, um direkt loslegen zu können. Informationen hierzu finden sie auf unserer Webseite.

Schritt 2: Unternehmen können sich optimal auf die Einführung von NIS-2 vorbereiten, indem sie sich mit dem Thema ISMS (Informationssicherheitsmanagementsystem) auseinandersetzen. Ein ISMS beinhaltet alle Bestandteile, die auch von NIS-2 vorausgesetzt werden. Der BSI-Grundschutz bietet eine Orientierung dafür, was ein umfassendes ISMS beinhaltet.

Schritt 3: Weiterhin ist es ratsam, dass Unternehmen sich Gedanken über ein Risikomanagement machen, und die ersten Schritte dafür gehen, ein solches einzuführen. Vollständig vorbereitet sind Unternehmen, wenn sie weiterhin ein Business Continuity Management einführen – um im Zweifel den Betrieb auch während einer Cyberattacke fortführen zu können.

Zudem ist noch nicht bekannt, ob das NIS2UmsuCG weitreichendere Standards als die ISO 27001 definiert. Der BSI-Standard 200-2 liefert eine Methodik, um ein solides ISMS aufzubauen. Hier lohnt sich somit ein Blick.

Nutzen Sie hierfür einfach die umfangreichen Angebote der Transferstelle Cybersicherheit im Mittelstand. Mit dem CYBERsicher Check haben wir ein einfaches und praxisorientiertes Tool geschaffen, welches Ihnen mit wenigen Klicks den Stand der IT-Sicherheit in Ihrem Unternehmen aufzeigt. Zusätzlich stellen wir Ihnen maßgeschneiderte Handlungsempfehlungen zur Verfügung, die Ihnen helfen können die Lücken in Ihrem System zu schließen. Sollten Sie im Anschluss noch Fragen haben, bieten wir Ihnen mit den CYBERDialogen die Möglichkeit Ihre Situation mit einem unserer Experten zu besprechen.

Hier geht es zur Transferstelle: https://transferstelle-cybersicherheit.de/

Zuletzt kann ich Ihnen noch den NIS-2-Betroffenheitschecker des Bundesamtes für Sicherheit in der Informationstechnik (BSI) empfehlen. Dieser kann Ihnen eine erste Einschätzung zu Ihrer persönlichen Betroffenheit liefern.

Hier geht es zum NIS-2-Betroffenheitschecker:

https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung_node.html