EU-Richtlinie NIS 2 (Network and Information Security, Richtlinie (EU) 2022/2555)

Neben organisatorischen Aspekten definiert NIS 2 auch eine Reihe technischer Sicherheitsmaßnahmen, die Unternehmen – insbesondere in industriellen Umgebungen – umsetzen müssen.

• Netzwerksicherheit und Segmentierung: Unternehmensnetzwerke müssen angemessen geschützt und in Sicherheitszonen aufgeteilt werden. Eine aktuelle Netzwerktopologie ist vorzuhalten; interne Segmentierung in getrennte Bereiche entsprechend Schutzbedarf und Risikoanalyse ist gefordert. Kritische Produktionsnetze (Operational Technology, OT) sollten strikt von Büro-IT und dem Internet getrennt werden. Netzsegmentierung reduziert die Angriffsfläche und erschwert seitliche Bewegungen eines Angreifers. Moderne Tiering-Modelle (Zonen mit abgestuften Rechten) begrenzen im Ernstfall die Ausbreitung eines Angriffs und damit dessen Auswirkungen. Zusätzlich sind sichere Remote-Access-Lösungen, das Sperren nicht benötigter Ports/Services und der Einsatz sicherer Protokolle notwendig.

• Monitoring und Anomalie-Erkennung: NIS 2 verlangt eine automatisierte Überwachung der IT-Infrastruktur. Unternehmen sollten ein kontinuierliches Security Monitoring (z. B. via IDS/IPS oder SIEM) einrichten, um Anomalien und Eindringversuche frühzeitig zu erkennen. Verdächtige Aktivitäten, wie unübliche Netzwerkzugriffe oder Systemänderungen, müssen detektiert und gemeldet werden. Eine 24/7-Überwachung (z. B. durch ein Security Operations Center, SOC) stellt sicher, dass Sicherheitsvorfälle möglichst rasch bemerkt und eingedämmt werden. Logs und Ereignisse sollten zentral gesammelt und ausgewertet werden, um Angriffe oder Schwachstellen zu identifizieren.

• Zugriffskontrolle und Authentifizierung: Strenge Access-Control-Mechanismen müssen umgesetzt werden. Dazu zählt insbesondere der Einsatz von Multi-Faktor-Authentifizierung (MFA) für Zugänge zu kritischen Systemen. NIS 2 fordert klar definierte Nutzerrechte und Rollen: Nur befugtes Personal darf auf sensible Anlagen und Daten zugreifen. Das Least-Privilege-Prinzip (Mitarbeiter erhalten nur minimal nötige Rechte) und eine saubere Rechteverwaltung sind umzusetzen. Zugriffsrechte müssen regelmäßig überprüft und nicht mehr benötigte Berechtigungen entzogen werden. Auch technische Accounts und Dienstkonten sind zu kontrollieren. Nach X fehlgeschlagenen Anmeldungen sollte ein Account gesperrt werden, und Admin-Tätigkeiten sind nur mit separaten Admin-Konten durchzuführen. Insgesamt sollen Identity & Access Management-Lösungen sicherstellen, dass nur autorisierte Personen und Prozesse Zugriff auf kritische Systeme erhalten.

• Schutz vor Malware und Schwachstellenmanagement: Ein aktiver und passiver Malware-Schutz ist in jedem Unternehmen zwingend umzusetzen. Virenschutz, Endpoint-Detection-and-Response (EDR) und ähnliche Tools sollten eingesetzt und aktuell gehalten werden, um Schadsoftware zu erkennen und zu blockieren. Ebenso wichtig ist ein prozessorientiertes Schwachstellenmanagement: Bekannte Schwachstellen in Software und Firmware müssen zügig durch Sicherheitsupdates behoben werden. NIS 2 fördert Transparenz über Sicherheitslücken – Hersteller von IT-Produkten sollen bekannte Schwachstellen offenlegen, und Anwender müssen diese Informationen nutzen, um Patches zeitnah einzuspielen. Regulär durchzuführende Schwachstellenscans und Penetrationstests helfen, Sicherheitslücken proaktiv aufzudecken. Auch Change-Management-Prozesse sind erforderlich, damit Änderungen an IT-Systemen kontrolliert und sicher erfolgen.

• Kryptografie und Datensicherheit: Der Einsatz von Kryptografie zum Schutz von Daten ist explizit gefordert. Vertraulichkeit und Integrität sensibler Informationen müssen z. B. durch Verschlüsselung der Kommunikation und von Datenbeständen gewährleistet werden. Dies gilt gleichermaßen für Data-in-Transit (Datenübertragung) und Data-at-Rest (Datenspeicherung). Unternehmen müssen geeignete Verschlüsselungsprozesse implementieren, inklusive eines sicheren Managements der Kryptoschlüssel. Abhängig von der Klassifikation der Informationen sind robuste Verschlüsselungsalgorithmen und Protokolle (etwa TLS, VPN, E2E-Verschlüsselung) einzusetzen. Auch gesicherte Sprach-, Video- und Textkommunikation sowie Notfall-Kommunikationssysteme (für den Krisenfall) sollen gewährleistet sein. Insgesamt tragen moderne kryptografische Verfahren dazu bei, die Auswirkungen von Sicherheitslücken zu reduzieren und Datenschutz zu gewährleisten.

Zusätzlich zu den genannten Punkten empfiehlt es sich, etablierte Best Practices der IT-Sicherheit einzuhalten. Dazu gehören z. B. sichere Softwareentwicklungsprozesse (Security by Design, Code Reviews), physische Sicherheit (Schutz vor unbefugtem Zugriff auf Serverräume/Anlagen) und ein durchgängiges Asset-Management (Inventarisierung aller kritischen Systeme). Die NIS 2-Maßnahmen folgen im Grunde einem risiko- und resilienzorientierten Ansatz, wie er etwa aus ISO/IEC 27001 bekannt ist. Technische und organisatorische Vorkehrungen müssen dabei ineinandergreifen, um ganzheitliche Sicherheit zu erzielen.

• Erweiterter Geltungsbereich: Während NIS1 nur bestimmte kritische Infrastrukturen und digitale Dienste umfasste, erfasst NIS 2 nun ein breiteres Spektrum an Sektoren und Unternehmen. Erstmals einbezogen sind z. B. mittlere und große Unternehmen aus dem industriellen Bereich (Produktion/Industrie 4.0), der Chemie, dem Transportwesen, Gesundheitswesen und weiteren Branchen. Insgesamt gelten die Vorgaben nun für 18 Sektoren (siehe unten), statt wie bisher für einige wenige. Auch bislang nicht erfasste Bereiche wie öffentliche Verwaltung, Abfallentsorgung, Raumfahrt, postalische Dienste oder Herstellung kritischer Güter fallen unter NIS 2. Diese Ausweitung trägt der gestiegenen Abhängigkeit verschiedener Wirtschaftsbereiche von digitalen Systemen Rechnung.

• Klassifizierung in wesentliche und wichtige Einrichtungen: Anders als NIS1 unterscheidet NIS 2 zwischen „wesentlichen“ (besonders wichtigen) und „wichtigen“ Einrichtungen, je nach Sektor und Unternehmensgröße. Wesentliche Einrichtungen sind größere Unternehmen in Sektoren mit hoher Kritikalität (Annex I der Richtlinie, z. B. Energie, Gesundheitsversorgung, Trinkwasser, digitale Infrastruktur), wichtige Einrichtungen hingegen Unternehmen in weiteren kritischen Sektoren (Annex II, z. B. Lebensmittel- und Chemieindustrie, Fahrzeugbau, Abfallwirtschaft). Die Sicherheitsmaßnahmen und Meldepflichten sind für beide Gruppen identisch, jedoch unterliegen wesentliche Einrichtungen strengerer Aufsicht: Ihre NIS 2-Compliance wird regelmäßig von Behörden überprüft, während wichtige Einrichtungen nur anlassbezogen (bei Verdacht oder nach schweren Vorfällen) geprüft werden. Diese Zweiteilung soll eine effektivere Kontrolle der wirklich kritischen Sektoren ermöglichen. (NIS1 kannte eine solche differenzierte Kategorisierung noch nicht.)

• Konkretere Sicherheitsanforderungen: NIS1 schrieb lediglich „angemessene Sicherheitsvorkehrungen“ vor, während NIS 2 deutlich konkretisiert, welche Maßnahmen umzusetzen sind. Die Richtlinie definiert zehn Cybersecurity-Risikomanagementmaßnahmen (Art. 21 NIS 2) – darunter z. B. Zugangsmanagement (inkl. MFA), Verschlüsselung, Incident Response Planung, Patch-Management, Lieferkettensicherheit, Awareness-Schulungen etc.. Diese detaillierten Vorgaben stellen klar, welche organisatorischen und technischen Vorkehrungen erwartet werden (in Anlehnung an international anerkannte Standards). Dadurch verfolgt NIS 2 einen moderneren, resilienzorientierten Ansatz, der kontinuierliche Verbesserung und Vorbereitung auf unvermeidbare Angriffe betont. Für Unternehmen bedeutet dies höheren Aufwand, aber auch klarere Leitlinien als unter NIS1.

• Strengere Meldepflichten: Die Vorgaben zur Meldung von Sicherheitsvorfällen wurden verschärft. Unter NIS 2 müssen erhebliche Cybervorfälle innerhalb von 24 Stunden nach Bekanntwerden zumindest vorläufig gemeldet werden. Weitere Detailberichte (z. B. Zwischenbericht nach 72 Stunden, Abschlussbericht innerhalb eines Monats) sind gemäß Art. 23 NIS 2 nachzuliefern. NIS1 hatte hingegen weniger strikte bzw. unterschiedlich gehandhabte Fristen (oft „ohne unnötige Verzögerung“). Die schnellere Meldung unter NIS 2 soll den Behörden (insbesondere den nationalen CSIRTs) erlauben, rasch zu reagieren und andere potenziell Betroffene zu warnen. Die Meldepflicht umfasst nicht nur erfolgreiche Angriffe, sondern teils auch erhebliche Beinahe-Vorfälle, um ein besseres Lagebild zu erhalten.

• Höhere Sanktionen und Haftung: NIS 2 führt EU-weit einheitliche Bußgelder für Verstöße ein, ähnlich dem Modell der DSGVO. Während NIS1 hier den Mitgliedstaaten viel Spielraum ließ, drohen nun spürbare Strafen: bis zu 10 Millionen € oder 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist – können bei gravierenden Verstößen gegen die Sicherheitsmaßnahmen oder Meldepflichten verhängt werden. Für wichtige Einrichtungen gelten etwas geringere Maximalrahmen (häufig genannt: 7 Mio. € oder 1,4 % des Umsatzes), doch auch diese sind substanziell. Darüber hinaus begründet NIS 2 eine persönliche Haftung von Leitungspersonen bei Vernachlässigung der Cybersicherheit. Geschäftsführer können zur Rechenschaft gezogen werden, wenn sie ihre Pflichten (z. B. Teilnahme an Schulungen, Bereitstellung von Ressourcen) schuldhaft verletzen. Insgesamt erhöht NIS 2 damit den Durchsetzungsdruck erheblich im Vergleich zu NIS1.

Zusammengefasst zeichnet sich NIS 2 gegenüber der Vorgängerrichtlinie durch einen deutlich erweiterten Anwendungsbereich, konkretere Pflichten und eine härtere Sanktionierung aus. Für viele bislang nicht erfasste Unternehmen – darunter zahlreiche Industriebetriebe – bedeutet dies, dass sie ab 2024/25 neue Cybersicherheitsmaßnahmen umsetzen und sich auf behördliche Aufsicht einstellen müssen. Gleichzeitig soll das höhere Schutzniveau helfen, Ausfälle und Schäden durch Cyberangriffe in Europa zu reduzieren.

Ob ein Unternehmen unter die NIS 2-Richtlinie fällt und ob es als wesentliche oder wichtige Einrichtung gilt, hängt von Sektor und Unternehmensgröße ab.

• Sektoren von hoher Kritikalität (Anhang I) : dazu zählen z. B. Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff), Verkehr (Straßen-, Schienen-, Luft- und Schiffsverkehr), Trinkwasserversorgung, Abwasserentsorgung, Gesundheitsversorgung, digitale Infrastruktur (z. B. Internetknoten, Cloud-Anbieter), IKT-Dienstleister (z. B. Managed Service Provider), Finanz-/Bankenwesen (wobei Banken in der Praxis der strengeren DORA-Regulierung unterliegen), öffentliche Verwaltung (staatliche Stellen auf zentraler und regionaler Ebene) sowie der Weltraumsektor. Unternehmen in diesen hochkritischen Bereichen werden in NIS 2 als „wesentliche Einrichtungen“ (essential entities) eingestuft – vorausgesetzt, sie überschreiten eine gewisse Größe.

• Andere kritische Sektoren (Anhang II) : hierzu zählen Post- und Kurierdienste, Abfallwirtschaft, Herstellung, Produktion und Vertrieb von Chemikalien, sowie diverse Bereiche der verarbeitenden Industrie (insbesondere Herstellung kritischer Produkte). Beispiele sind die Medizinprodukte- und Pharmaindustrie, Hersteller von Computer-/Elektronik und elektrischen Geräten, Maschinenbau, Automobil- und Nutzfahrzeugindustrie und sonstiger Transportmittelbau. Auch Lebensmittel-Produktion und Forschungseinrichtungen werden teils hinzugerechnet. Unternehmen dieser Sektoren gelten als „wichtige Einrichtungen“ (important entities), sofern sie die relevanten Größenschwellen überschreiten.

Unternehmensgröße als Kriterium: Grundsätzlich nimmt NIS 2 mittelgroße und große Unternehmen in den Blick. Kleinbetriebe (weniger als 50 Mitarbeiter und ≤10 Mio. € Jahresumsatz/Bilanzsumme) sind meist ausgenommen, außer sie erbringen sehr kritische Dienstleistungen. Formal reicht es aus, wenn eines der folgenden Kriterien erfüllt ist, damit ein Unternehmen als nicht-klein gilt und damit unter NIS 2 fällt: ≥ 50 Mitarbeiter oder > 10 Mio. € Jahresumsatz (und > 10 Mio. € Bilanzsumme). Ab dieser Größe greift NIS 2, sofern die Firma in einem der genannten Sektoren tätig ist. Ein Unternehmen mit ≥ 250 Mitarbeitern oder > 50 Mio. € Umsatz zählt als groß und wird auf jeden Fall erfasst. Die Einstufung wesentlich vs. wichtig richtet sich dann nach dem Sektor: ein mittelgroßes/großes Unternehmen im Hochkritikalitäts-Sektor wird als wesentlich geführt, in den übrigen Sektoren als wichtig.

Sonderfälle: NIS 2 enthält Klauseln, wonach auch bestimmte kleinere Unternehmen einbezogen werden können, falls sie der alleinige Anbieter einer essentiellen Dienstleistung in einem Mitgliedstaat oder einer Region sind. Beispiel: Ein kommunaler Energieversorger mit nur 30 Mitarbeitern, der als einziger eine Stadt mit Fernwärme versorgt, würde trotz Unterschreiten der Größengrenzen als wesentliche Einrichtung betrachtet. Ebenso ist in Deutschland davon auszugehen, dass bestehende KRITIS-Betreiber (nach BSI-KritisV/BSIG) automatisch als wesentliche Einrichtungen gelten, unabhängig von Mitarbeiterzahl oder Umsatz. Die nationalen Schwellenwerte der bisherigen KRITIS-Verordnung (z. B. Versorgungsgrad, Jahresleistung) verlieren durch die EU-einheitlichen Sektorlisten an Bedeutung – NIS 2 legt zentral fest, welche Branchen als kritisch einzustufen sind.

Konsequenzen der Einstufung: Sowohl wesentliche als auch wichtige Einrichtungen müssen sämtliche NIS 2-Anforderungen umsetzen (Risikomanagement-Maßnahmen nach Art. 21, Meldungen nach Art. 23 etc.). Der Unterschied liegt in der Überprüfung und den Sanktionshöhen: Wesentliche werden proaktiv und regelmäßig von der zuständigen Behörde (in Deutschland: BSI) überwacht, während wichtige nur im Anlassfall geprüft werden. Bei Verstößen drohen wesentlichen Einrichtungen Bußgelder bis 10 Mio. € bzw. 2 % Umsatz, bei wichtigen in der Regel bis 7 Mio. € bzw. 1,4 % Umsatz. Außerdem müssen sich alle betroffenen Unternehmen offiziell bei der Behörde registrieren. Für die Praxis bedeutet dies: Industrieunternehmen sollten zunächst prüfen, ob sie zu den relevanten Sektoren gehören und die Größenkriterien erfüllen. Wenn ja, müssen sie sich innerhalb von 3 Monaten nach Inkrafttreten des nationalen Umsetzungsgesetzes melden und die Vorgaben fristgerecht umsetzen.

Sektor-Übersicht: Der industrielle Sektor ist also auf vielfältige Weise betroffen – direkt z. B. durch Energie- und Stromnetzbetreiber, Öl-/Chemiekonzerne, Automobil- und Maschinenbauunternehmen, aber auch indirekt über deren Dienstleister (IT-Zulieferer, Cloud, Rechenzentren) und Zuliefererketten. NIS 2 schafft hier ein deutlich engeres Sicherheitsnetz als die ursprüngliche Richtlinie.

Die NIS 2-Richtlinie orientiert sich an der aktuellen Bedrohungslage, die industrielle Unternehmen adressieren müssen.

• Ransomware und Erpressungsangriffe: Verschlüsselungs- und Erpressungssoftware stellen derzeit eine der größten Gefahren für Unternehmen dar. In Deutschland verzeichnete das BKA 2023 Hunderte schwerwiegende Ransomware-Angriffe auf Firmen und Institutionen. Die Schäden durch Cyberkriminalität – insbesondere durch solche Angriffe – wurden vom Bitkom auf ~148 Mrd. € jährlich beziffert. NIS 2 trägt dem Rechnung, indem es robuste Backup- und Incident-Response-Konzepte fordert, um die Auswirkungen von Verschlüsselungsattacken zu begrenzen. Unternehmen müssen Ransomware als wichtiges Risikoszenario in ihre Risikoanalyse aufnehmen und sich speziell darauf vorbereiten (z. B. Offline-Backups, Notfallpläne).

• Lieferketten-Angriffe (Supply-Chain Threats): Angreifer nutzen zunehmend Schwachstellen bei Drittanbietern, um ihr eigentliches Ziel – das Unternehmen – zu kompromittieren. Ein bekanntes Beispiel ist der SolarWinds-Angriff, bei dem Schadcode über ein Software-Update eines IT-Zulieferers in zahlreiche Netzwerke gelangte. NIS 2 adressiert dieses Risiko explizit: Firmen müssen Risiken in Geschäftsbeziehungen und der Lieferkette beurteilen und von Dienstleistern Sicherheitsnachweise verlangen. Auch Ausfälle bei Zulieferern (z. B. Cloud-Provider) können kritische Geschäftsprozesse lahmlegen – daher erfordert NIS 2 resilientere Infrastrukturen und Redundanzen entlang der Lieferkette. Die IT-Sicherheit von Drittparteien (inkl. Softwarekomponenten, IoT-Zulieferer etc.) wird so zu einem integralen Bestandteil der eigenen Risikoabwägung.

• Gezielte Angriffe auf Industrieanlagen (OT-Angriffe): Im industriellen Sektor besteht die Gefahr, dass Cyberangriffe nicht nur Daten, sondern auch physische Prozesse stören. Beispiele sind Malware wie Stuxnet oder TRITON, die Industriesteuerungen sabotierten. Solche Advanced Persistent Threats (APT) oft durch staatliche oder professionelle Akteure werden in Risikobetrachtungen berücksichtigt. NIS 2 verlangt daher Schutzmaßnahmen, die speziell auch industrielle Steuerungssysteme (ICS/SCADA) absichern – etwa Netzwerksegmentierung zwischen IT und OT, strenge Zugriffskontrollen an Maschinen, und Überwachung des Datenverkehrs in Produktionsnetzen. Die Kombination von IT und OT im Zuge von Industrie 4.0 erhöht die Angriffsfläche, weshalb in z. B. Energie- oder Fertigungssektor besondere Vorsicht (und ggf. branchenspezifische Standards wie IEC 62443) geboten sind.

• Social Engineering und Insider-Bedrohungen: Menschliches Fehlverhalten bleibt ein großes Risiko. Phishing-E-Mails, gefälschte Websites oder telefonisch erschlichene Zugangsdaten (Vishing) können selbst hochgesicherte Systeme kompromittieren. Daher fordern die NIS 2-Maßnahmen umfassende Awareness-Programme, um Mitarbeiter für Phishing, Passworthygiene und Social-Engineering zu sensibilisieren. Auch böswillige Insider oder unachtsame Beschäftigte können Schaden anrichten – Zugriffsrechte und Aktivitäten von Nutzern müssen deshalb überwacht werden (Stichwort Monitoring von Administratoraktionen, Vier-Augen-Prinzip bei kritischen Änderungen).

• Technische Schwachstellen & Zero-Day-Exploits: Das Auftauchen neuer Sicherheitslücken (z. B. in weit verbreiteter Software) stellt ein permanentes Risiko dar. Unternehmen müssen sich auf Zero-Day-Exploits einstellen und eine Kultur der schnellen Reaktion entwickeln. Regelmäßige Updates und Patches, wie von NIS 2 gefordert, mindern dieses Risiko. Auch Penetrationstests helfen, unbekannte Schwachstellen im eigenen Systemverbund aufzudecken. NIS 2 fördert zudem den Informationsaustausch über Gefahren: Die Zusammenarbeit der CSIRTs und der EU-Cybersicherheitsbehörden (z. B. in der NIS Cooperation Group) soll ein besseres Lagebild über aufkommende Bedrohungen liefern.

Weitere zu berücksichtigende Risiken sind DDoS-Angriffe (Überlastung von Netzwerken oder Online-Diensten), Datenlecks/Spionage (Diebstahl sensibler Unternehmens- oder Kundendaten), sowie technisches Versagen oder Naturkatastrophen, die kritische Infrastrukturen beeinträchtigen können. NIS 2 verfolgt einen allumfassenden Ansatz des Cyber-Risikomanagements, der all diese Szenarien zumindest gedanklich durchspielt und vorbereitet. Unternehmen im industriellen Sektor – oft Bestandteil lebenswichtiger Lieferketten – müssen insbesondere Worst-Case-Szenarien (z. B. großflächiger Produktionsausfall, Gefährdung der öffentlichen Versorgung) mit einplanen. Entsprechend schreibt NIS 2 regelmäßige Neubewertung der Bedrohungslage vor, sodass neue Risiken (etwa neuartige Angriffsmethoden) zeitnah in Schutzkonzepte einfließen.

Um die Anforderungen der NIS 2 zu erfüllen, müssen industrielle Unternehmen ihre IT-Infrastruktur robust und resilient gestalten. Die Richtlinie gibt keine detailgenauen Architekturanweisungen vor, betont jedoch bewährte Prinzipien der „Security by Design“.

• Netzwerksegmentierung und Zonenkonzepte: Wie oben erwähnt, sollten Firmennetze segmentiert werden. Kritische Produktionsanlagen gehören in isolierte Netzsegmente (ggf. mit sogenannten „Data Diodes“ oder Einweg-Gateways, um nur unidirektionalen Datentransfer zu erlauben). Durch Auftrennung des Netzwerks in Zonen – etwa nach dem ISA/IEC 62443 Zonen-Modell oder IT-Grundschutz-Domänen – kann die Angriffsfläche verringert und die Ausbreitung von Schadcode im Ernstfall begrenzt werden. Industrieunternehmen sollten insbesondere eine Trennung zwischen Büro-IT, Produktions-IT und ggf. externen Anbindungen (Lieferanten, Fernwartung) vornehmen. De-militarisierte Zonen (DMZ) können für Schnittstellen zu Partnernetzen eingerichtet werden. Durch Segmentierung lässt sich zudem feingranularer Schutz erreichen: Hochsensible Datenbereiche können mit stärkeren Zugriffshürden versehen werden als weniger kritische Segmente.

• Sicherheitsmonitoring und Frühwarnsysteme: Eine robuste Infrastruktur erfordert durchgehendes Monitoring aller wichtigen Systeme. Unternehmen sollten ein Security Operations Center (SOC) oder vergleichbare Überwachungsmechanismen einrichten, die rund um die Uhr Logs und Verkehr auf Anomalien prüfen. Tools wie Intrusion Detection/Prevention Systeme (IDS/IPS), Netzwerk-Analyse und Endpoint Monitoring sollten integriert sein. Gerade im industriellen Umfeld (OT) empfiehlt sich der Einsatz von Industrial IDS, die typische Prozessanomalien erkennen (z. B. unzulässige Befehle an SCADA-Systeme). SIEM-Plattformen (Security Information and Event Management) können Ereignisse korrelieren und Alarm schlagen, wenn Indikatoren für einen Angriff auftreten. Wichtig ist auch ein Konzept zur Bedrohungsanalyse (Threat Intelligence): das Unternehmen sollte über relevante aktuelle Schwachstellen und Angriffsmuster informiert bleiben, um Schutzmaßnahmen anzupassen. Insgesamt gilt es, Transparenz über die eigene Systemlandschaft herzustellen – ein Angreifer darf sich nicht unbemerkt bewegen können.

• Incident Response und Wiederanlaufkonzepte: Trotz aller Prävention muss die Infrastruktur so ausgelegt sein, dass sie im Ernstfall schnell wiederhergestellt werden kann. Dazu gehören regelmäßige Backups kritischer Systeme und Daten, idealerweise versioniert und offline (getrennt vom Live-Netz) gespeichert, um Ransomware zu überleben. Die Backup-Infrastruktur sollte regelmäßig auf Wiederherstellbarkeit getestet werden (Disaster-Recovery-Tests). Ein IT-Notfallplan definiert klar, welche Systeme prioritätig wiederhergestellt werden müssen und welche Workarounds es gibt, falls IT-Systeme ausfallen. Darüber hinaus sollte es ein Notfall-Kommunikationssystem geben – beispielsweise alternative E-Mail- oder Telefonketten –, falls primäre Kommunikationswege (Mailserver, VoIP) durch den Angriff gestört sind. Für die Incident-Response selbst empfiehlt es sich, ein internes CERT/CSIRT-Team aufzubauen oder externe Partner bereitzuhalten, um technische Forensik und Schadensbegrenzung durchzuführen. Die NIS 2-Vorgaben (24h-Meldung etc.) sollten ins Incident-Handling-Prozess integriert sein (z. B. Checklisten, wann das BSI zu informieren ist). Übungen und Planspiele (Cyber Drills) helfen, die Reaktionsfähigkeit zu überprüfen und Mitarbeiter mit ihren Rollen im Krisenfall vertraut zu machen.

• Schichtenverteidigung und Redundanz: NIS 2-konforme Sicherheit folgt dem Prinzip der „Defense in Depth“. Das bedeutet, mehrere Sicherheitskontrollen greifen auf verschiedenen Ebenen ineinander: z. B. Netzwerk-Firewalls, Anwenderschulung, Malware-Schutz, verschlüsselte Übertragung und strikte Zugriffsrechte ergänzen einander. Wenn eine Abwehr versagt, fängt die nächste Ebene den Angriff idealerweise ab. Industrielle Steuerungsnetze könnten z. B. zusätzlich durch Whitelisting (nur erlaubte Kommunikation) oder Hardware-Sicherheitsmodule geschützt werden. Wichtig ist auch, kritische Komponenten redundant auszulegen, wo machbar: Etwa Redundanz bei Steuerungsrechnern, alternative Energieversorgung (USV) oder sekundäre Datacenter-Standorte, um einzelne Ausfälle abzufedern. Eine robuste Infrastruktur ist fehlertolerant konzipiert und berücksichtigt Single Points of Failure. NIS 2 betont Resilienz – also die Fähigkeit, trotz Angriff weiter zu funktionieren oder sich schnell zu erholen.

• Aktualität und Zertifizierung: Da Technik sich ständig weiterentwickelt, muss die Infrastruktur laufend modernisiert und aktuell gehalten werden. Veraltete Systeme („End of Life“) stellen ein Risiko dar und sollten ersetzt oder mit Kompensationsmaßnahmen versehen werden. Unternehmen sollten auch prüfen, ob zertifizierte Lösungen (etwa nach EU-Cybersicherheitszertifizierung gemäß ENISA) verfügbar sind, die anerkanntermaßen ein hohes Schutzniveau bieten. Insbesondere bei sicherheitskritischen Komponenten (z. B. Firewalls, SCADA-Systeme) kann die Orientierung an Standards und Normen sinnvoll sein. NIS 2 fördert die Nutzung europäischer Normen und Best Practices, um die Sicherheit anzuheben. Für industrielle Steuerungen könnten beispielsweise IEC 62443 (Industrielle Automatisierungssicherheit) oder ISO 27019 (Energiemanagement-Sicherheit) herangezogen werden.

Abschließend ist festzuhalten, dass die Gestaltung einer NIS 2-konformen, robusten IT-Architektur kein einmaliges Projekt, sondern ein kontinuierlicher Prozess ist. Unternehmen sollten regelmäßige Reifegradbewertung ihrer Sicherheitsarchitektur durchführen und Verbesserungsmaßnahmen priorisieren. Die in NIS 2 geforderte Dokumentation aller Maßnahmen hilft dabei, den Überblick zu behalten und gegenüber Prüfern den Nachweis zu erbringen, dass angemessene Vorkehrungen umgesetzt wurden. Für viele Industrieunternehmen mag die Umstellung initial mit Aufwand verbunden sein, jedoch erhöht sie langfristig die Widerstandsfähigkeit gegen Cyberangriffe erheblich – ein unverzichtbarer Aspekt, um Produktion, Lieferketten und sensible Daten zuverlässig zu schützen.

Nachfolgend sind die wichtigsten Anforderungen der NIS 2-Richtlinie für Unternehmen im industriellen Sektor zusammengefasst.

Die obigen Anforderungen sind aus der NIS 2-Richtlinie (insb. Art. 21) und begleitenden Leitfäden abgeleitet. Offizielle Stellen wie das BSI und die EU-Kommission stellen weitere Erläuterungen bereit. Die Umsetzung dieser Maßnahmen sollte risikobasiert und angemessen erfolgen – kleinere Unternehmen müssen nur im Rahmen ihrer Möglichkeiten agieren, während große Kritikalitätsbetreiber umfassendere Vorkehrungen treffen müssen. NIS 2 bietet damit einen flexiblen, aber verbindlichen Rahmen, um die industrielle IT-Landschaft Europas gegenüber aktuellen und künftigen Cyber-Bedrohungen zu stärken.