NIS2 – Strengere Sicherheitsforderungen für Unternehmen

200 Milliarden € hoch ist der Schaden der durchschnittlich pro Jahr durch Cyberangriffe entsteht. Unternehmen der kritischen Infrastruktur sind seit Jahren verstärkt im Visier. Ein Grund, warum es die aktualisierte EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS) gibt, die am 17. Oktober 2024 in nationales Recht umgewandelt werden sollte. Denn das neue Umsetzungsgesetz der NIS2-Richtlinie wird voraussichtlich erst im März 2025 in Kraft treten.

Auch wenn das neue Gesetz noch nicht verabschiedet ist, wecken die strengeren Vorgaben grosses Interesse und Gesprächsbedarf, obwohl nur wenige Anforderungen grundlegend neu sind. Im Kern geht es um eine Harmonisierung und den Aufbau eines robusten und einheitlichen Sicherheitsniveaus der Netz- und Informationssicherheitssysteme, um Unternehmen widerstandsfähiger gegen Cyberkriminalität zu machen. Praktisch gesehen soll sichergestellt werden, dass das schwächste Glied in dieser Kette nicht zum Sicherheitsrisiko für andere wird.

In Folge erweitert sich der Kreis der betroffenen Unternehmen auf bis zu 30'000 in Deutschland. Unternehmen, die bislang nicht zu kritischen Infrastrukturen zählten, sind jetzt verpflichtet, strengere Sicherheitsanforderungen zu erfüllen, sobald sie mindestens 50 Beschäftigte im betroffenen Geltungsbereich zählen und/oder mehr als 10 Millionen Euro Umsatz im Jahr erwirtschaften. Bei kommunalen Verwaltungen hingegen findet der Gesetzgeber bislang keine verpflichtenden Regelungen im Rahmen von NIS2.

Sicherheit wird Chefsache

Fakt ist, die Herausforderungen für Unternehmen vom Konzern bis zum Mittelstand sind nicht weniger geworden. Sie müssen bestehende Sicherheitsmassnahmen anpassen und auf den neuesten technischen, organisatorischen Stand bringen – und regelmässig nachweisen und optimieren. Anderenfalls drohen empfindliche finanzielle Strafen. Erhebliche Sicherheitsvorfälle in den Ländern, in denen die Richtlinie zur Anwendung kommt, müssen binnen 24 Stunden an das jeweilige Bundesamt für Informationssicherheit (BSI) gemeldet werden, unabhängig davon, ob der Angriff am Samstagabend passiert ist, oder nicht. Sicherheit wird mit NIS2 vor allem zur Chefsache. Denn Geschäftsführende sind jetzt persönlich haftbar und müssen in die Entwicklung und Umsetzung von Sicherheitsstrategien eingebunden werden. Cybersicherheit wird somit zum integralen Bestandteil der Unternehmensführung.

Folgende Pflichten und Massnahmen umfasst nach aktuellem Stand NIS2:

• Registrierungspflichten
• Fortlaufendes Risikomanagement inkl. technisch-organisatorischer Massnahmen wie Analysen in Produktion, Lieferkette und IT-Systemen, regelmässige Prüfung der Massnahmen, Implementierung von Systemen zur Angriffserkennung
• Schulung und Sensibilisierung der Beschäftigten durch Awareness Trainings
• Meldepflichten und zeitnahe Reaktion auf erhebliche Sicherheitsvorfälle (Massnahmen für Incident Response bzw. Management sowie Disaster Recovery)
• Dokumentationspflichten der getroffenen Sicherheitsmassnahmen
• Verstärkte Governance

Nicht ohne Zutrittskontrolle

Trotz der Herausforderungen bietet NIS2 auch die Chance, die unternehmenseigenen IT-Infrastrukturen auf ein neues Niveau zu heben und die Resilienz gegenüber Cyberangriffen zu stärken. Wer nur an IT denkt, vernachlässigt die physische Sicherheit. Dabei sind Cybersicherheit und physische Sicherheitsmassnahmen untrennbar miteinander verbunden. Denn kaum ein zeitgemässes Zutrittskontrollsystem kommt in einer vernetzten Welt ohne digitale Steuerung und Überwachung aus. Im Gegenteil. Nur ein ganzheitlicher Sicherheitsansatz im Sinne eines Risikomanagements mit fortlaufender Anpassung und Weiterentwicklung sorgt für zuverlässigen Schutz. Während Cybersicherheit die Systeme vor Angriffen schützt und die Integrität und Verfügbarkeit sicherstellt, sorgen physische Schutzmassnahmen wie eine Zutrittskontrolle dafür, dass sicherheitskritische Bereiche klar abgegrenzt und überwacht werden. NIS2 spielt dabei eine Schlüsselrolle, in dem es strengere Standards – quasi „Leitplanken“ – setzt.

So unterstützen Interflex-Lösungen NIS2-Anforderungen

Zutrittskontrolle spielt als Teil der technisch-organisatorischen Sicherheitsmassnahmen eine entscheidende Rolle bei der Umsetzung der NIS2-Richtlinie und die Einhaltung gesetzlicher Anforderungen:

• Schutz sicherheitskritischer Bereiche: Zutrittskontrolle beispielsweise mit dem System IF-6040 verhindert, dass unbefugte Personen Zugang zu kritischen IT- und Produktionsbereichen und Systemen erhalten. Alle Zutrittsberechtigungen werden zentral hinterlegt und verwaltet und werden per Knopfdruck schnell entfernt. Mit dem Modul Besuchermanagement in der IF-6040 haben Unternehmen zusätzlich ein Hilfsmittel, damit auch Betriebsfremde nicht zum Sicherheitsrisiko werden.
• Überwachung und Protokollierung: In der IF-6040 laufen alle Zutrittsereignisse in Echtzeit zusammen. Zum einen werden alle Ereignisse dokumentiert und helfen bei der Erkennung und Analyse von Sicherheitsvorfällen. Zum anderen werden Verantwortliche schnell auskunftsfähig für Audits und Nachweisprüfungen.
• Hohe Sicherheitsstandards: Als Mitglied der „Allianz für Cybersicherheit“ richten wir uns bei der Entwicklung unserer System-Software IF-6040 nach den Grundsätzen „Security-by-Design“ und „Security-by-Default“. Zusätzlich unterziehen wir unsere Softwarelösung regelmässig unabhängigen Pentests. Und in punkto Kommunikation ist diese zwischen den Systemen zertifikatsbasiert und verschlüsselt. Unsere IF-800 Terminalserie für Zutrittskontrolle und unsere batteriebetriebenen Schliesskomponenten der Opendor-Produktreihe sind für berührungslose Personenidentifikation mit RFID (Stand der Technik mit Legic und MiFare) und Smartphone konzipiert.
• Flexibilität und Anpassungsfähigkeit: Interflex-Zutrittslösungen lassen sich nahtlos in bestehende Systemumgebungen einbinden und an unterschiedlichste Sicherheitsanforderungen anpassen. Offene Schnittstellen ermöglichen die Einbindung in Gebäudemanagementsysteme und die Anbindung eines Sicherheitsleitstandes. Da Interflex-Terminals bzw. Zutrittsleser und auch das Software-System IF-6040 aus unserem Haus stammen, werden unsere Systeme aufeinander abgestimmt kontinuierlich weiterentwickelt. Das sorgt für Investitionssicherheit, selbst bei sich schnell ändernden Anforderungen.
• Zusätzliche Sicherheitsfunktionen: Für ein mehr an Sicherheit sorgen zusätzliche biometrische Lösungen zum Beispiel von unserem Systempartner TBS.

Als langjähriger erfahrener Partner für Sicherheitslösungen unterstützt Interflex darüber hinaus die Kunden verschiedenster Grössen und Branchen bei der Analyse der bestehenden Systeme und Sicherheitsanforderungen, und begleitet mit seinen Service-Teams die Auswahl und Implementierung der passenden Lösung, bis hin zur Wartung.

Fakt ist, das NIS2-Umsetzungsgesetz und das ergänzende KRITIS-Dachgesetz stehen in den Startlöchern und werden im Frühjahr 2025 voraussichtlich in Kraft treten. Sicherheit muss nicht grundlegend neu gedacht werden. Vielmehr geht es darum, Cybersicherheit und physische Sicherheit konsequent zusammenzuführen. Zutrittskontrolle on-premise oder als Managed Service in der Cloud ist ein relevanter Baustein im Sicherheitskonzept und wird dafür sorgen, dass die IT- und Unternehmensinfrastruktur auch in Zukunft resilient bleibt.