Was ist NIS-2 und wer ist betroffen?

Voraussichtlich ab Oktober 2024 treten für zahlreiche Unternehmen und Organisationen verpflichtende Sicherheitsmaßnahmen und Meldepflichten in Kraft, gemäß der NIS-2-Richtlinie (EU) 2022/2555. Was beinhaltet die Richtlinie und welche Sektoren sind betroffen?

• NIS2 ist die Erweiterung der NIS1 Richtlinie aus 2016
• Planmäig soll sie bis zum 24. Oktober 2024 in nationales Recht umgesetzt werden
• Betroffen sind Unternehmen mit mindestens 10 Millionen Euro jahresumsatz oder ab 50 Beschäftigte
• Unabhängig von ihrer Größe sind auch KRITIS-Unternehmen zur Einhaltung verpflichtet
• Mit unserer Partnerlösung CONTECHNET unterstützen wir Sie bei der Einhaltung der Richtlinie

Die Network and Information Systems (NIS) Directive 2, oder NIS-2-Richtlinie, ist eine EU-weite Vorgabe, die darauf abzielt, die Cybersicherheit in der Europäischen Union zu stärken. Sie beinhaltet Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union. Ziel ist es, die Resilienz kritischer Infrastrukturen und digitaler Dienste zu verbessern. Speziell mittlere Unternehmen mit einem Umsatz zwischen 10 und 50 Millionen Euro sind davon betroffen, aber auch große Unternehmen ab 50 Millionen Euro sind von NIS2 betroffen.

Die NIS 2-Richtlinie wurde verabschiedet, um auf die wachsende Bedrohung durch Cyberangriffe und die zunehmende Abhängigkeit von digitalen Technologien in allen Bereichen des täglichen Lebens zu reagieren. NIS 2 definiert einen Mindeststandard. Sie erlaubt den Mitgliedstaaten jedoch grundsätzlich, strengere Vorschriften zu erlassen und die Vorgaben individuell in nationales Recht zu übertragen. In jedem Fall werden die Mitgliedstaaten der EU dazu verpflichtet, ein Incident Response Team zu benennen, das einerseits darauf achtet, dass besonders wichtige Einrichtungen und Betreiber wesentlicher Dienste die Richtlinien zu mehr Cybersicherheit in der EU einhalten. Auf der anderen Seite müssen diese Teams sicherheitsrelevante Vorfälle innerhalb von 24 Stunden nach Bekanntwerden melden. Innerhalb von 72 Stunden erfolgt dann eine erste Bewertung.

Das Originaldokument finden Sie hier im Amtsblatt L333 der Europäischen Union veröffentlicht als Download!

NIS2 ist der Nachfolger der NIS1-Regelung, die ein erster Schritt zu mehr Cybersicherheit vor allem für Betreiber kritischer Infrastrukturen war. Als wichtige Einrichtung spielen diese KRITIS-Unternehmen eine zentrale Rolle in der Wirtschaft und Gesellschaft, da sie wichtige Dienstleistungen im Bereich der Energie- oder Gesundheitsversorgung erbringen bzw. wichtiger Teil der Lieferkette in der Versorgung der Menschen sind. Entwickelt wurden diese Risikomanagementmaßnahmen schon 2016 als Reaktion auf steigende Bedrohungen durch Ransomware und andere Bedrohungen, um in der EU ein gemeinsames Cybersicherheitsniveau zu initiieren.

Die erste Richtlinie für ein hohes gemeinsames Cybersicherheitsniveau wurde nun durch erweiterte Anforderungen der NIS2-Richtlinie ergänzt. Das sind die wichtigen Unterschiede, die Sie wissen müssen:

• Es sind nun mehr Unternehmen betroffen, die eine Erfüllung der Anforderungen sicherstellen müssen
• Es gelten erweiterte Meldepflichten bei Sicherheitsvorfällen
• Betroffene Einrichtungen müssen einheitliche Strafen bei Verstößen zahlen
• Zertifizierungen für Cybersicherheit sind von entscheidender Bedeutung

Insgesamt verstärkt die Umsetzung der NIS-2-Richtlinie die Bedeutung der Zusammenarbeit der einzelnen Mitgliedstaaten, um die Einhaltung der Maßnahmen für ein hohes gemeinsames Sicherheitsniveau zu garantieren. Denn Bedrohungen innerhalb eines Landes haben oftmals auch grenzüberschreitende Auswirkungen. Damit ist die Umsetzung von NIS2 für die gesamte Gesellschaft von entscheidender Bedeutung.

In Deutschland ist die Umsetzung von EU-Richtlinien oft ein komplexer Prozess. Die Verabschiedung eines Gesetzes, erfordert die Zustimmung des Bundestags und des Bundesrats. Grundsätzlich soll die Richtlinie bis zum 17. Oktober 2024 von der Bundesrepublik Deutschland in nationales Recht umgesetzt werden, um die Sicherheit in der Informationstechnik in der gesamten EU zu vereinheitlichen. Grundsätzlich sind betroffene Unternehmen, die als Betreiber wesentlicher Dienste für die NIS2 eingestuft wurden gut beraten, sich bereits im Vorfeld mit der Gesetzgebung zu befassen und schnellstmöglich mit der Umsetzung der Richtlinie zu beginnen.

Die NIS-2-Richtlinie gilt für öffentliche und private Einrichtungen in 18 Sektoren, die entweder mindestens 50 Beschäftigte haben oder einen Jahresumsatz und eine Jahresbilanz von mindestens 10 Millionen Euro aufweisen.

Einige Sektoren sind unabhängig von ihrer Größe betroffen, wie beispielsweise Teile der digitalen Infrastruktur (z.B. Online-Marktplätze), öffentliche Verwaltung, alleinige Anbieter und kritische Infrastrukturen (KRITIS).

Die Richtlinie erstreckt sich somit auf eine breite Palette von Organisationen und Unternehmen in Deutschland, die einen wesentlichen Beitrag zur Cybersicherheit leisten müssen.

Die NIS 2-Richtlinie ist primär für Unternehmen und Organisationen innerhalb der Europäischen Union (EU) gedacht und legt deren Verpflichtungen zur Gewährleistung der Cybersicherheit und zur Meldung von sicherheitsrelevanten Vorfällen fest. Allerdings können Nicht-EU-Unternehmen, die in der EU tätig sind oder Dienstleistungen für EU-Bürger oder EU-Unternehmen erbringen, indirekt von der NIS 2-Richtlinie betroffen sein. Wenn sie beispielsweise Vertragspartner oder Teil von Lieferketten sind, die EU NIS2 erfüllen müssen, dann könnten auch sie aufgefordert werden, bestimmte Sicherheitsstandards einzuhalten oder bestimmte Sicherheitsvorfälle zu melden, um die Einhaltung der Richtlinie sicherzustellen.

Die Richtlinie betrifft generell alle Sektoren, die eine wichtige Rolle in der Wirtschaft und der Gesellschaft spielen.

Betroffene Unternehmen und Organisationen müssen eine Reihe von Anforderungen erfüllen. Zu den wichtigsten gehören:

Sicherheitskonzept:

• Entwicklung eines umfassenden Sicherheitskonzepts, das die Identifizierung kritischer Infrastrukturen, die Analyse von Bedrohungen und Schwachstellen, die Implementierung von Sicherheitsmaßnahmen sowie die Einhaltung gesetzlicher Anforderungen gemäß der nationalen NIS-2-Gesetzgebung umfasst.
• Festlegung von Sicherheitsrichtlinien, -standards und -verfahren, die die Sicherheit der Informationssysteme und Netzwerke des Unternehmens gewährleisten.

Risikomanagement:

• Durchführung regelmäßiger Risikobewertungen, um potenzielle Bedrohungen und Schwachstellen zu identifizieren, die die Verfügbarkeit, Integrität und Vertraulichkeit der Informationssysteme und Netzwerke gefährden könnten.
• Implementierung von angemessenen technischen und organisatorischen Sicherheitsmaßnahmen zur Risikominderung und Verbesserung der Cyberresilienz des Unternehmens.

Incident-Management:

• Einrichtung eines effektiven Incident-Management-Prozesses zur Erkennung, Bewertung, Eskalation und Behebung von Sicherheitsvorfällen und Bedrohungen.
• Schulung des Incident-Response-Teams und regelmäßige Durchführung von Sicherheitsübungen und Simulationen, um die Reaktionsfähigkeit des Unternehmens auf Sicherheitsvorfälle zu verbessern.

Business Continuity Management:

• Entwicklung eines Business Continuity Management (BCM)-Plans, der sicherstellt, dass das Unternehmen auch bei Sicherheitsvorfällen oder Störungen der Geschäftstätigkeit kontinuierlich arbeiten kann.
• Identifizierung von Schlüsselprozessen und -ressourcen sowie Implementierung von Maßnahmen zur Aufrechterhaltung der Geschäftskontinuität und Wiederherstellung nach einem Sicherheitsvorfall.

Meldewesen einrichten:

• Einrichtung eines klaren Meldewesens für Sicherheitsvorfälle intern wie extern.
• Schulung der Mitarbeiter im Zusammenhang mit der Meldung von Sicherheitsvorfällen und Bedrohungen.

Sicherheit der Supply Chain:

• Überprüfung der Sicherheitspraktiken und -standards von Lieferanten und Dienstleistern, um sicherzustellen, dass die Sicherheit der Supply Chain gewährleistet ist.
• Implementierung von Sicherheitsanforderungen und -prüfungen für Lieferanten und Dienstleister, um das Risiko von Sicherheitsvorfällen und Bedrohungen aus der Supply Chain zu minimieren.

Überwachung und Schulung:

• Kontinuierliche Überwachung der Informationssysteme und Netzwerke des Unternehmens, um Sicherheitsvorfälle frühzeitig zu erkennen und zu mitigieren.
• Schulung der Mitarbeiter über Sicherheitsbest Practices, Risiken und Bedrohungen, um das Bewusstsein und die Sicherheitskompetenz im Unternehmen zu erhöhen.

Die Geschäftsführung spielt eine entscheidende Rolle bei der Schaffung einer Cybersicherheitskultur im Unternehmen und bei der Gewährleistung der Widerstandsfähigkeit gegenüber Cyberangriffen und anderen Sicherheitsbedrohungen. Es ist wichtig, dass sie die Bedeutung von Cybersicherheit verstehen, angemessene Ressourcen bereitstellen und proaktiv Maßnahmen ergreifen, um die Sicherheit der Informationssysteme und Netzwerke des Unternehmens zu stärken.

Ein ISMS ist ein wesentliches Instrument zur Sicherstellung der Informationssicherheit in einer Organisation. Ein ISMS umfasst Richtlinien, Prozesse, Verfahren und Technologien, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.

Ein ISMS trägt dazu bei, die Informationssicherheit zu stärken und die Resilienz von Unternehmen gegenüber Cyberangriffen und anderen Sicherheitsbedrohungen zu erhöhen.

Während die NIS-Richtlinie einige spezifische Anforderungen festlegt, bietet die international anerkannte ISO 27001 einen umfassenderen Rahmen für das Informationssicherheitsmanagement. Mit einem ISMS gemäß ISO 27001 schaffen Unternehmen eine solide Basis, um die Anforderungen von NIS 2 zu erfüllen.

NIS1 und 2 sollten die Cybersicherheit in der EU verbessern – aber kann das mit den aktuellen Regelungen tatsächlich gelingen und wie können Unternehmen die Richtlinie richtig umsetzen? Datenschutzexperte Sebastian Klocker vom ÖGB sagt dazu in einem Interview:

“Es müssen Risikoanalysen im kompletten Unternehmen durchgeführt werden und ganz klare Rollen und Verantwortlichkeiten festgelegt werden. […] Es werden klare Regelungen im Betrieb notwendig sein, welche Personen welche Sicherheitsvorgaben zu erfüllen haben. Mit NIS 2 wird Risikomanagement zur Chefsache werden.”

Trotz aller Überwachung betont der Experte aber, dass IT-Sicherheit menschlich bleiben muss. Das bedeutet beispielsweise, Videoüberwachungen wären nicht zielführend.

Über den Experten

Sebastian Klocker ist gebürtiger Tiroler und arbeitete seit 2010 als parlamentarischer Mitarbeiter und Fachreferent für Netzpolitik für die Grünen. Dein Schwerpunkt lag auf den Auswirkungen der Digitalisierung auf die Gesellschaft. Seit 2017 arbeitet er als zertifizierter Datenschutzbeauftragter und Berater für die Datenschutzagentur.

Die Mitgliedstaaten müssen die Richtlinie so umsetzen, dass die Einhaltung der Vorgaben garantiert wird. Dazu sollen sie sogenannte Response Teams benennen, die vor allem in Bedrohungssituationen die Meldepflichten einhalten.

Kleine Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz von höchstens 10 Millionen Euro oder einer Jahresbilanzsumme von höchstens 10 Millionen Euro sind von den Bestimmungen der NIS2-Richtlinie nicht betroffen. Es gibt jedoch Ausnahmen, die unabhängig von ihrer Größe in den Anwendungsbereich fallen. Dazu gehören Unternehmen, die Vertrauensdienste anbieten, Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienst oder TLD-Namenregister und DNS-Diensteanbieter.

Im Falle eines Cyberangriffs tritt ein dreistufiges Meldeverfahren an das zuständige Cybersecurity Incident Response Team in Kraft. Eine Frühwarnung erfolgt innerhalb von 24 Stunden, eine erste Auswertung innerhalb von 72 Stunden und spätestens nach einem Monat muss ein Abschlussbericht vorliegen.