06. März 2023
Was unterscheidet NIS-2 von anderen Regelungen?
Ein wesentliches Merkmal der NIS-2-Richtlinie ist die deutliche Ausweitung des Anwendungsbereichs. Sie schließt nun zahlreiche mittelständische Unternehmen ein und erweitert die Liste der betroffenen Branchen erheblich. In Deutschland sind schätzungsweise 30.000 Unternehmen von NIS-2 betroffen. Die Kernanforderungen der Richtlinie sind für diejenigen, die sich bereits mit IT-Sicherheit beschäftigt haben, nicht neu oder überraschend.
Eine aktuelle Herausforderung bei NIS-2 ist das Fehlen spezifischer Vorgaben oder Benchmarks. Das deutsche Umsetzungsgesetz, das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), befindet sich noch im Entwurfsstadium. Zusätzliche Komplexität entsteht durch die Möglichkeit, dass die EU gemäß Artikel 21 (5) der Richtlinie weitere Durchführungsrechtsakte erlassen kann, die detaillieren, wie die Anforderungen umzusetzen sind.
Trotz dieser Unsicherheiten spiegelt NIS-2 das aktuelle Bedrohungsszenario wider. Angesichts der zunehmenden Bedrohungen durch Cyberkriminalität, die nicht von wirtschaftlichen Schwankungen betroffen sind, ist es entscheidend, jetzt entschlossen zu handeln und die IT-Sicherheitsmaßnahmen zu verstärken.
Wer ist von der NIS2-Richtlinie betroffen?
Die NIS2-Richtlinie erweitert den Kreis der Unternehmen, die sich in der EU um verbesserte Cybersicherheit kümmern müssen, erheblich. Sie teilt betroffene Organisationen in zwei Hauptgruppen ein: "wesentliche" und "wichtige" Unternehmen.
Wesentliche Einrichtungen
Unternehmen und Organisationen, die als wesentliche Einrichtungen eingestuft werden, sind solche, die in kritischen Sektoren tätig sind und eine zentrale Rolle in der Infrastruktur und Wirtschaft der EU spielen. Dazu gehören:
Sektoren: Energie, Verkehr, Gesundheitswesen, Bankwesen, Finanzmarktinfrastrukturen, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum, sowie die Verwaltung von IKT-Diensten (B2B).
Kriterien: Unternehmen in diesen Sektoren gelten als wesentliche Einrichtungen, wenn sie mehr als 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von mehr als 50 Millionen Euro bzw. eine Jahresbilanzsumme von mehr als 43 Millionen Euro aufweisen.
Wichtig: Unternehmen, die diese Kriterien nicht erfüllen, können dennoch als wichtige Einrichtungen eingestuft werden, sofern sie in einem der oben genannten Sektoren tätig sind und mindestens 50 Beschäftigte haben oder über 10 Mio. EUR Jahresumsatz oder Jahresbilanzsumme verfügen.
Wichtige Einrichtungen
Wichtige Einrichtungen umfassen Unternehmen in weniger kritischen, aber dennoch wichtigen Sektoren für das Funktionieren der Gesellschaft und Wirtschaft. Diese Kategorie beinhaltet:
Sektoren: Post- und Kurierdienste, Abfallbewirtschaftung, Produktion und Vertrieb von chemischen Stoffen, Lebensmittelproduktion und -vertrieb, Herstellung von Medizinprodukten, Maschinenbau, Fahrzeugbau, digitale Dienste (wie Cloud-Computing oder soziale Netzwerke) und Forschungseinrichtungen.
Kriterien: Unternehmen in diesen Sektoren werden als wichtige Einrichtungen betrachtet, wenn sie mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz bzw. eine Jahresbilanzsumme von mindestens 10 Millionen Euro haben.
Die Richtlinie unterscheidet also zwischen "wesentlichen" und "wichtigen" Einrichtungen, wobei für letztere geringere Geldstrafen vorgesehen sind und sie einer reaktiven Aufsicht des BSI unterliegen.
Sonderfälle
Ausnahmen gelten für bestimmte Einrichtungen von herausragender Bedeutung, die unabhängig von ihrer Größe von der NIS2-Richtlinie erfasst werden. Zu diesen zählen unter anderem qualifizierte Vertrauensdienste, TLD-Registrierungen und DNS-Services.
Selbst wenn Ihr Unternehmen nicht direkt unter eine dieser Kategorien fällt, könnte es indirekt betroffen sein, etwa als Zulieferer für ein Unternehmen, das zu den genannten Sektoren gehört. Das zeigt, wie weitreichend die NIS2-Richtlinie ist und warum viele Unternehmen ihre Sicherheitsmaßnahmen überdenken müssen.
Die wichtigsten Neuerungen von NIS2 auf einen Blick
Erweiterter Anwendungsbereich
Die NIS2-Richtlinie erweitert den Kreis der betroffenen Unternehmen erheblich. Neben KRITIS-Unternehmen (kritische Infrastrukturen) fallen nun auch Unternehmen aus 18 verschiedenen Sektoren unter diese Regelung, darunter Energie, Transport, Bankwesen, Gesundheitswesen, digitale Dienste und viele mehr.
Lieferkettenbetrachtung: Unternehmen müssen das Risiko eines Cyberangriffs über ihre Lieferkette beurteilen können.
Risikomanagement: Cyberrisikomanagement wird zur Pflicht.
Mitarbeiterschulungen und Audits: Regelmäßige Schulungen und Audits zur IT-Sicherheit sind erforderlich, um das Bewusstsein und die Kompetenz der Belegschaft zu stärken.
Verschärfte Haftung der Geschäftsführung: Geschäftsführer haften persönlich für Schäden, die durch Missachtung ihrer Pflichten zum Cyberrisikomanagement entstehen.
Strafen bei Verstößen: Bei Nichteinhaltung drohen empfindliche Strafen, und es gelten strenge Meldepflichten für Sicherheitsvorfälle.
NIS2-Whitepaper downloadenLieferketten im Fokus: NIS2 betrifft auch kleine Unternehmen
Die NIS2-Richtlinie kann auch mittelständische und kleinere Unternehmen beeinflussen, wenn sie als Zulieferer oder Dienstleister für direkt von NIS2 betroffene Organisationen fungieren. In solchen Fällen könnten sie verpflichtet werden, ähnlich strenge Cybersicherheitsmaßnahmen zu ergreifen, um die Sicherheit der gesamten Lieferkette zu gewährleisten.
Was müssen von NIS-2 betroffene Unternehmen jetzt konkret tun?
Verantwortung der Geschäftsführung wird zentral (Art. 20)
Die NIS2-Richtlinie unterstreicht die zentrale Rolle der Geschäftsführung in der Gewährleistung der Cybersicherheit. Als Chefsache definiert, liegt die Verantwortung für das Erkennen, Bewerten und Managen von Cyberrisiken fest in den Händen des Managements. Es ist entscheidend, dass die Führungsebene die Wahrscheinlichkeit von Sicherheitsvorfällen und deren potenzielle Auswirkungen auf das Unternehmen genau einschätzt, um fundierte Entscheidungen über akzeptable Risiken treffen zu können.
Die Governance im Bereich IT-Sicherheit erfordert eine klare Strukturierung und Zuweisung von Prozessen und Verantwortlichkeiten innerhalb des Unternehmens. Dies schafft die Basis für eine effektive Compliance und ermöglicht es, flexibel auf neue Sicherheitsanforderungen zu reagieren. Die Etablierung solider Risikoanalyse- und Sicherheitskonzepte bildet das Fundament für den Schutz von Informationssystemen und die Aufrechterhaltung der Betriebskontinuität.
Ein weiterer wesentlicher Aspekt der NIS2-Richtlinie ist die Verpflichtung der Geschäftsführung, regelmäßige Schulungen für Mitarbeiter anzubieten. Diese Maßnahme zielt darauf ab, das Bewusstsein und Verständnis für Cybersicherheitsrisiken im gesamten Unternehmen zu schärfen und eine Kultur der Sicherheit zu fördern.
In der Umsetzung der NIS2-Richtlinie zeigt sich, dass IT-Sicherheit weit mehr als nur eine technische Herausforderung ist – sie ist eine Führungsaufgabe, die Weitsicht, Engagement und kontinuierliche Anpassung erfordert. Indem die Geschäftsführung diese Verantwortung aktiv wahrnimmt, legt sie den Grundstein für ein resilientes Unternehmen, das den heutigen und zukünftigen Cybersicherheitsanforderungen gewachsen ist.
Diese Maßnahmen zum Risikomanagement für Cybersicherheit müssen getroffen werden (Art. 21)
Die NIS2-Richtlinie definiert klare Mindestanforderungen, um Netz- und Informationssysteme umfassend zu schützen. Artikel 21 der Richtlinie ist dabei zentral, denn er skizziert, welche Sicherheitsmaßnahmen Unternehmen ergreifen müssen, um den heutigen Risiken effektiv zu begegnen.
Unternehmen sind aufgefordert, geeignete technische, operative und organisatorische Maßnahmen zu ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Das ist nichts anderes als die Aufforderung, ein Information Security Management System (ISMS) einzuführen, so wie wir es auch aus der ISO27001 kennen. Ziel ist es, die Risiken zu kontrollieren und die Auswirkungen möglicher Sicherheitsvorfälle so gering wie möglich zu halten. Dies erfordert eine sorgfältige Risikoanalyse als Kernprozess, aus der sich ein dynamisches Sicherheitskonzept ableitet.
Ein solches Konzept ist kein statisches Dokument, sondern ein lebendiger Prozess, der sich stetig weiterentwickelt und an den aktuellen Stand der Technik anpasst.
Mindestanforderungen an die IT-Sicherheit
Die NIS2-Richtlinie empfiehlt eine Reihe von Mindestmaßnahmen, die sich an den Best Practices der IT-Sicherheit orientieren und teilweise an die Norm DIN ISO 27001 angelehnt sind.
Dazu gehören:
- Incident Management: Entwicklung eines Konzepts zum effektiven Umgang mit Sicherheitsvorfällen.
- Business Continuity Plan: Sicherstellung der Geschäftskontinuität durch Backup-Management, Systemwiederherstellung und Krisenmanagement.
- Cybersicherheitsschulungen: Regelmäßige Schulungen für Mitarbeiter, um das Bewusstsein für Cybersicherheitsrisiken zu schärfen.
- Kryptographie und Verschlüsselung: Einsatz moderner Verschlüsselungstechniken zum Schutz sensibler Daten.
- Sicherheit der Lieferkette: Gewährleistung der Sicherheit innerhalb der gesamten Lieferkette. Verantwortliche müssen zunächst definieren, was ihre Lieferkette genau beinhaltet.
Neben offensichtlichen Elementen wie gekauften Produkten und Dienstleistungen zählt hierzu auch die Nutzung von Open-Source-Software. Die NIS2-Richtlinie fordert eine umfassende Absicherung der gesamten Lieferkette, einschließlich der Netz- und Informationssysteme sowie der physischen Infrastruktur.
- Personalsicherheit und Zugriffskontrolle: Sicherstellung, dass nur autorisiertes Personal Zugang zu kritischen Systemen hat.
- Multi-Faktor Authentisierung: Verstärkung der Authentifizierungsprozesse durch den Einsatz mehrerer Sicherheitsfaktoren.
Die Verantwortung für die Umsetzung dieser Maßnahmen liegt bei der Geschäftsführung, die sicherstellen muss, dass die Sicherheitsstrategien kontinuierlich überprüft und angepasst werden.
Eine ganzheitliche Betrachtung aller Aspekte der IT-Sicherheit ist dabei unerlässlich, um den Schutz der Unternehmensressourcen und -daten langfristig zu gewährleisten.
Meldepflichten im Rahmen der NIS2-Richtlinie (Art. 23)
Gemäß Artikel 23 der NIS2-Richtlinie der Europäischen Union sind Unternehmen verpflichtet, signifikante Sicherheitsvorfälle sowohl den nationalen Aufsichtsbehörden als auch, falls zutreffend, den Nutzern ihrer Dienste zu melden. Diese Vorgabe zielt darauf ab, eine zeitnahe und effektive Reaktion auf Sicherheitsvorfälle zu gewährleisten, indem die zuständigen Behörden umgehend informiert werden.
Registrierungsanforderungen gemäß NIS2-Richtlinie (Art. 3 / Art. 27)
Falls Ihr Unternehmen unter die NIS2-Richtlinie fällt, ist eine Registrierung bei der zuständigen nationalen Aufsichtsbehörde erforderlich. Die Meldestelle beim BSI muss noch eingerichtet werden.
Die genauen Modalitäten dieser Registrierung stehen noch aus, jedoch sollten Sie sich darauf vorbereiten, folgende grundlegende Informationen bereitzustellen:
- Den Namen Ihres Unternehmens,
- Die vollständige Anschrift und weitere Kontaktdaten, darunter E-Mail-Adressen, IP-Adressbereiche sowie Telefonnummern,
- Falls zutreffend, Angaben zum relevanten Sektor und Teilsektor, wie in Anhang I oder II der Richtlinie definiert.
Haben Sie weitere Fragen? Melden Sie sich bei uns.Kontakt aufnehmenNIS2 und ISO27001 haben viel gemeinsam
Ein Blick auf die NIS2 offenbart eine starke inhaltliche Übereinstimmung mit dem ISO 27001 Standard, der als Goldstandard für das Management von Informationssicherheit gilt. Diese Parallelen bieten eine wertvolle Orientierung für Unternehmen, die bisher nur minimale Sicherheitsvorkehrungen getroffen haben.
Die Annäherung an ISO 27001 kann als ein strategischer Schritt betrachtet werden, um den Anforderungen der NIS2-Richtlinie effektiv zu begegnen. Beide Rahmenwerke teilen ähnliche Ziele in Bezug auf Risikobewertung, Risikomanagement und die Förderung kontinuierlicher Verbesserungen im Bereich der Informationssicherheit.
Kurz gesagt: Unternehmen, die bereits nach ISO 27001 zertifiziert sind, decken mit ihrem Risikomanagement größtenteils die Anforderungen der NIS2-Richtlinie ab, vorausgesetzt, sie beachten den aktuellen Stand der Technik, wie zum Beispiel den Einsatz von Endpoint-Detection-and-Response-Systemen. Dennoch geht NIS2 in einigen Bereichen über ISO 27001 hinaus, insbesondere bei der Verantwortung der Unternehmensführung und den Meldepflichten, wo weiterer Handlungsbedarf besteht.
niteflite ist ISO27001 zertifiziert. Die Zertifizierung nach ISO/IEC 27001 ist ein klares Zeichen dafür, dass auch wir als IT-Dienstleister über ein effektives und umfassendes Informationssicherheits-Managementsystem verfügen, um höchste Standards bei der Verwaltung und dem Schutz Ihrer Daten zu gewährleisten.
Kostenüberblick zur NIS2-Umsetzung
Die Umsetzung der NIS2 ist zweifellos mit hohen Kosten verbunden. Es bleibt abzuwarten, ob der Gesetzgeber spezielle Erleichterungen für kleinere Betriebe einführen wird. Die Entscheidung gegen die Implementierung der NIS2 aus Kostengründen zu treffen, wäre kurzsichtig. Investitionen in die IT-Sicherheit sind in der Regel kosteneffektiver als die potenziellen Verluste durch Cyberangriffe, die im schlimmsten Fall existenzbedrohend sein können.
Konsequenzen bei Nichteinhaltung der NIS2-Richtlinie
Verstöße gegen die vorgeschriebenen Risikomanagementpraktiken oder die Meldepflichten für Sicherheitsvorfälle können zu erheblichen finanziellen Sanktionen führen. Die NIS2-Richtlinie unterscheidet zwischen "wesentlichen" und "wichtigen" Einrichtungen, wobei die Grundpflichten für beide Gruppen identisch sind. Allerdings variiert die Strenge der Aufsicht sowie das Ausmaß der Geldbußen bei Verstößen. Unternehmen könnten mit Strafen von bis zu 2% ihres weltweiten Umsatzes oder bis zu 10 Millionen Euro konfrontiert werden.
NIS2-Whitepaper downloadenLeitfaden in 5 Schritten: Wie fangen Sie mit der Umsetzung der NIS-2-Richtlinie an?
1. Ist ihr Unternehmen überhaupt betroffen?
- Ihr Unternehmen ist innerhalb der EU tätig.
- Fällt Ihr Unternehmen unter die Kategorien, die in Anhang I oder II der Richtlinie aufgeführt sind.
- Prüfen Sie, ob Ihre Organisation die Größenkriterien erfüllt (mindestens 50 Mitarbeiter, 10 Mio. EUR Umsatz und Bilanzsumme) oder ob sie zu den speziellen Fällen gehört, die unabhängig von der Größe gelten.
2. Team zusammenstellen und Verantwortungen klar definieren
Unternehmen, die gerade beginnen, sollten zunächst ein NIS2-Projekt initiieren. Dazu ist ein Team aus Geschäftsleitung, IT- und IT-Sicherheitsverantwortliche sowie weiteren relevanten Akteuren zusammenzustellen. Wichtig ist, dass alle Beteiligen das gleiche Verständnis zum Thema IT-Sicherheit haben. Eine Schulung zu diesem Thema kann ein guter Einstieg sein.
Der IT-Verantwortliche sollte zeitgleich die Geschäftsleitung darüber informieren, dass Vorstände gemäß den NIS2-Anforderungen persönlich haftbar sein können. Laut dem deutschen Gesetzesentwurf, der über die europäischen Vorgaben hinausgeht, sind Verzichtsvereinbarungen unwirksam. Die NIS2 nimmt die Chefetage in die Pflicht.
- Stellen Sie sicher, dass die Geschäftsleitung über NIS2 informiert ist und die Verantwortung für die Einhaltung übernimmt.
- Bestimmen Sie eine verantwortliche Person für die operative Umsetzung der NIS2-Anforderungen.
- Orientieren Sie sich an den Best Practices und den Empfehlungen des BSI für technische Standards.
- Suchen Sie frühzeitig nach erfahrenen Partnern, die Sie bei der Implementierung der NIS2-Konformität unterstützen können.
3. Risikomanagement-Maßnahmen implementieren:
Für die Umsetzung von NIS2 ist die Einführung eines ISMS (Information Security Management System) nach ISO 27001 erforderlich. Ein ISMS umfasst alle Maßnahmen, Prozesse und Regeln, die dazu dienen, sämtliche Handlungen bezüglich der Informationssicherheit des Unternehmens zu steuern, zu überwachen und zu dokumentieren. Eine ISO 27001 Zertifizierung bildet eine ausgezeichnete Grundlage für die NIS2-Konformität und erfüllt bereits rund 70 % der geforderten NIS2-Kriterien.
- Führen Sie eine Risikoanalyse durch, um festzustellen, welche Sicherheitsmaßnahmen für Ihr Unternehmen angemessen sind.
- Berücksichtigen Sie dabei den aktuellen Stand der Technik, das Risikoausmaß und die Eintrittswahrscheinlichkeit von Sicherheitsvorfällen.
- Ergreifen Sie geeignete Maßnahmen zur Risikominimierung, einschließlich der Schulung von Mitarbeitern und der Bewertung der Effektivität Ihrer Sicherheitsstrategien.
4. Geschäftskontinuität gewährleisten:
- Erarbeiten Sie einen Business-Continuity-Plan, um den Betrieb auch im Falle eines Sicherheitsvorfalls aufrechterhalten zu können.
- Integrieren Sie Backup-Management, Systemwiederherstellungspläne und Krisenmanagement in Ihre Planung.
5. Meldeprozesse etablieren:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) übernimmt eine Schlüsselrolle bei der Überwachung der NIS2-Richtlinie. Unternehmen sind nun verpflichtet, strenge Cybersicherheitsstandards einzuhalten und Sicherheitsvorfälle beim BSI zu melden.
- Entwickeln Sie Verfahren, um sicherzustellen, dass Sicherheitsvorfälle rechtzeitig an die zuständigen Behörden gemeldet werden.
- Beachten Sie die Fristen für die Meldung (Frühwarnung innerhalb von 24 Stunden und detaillierter Bericht innerhalb von 72 Stunden nach einem Vorfall).
Haben Sie weitere Fragen? Melden Sie sich bei uns.Kontakt aufnehmenBis wann NIS2 konform sein?
Unternehmen müssen bis zum 18. Oktober 2024 die Anforderungen der NIS-2-Richtlinie erfüllen. Der offizielle Nachweis der Konformität muss erst drei Jahre später erbracht werden. Diese Frist bringt sowohl gute als auch schlechte Nachrichten.
Die schlechte Nachricht: Ab dem 18. Oktober 2024 ist die Einhaltung der NIS-2 gesetzlich vorgeschrieben.
Die gute Nachricht: Unternehmen haben Zeit bis drei Jahre nach diesem Stichtag, um ihre Konformität nachzuweisen.
Aber Achtung: Sollte es in der Zwischenzeit zu einem IT-Notfall kommen, riskieren Unternehmen, die die Richtlinie noch nicht umgesetzt haben, nicht nur Kritik von Versicherungen und Aufsichtsbehörden, sondern auch mögliche Bußgelder.
Sie benötigen Hilfe bei der Umsetzung der NIS2 Directive?
Entdecken Sie unser umfassendes Dienstleistungsangebot, das darauf ausgerichtet ist, Ihr Unternehmen bei der Implementierung und Einhaltung der NIS-2-Richtlinie zu unterstützen:
Strategische IT-Sicherheitsberatung
Unser Ziel ist es, Ihnen dabei zu helfen, risikobasierte IT-Sicherheitsstrategien zu entwickeln, die auf die Anforderungen der NIS-2-Richtlinie abgestimmt sind. Wir bieten Ihnen Expertise in der Stärkung Ihrer Netzwerksicherheit, führen die Implementierung fortschrittlicher Verschlüsselungstechnologien durch und organisieren maßgeschneiderte Awarenesstrainings für Ihre Mitarbeiter, um ein umfassendes Sicherheitsbewusstsein im Unternehmen zu fördern.
Schulungsprogramme und Sensibilisierung Ihrer Belegschaft
Unsere Schulungsprogramme zielen darauf ab, das Bewusstsein und Verständnis Ihrer Mitarbeiterinnen und Mitarbeiter für die Bedeutung der IT-Sicherheit zu schärfen. Durch praxisnahe Awarenesstrainings stärken wir die Sicherheitskultur in Ihrem Unternehmen und sorgen dafür, dass Ihre Teams bestens auf die Anforderungen der NIS-2-Richtlinie vorbereitet sind.
Kontinuierliche Unterstützung durch IT-Sicherheitsexperten
Mit unserem Managed Service bieten wir Ihnen eine professionelle Betreuung durch erfahrene IT-Sicherheitsexperten. Unser Service umfasst Echtzeit-Monitoring, um potenzielle Sicherheitsrisiken frühzeitig zu erkennen und effektiv zu bekämpfen. So können Sie sich darauf verlassen, dass Ihr Unternehmen rund um die Uhr geschützt ist und den Vorgaben der NIS-2-Richtlinie entspricht.
Lassen Sie uns gemeinsam dafür sorgen, dass Ihr Unternehmen nicht nur den aktuellen Sicherheitsanforderungen gerecht wird, sondern auch zukunftssicher und widerstandsfähig gegenüber den sich ständig wandelnden Bedrohungen im Cyberraum ist.
NIS2-Whitepaper downloaden