Die NIS2-Richtlinie im Überblick
Die NIS2-Richtlinie (Network and Information Security) ist eine neue EU-Verordnung, die darauf abzielt, ein hohes gemeinsames Niveau an Cybersicherheit in allen Mitgliedstaaten zu gewährleisten.
Sie erweitert den Geltungsbereich gegenüber der ersten NIS-Richtlinie und bezieht mehr Sektoren und Arten von Unternehmen ein.
Wesentlich ist, dass Geschäftsführer und andere leitende Angestellte bei Nichteinhaltung persönlich haften.
Dies bedeutet konkret: die Geschäftsleitung ist nun direkt für die Implementierung wirksamer Maßnahmen gegen Cyberangriffe verantwortlich.
Übersicht der betroffenen 18 Sektoren
-
Energie
-
Verkehr
-
Bankwesen
-
Finanzmarktinfrastrukturen
-
Gesundheitswesen
-
Trinkwasser
-
Abwasser
-
Digitale Infrastruktur
-
Verwaltung von IKT-Diensten (B2B)
-
Öffentliche Verwaltung
-
Weltraum
-
Post- und Kurierdienste
-
Abfallbewirtschaftung
-
Produktion, Herstellung und Handel mit chemischen Stoffen
-
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
-
Verarbeitendes Gewerbe/Herstellung von Waren
-
Anbieter digitaler Dienste
-
Forschung
Übersicht Sonderfälle
-
Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten
-
Vertrauensdiensteanbieter
-
TLD-Namensregistrierungen und DNS-Dienstanbieter (außer Betreiber von Root-Namenservern)
-
Alleinige Anbieter, die essentiell für Gesellschaft und Wirtschaft sind
-
Einrichtungen, deren Ausfall einen großen Effekt auf öffentliche Ordnung, Sicherheit oder Gesundheit hätte
-
Einrichtungen, deren Ausfall zu einem Systemrisiko mit grenzübergreifenden Folgen führen könnte
-
Einrichtungen, die wegen spezieller nationaler oder regionaler Wichtigkeit kritisch sind
-
Vom EU-Mitgliedstaat definierte Einrichtung der öffentlichen Verwaltung der Zentralregierung oder kritische Einrichtung der öffentlichen Verwaltung auf regionaler Ebene
-
Kritische Infrastrukturen gemäß EU-Richtlinie 2022/2557
-
Einrichtungen, die Domänennamenregistrierungsdienste erbringen
Zusätzlich gilt die neue Richtlinie indirekt auch für Dienstleister und Lieferanten von betroffenen Einrichtungen.
Verantwortung der Geschäftsleitung
-
muss die Umsetzung der Maßnahmen überwachen und haftet für Verstöße
Entscheidungsträgern (CEO, CTO, CIO, DSB, ISB) bieten wir spezielle NIS2-Workshops an, die das notwendige Wissen vermitteln, um den neuen NIS2-Anforderungen gerecht zu werden.
-
muss an Schulungen teilnehmen und diese den Beschäftigten anbieten
Die NIS2 Directive der EU schreibt vor, dass erhebliche Sicherheitsvorfälle der nationalen Behörde und gegebenenfalls den Empfängern der eigenen Dienste gemeldet werden müssen. Die Richtlinie sieht diese Fristen vor, um den Vorfall der Behörde zu melden:
-
Frühwarnung innerhalb von 24 h ab Kenntnis:
Verdacht, ob der Vorfall auf rechtswidriger oder böswilliger Handlung beruht und ob grenzüberschreitend.
-
Ausführlicher Bericht innerhalb von 72 h ab Kenntnis:
Erste Bewertung des Sicherheitsvorfalls, inklusive Schweregrad, Auswirkungen und ggf. die Kompromittierungsindikatoren.
-
Fortschritts-/Abschlussbericht ein Monat nach Meldung:
Ausführliche Beschreibung, Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen, ggf. die grenzüberschreitenden Auswirkungen.
Meldepflicht von Sicherheitsvorfällen
Wenn NIS2 für Sie gilt, müssen Sie sich bei der nationalen Behörde registrieren – wie genau, wird noch festgelegt. Folgende Informationen sind einzureichen:
- Name Ihrer Einrichtung
- Anschrift und Kontaktdaten, einschließlich E-Mail-Adressen, IP-Adressbereiche und Telefonnummern
- ggf. den relevanten Sektor und Teilsektor gemäß Anhang I oder II
- ggf. eine Liste der EU-Mitgliedstaaten, in denen Sie Dienste erbringen
Registrierung
Laut NIS2 müssen Sie mindestens die folgenden Cybersecurity-Maßnahmen umsetzen, um die Risiken für die Sicherheit Ihrer Netz- und Informationssysteme zu beherrschen – und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder gering zu halten. Sie müssen die IT-Systeme und deren physische Umwelt schützen („All-Gefahren-Ansatz“). Wieviel genau angemessen ist, sollten Sie nach einem risikobasierten Ansatz für sich festlegen.
-
Policies: Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
-
Vorfallsbewältigung: Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle
-
Business Continuity: Backup-Management und Wiederherstellung, Krisenmanagement
-
Supply Chain: Sicherheit in der Lieferkette
-
Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme
-
Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
-
Cyberhygiene, Schulung: Cyberhygiene (z.B. Updates) und Schulungen in Cybersecurity
-
Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
-
Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management
-
Authentifizierung: Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
-
Kommunikation: Sichere Sprach-, Video- und Text-Kommunikation, ggf. auch im Notfall
Deutscher NIS2-Gesetzesentwurf: Nur zertifizierte IKT-Produkte und -Dienste dürfen genutzt werden.
Was müssen von NIS2 betroffene Unternehmen und Organisationen tun?
Bei Verstößen gegen die Risikomanagementmaßnahmen oder Meldepflicht von Sicherheitsvorfällen drohen hohe Geldstrafen.
Die NIS2 Directive trifft eine Einteilung in wesentliche und wichtige Einrichtungen. Während die Pflichten grundsätzlich gleich sind, unterscheiden sie sich darin, wie streng die Aufsicht ist und wie hoch die Geldstrafen bei Non-Compliance ausfallen.
Was passiert, wenn die NIS2-Vorschriften nicht einhalten werden?
Wesentliche Einrichtungen
Proaktive Aufsicht durch Behörden, z.B.
-
regelmäßige Sicherheitsprüfungen
-
Ad-hoc-Prüfungen
-
Vor-Ort-Kontrollen
-
Anforderung von Nachweisen
-
Anweisungen mit Fristen
Geldstrafen bei Verstößen:
Höchstbetrag von mindestens 10 Millionen Euro oder 2 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist
Wer zählt dazu?
-
Große Unternehmen:
> 249 Beschäftigte, oder
> 50 Mio. EUR Umsatz und > 43 Mio. EUR Bilanz
-
Größenabhängige Sonderfälle
Wichtige Einrichtungen
Reaktive Aufsicht nach Hinweisen auf Verstöße, z.B.
-
gezielte Sicherheitsprüfungen
-
Vor-Ort-Kontrollen
-
Anforderung von Nachweisen
-
Anweisungen mit Fristen
Geldstrafen bei Verstößen:
Höchstbetrag von mindestens 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist
Wer zählt dazu?
-
Große Unternehmen:
> 249 Beschäftigte, oder
> 50 Mio. EUR Umsatz und > 43 Mio. EUR Bilanz
-
Mittlere Unternehmen
mind. 50 Beschäftigte, oder
> 10 Mio. EUR Umsatz und > 10 Mio. EUR Bilanz
kein großes Unternehmen
-
Größenunabhängige Sonderfälle:
Einrichtungen, die vom Staat als „wichtig“ eingestuft werden (zum Beispiel alleinige Anbieter)
Ab wann gilt NIS2?
-
NIS2 ist seit 2023 auf EU-Ebene in Kraft
-
das deutsche NIS2-Umsetzungsgesetz liegt als Referentenentwurf vor
-
NIS2 soll ab 18. Oktober 2024 als nationales Recht angewendet werden
Für folgende Einrichtungen, die ihre Dienste in der Europäischen Union erbringen oder ihre Tätigkeiten dort ausüben gilt die EU-weite NIS2-Richtlinie:
-
Öffentliche und private Einrichtungen in 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme
-
Sonderfälle, unabhängig von ihrer Größe, wie kritische Sektoren, wesentliche Dienste, digitale Dienste und öffentliche Verwaltungen
Wen betrifft NIS2?