Was ist NIS-2?
Die NIS-2-Richtlinie („The Network and Information Security Directive“) ist die neue EU-Cybersicherheitsrichtlinie, die für viele Unternehmen und Organisationen in 18 kritischen Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten vorsieht. Bis Oktober 2024 müssen die EU-Mitgliedsstaaten diese in nationales Recht überführen.
NIS-2 ersetzt die NIS-Richtlinie von 2016. Sie erweitert den Kreis betroffener Unternehmen und verschärft die Cybersicherheits-anforderungen und Sanktionen, um das Sicherheitsniveau innerhalb der EU zu harmonisieren und zu verbessern.
Verstöße gegen die Bestimmungen der NIS2-Richtlinie können zu hohen Geldstrafen führen.
NIS-2 kurz zusammengefasst
Ausgeweiteter Anwendungsbereich
- Neue Sektoren und Industrien betroffen
- Klare Definition von wesentlichen und kritischen Diensten (KRITIS-Zugehörigkeit)
Höhere Einheitlichkeit
- Festgehaltene EU-weite Standards für Cybersicherheit
- Verpflichtung zur Umsetzung in nationales Recht
- Kooperationsnetzwerk für internationale Cyberkrisen
Strengere Umsetzungskontrollen
- Kontrolle der Umsetzung durch nationale Behörden
- Diverse Nachweis- und Sorgfaltspflichten
Konkretere, umfassendere Pflichten
- Definition von Risiko- und Krisenmanagement-
bestandteilen - Verschärfte Meldepflichten zu Sicherheitsvorfällen innerhalb von 24 Stunden inkl. Abschlussbericht
Härtere Sanktionen bei Rechtverstößen
- Warnungen, Handlungs- oder Unterlassungsanweisungen bei Nicht-Einhaltung
- Hohe Bußgelder bei Verstößen
Wie betrifft NIS-2 Ihr Unternehmen?
In unserem Whitepaper erfahren Sie mehr über die Richtlinie, wer betroffen ist und erhalten exklusiven Zugang zu unserer Checkliste zur Vorbereitung auf NIS-2.
Was ist der Unterschied zu NIS-1 ?
Die NIS2-Richtlinie zielt darauf ab, die Cyberresilienz signifikant zu erhöhen. Im Vergleich zum Vorgänger, der NIS1-Richtlinie, erfasst sie aufgrund aktualisierter Schwellenwerte eine deutlich größere Anzahl von Unternehmen.
Ein besonderes Augenmerk liegt dabei auf der sogenannten Kritischen Infrastruktur (KRITIS). Der Schutz dieser Infrastrukturen ist von entscheidender Bedeutung, um Störungen oder Angriffe abzuwehren, die schwerwiegende Folgen für die öffentliche Sicherheit, das Wirtschaftswachstum und den Alltag der Menschen haben könnten.
Die NIS2-Richtlinie stellt somit eine Weiterentwicklung der NIS1 dar und erhöht die Anforderungen an die Informationssicherheit der betroffenen Organisationen erheblich.
Wann tritt NIS-2 in Kraft?
Die NIS-2-Richtlinie wurde am 27.12.2022 im EU-Amtsblatt veröffentlicht und ist am 16.01.2023 in Kraft getreten. Als EU-Richtlinie ist sie nicht unmittelbar anwendbar und muss daher von den Mitgliedstaaten bis Oktober 2024 in nationales Recht überführt werden.
Die NIS-2-Richtlinie legt Mindeststandards fest, erlaubt den EU-Staaten jedoch, strengere Sicherheitsvorschriften zu erlassen.
In Deutschland existiert seit Juli 2023 ein Referentenentwurf des Bundesinnenministeriums zur Umsetzung, bekannt als NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG).
Wer ist betroffen?
Die NIS-2-Richtlinie der Europäischen Union findet Anwendung auf öffentliche und private Einrichtungen, die in 18 definierten Sektoren tätig sind und ihre Dienste innerhalb der Europäischen Union anbieten oder dort Geschäftsaktivitäten durchführen.
Die Richtlinie betrifft Einrichtungen, die mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz sowie eine Jahresbilanzsumme von jeweils mindestens 10 Millionen Euro aufweisen.
Zudem umfasst die Richtlinie auch bestimmte Sonderfälle, bei denen die Anforderungen unabhängig von der Größe der Einrichtung gelten.
Ihre Verpflichtungen knüpft die NIS2-Richtlinie überwiegend an die Klassifizierung eines Betreibers als „wesentliche“ oder „wichtige“ Einrichtung.
| Wesentliche Einrichtung | Wichtige Einrichtung |
|
Sektor in Anhang I +mind. 250 Beschäftigte oder über 50 Mio. EUR Jahresumsatz bzw. über 43 Mio. EUR Jahresbilanzsumme |
Sektoren in Anhang I u. II +mind. 50 Beschäftigte oder über 10 Mio. EUR Jahresumsatz bzw. Jahresbilanzsumme (soweit nicht bereits wesentliche Einrichtungen) |
|
bestimmte Sonderfälle, z.B. Zentralregierung, DNS-Diensteanbieter oder staatliche Einstufung als wesentliche Einrichtung |
bestimmte größenunabhängige Sonderfälle, z.B. staatliche Einstufung als wichtige Einrichtung |
Übersicht der betroffenen Sektoren
Die NIS2-Richtlinie betrifft Einrichtungen aus 18 Sektoren, die in Anhang I und II aufgeführt sind. Darin steht für jeden Sektor genau definiert, welche "Art der Einrichtung" betroffen ist. Entscheidend ist daher, ob Sie einer darin genannten Art der Einrichtung entsprechen.
Sektoren mit hoher Kritikalität (Anhang I der NIS-2)
- Energie
- Verkehr
- Bankwesen
- Finanzmarkt-Infrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Verwaltung von IKT-Diensten (B2B)
- Öffentliche Verwaltung
- Weltraum
Sonstige kritische Sektoren (Anhang II der NIS-2)
- Post
- Abfallwirtschaftung
- Produktion, Herstellund und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/Herstellung von Waren
- Anbieter digitaler Dienste
- Forschung
Was müssen betroffene Unternehmen und Organisationen tun?
In unserer Checkliste haben wir die wesentlichen Maßnahmen für Sie zusammengefasst.
"In 5 Schritten - NIS-2 souverän umsetzen"
Wenn NIS-2 für Sie gilt, müssen Sie sich bei der nationalen Behörde registrieren – wie genau, wird noch festgelegt. Folgende Informationen sind einzureichen:
- Name Ihrer Einrichtung
- Anschrift und Kontaktdaten, einschließlich E-Mail-Adressen, IP-Adressbereiche und Telefonnummern
- ggf. den relevanten Sektor und Teilsektor gemäß Anhang I oder II
- ggf. eine Liste der EU-Mitgliedstaaten, in denen Sie Dienste erbringen
Die Geschäftsführung
- muss die Umsetzung der Maßnahmen überwachen und haftet für Verstöße
- muss an Schulungen teilnehmen und diese den Beschäftigten anbieten
Laut NIS2 müssen Sie mindestens die folgenden Cybersecurity-Maßnahmen umsetzen, um die Risiken für die Sicherheit Ihrer Netz- und Informationssysteme zu beherrschen – und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder gering zu halten. Sie müssen die IT-Systeme und deren physische Umwelt schützen („All-Gefahren-Ansatz“). Wieviel genau angemessen ist, sollten Sie nach einem risikobasierten Ansatz für sich festlegen.
• Policies: Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
• Vorfallsbewältigung: Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle
• Business Continuity: Backup-Management und Wiederherstellung, Krisenmanagement
• Supply Chain: Sicherheit in der Lieferkette
• Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme
• Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
• Cyberhygiene, Schulung: Cyberhygiene (z.B. Updates) und Schulungen in Cyber Security
• Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
• Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management
• Authentifizierung: Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
• Kommunikation: Sichere Sprach-, Video- und Text-Kommunikation, ggf. auch im Notfall
Der deutscher NIS2-Gesetzesentwurf sieht vor: Nur zertifizierte IKT-Produkte und -Dienste dürfen genutzt werden.
Die EU NIS2 Directive schreibt vor, dass erhebliche Sicherheitsvorfälle der nationalen Behörde und gegebenenfalls den Empfängern der eigenen Dienste gemeldet werden müssen. Die Richtlinie sieht diese Fristen vor, um den Vorfall der Behörde zu melden:
- Frühwarnung innerhalb von 24 h ab Kenntnis: Verdacht, ob der Vorfall auf rechtswidriger oder böswilliger Handlung beruht und ob grenzüberschreitend.
- Ausführlicher Bericht innerhalb von 72 h ab Kenntnis: Erste Bewertung des Sicherheitsvorfalls, inklusive Schweregrad, Auswirkungen und ggf. die Kompromittierungsindikatoren.
- Fortschritts-/Abschlussbericht ein Monat nach Meldung: Ausführliche Beschreibung, Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen, ggf. die grenzüberschreitenden Auswirkungen.
Was passiert, wenn Sie die NIS-2 Vorschriften nicht einhalten?
Die NIS2-RL verpflichtet die EU-Mitgliedstaaten dazu, Bußgeldtatbestände für Verstöße gegen Art. 21 (Risikomanagementmaßnahmen, s.o.) und Art. 23 NIS2-RL (Berichtspflichten über erhebliche Sicherheitsvorfälle) zu schaffen. Gleichzeitig legt NIS2 bereits einen Mindestwert für die obere Grenze des Bußgeldrahmens fest.
Während die Pflichten grundsätzlich gleich sind, unterscheiden sie sich darin, wie streng die Aufsicht ist und wie hoch die Geldstrafen bei Non-Compliance ausfallen.
| Wesentliche Einrichtungen | Wichtige Einrichtungen | |
| Aufsicht durch die Behörden |
Proaktive Aufsicht, zum Beispiel:
|
Reaktive Aufsicht nach Hinweisen auf Verstöße, zum Beispiel:
|
| Geldstrafe bei Verstößen |
Geldbuße bis zu: 10 Mio. EUR oder 2 % des gesamten weltweiten Vorjahresumsatzes des Unternehmens, dem die Einrichtung angehört – je nachdem, welcher Betrag höher ist |
Geldbuße bis zu: 7 Mio. EUR oder 1,4 % des gesamten weltweiten Vorjahresumsatzes des Unternehmens, dem die Einrichtung angehört – je nachdem, welcher Betrag höher ist |
| Wer zählt dazu? |
Große Unternehmen aus Anhang I
Größenabhängige Sonderfälle |
Große Unternehmen aus Anhang II
Mittlere Unternehmen aus Anhang I oder II
Größenabhängige Sonderfälle Einrichtungen, die vom Staat als "wichtig" eingestuft werden (z.B. alleinige Anbieter) |
Sie benötigen Hilfe bei der Umsetzung von NIS-2 ?
Kontaktformular
