NIS 2: Die aktuellsten Erkenntnisse im Überblick

Die NIS 2 Richtlinie, eine Maßnahme zur Erhöhung der Cybersicherheit in der Europäischen Union, zielt darauf ab, die digitale Sicherheit und den Schutz kritischer Infrastrukturen zu verbessern 1.

Als EU-weite Gesetzgebung betrifft sie öffentliche Verwaltungen, KRITIS-Unternehmen sowie Sektoren der digitalen Transformation und setzt Fristen für die Umsetzung in nationales Recht 2 5.

Mit der Veröffentlichung im Amtsblatt der EU L333 am 27. Dezember 2022 tritt die Richtlinie 20 Tage nach ihrer Publikation in Kraft, was bedeutende Anforderungen an den Datenschutz und die Informationssicherheit stellt 2. Mitgliedsstaaten, einschließlich Deutschland, sind verpflichtet, dieser Richtlinie durch die Implementierung von Maßnahmen nachzukommen, die unter anderem eine effektive Incident-Response und einen angemessenen Umgang mit Lieferanten umfassen 1 2.

Wesentliche Neuerungen der NIS 2 Richtlinie

Erweiterung des Geltungsbereichs

  1. Die NIS 2-Richtlinie erweitert den Anwendungsbereich der Cybersicherheitsvorschriften erheblich über die bisherigen kritischen Infrastrukturen hinaus und umfasst jetzt mehr als die aktuellen 2000 Unternehmen, die Teil der „kritischen Infrastrukturen“ sind 4.
  2. Neue Sektoren und Einheiten, die bisher nicht als kritische Infrastrukturen galten, fallen nun ebenfalls unter diese Richtlinie, was die Anzahl der betroffenen Wirtschaftssektoren erheblich erweitert 1 9.
  3. Die Richtlinie schließt auch mittlere und große Unternehmen ein, wobei mittlere Unternehmen als solche mit 50-249 Mitarbeitern oder einem Umsatz von 10-50 Millionen Euro und große Unternehmen als solche mit 250 oder mehr Mitarbeitern oder einem Umsatz von mehr als 50 Millionen Euro definiert sind 5.

Verschärfung der Sicherheitsanforderungen

  1. Unternehmen müssen umfassende Risikobewertungen durchführen und Strategien zur Incident Response entwickeln.
  2. Es wird verlangt, dass Unternehmen Sicherheitsvorfälle melden und Geschäftskontinuitätsmanagement etablieren.
  3. Die Richtlinie fordert zudem die Einrichtung eines Vulnerability Disclosure Programms für Entwickler kritischer Anwendungen.
  4. Überwachung der Netzwerkaktivitäten und Cybersicherheitsschulungen für Mitarbeiter sind ebenfalls verpflichtend 6.

Governance und Compliance

  1. Es werden klare Governance-Strukturen gefordert, einschließlich der Ernennung eines Sicherheitsbeauftragten und der Implementierung einer Cybersicherheitspolitik 10.
  2. Organisationen müssen robuste Risikomanagementmaßnahmen implementieren, die Berichterstattung über signifikante Cybersicherheitsvorfälle innerhalb von 24 Stunden einschließen 10.
  3. Nicht-Einhaltung kann zu erheblichen Strafen führen, mit Bußgeldern von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes 5 10.

Betroffene Sektoren und Unternehmen

In Deutschland wird die Zahl der betroffenen Unternehmen auf etwa 30.000 geschätzt, wobei nur 40% von ihnen bisher angemessene Maßnahmen ergriffen haben 4 12. Diese Unternehmen stammen aus 18 spezifizierten Sektoren, darunter Energie, Verkehr, Gesundheitswesen, digitale Infrastrukturen, Fertigung und die Produktion von Gütern 4 8. Besonders betroffen sind Unternehmen, die sich selbst einschätzen müssen, ob sie unter den Geltungsbereich der NIS 2-Richtlinie fallen, und dies gegebenenfalls dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden müssen 4.

Kategorisierung der Unternehmen

Unternehmen werden als ‚Wesentliche Einheiten‘ oder ‚Wichtige Einheiten‘ klassifiziert, abhängig von ihrer Größe und ihrem Sektor, was das Ausmaß der staatlichen Aufsicht und mögliche Sanktionen bestimmt 8. Es gibt Ausnahmen für bestimmte Unternehmen, unabhängig von ihrer Größe und ihrem Umsatz 8. Die NIS2-Richtlinie gilt für zwei Kategorien von Entitäten: Hochkritische Unternehmen: Firmen mit mehr als 250 Mitarbeitern oder einem Jahresumsatz von über 50 Millionen Euro in spezifizierten Sektoren. Andere kritische Sektoren: Firmen mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von über 10 Millionen Euro in spezifizierten Sektoren 11.

Wirtschaftliche Auswirkungen

Die Umsetzungskosten für die deutsche Wirtschaft werden auf etwa 1,65 Milliarden Euro geschätzt 12. Unternehmen sind in zwei Kategorien unterteilt: ‚wesentlich‘ und ‚wichtig‘. Wesentliche Unternehmen umfassen KRITIS-Unternehmen, die für den Staat von erheblicher Bedeutung sind und deren Ausfall schwerwiegende Folgen hätte. Wichtige Organisationen umfassen sieben Sektoren: Post- und Kurierdienste, Abfallwirtschaft, Lebensmittel, Chemie, digitale Dienste, Industrie und Forschung. Nur Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz von über zehn Millionen Euro sind direkt betroffen 13.

So werden Sie NIS 2 konform

Schritte zur NIS 2-Konformität

  1. Kernprojektteam bilden: Ein effektives Kernprojektteam sollte alle relevanten Entscheidungsträger umfassen, einschließlich Führungskräfte, IT- und Datenschutzbeauftragte, Rechtsberater und Beschaffungsverantwortliche 14.
  2. ISMS implementieren: Ein Informationssicherheitsmanagementsystem (ISMS) gemäß den NIS 2-Richtlinien muss etabliert werden. Dies beinhaltet die Erstellung von Sicherheitsmaßnahmen und die Implementierung eines Endpoint Detection & Response (EDR)-Systems 14.
  3. Vorfallsmanagementprozesse erstellen: Entwickeln Sie Prozesse für das Vorfallsmanagement und die Geschäftskontinuität, um sicherzustellen, dass Sicherheitsvorfälle innerhalb festgelegter Fristen gemeldet und bearbeitet werden 14.
  4. Sicherheit der Lieferkette bewerten: Überprüfen Sie die Sicherheit der Lieferkette und stellen Sie sicher, dass Drittanbieter-Softwareanbieter den NIS 2-Anforderungen entsprechen 14.
  5. Registrierung beim BSI: Direkt betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren 14.
  6. Cybersicherheitszertifizierungen erlangen: Notwendige Cybersicherheitszertifizierungen, wie die Common Criteria (ISO 15408), sollten für die intern verwendete Software in KRITIS-Anwendungen erworben werden 14.

Implementierung technischer und organisatorischer Maßnahmen

  • Risikoanalyse und Sicherheitskonzepte: Unternehmen müssen Risikoanalysen durchführen und Sicherheitskonzepte entwickeln, die das Vorfallsmanagement, die Geschäftskontinuität, die Sicherheit der Lieferkette, das Vulnerability Management, die Schulung der Mitarbeiter und die Verschlüsselung umfassen 13.
  • Technologische Lösungen: Einsatz von Firewalls, Verschlüsselungsdiensten und KI-basierten Bedrohungsschutzmaßnahmen zur Erfüllung der NIS2-Anforderungen 13.
  • Managed Services: Managed Detection and Response (MDR) bieten rund um die Uhr Schutz und Reaktion auf potenzielle Angriffe 13.

Rechtliche Konformität und Sanktionen

  • Einhalten der Meldepflichten: Unternehmen müssen sicherstellen, dass sie die Meldepflichten für Sicherheitsvorfälle innerhalb von 24 Stunden nachkommen 10.
  • Regelmäßige Überprüfung: Unternehmen müssen alle zwei Jahre einen Nachweis über die Implementierung der Richtlinie beim BSI einreichen 1.
  • Strafmaßnahmen bei Nichteinhaltung: Bei Nichteinhaltung der NIS 2-Richtlinie können Bußgelder von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes des Unternehmens verhängt werden 4 6.

Schlussfolgerung und Ausblick

Das Verständnis und die Implementierung der NIS 2-Richtlinie sind kritische Schritte für Unternehmen innerhalb der Europäischen Union, um den wachsenden Bedrohungen durch Cyberangriffe effektiv zu begegnen. Mit der Ausweitung des Anwendungsbereichs auf eine Vielzahl von Sektoren und der Verschärfung der Sicherheitsanforderungen wird ein umfangreiches Fundament für den Schutz kritischer Infrastrukturen und die Sicherheit digitaler Systeme gelegt. Diese Bemühungen sind nicht nur für die Einhaltung gesetzlicher Vorgaben wesentlich, sondern dienen auch dem langfristigen Schutz von Unternehmensdaten und der Aufrechterhaltung des Vertrauens von Kunden und Geschäftspartnern.

Mit der Einführung der NIS 2-Richtlinie sind Unternehmen angehalten, umfassende Sicherheitsbewertungen durchzuführen und robuste Incident-Response-Strategien zu entwickeln. Die Bedeutung dieser Richtlinie reicht über die Compliance hinaus und fördert eine Kultur der Cybersicherheit, die in der heutigen digitalen Ära unerlässlich ist. Durch die Einhaltung dieser Richtlinie können Unternehmen das Risiko von Sicherheitsverletzungen minimieren und gleichzeitig den Weg für eine sicherere digitale Zukunft in der EU ebnen. Letztlich zeigt sich, dass die strategische Bedeutung der NIS 2-Richtlinie weit über den rechtlichen Rahmen hinausgeht und einen entscheidenden Beitrag zur Stärkung der digitalen Resilienz leistet.

Referenzen

[1] – https://digital-strategy.ec.europa.eu/de/policies/nis2-directive

[2] – https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/KRITIS-aktuell/KRITIS-Meldungen/221227-veroeffentlichung-nis-2.html

[3] – https://ihk-kompetenz.plus/wissenswertes/die-neue-nis-2-richtlinie-fuer-unternehmen/ [4] – https://www.goerg.de/de/aktuelles/veroeffentlichungen/20-11-2023/aktuelles-it-sicherheitsrecht-auswirkungen-der-nis-2-richtlinie-auf-unternehmen

[5] – https://www.pwc.de/de/cyber-security/europaeische-nis-2-richtlinie-implikationen-fuer-unternehmen-und-institutionen.html

[6] – https://dup-magazin.de/technologie/cybersecurity/was-sie-zur-nis-2-richtlinie-wissen-sollten/

[7] – https://www.ecos.de/blog/nis-2-richtlinie-alles-was-sie-jetzt-wissen-muessen

[8] – https://www.secjur.com/blog/fur-wen-gilt-nis2

[9] – https://www.openkritis.de/eu/eu-nis-2-sektoren-rce-cer.html

[10] – https://www.tuev-nord.de/de/unternehmen/bildung/wissen-kompakt/nis2-richtlinie/

[11] – https://www.mightycare.de/nis2-richtlinie/

[12] – https://alter-solutions.de/allgemein/die-nis-2-richtlinie-welche-unternehmen-sind-betroffen/

[13] – https://www.heise.de/solutions/sophos/nis2-und-cybersicherheit-welche-unternehmen-von-der-eu-richtlinie-betroffen-sind-und-was-auf-sie-zukommt/?source=nat_teas

[14] – https://www.csoonline.com/de/a/6-tipps-zur-nis2-umsetzung,3681239 [15] – https://enginsight.com/de/blog/leitfaden-in-10-schritten-zur-einhaltung-der-nis2-richtlinie/

[16] – https://www.reuschlaw.de/news/nis-2-richtlinie-diskussionspapier-zu-regelungen-fuer-die-wirtschaft/