NIS-2-Richtlinie: Klare Anforderungen für Cybersicherheit
NIS-2-Richtlinie
Die zweite Fassung der Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2) ist seit Anfang 2023 in der gesamten Europäischen Union in Kraft. Alle EU-Mitgliedsstaaten müssen NIS 2 bis zum 17. Oktober 2024 in nationales Recht umsetzen. In Deutschland liegt bereits ein Referentenentwurf des Bundesinnenministeriums für das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vor….
…doch warum eine neue Fassung der NIS?
Im Jahr 2016 führte die Europäische Union mit der ersten Richtlinie zur Netzwerk- und Informationssicherheit (NIS 1) Vorschriften für die Cybersicherheit ein. NIS 1 verlangte von den EU-Mitgliedsstaaten, dass sie ‚kritische Dienste‘ definieren und spezifische Verfahren zur Cybersicherheit sowie Meldepflichten für Sicherheitsvorfälle einführen. Die Richtlinie wurde zeitnah in nationales Recht umgesetzt. Zum Beispiel wurden Unternehmen in Frankreich als ‚Operateurs de Services Essentiels (OSE)‘ und in Deutschland als ‚KRITIS-Betreiber (KRITIS = Kritische Infrastrukturen)‘ eingestuft. Allerdings geschah die nationale Umsetzung uneinheitlich und unterschiedlich, sodass vergleichbare Unternehmen in verschiedenen EU-Staaten unterschiedlich eingestuft wurden. Die Anzahl der als kritisch betrachteten Dienste variierte zwischen 12 und 87 in den verschiedenen EU-Mitgliedsstaaten. Mit der NIS-2-Richtlinie schafft die EU nun Klarheit und legt genau fest, welche Unternehmen als kritische Dienste eingestuft werden und welche Anforderungen für sie gelten. Die Unternehmen müssen ihre Maßnahmen zum Schutz vor Cyberangriffen verbessern, strengere Sicherheitsstandards einführen und ihre IT-Systeme stets auf dem neuesten Stand halten.
1. Ausweitung des Geltungsbereichs
Die NIS-2-Richtlinie wurde ausgeweitet, sodass sie nicht nur für bekannte Schlüsselunternehmen im Bereich der kritischen Infrastruktur gilt, sondern eben auch für wesentliche und wichtige Einrichtungen.
1.1 Wesentliche Einrichtungen (Essential Entities):
Unter den wesentlichen Einrichtungen fallen u.a. die nachfolgenden Bereiche:
- Energie: Lieferung, Verteilung und Verkauf von Strom, Gas, Öl, Wasserstoff, Heizung und Elektromobilitätsladestationen
- Straßen-, Schienen-, Luft- und Schiffsverkehr: einschließlich Reedereien, Hafenanlagen und Flughäfen
- Wasser: Trink- und Abwasserversorgungsunternehmen
- Digitale Infrastruktur und IT-Dienste: einschließlich Rechenzentren, Clouddiensten, elektronischer Kommunikation, Internetknoten und Anbietern öffentlicher elektronischer Kommunikationsnetze und -dienste
- Bank- und Finanzwesen: Kredit, Handel, Markt, Infrastruktur und Versicherungswesen
- Gesundheitswesen: Gesundheitsdienstleister, Pharmaunternehmen, Hersteller von medizinischen Geräten und Forschungseinrichtungen
- usw.
1.2 Wichtige Einrichtungen (Important Entities)
Während die wichtige Einrichtungen folgende sind:
- Abfallwirtschaft
- Post- und Kurierdienste
- Chemische Erzeugnisse: Produktion und Vertrieb
- Lebensmittel: Produktion und Vertrieb
- Hersteller: Computer, Elektronik, Optik, Maschinen, Kraftfahrzeuge und Anhänger, Transportmittel
- Digitale Anbieter: Suchmaschinen, soziale Netzwerke, Online-Marktplätze
- usw.
Die Frage, welches Unternehmen diese Anforderungen bzw. die Vorgaben der NIS-2-Richtlinie erfüllen muss, hängt von der Unternehmensgröße und den Umsatz des Unternehmens ab.
1.3 Die Unternehmen werden hier in zwei Kategorien unterteilt:
- mittlere Unternehmen: 50-250 Mitarbeiter, 10-50 Millionen EUR Umsatz, Bilanzsumme kleiner als 43 Millionen EUR
- große Unternehmen: mehr als 250 Mitarbeiter, mehr als 50 Millionen EUR Umsatz, Bilanzsumme größer als 43 Millionen EUR
Aufgrund dieser Kategorien werden jetzt wesentlich mehr Unternehmen als kritische Infrastrukturen betrachtet. Etwa 30.000 Unternehmen in Deutschland werden von den Anforderungen der NIS-2-Richtlinie betroffen sein.
2. Selbstermittlung der Betroffenheit
Eine Besonderheit besteht darin, dass die Unternehmen selbst ermitteln müssen, ob die NIS-2-Vorgaben für sie gelten. Staatliche Stellen teilen ihnen dies nicht mit.
3. Was müssen Unternehmen und Organisationen, die von NIS-2 betroffen sind, tun?
Maßnahmen zum Risikomanagement für Cybersicherheit (Art. 21)
Unternehmen müssen ein Risikomanagement einführen und technische sowie organisatorische Maßnahmen treffen. Dadurch soll die Sicherheit ihrer Anlagen, Netzwerke, IT-Systeme und Lieferketten verbessert und geschützt werden.
Gemäß NIS-2 sind Unternehmen verpflichtet, mindestens die folgenden Maßnahmen zur Cybersicherheit umzusetzen, um die Risiken für die Sicherheit Ihrer Netz- und Informationssysteme zu kontrollieren und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder zu minimieren. Dabei geht es um den Schutz Ihrer IT-Systeme und ihrer physischen Umgebung („All-Gefahren-Ansatz“). Die genaue Umsetzung dieser Maßnahmen sollte individuell und risikobasiert erfolgen.
- Policies: Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
- Vorfallbewältigung: Erkennen, analysieren, eindämmen und reagieren auf Sicherheitsvorfälle
- Business Continuity: Sicherung und Wiederherstellung von Informationen, Krisenmanagement
- Lieferkette: Sicherheit in der Zusammenarbeit mit Lieferanten und Dienstleistern
- Einkauf: Sicherheitsaspekte beim Erwerb, der Entwicklung und der Wartung von IT-Systemen berücksichtigen
- Wirksamkeit: Bewertung, ob die ergriffenen Risikomanagementmaßnahmen wirksam sind
- Cyberhygiene, Schulung: Regelmäßige Aktualisierung von Systemen (z.B. Updates) und Schulungen zur Sensibilisierung für Cybersicherheit
- Kryptografie: Verwendung von Verschlüsselungstechnologien, wenn erforderlich
- Personal, Zugriffe, Assets: Sicherheit des Personals gewährleisten, Zugriffskontrollen einführen und Asset Management durchführen
- Authentifizierung: Mehrstufige oder kontinuierliche Authentifizierung implementieren
- Kommunikation: Sicherstellung sicherer Sprach-, Video- und Textkommunikation, auch unter Notfallbedingungen
Deutscher NIS2-Gesetzesentwurf: Nur zertifizierte IKT-Produkte und -Dienstleistungen dürfen verwendet werden.
4. Es wird noch strenger
Die Strafen für das Nichtmelden sind härter geworden.
Unternehmen müssen bedeutende Störungen, Vorfälle oder Cybergefahren sofort ihrer nationalen Behörde für Cybersicherheit melden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist in Deutschland die zuständige Stelle.
Der Meldungsprozess ist dreistufig:
- Innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls muss ein erster Bericht übermittelt werden.
- Innerhalb von 72 Stunden muss ein vollständiger Bericht folgen. Der Bericht enthält eine erste Einschätzung des Vorfalls.
- Innerhalb eines Monats muss abschließend ein detaillierter Bericht eingereicht werden. Der Bericht enthält eine genaue Beschreibung des Vorfalls, der Art der Bedrohung und der grenzüberschreitenden Auswirkungen.
Unternehmen, die die Vorgaben nicht einhalten, müssen mit strengeren Strafen rechnen. Bei wesentlichen Einrichtungen können die Geldbußen bis zu 10 Millionen EUR oder 2 Prozent des weltweiten Jahresumsatzes betragen. Bei wichtigen Einrichtungen ist das Maximum auf 7 Millionen EUR oder 1,4 Prozent des weltweiten Jahresumsatzes begrenzt.
Der Referentenentwurf des Bundesinnenministeriums sieht vor, dass Geschäftsführer und andere Führungskräfte persönlich für die Einhaltung der Maßnahmen zum Risikomanagement haften können. Die Geldbuße kann höchstens 2 Prozent des weltweiten Jahresumsatzes betragen und auch das private Vermögen der Verantwortlichen betreffen.
Solltet Ihr Hilfe bei der Umsetzung benötigen, so zögert nicht uns zu kontaktieren! 🙂