Was ist NIS2?
Die NIS2-Richtlinie ist eine überarbeitete Version der ursprünglichen “Network and Information Systems Directive” (NIS1), die im Jahr 2016 von der Europäischen Union eingeführt wurde. Ziel dieser Richtlinie war es, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in Europa zu gewährleisten. Aufgrund der wachsenden Bedrohung im Cyberraum hat die Europäische Kommission die NIS1-Richtlinie aktualisiert. Die neue NIS2-Richtlinie soll die Widerstandsfähigkeit und Reaktionsfähigkeit der Mitgliedstaaten bei Cybervorfällen weiter stärken und verbessern.
Weitere Informationen finden Sie hier: Bundesamt für Sicherheit in der Informationstechnik
Wer ist von NIS2 betroffen?
Der Geltungsbereich der NIS2-Richtlinie wurde im Vergleich zur ursprünglichen Richtlinie erheblich erweitert. Betroffen sind Unternehmen mit mehr als 50 Angestellten und einem Jahresumsatz von mindestens 10 Millionen Euro, die in einem der folgenden Sektoren tätig sind:
| Besonders wichtige Einrichtungen | Wichtige Einrichtungen |
|---|---|
| Energie | Post- und Kurierdienste |
| Verkehr | Abfallbewirtschaftung |
| Bankwesen | Produktion, Herstellung und Handel mit chemischen Stoffen |
| Finanzmarktinfrastrukturen | Produktion, Verarbeitung und Vertrieb von Lebensmitteln |
| Gesundheitswesen | Gewerbe/Herstellung von Waren |
| Trinkwasser | Anbieter digitaler Dienste |
| Abwasser | |
| Digitale Infrastruktur | |
| Verwaltung von IKT-Diensten | |
| Öffentliche Verwaltung | |
| Weltraum |
Die Unterscheidung zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“ zeigt sich vor allem in den Sanktionen. Für besonders wichtige Einrichtungen können Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes verhängt werden. Bei wichtigen Einrichtungen sind es bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes, wobei der höhere Betrag maßgebend ist.
Welche Anforderungen stellt NIS2?
Netz- und Informationssysteme sowie die physische Umgebung dieser Systeme sollen vor Sicherheitsvorfällen geschützt werden. Die Geschäftsführung ist verantwortlich für die Überwachung der Umsetzung dieser Maßnahmen und haftet bei Verstößen. Zudem ist die Geschäftsleitung verpflichtet, an entsprechenden Cybersicherheitsschulungen teilzunehmen, die auch den Mitarbeitenden angeboten werden müssen. Es sind Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu implementieren. Dazu gehört beispielsweise die Aufrechterhaltung des Betriebs (u. a. Backup-Management und Notfallwiederherstellung), Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung, sowie Maßnahmen zur Sicherheit der Lieferkette. Betroffene Einrichtungen müssen außerdem Sicherheitsvorfälle melden: Eine Erstmeldung hat innerhalb von 24 Stunden, eine Detailmeldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats beim Bundesamt für Sicherheit in der Informationstechnik (BSI) einzugehen.
Was müssen betroffene Unternehmen jetzt tun?
Betroffene Unternehmen sollten sich jetzt aktiv mit den Inhalten der Richtlinie, insbesondere aber dem eigenen Reifegrad der Informationssicherheit, namentlich der Fülle und Wertigkeit implementierter Maßnahmen zum Management von Cyberrisiken, auseinandersetzen. Die weiterführende Herangehensweise ist hierbei kein Novum: Die Identifizierung von Lücken zwischen der eigenen Cybersicherheitslage und den durch die NIS2 eingeführten Anforderungen, sowie die Analyse dieser zur Einleitung von Maßnahmen zum Erreichen der Richtlinienkonformität.
Wann sind die Anforderungen umzusetzen?
Die NIS2-Richtlinie muss bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland wurde zuletzt am 7. Mai 2024 ein Referentenentwurf für das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) vorgelegt. Der aktuelle Entwurf des NIS2UmsuCG geht teilweise über die Anforderungen der NIS2 hinaus. So sind Bußgelder von bis zu 20 Millionen Euro und eine persönliche Haftung der Geschäftsführung für die Umsetzung der Sicherheitsmaßnahmen vorgesehen. Der Inhalt des Entwurfs könnte allerdings noch angepasst werden. Die Umsetzungsfrist wird die deutsche Gesetzgebung nach aktuellem Stand nicht einhalten können, sodass derzeit Anfang 2025 mit einer Verabschiedung zu rechnen ist.
Weitergehende Informationen sowie die aktuellsten Referentenentwürfe finden Sie beim Bundesministerium des Innern und für Heimat.
Auswahl des IT-Dienstleisters kann helfen – Zertifizierungen und Prozessmanagement vorausgesetzt
Wenn der IT-Dienstleister selbst auch, die „KRITIS“-Anforderungen erfüllen muss, kann das ein entscheidender Vorteil bei der Umsetzung sein, da dieser somit schon einen Großteil der Anforderungen erfüllt. Somit können Aufträge schnell und effizient umgesetzt werden.
Wichtig sind ausgereifte Prozesse auf der Providerseite für verschiedene Themenbereiche, wie etwa Business-Continuity-Management und auditierte Prozesse nach ISO 27001, ISO 20000 und BSI-Standards.
Dies ermöglicht es Unternehmen, bestimmte Kernprozesse auszulagern und so einen Großteil der Anforderungen aus der ISO 27001 zu erfüllen. Als „Retained Organization“ obliegt es jedoch dem auslagerndem Unternehmen, den Dienstleister zu überwachen und zu steuern, da die Verantwortung und das Risikomanagement im eigenen Unternehmen verbleiben.
Wie können wir Sie unterstützen?
Wir sind selbst KRITIS-Unternehmen und erfüllen die geforderten Anforderungen. Zusätzlich verfügen wir über einen großen Erfahrungsschatz in verschiedenen KRITIS-Branchen.
Erfahren Sie mehr über unsere Zertifizierungen sowie Services speziell für Finance und den Öffentlichen Sektor.
Verpassen Sie keine Neuigkeiten mehr und melden Sie sich zu unserem kostenfreien Newsletter an.