Die NIS-2-Richtlinie
Alles Wichtige um die EU-Richtlinie und Ihre Umsetzung
Was ist die NIS-2-Richtlinie?
Die NIS-Richtlinie, auch bekannt als NIS 1, war die erste Cybersecurity-Richtlinie, die 2016 von der EU eingeführt wurde.
Die Entstehung erfolgte aufgrund der wachsenden Bedrohung und der steigenden Anforderungen an die Sicherheit der IT in Europa. Auch für den Schutz der Systeme von sogenannten KRITIS-Unternehmen, also Unternehmen, die als „Betreiber kritischer Infrastrukturen“ fungieren, gibt es in der Richtlinie verbindliche Bestimmungen.
Zur Stärkung der Cyberresilienz in der EU gehört die NIS-Richtlinie zur europäischen Cybersecurity-Strategie und wird heutzutage als eine der bedeutendsten europäischen Rechtsvorschriften im Bereich der Cybersicherheit angesehen. Die Richtlinie schreibt KRITIS-Unternehmen vor, bestimmte Mindeststandards einzuhalten, um den Schutz ihrer Systeme und Netzwerke zu gewährleisten.
Darüber hinaus müssen viele Anforderungen an die Informationssicherheit erfüllt werden. Daher ist ein Informationssicherheitsmanagementsystem (ISMS) für Unternehmen erforderlich und zweckmäßig.
Entstehung der NIS-2-Richtlinie
2021 - Erste Lesungen und Diskussionen zum Entwurf
Juni 2022 - Europäisches Parament & Rat der EU erzielen vorläufige Vereinbarung
14. Dezember 2022 - Offizielle Unterzeichnung
27. Dezember 2022 - Veröffentlichung
Warum gibt es die NIS-2-Richtlinie?
Mit der NIS-2-Richtlinie werden verschiedene wichtige Neuerungen eingeführt, die auf eine Verbesserung der Cybersicherheit in der Europäischen Union abzielen. Die Richtlinie stellt einen breiteren und wirksameren Rahmen für den Schutz kritischer Infrastrukturen und digitaler Dienste dar, indem sie Standards harmonisiert, das Risikomanagement stärkt, Meldepflichten einführt und die Bußgelder verschärft.
NIS 2 soll die Cybersicherheit kritischer Infrastrukturen in der EU weiter erhöhen. Dies dient dem Schutz aller Infrastrukturen in der EU vor Gefahren wie Hackerangriffen. Daher zielt die NIS 2 darauf ab, mit den aktuellen Problemen der Cybersicherheit umzugehen. Dabei nimmt die Richtlinie in diesem Zusammenhang besondere Rücksicht auf die wachsende Digitalisierung von Dienstleistungen und die Verbreitung von IoT-Geräten (Internet der Dinge).
Es wird angestrebt, die Widerstandsfähigkeit und Reaktionsfähigkeit im Bereich der Cybersicherheit zu verbessern, um kritische Infrastrukturen und digitale Dienste in öffentlichen und privaten Sektoren sowie die gesamte EU zu schützen. Damit soll gewährleistet werden, dass auch in einer Krise systemrelevante Infrastrukturen einsatzbereit sind.
Wen betrifft die NIS-2-Richtlinie?
NIS 2 unterscheidet zwischen Sektoren, die „wesentlich“ („Essential“) und „wichtig“ („Important“) sind. Dies lässt nicht auf den ersten Blick erkennen, auf wen NIS 2 tatsächlich Anwendung findet.
Zum ersten Mal werden in NIS2 die „wichtigen Einrichtungen“ vorgestellt, die die Reichweite der kritischen Infrastruktur ausdehnen. Aus diesem Grund unterliegen nun auch Betriebe wie beispielsweise digitale Marktplätze oder die Nahrungsmittelindustrie der NIS2-Richtlinie. Es wird von den Gesetzgebern in Deutschland angenommen, dass NIS etwa 30.000 Unternehmen betreffen. Dabei stellen die „wichtigen Einrichtungen“ über 20.000 Firmen dar.
Mit der NIS 2 wird außerdem eine „size-cap“-Regel eingeführt, wonach Unternehmen, die mindestens mittelgroß sind und in die speziellen Sektoren fallen, nun von der NIS 2 erfasst werden. Infolgedessen hat sich die Zahl der Unternehmen erhöht, die sich an die Richtlinie und die in diesem und im nächsten Jahr veröffentlichten nationalen Vorschriften gehalten haben.
Um zu ermitteln, ob Ihr Unternehmen von der NIS 2 betroffen ist, gehen Sie die folgenden Kriterien durch:
1. Kriterium: Unternehmensgröße
- Hat Ihr Unternehmen mindestens 50 Beschäftigte und
- Übersteigt Ihr Jahresumsatz/die Jahresbilanz 10 Mio. €?
2. Kriterium: Unternehmenssektor
Die NIS 2 umfasst nun sieben „wichtige“ („Important“) und elf „wesentliche“ („Essential“) Unternehmenssektoren. Wenn Ihr Unternehmen die Unternehmensgrößenkriterien erfüllt und in den folgenden Wirtschaftszweigen tätig ist, fällt es unter die NIS-2-Regelung.
Sektoren mit hoher Kritikalität
Energiesektor
Dieser Sektor umfasst alle Phasen der Energieversorgung, angefangen bei der Erzeugung über die Verteilung bis hin zur Versorgung.
Verkehr
Der Verkehrssektor umfasst den Straßen-, Schienen-, Luft- und Seetransport. Dabei geht es außerdem um die Herstellung von Fahrzeugen sowie die Bereitstellung von Transportdienstleistungen.
Bankwesen
Finanzinstitute, die Einlagen- und Kreditgeschäfte tätigen, gehören zu diesem Sektor. Diese Institute sind für die Stabilität und Integrität des Finanzsystems von entscheidender Bedeutung.
Finanzmarktinfrastruktur
Diese Firmen haben eine bedeutende Funktion auf dem Finanzmarkt, da sie Handelsplätze führen und in Finanztransaktionen als Hauptpartner fungieren. Die Kritik an der Stabilität und Integrität des Finanzsystems ist bei ihnen hoch.
Gesundheitswesen
Dieser Sektor, der Krankenhäuser, Kliniken und medizinische Dienstleister umfasst, ist entscheidend für das Wohlergehen und die Gesundheit der Menschen. Die Lieferkette umfasst medizinisches Material, Arzneimittel und ein vielfältiges Angebot an Gesundheitsdienstleistungen.
Trinkwasser
Die Aufgaben der Bereitstellung von Trinkwasser beinhalten das Entnehmen und Verarbeiten von Trinkwasser sowie eine verlässliche Verteilung an Haushalte und Firmen. Die Lieferkette beinhaltet Tätigkeiten wie die Instandhaltung und Instandsetzung von Wasseraufbereitungsanlagen sowie die Fertigung von technischen Geräten wie Pumpen oder Rohrleitungen. Es sollte allerdings berücksichtigt werden, dass Unternehmen, die hauptsächlich andere Rohstoffe und Güter liefern und bei denen die Wasserversorgung nur einen unwesentlichen Teil ihrer allgemeinen Geschäftstätigkeit ausmacht, von dieser Regel ausgeschlossen sind.
Abwassersektor
Dieser Bereich beinhaltet das Sammeln, Entsorgen und Behandeln von Abwasser, um den Anforderungen an Umwelt und Gesundheit gerecht zu werden. Dienstleistungen und Produkte, die zur Unterstützung der Abwasserbewirtschaftung erforderlich sind, können in dieser Lieferkette enthalten sein. Unternehmen, die Abwasseraufbereitungsanlagen reparieren und warten, sowie Hersteller und Lieferanten von Abwasseraufbereitungschemikalien, gehören zu diesen Unternehmen. Es sollte allerdings berücksichtigt werden, dass Unternehmen, die hauptsächlich andere Tätigkeiten ausüben und bei denen die Abwasserwirtschaft nur einen unwesentlichen Teil ihrer Gesamttätigkeit ausmacht, von dieser Regel ausgenommen sind.
Digitale Infrastruktur
Betreiber von Internetknoten, DNS-Diensteanbieter (wobei Betreiber von Root-Namenservern ausgenommen sind), TLD-Namenregister, Cloud-Computing-Diensteanbieter, Rechenzentrumsdienstanbieter, Inhaltszustellnetzanbieter, Vertrauensdienstanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze und Anbieter von öffentlich zugänglichen elektronischen Kommunikationsdiensten sind Teil dieses umfangreichen Sektors. Die Kritik an diesen Unternehmen ist hoch, da sie die Basis der digitalen Welt repräsentieren. Ihre Verantwortung liegt darin bestehen, die Sicherheit, Konnektivität und Leistungsfähigkeit des Internets zu gewährleisten und einen reibungslosen Ablauf digitaler Dienste und Kommunikation sicherzustellen.
IKT-Dienstleistungsmanagement (B2B)
Die Bereitstellung von Informationstechnologie-Dienstleistungen und -Sicherheitslösungen für andere Unternehmen macht diese Unternehmen besonders wichtig für die Geschäftswelt. Sie helfen Firmenkunden dabei, ihre digitalen Ressourcen zu verwalten und zu sichern, und leisten einen Beitrag zur Effizienz und Sicherheit von Unternehmensprozessen. Aufgrund der Sicherstellung der Geschäftskontinuität und des Schutzes sensibler Daten sind Unternehmen in dieser Branche sehr kritisch.
Öffentliche Verwaltungen
Dieser Bereich beinhaltet Institutionen der öffentlichen Verwaltung, die von Zentralregierungen geleitet werden, sowie Institutionen der öffentlichen Verwaltung auf regionaler Ebene, wie sie nach nationalem Recht definiert sind. Diese Institutionen sind die Grundlage für die Verwaltung des Staates und die regionalen Behörden. Die Grundfunktionen der öffentlichen Verwaltung, die für die Aufrechterhaltung der staatlichen Ordnung und die Bereitstellung öffentlicher Dienstleistungen unerlässlich sind, sind daher von hoher Kritikalität. Die Sicherheit und Stabilität solcher Institutionen sind für die Gesellschaft von höchster Wichtigkeit.
Weltraumsektor
Betreiber von Bodeninfrastrukturen, die von Mitgliedstaaten oder privaten Parteien verwaltet und betrieben werden, sind in diesem Sektor enthalten. Diese Infrastrukturen sind für die Weltraum- und Satellitenindustrie von großer Bedeutung und tragen zur Erbringung von Diensten auf der Grundlage des Weltraums bei. Die Kommunikation, Navigation, Erdbeobachtung und wissenschaftliche Forschung im Weltraum sind wesentlich von ihnen abhängig. Diese Regel gilt nicht für Anbieter von öffentlichen elektronischen Kommunikationsnetzen. Die Sicherheit und Unversehrtheit dieser Raumfahrtinfrastrukturen sind für viele Anwendungen und Dienste von größter Bedeutung.
Sonstige kritische Sektoren
Post- und Kurierdienst
Zu diesem Bereich gehören Anbieter von Postdiensten. Dazu gehören auch Kurierdienstanbieter. Diese Firmen sind maßgeblich an der Lieferung von Paketen und Postsendungen beteiligt, was für den täglichen Geschäftsbetrieb, die Kommunikation und den Warenverkehr von großer Bedeutung ist. Die Gewährleistung einer verlässlichen Zustellung von Post und Kurier trägt dazu bei, dass die Wirtschaft und Gesellschaft reibungslos funktionieren.
Abfallwirtschaft
Dieser Sektor beinhaltet Abfallwirtschaftsunternehmen. Diese Firmen sind für die Abfallsammlung, -entsorgung und -wiederverwertung von entscheidender Bedeutung. Da sie die Abfallentsorgung und das Recycling gewährleisten, leisten sie einen Beitrag zur Umweltschonung und sind von großer Bedeutung. Diese Regel gilt nicht für Unternehmen, die die Abfallbewirtschaftung nicht als ihre Haupttätigkeit ausüben. Es ist von großer Bedeutung, Abfall ordnungsgemäß zu bewirtschaften, um die Umwelt und die Gesundheit der Bevölkerung zu schützen.
Herstellung, Produktion und Vertrieb von Chemikalien
Bei diesen Unternehmen handelt es sich um Firmen, die chemische Substanzen herstellen und mit Substanzen oder Gemischen handeln, sowie um Firmen, die Produkte aus Substanzen oder Gemischen herstellen. Diese Firmen sind von großer Bedeutung für die Produktion und den Handel von chemischen Erzeugnissen, die in unterschiedlichen Branchen und Erzeugnissen verwendet werden. Der umweltverträgliche Umgang mit Chemikalien in diesem Bereich ist für die Gesundheit und die Umwelt von entscheidender Bedeutung.
Lebensmittelproduktion, -verarbeitung und -vertrieb
Unternehmen, die sowohl im Großhandel als auch in der industriellen Herstellung und Verarbeitung von Nahrungsmitteln arbeiten. Diese Firmen sind von entscheidender Bedeutung für die Lebensmittelversorgungskette, da sie Lebensmittel herstellen, verarbeiten und in großem Umfang vertreiben. Die Gesundheit der Bevölkerung hängt maßgeblich von der Qualität und Sicherheit der Lebensmittel ab, und die Tätigkeiten in diesem Bereich beeinflussen unmittelbar die Ernährung und Gesundheit der Verbraucher.
Herstellungssektor
Dieser Sektor umfasst eines Vielzahl an Bereichen, die von der Herstellung von Medizinprodukten und In-vitro-Diagnostika, der Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, der Herstellung von elektronischer Ausrüstung, Maschinenbau, der Herstellung von Kraftwagen und -teilen bis hin zum sonstigen Fahrzeugbau reichen.
Digitale Anbieter
Anbieter von Online-Marktplätzen, Suchmaschinenanbietern und Plattformanbietern für Dienste sozialer Netzwerke gehören zu den Anbietern dieser Branche. Diese Firmen sind in der digitalen Wirtschaft von großer Bedeutung, da sie Online-Marktplätze zur Verfügung stellen, die den Waren- und Dienstleistungshandel vereinfachen, Suchmaschinen zur Informationssuche im Internet anbieten und Plattformen für soziale Netzwerke schaffen, auf denen Nutzer miteinander kommunizieren, Inhalte teilen und soziale Netzwerke aufbauen können. Ihre Leistungen sind sowohl für die Gesellschaft als auch für die Wirtschaft von großer Bedeutung und beeinflussen maßgeblich unsere Kommunikation, Geschäftsabwicklung und Informationssuche im Internet.
Forschungssektor
Dieser Bereich umfasst Forschungseinrichtungen, deren primäres Ziel darin besteht, experimentelle oder angewandte Forschung durchzuführen, um die Resultate dieser Forschung für kommerzielle Zwecke zu nutzen. In diesem Bereich sind Forschungseinrichtungen von großer Bedeutung für die Förderung von Innovation und wissenschaftlicher Entwicklung, vor allem im Hinblick auf die Nutzung neuer Erkenntnisse und Technologien für wirtschaftliche Zwecke.
Es sollte allerdings berücksichtigt werden, dass Bildungseinrichtungen dieser Kategorie nicht angehören.
NIS 2 ist für Unternehmen, die weniger als 50 Beschäftigte oder einen Jahresumsatz von weniger als 10 Mio. € haben, nicht geeignet. Es gibt jedoch Ausnahmen, zum Beispiel wenn ein Unternehmen wichtige Aktivitäten ausführt, die sich auf die öffentliche Ordnung auswirken, oder wenn es Systemrisiken sowie Auswirkungen auf die Grenzen gibt.
Darüber hinaus könnten Organisationen, die von NIS 2 betroffen sind, aufgrund ihrer Kritikalität gezwungen sein, strenge Sicherheitsvorkehrungen in der gesamten Lieferkette durchzusetzen, was dazu führen könnte, dass selbst die kleinsten Lieferanten entsprechende Maßnahmen ergreifen müssen.
Welche Anforderungen stellt die NIS-2-Richtlinie an Unternehmen?
Die wesentlichen Inhalte der NIS-2-Richtlinie umfassen die folgenden acht Aspekte:
- Nationale Cybersicherheitsstrategie
- Rolle der Behörden bei Cybersicherheitsvorfällen
- Cybersecurity Incident Response Team (CSRIT)
- Verpflichtungen der Leitung
- Risikomanagement
- Meldung von Vorfällen
- Sanktionen und Bußgelder
Nationale Cybersicherheitsstrategie
Jedes Unternehmen sollte sich strategische Sicherheitsziele zu eigen machen. Dies ist auch für die Mitgliedstaaten verpflichtend. In der nationalen Cybersicherheitsstrategie sollen unter anderem die folgenden Aspekte behandelt werden:
- Ziele und Prioritäten des Landes
- Mechanismus zur Ermittlung der relevanten Anlagen und Bewertung der Cybersicherheitsrisiken
- Verhalten bei Sicherheitsvorfällen, einschließlich der Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor
- Sensibilisierung der Bürgerinnen und Bürger des Landes
- Cybersicherheit in der Lieferkette
- Offenlegung von Schwachstellen
- Verfügbarkeit, Vertraulichkeit und Integrität des offenen Internets
- Förderung der Technologien, um auf dem neusten Stand zu bleiben
- Erhöhung der Cybersicherheit bei KMU, die von dieser Richtlinie ausgenommen sind
Verpflichtung der Leitung
Das Management muss am Ende – oder besser gesagt am Anfang – dahinter stehen, wenn es um die Verbesserung der Cybersicherheit geht. ISMS funktioniert nicht, wenn es nicht von der Leitung übertragen wird. Es ist also eine Top-Down-Planung zwingend erforderlich.
Das Risikomanagement muss von der Leitung beauftragt werden und sie muss gemäß den identifizierten Risiken (Risikobehandlungsplan) handeln.
Doch es wird nicht nur das Risikomanagement ausdrücklich genannt. Das Thema Security Awareness stellt ebenfalls eine Verantwortung auf hohem Niveau dar. Es liegt in der Verantwortung der Führungskräfte, regelmäßige Schulungen und Trainings zur Risikoidentifizierung und zur Sensibilisierung im Umgang mit Informationssicherheit anzubieten.
Risikomanagement
Dieser Punkt sollte Ihnen bekannt sein, denn das Risikomanagement stellt einen wesentlichen Bestandteil der Informationssicherheit dar. Ohne eine Asset- und Risk-Analyse ist kein ISMS einsatzfähig.
In der NIS-2-Richtlinie legt die EU auch den Fokus auf das Risikomanagement im Bereich der Cybersecurity. Es wird jedoch betont, dass die Risikoanalyse selbst angemessen sein sollte. So soll verhindert werden, dass der Aufwand für die Identifizierung von Risiken größer ist als deren Nutzen.
Bei der Implementierung des Risikomanagements in Unternehmen bezieht sich die EU auch auf gängige ISO-Normen, darunter die ISO 27001-Reihe.
Meldung von Vorfällen
Eine wesentliche Pflicht für Unternehmen gemäß der NIS-2-Richtlinie besteht darin, Sicherheitsvorfälle zu melden. Der offizielle Text spricht von Berichtspflicht. Unternehmen müssen den entsprechenden nationalen Behörden ernsthafte Sicherheitsvorfälle mitteilen. Mit dieser Anforderung soll die Transparenz gesteigert und eine wirksame Reaktion auf Sicherheitsvorfälle möglich gemacht werden.
Es sind Vorfälle zu melden, die sich erheblich auf die Erbringung der Dienstleistungen auswirken. Es muss auch berücksichtigt werden, ob die Meldung einen Vorfall betrifft, der grenzüberschreitende Folgen hat.
In Artikel 23 der NIS-2-Richtlinie (3) ist in Absatz 3 festgelegt, wann ein erheblicher Sicherheitsvorfall zu erwarten ist:
- Bei schwerwiegenden Betriebsstörungen der Dienste oder finanziellen Verlusten für die betreffende Einrichtung
- Bei Beeinträchtigung natürlicher oder juristischer Personen durch erhebliche materielle oder immaterielle Schäden
Wie lassen sich die Anforderungen umsetzen?
Wenn Ihr Unternehmen die oben genannten Kriterien erfüllt, werden Ihre Informationssicherheit bald stärker beansprucht. Die Umsetzung der Anweisungen erfolgt am wirksamsten durch die Einführung eines umfassenden Informationssicherheitsmanagementsystems (ISMS) gemäß der geltenden Richtlinien.
Bei der NIS 2 besteht kein Umsetzungsspielraum, im Gegensatz zur DSGVO, deren zumindest teilweises Ignorieren heute noch von vielen Geschäftsführern als Kavaliersdelikt betrachtet wird. Weil der vorliegende Gesetzentwurf für die deutsche Umsetzung vorsieht, dass die Geschäftsleitung und andere leitende Organe für die Einhaltung der Risikomanagementmaßnahmen mit Ihrem Privatvermögen verantwortlich sind. Infolgedessen gilt jetzt: Ein Vergleich über diese Ansprüche oder ein Verzicht des Unternehmens auf Ersatzansprüche gegen die Geschäftsleitung sind nichtig.
Das Datenschutzgesetz, das 2018 eingeführt wurde, hatte zwar noch eine Übergangsfrist für Unternehmen, aber für NIS 2 ist dies derzeit nicht vorgesehen. Damit sind ab dem 18. Oktober 2024 praktisch alle betroffenen Unternehmen verpflichtet, die Vorschriften umzusetzen. Sie müssen sich bei den Behörden anmelden und können daher von ihnen überprüft werden.
Welche Strafen drohen bei Nichtbeachten der NIS 2?
Bei Verstößen von wesentlichen Einrichtungen können Bußgelder i.H.v. bis zu 10 Mio. € oder auch 2% des weltweiten Jahresumsatzes des Unternehmens verhängt werden. Das ist ganz davon abhängig, welcher der beiden Beträge höher ausfällt.
Für wichtige Einrichtungen liegen die Bußgelder bei bis zu 7 Mio. € oder 1,4% des weltweiten Jahresumsatz des Unternehmens.
Sie benötigen Hilfe bei der Umsetzung der NIS 2? Als externer Informationssicherheits-beauftragter unterstützen wir Sie gerne bei der Einrichtung Ihres ISMS!
Externer ISB für KMU
Als Beratungsdienstleister und externer Informationssicherheitsbeauftragter unterstützen wir Sie bei der Ausarbeitung und Entwicklung einer IT-Sicherheitsstrategie, die zu Ihrem Unternehmen passt.
- Gebündelte Erfahrung aus 10 Jahren in der Branche und 500 erfolgreichen Projekten
- Beratung, Software & Schulung aus einer Hand
- Prozessoptimierung frei nach dem Motto: so viel wie nötig, so wenig wie möglich