NIS-2: Das Wichtigste auf einen Blick!
Ist Ihr Unternehmen auf die Umsetzung von NIS-2 vorbereitet? Verlieren Sie keine Zeit! Alles, was Sie über die neue EU-Richtlinie wissen müssen und wie wir Sie dabei unterstützen können, Ihr Unternehmen bis zum 17. Oktober NIS-2-konform zu machen.
Die „Network and Information Security (NIS) Directive“ ist eine EU-weite Vorschrift, welche die Cyber- und Informationssicherheitsstandards für bestimmte Organisationen und Sektoren erweitert und verschärft. Mit NIS-2 will die EU die Resilienz und Sicherheit der Netz- und Informationssysteme in der gesamten Europäischen Union stärken – und das möglichst schnell. Die EU-Mitgliedsstaaten sind bis zum 17. Oktober 2024 dazu verpflichtet, die NIS-2-Richtlinie in nationales Recht umzusetzen.
Haben Sie Fragen zu NIS-2?
Mit der NIS-2-Richtlinie zieht die EU sogenannte “Wesentliche” und “wichtige” Einrichtungen in die Verantwortung. Dazu zählen Unternehmen und Einrichtungen aus insgesamt 18 Wirtschaftssektoren, darunter der Energiesektor, die Digitale Infrastruktur oder das Gesundheitswesen. Neben dem Tätigkeitsfeld spielt die Anzahl der Angestellten und der Jahresumsatz eine wichtige Rolle: Unternehmen ab 50 Beschäftigten und mit einem Jahresumsatz von mindestens zehn Millionen Euro müssen NIS-2 umsetzen.
Die NIS-2-Richtlinie ist komplex und umfasst viele Aspekte, die betroffene Unternehmen umsetzen müssen.
Dazu zählt etwa Governance & Awareness: Die Leitungsorgane (Geschäftsführer, Vorstände etc.) dieser Einrichtungen müssen die Maßnahmen nicht nur billigen, sondern deren Umsetzung auch überwachen. Um Risiken erkennen und bewerten zu können, sind Mitglieder der Leitungsorgane dazu verpflichtet, an Schulungen teilzunehmen. bei Verstößen sollen die Leitungsorgane zur Verantwortung gezogen werden können.
Wesentliche und wichtige Einrichtungen müssen ebenfalls angemessene Maßnahmen zur Risikobeherrschung in ihren Netz- und Informationssystemen ergreifen. Diese sollen technisch, operativ und organisatorisch sein und auf dem aktuellen Stand der Technik basieren, um die Sicherheitsrisiken zu minimieren und die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.
Außerdem bestehen Meldepflichten bei Aufsichtsbehören: Bei erheblichen Sicherheitsvorfällen, die signifikante Auswirkungen auf die Dienstleistungen von wesentlichen und wichtigen Einrichtungen haben könnten, sind zuständige Behören innerhalb von 24 Stunden zu informieren.
Die oberste Leitung von Unternehmen werden zur Verantwortung gezogen, falls die Umsetzung der Cybersicherheit nicht den Anforderungen entspricht. Sowohl wesentliche als auch wichtige Unternehmen müssen bei Verstößen mit hohen Bußgeldern in Millionenhöhe rechnen.
Ist Ihr Unternehmen bereit für NIS-2?
Die NIS-2-Richtlinie wurde 2023 veröffentlicht, nun sind die nationalen Gesetzgeber verpflichtet, sie in geltendes nationales Recht umzusetzen. Spätestens jetzt beginnt für viele Unternehmen ein Rennen gegen die Zeit: Ist das nationale Gesetz erlassen, haben betroffene Unternehmen die Pflicht, die von der Europäischen Union festgelegte NIS-2-Richtlinie zum Schutz der Cybersicherheit umzusetzen. Wir verraten Ihnen, was Unternehmen nun beachten müssen, was sich mit dem Gesetz ändert und wie Sie erkennen können, ob Sie von der NIS-2-Richtlinie betroffen sind.
Wofür steht NIS-2?
Die alte Richtlinie trägt den offiziellen Titel: “Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union” – oder kurz: NIS (Netz- und Informationssysteme).
Was ist NIS-2?
Experten gehen davon aus, dass die neue EU-Richtlinie namens NIS-2 für die Cybersicherheit das wird, was die DSGVO für den Datenschutz geworden ist. Die „Network and Information Security (NIS) Directive“ ist eine EU-weite Vorschrift, welche die Cyber- und Informationssicherheitsstandards für bestimmte Organisationen und Sektoren erweitert und verschärft. Mit NIS-2 will die EU die Resilienz und Sicherheit der Netz- und Informationssysteme in der gesamten Europäischen Union stärken – und das möglichst schnell.
Bis wann muss NIS-2 umgesetzt werden?
Viel Zeit bleibt nicht mehr: Die EU-Mitgliedsstaaten sind bis zum 17. Oktober 2024 dazu verpflichtet, die NIS-2-Richtlinie in nationales Recht umzusetzen. In Deutschland liegt seit Juli 2023 ein Referentenentwurf des Bundesinnenministeriums vor, der als NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) bekannt ist.
Egal, ob Cyber-Risikomanagement, Kontrolle und Überwachung sowie Umgang mit Zwischenfällen und Geschäftskontinuität: Von NIS-2 sind nicht nur deutlich mehr Unternehmen betroffen, die Richtlinie stellt auch höhere Anforderungen und macht bei Missachtung der Gesetze oder deren unzureichenden Ausführung die Geschäftsleitung von Unternehmen haftbar.
Auf den Punkt gebracht: Die NIS-2-Richtlinie (Volltext als PDF) wurde am 27. Dezember 2022 im Amtsblatt L333 der Europäischen Union veröffentlicht und tritt zwanzig Tage danach in Kraft. Die Mitgliedstaaten sind dazu verpflichtet, die Richtlinie bis 17. Oktober 2024 nach ihrem Inkrafttreten in nationales Recht umzusetzen.
NIS-2: Wie MaibornWolff Sie unterstützen kann
Bei der Umsetzung der Anforderungen der NIS-2-Richtlinie unterstützen unsere Experten Sie gerne:
Umsetzung von NIS-2 bei bestehender Business Continuity
Cybersecurity-Schulungen
Security Check-Up
Hervorragendes Risk-Management
NIS-2: Unsere Services
Für die Erfüllung der NIS-2 Richtlinie ist es für in Deutschland agierende Unternehmen maßgeblich, die Anforderungen zum Risikomanagement des §30 aus der Nationalen Gesetzgebung (NIS2UmsuCG) umzusetzen:
- Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisen-Management
- Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
- Sicherheit in der Entwicklung, Beschaffung und Wartung
- Management von Schwachstellen
- Bewertung der Effektivität von Cybersicherheit und Risiko-Management
- Schulungen Cybersicherheit und Cyberhygiene
- Kryptografie und Verschlüsselung
- Personalsicherheit, Zugriffskontrolle und Anlagen-Management
- Multi-Faktor Authentisierung und kontinuierliche Authentisierung
- Sichere Kommunikation (Sprach, Video- und Text)
- Sichere Notfallkommunikation
Als starker Umsetzungspartner an Ihrer Seite können wir Sie bei der Einrichtung dieser Maßnahmen unterstützen: Als Experten für IT-Sicherheit Beratung prüfen wir individuell Ihren Bedarf, damit Sie die richtige Lösung für Ihren Schutzbedarf kaufen.
Vereinbaren Sie einen unverbindlichen Beratungstermin
Cybersecurity mit MaibornWolff
Entweder wird man gehackt oder verklagt. Um das Risiko in beiden Fällen so gering wie möglich zu halten, sollten Sie Ihr Geld dort investieren, wo es am effektivsten ist (Resilience) und die geltenden gesetzlichen Anforderungen erfüllen (Compliance) – und natürlich all das, während Sie Ihr Unternehmen wie gewohnt weiterführen können (Continuity).
Das bekommen Sie mit Cybersecurity mit MaibornWolff:
Continuity
- Beratung zur Cybersicherheitsstrategie
- Entwicklung von Sicherheitsanforderungen
- Business Continuity Management (BCM)
Compliance
- Bewertung der Zertifizierungsbereitschaft & Auditvorbereitung
- NIS 2, Gesetz zur Cyber-Resilienz
- Branchenspezifische Vorschriften (z. B.: UNECE R155)
- Gemeinsame Normen (ISO27001, IEC62443)
- CSMS & ISMS
Resilience
- Sichere IT-Architektur
- Secure Software Development Lifecycle (SSDLC)
- Bedrohungs- und Risikomanagement
- Management von Schwachstellen
- Cybersecurity-Schulung
- Security-Champions
- Schlüsselverwaltung
- IAM & Zero Trust
- KI-Sicherheit
- SIEM & SOC Dienstleistungen
- Penetrationstests und Schadensbegrenzung
Unser Leistungsangebot
Wir unterstützen Sie End-to-End auf Ihrer digitalen Reise
Natürlich kann man über 30 Jahre Expertise als IT-Dienstleister nicht mit wenigen Worten gerecht werden und unser Leistungsspektrum orientiert sich immer an den Anforderungen unserer Kunden – so flexibel muss man sein. Zögern Sie deshalb nicht, uns zu kontaktieren und gemeinsam die passende Strategie für Ihren Unternehmenserfolg zu entwerfen.
NIS und NIS-2: Das sind die Unterschiede
Die 2016 festgelegte Richtlinie (2016/1148) zu Netz- und Informationssystemen definierte zum ersten Mal das Verständnis von “kritischen gesellschaftlichen und wirtschaftlichen Tätigkeiten”.Mit der Richtlinine beabsichtigte die EU eine höhere Cybersicherheit für KRITIS (Kritische Infrastrukturen), allerdings gelang es zum damaligen Zeitpunkt nicht, in allen 28 Mitgliedsstaaten das gleiche Sicherheitsniveau zu etablieren.
NIS-2 löst die bestehende Richtlinie ab. Dabei sind drei Kernpunkte entscheiden:
Voraussetzungen
NIS-2 schafft die Voraussetzungen für ein europaweites Sicherheitsniveau.
Geltungsbereich
NIS-2 weitet den Geltungsbereich stark aus, so dass jetzt weit über 100.000 Unternehmen betroffen sind.
Verantwortung
NIS-2 zieht das obere Management von Unternehmen stärker in die Verantwortung.
Welche Unternehmen sind von NIS-2 betroffen?
Laut EU-Richtlinie richtet sich NIS-2 an “wesentliche” und “wichtige” Einrichtungen. Dabei unterscheidet man zwischen drei Kriterien:
NIS-2 betrifft Unternehmen, die in einem EU-Land tätig sind (ganz gleich, ob sie in der EU ansässig sind oder nicht), die mehr als 50 Beschäftigte haben und mehr als 10 Millionen Euro Umsatz erzielen.
Als Unternehmen mit hoher Kritikalität werden jene eingestuft, die in den folgenden Branchen und Teilsektoren tätig sind:
- Energie (Elektrizität, Fernwärme und -kälte, Erdöl, Erdgas, Wasserstoff)
- Verkehr (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Verwaltung von IKT-Diensten (Business-to-Business)
- Öffentliche Verwaltung
- Weltraum
Die Richtlinie betrifft ebenfalls Unternehmen, die in sonstigen kritischen Sektoren tätig sind:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe / Herstellung von Waren
- Anbieter digitaler Dienste
- Forschung
Wesentliche und wichtige Einrichtungen: Was ist der Unterschied?
Ist ein Unternehmen eine “Wesentliche” oder “Wichtige” Einrichtung, müssen sie die NIS-2-Richtlinie einhalten. Unterschiede bestehen im Wesentlichen in Frequenz der Überprüfung und Höhe der Strafen bei Nichteinhaltung der Richtlinie.
Wesentliche Einrichtungen sind Unternehmen mit mehr als 250 Mitarbeitern oder einem Umsatz von mindestens 50 Millionen Euro, die in den oben genannten Sektoren tätig sind.
Wichtige Einrichtungen sind Unternehmen, die nicht zu den wesentlichen Einrichtungen zählen, aber die Kriterien des Standorts, Größe und Industrie erfüllen.
NIS-2: Was müssen Wesentliche und Wichtige Einrichtungen tun, um NIS-2 einzuhalten?
In Kapitel IV “Risikomanagementmaßnahmen und Berichtspflichten im Bereich der Cybersicherheit” regelt die Richtlinie, was Wesentliche und Wichtige Einrichtungen tun müssen, um NIS-2 einzuhalten:
Artikel 20: Governance
Die Leitungsorgane (Geschäftsführer, Vorstände etc.) dieser Einrichtungen müssen die Maßnahmen nicht nur billigen, sondern deren Umsetzung auch überwachen. Zudem sollen sie bei Verstößen gegen diesen Artikel zur Verantwortung gezogen werden können. Diese Anforderung berührt jedoch nicht die nationalen Vorschriften, die die Haftung von öffentlichen Einrichtungen und deren Bediensteten regeln.
Die Mitglieder der Leitungsorgane solcher Einrichtungen sind verpflichtet, an Schulungen teilzunehmen, um Risiken erkennen und bewerten zu können sowie um effektive Managementpraktiken im Bereich der Cybersicherheit zu erlernen. Diese Schulungen sollen auch dazu beitragen, dass die Mitarbeiter verstehen, welche Auswirkungen Cybersicherheitsrisiken auf die Dienste der jeweiligen Einrichtungen haben können.
Artikel 21: Risikomanagementmaßnahmen im Bereich der Cybersicherheit
Die NIS-2-Richtlinie fordert von den EU-Mitgliedstaaten, sicherzustellen, dass wesentliche und wichtige Einrichtungen angemessene Maßnahmen zur Risikobeherrschung in ihren Netz- und Informationssystemen ergreifen. Diese Maßnahmen sollen technisch, operativ und organisatorisch sein und auf dem aktuellen Stand der Technik basieren, um die Sicherheitsrisiken zu minimieren und die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Sie müssen außerdem unter Berücksichtigung der Größe der Einrichtung und der Wahrscheinlichkeit und Schwere möglicher Sicherheitsvorfälle verhältnismäßig sein, wobei auch die gesellschaftlichen und wirtschaftlichen Konsequenzen einbezogen werden.
Artikel 22: Koordination Risikobewertung in Bezug auf die Sicherheit kritischer Lieferketten auf Ebene der Union
Die NIS-2-Richtlinie ermächtigt die Kooperationsgruppe, in Zusammenarbeit mit der Europäischen Kommission und der Europäischen Agentur für Netz- und Informationssicherheit (ENISA), koordinierte Risikobewertungen für die Sicherheit von Lieferketten spezifischer kritischer Informations- und Kommunikationstechnologie (IKT) Dienste, Systeme oder Produkte durchzuführen. Diese Bewertungen berücksichtigen sowohl technische als auch, falls notwendig, nichttechnische Risikofaktoren. Nach Absprache mit der Kooperationsgruppe und der ENISA, sowie gegebenenfalls mit relevanten Interessengruppen, legt die Kommission fest, welche IKT-Dienste, Systeme oder Produkte diesen koordinierten Risikobewertungen unterzogen werden.
Artikel 23: Berichtspflichten
Gemäß der NIS-2-Richtlinie müssen wesentliche und wichtige Einrichtungen in jedem Mitgliedstaat erhebliche Sicherheitsvorfälle, die signifikante Auswirkungen auf ihre Dienstleistungen haben könnten, umgehend ihrem Cyber-Sicherheits-Team (Computer Security Incident Response Team, oder kurz: CSIRT) oder der zuständigen Behörde melden. Diese Meldungen sollen innerhalb von 24 Stunden eine Frühwarnung und innerhalb von 72 Stunden eine vollständige Berichterstattung über den Vorfall beinhalten, einschließlich der Schwere und potenziellen grenzübergreifenden Auswirkungen. Darüber hinaus müssen diese Einrichtungen möglicherweise auch die betroffenen Dienstempfänger unverzüglich über den Vorfall informieren und Abhilfemaßnahmen vorschlagen. Die Meldung eines Vorfalls begründet für die meldende Einrichtung keine höhere Haftung.
Artikel 24: Nutzung der europäischen Schemata für die Cybersicherheitszertifizierung
Die NIS-2-Richtlinie ermöglicht es den Mitgliedstaaten der EU, wesentliche und wichtige Einrichtungen dazu zu verpflichten, spezielle Informations- und Kommunikationstechnologie (IKT)-Produkte, -Dienste und -Prozesse zu nutzen, die zertifiziert sind. Diese Zertifizierung erfolgt durch europäische Schemata gemäß der Verordnung (EU) 2019/881, um bestimmte Cybersicherheitsanforderungen nachzuweisen. Zusätzlich können Mitgliedstaaten die Nutzung von qualifizierten Vertrauensdiensten fördern. Die Europäische Kommission ist zudem befugt, delegierte Rechtsakte zu erlassen, die spezifizieren, welche Einrichtungen bestimmte zertifizierte IKT-Produkte nutzen müssen, besonders wenn ein unzureichendes Niveau der Cybersicherheit festgestellt wird. Fehlt ein passendes Zertifizierungsschema, kann die Kommission die ENISA beauftragen, ein solches zu entwickeln.
Artikel 25: Normung
Die NIS-2-Richtlinie verpflichtet die Mitgliedstaaten dazu, die Anwendung von europäischen und internationalen Normen sowie technischen Spezifikationen zu fördern, um eine einheitliche Anwendung der Sicherheitsstandards für Netz- und Informationssysteme zu gewährleisten, ohne dabei die Nutzung einer bestimmten Technologieart vorzuschreiben oder bevorzugt zu behandeln. Zusätzlich unterstützt die Europäische Agentur für Netz- und Informationssicherheit (ENISA) die Mitgliedstaaten durch Beratung und das Erstellen von Leitlinien zu den technischen Bereichen und den bereits bestehenden Standards, inklusive nationaler Normen, die in diesem Kontext relevant sind.
Vereinbaren Sie einen unverbindlichen Beratungstermin
NIS 2: Welche Berichtspflichten gibt es?
Wesentliche und wichtige Einrichtungen müssen erhebliche Sicherheitsvorfälle an folgende Stellen senden:
- das Computer Security Incident Response Team (CSIRT)
- die Empfänger Ihrer Dienstleistungen
Bußgelder und Haftung: Was passiert, wenn Unternehmen nicht NIS-2-konform sind?
Der Gesetzestext rund um die NIS-2-Richtlinie ist lang und für Nicht-Juristen nicht leicht zu überblicken. Umso wichtiger ist es, sich über die Konsequenzen bei Nichteinhaltung bewusst zu werden. Denn nach Artikel 20 muss die oberste Führungsebene wesentlicher und wichtiger Einrichtungen die Cybersicherheits-Risikomanagementmaßnahmen genehmigen und deren Durchführung überwachen. Zudem kann die oberste Leitung zur Verantwortung gezogen werden, falls die Umsetzung der Cybersicherheit nicht den Anforderungen von Artikel 21 entspricht.
Wesentliche Einrichtungen zahlen Bußgelder in Höhe von bis zu zehn Millionen Euro – oder zwei Prozent des gesamten Jahresumsatzes, wichtige Einrichtungen bis zu sieben Millionen Euro oder 1,4 Prozent des gesamten Jahresumsatzes.
Unsere Experten beraten Sie gerne!
Noch Fragen zu NIS-2?
Philipp Lorenzi
Head of Cybersecurity