Skip to main content

NIS2UmsuCG: Ein umfassender Guide zur NIS-2-Richtlinie

Die Cybersicherheitslandschaft verändert sich ständig, und Unternehmen müssen wachsam bleiben, um Schritt zu halten. In diesem Zusammenhang hat die Europäische Union die NIS2-Richtlinie eingeführt, die darauf abzielt, die Cybersicherheit in der gesamten EU zu verbessern. Diese neue Regelung hat einen großen Einfluss auf viele Organisationen und bringt wichtige Änderungen mit sich, die Sie kennen sollten.

In diesem umfassenden Leitfaden erfahren Sie alles Wichtige über die NIS2-Richtlinie. Wir erklären, was NIS2 genau ist, wer davon betroffen ist und welche Pflichten sich daraus ergeben. Außerdem zeigen wir auf, wie Sie die NIS2-Compliance in Ihrem Unternehmen umsetzen können und welche Rolle das BSI dabei spielt. Mit diesen Informationen sind Sie bestens vorbereitet, um die Anforderungen der neuen Richtlinie zu erfüllen und Ihre IT-Sicherheit zu stärken.

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie ist eine weiterentwickelte Version der ursprünglichen NIS-Richtlinie aus dem Jahr 2016. Sie stellt einen bedeutenden Schritt zur Stärkung der Cybersicherheit innerhalb der Europäischen Union dar. Am 27. Dezember 2022 wurde die NIS-2-Richtlinie im Amtsblatt der Europäischen Union veröffentlicht und trat am 16. Januar 2023 in Kraft [1]. Diese aktualisierte Richtlinie zielt darauf ab, auf die zunehmende Komplexität und Vernetzung digitaler Systeme sowie auf die steigenden Cyberbedrohungen zu reagieren.

Ziele und Hintergrund

Das Hauptziel der NIS-2-Richtlinie besteht darin, die Widerstandsfähigkeit kritischer Infrastrukturen zu verbessern und ein hohes gemeinsames Sicherheitsniveau innerhalb der EU sicherzustellen. Sie soll die Cybersicherheit in der gesamten Union stärken, indem sie rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit vorsieht.

Ein zentrales Anliegen der NIS-2-Richtlinie ist es, die Uneinheitlichkeit zwischen den Mitgliedstaaten in Bezug auf Cybersicherheitsanforderungen und die Umsetzung von Maßnahmen zu beseitigen. Sie fordert von den Mitgliedstaaten, angemessen ausgerüstet zu sein, beispielsweise mit einem Computer Security Incident Response Team (CSIRT) und einer zuständigen nationalen Behörde für Netzwerk- und Informationssysteme.

Wichtigste Neuerungen

Die NIS-2-Richtlinie bringt einige bedeutende Änderungen mit sich:

  1. Erweiterter Anwendungsbereich: Die Richtlinie umfasst nun eine breitere Palette von Sektoren und Unternehmen. Neben den bereits von der NIS-Richtlinie erfassten Bereichen wie Energie, Transport und Gesundheit sind jetzt auch Sektoren wie öffentliche Verwaltung, Raumfahrt und digitale Infrastruktur einbezogen.
  2. Verschärfte Sicherheitsanforderungen: Unternehmen sind verpflichtet, umfassendere Maßnahmen zum Schutz vor Cyberangriffen zu ergreifen und deren Wirksamkeit regelmäßig zu überprüfen.
  3. Erweiterte Meldepflichten: Die Richtlinie verschärft die Meldepflichten bei Sicherheitsvorfällen. Unternehmen müssen erhebliche Vorfälle innerhalb von 24 Stunden an die zuständigen Behörden melden und innerhalb von 72 Stunden weitere detaillierte Informationen bereitstellen .
  4. Strengere Haftungsregelungen und Sanktionen: Unternehmen, die ihren Pflichten nicht nachkommen, müssen mit empfindlichen Geldstrafen und weiteren rechtlichen Konsequenzen rechnen.
  5. Engere Zusammenarbeit: Die NIS-2-Richtlinie fördert eine intensivere Kooperation zwischen den EU-Mitgliedstaaten, insbesondere durch die Schaffung eines Europäischen Zentrums für Cybersicherheit.

Zeitplan für die Umsetzung

Die Mitgliedstaaten der Europäischen Union haben bis zum 17. Oktober 2024 Zeit, die NIS-2-Richtlinie in nationales Recht umzusetzen. Ab diesem Zeitpunkt sind alle betroffenen Einrichtungen gesetzlich verpflichtet, die Sicherheitsanforderungen zu erfüllen. In Deutschland wird das nationale Gesetz zur Umsetzung der NIS-2-Richtlinie derzeit erarbeitet, wobei die Federführung beim Bundesministerium des Innern und für Heimat liegt.

Es ist wichtig zu beachten, dass die Umsetzung der NIS-2-Richtlinie erhebliche Herausforderungen für Mitgliedstaaten und Unternehmen mit sich bringt. Dazu gehören rechtliche Anpassungen, erhöhter Ressourcenaufwand und die Notwendigkeit eines kulturellen Wandels in Bezug auf Cybersicherheit innerhalb von Organisationen.

Wer ist von NIS2 betroffen?

Die NIS2-Richtlinie hat einen breiten Anwendungsbereich und betrifft zahlreiche Unternehmen und Organisationen in der Europäischen Union. Um zu verstehen, wer von der NIS2-Richtlinie betroffen ist, ist es wichtig, die verschiedenen Kategorien von Einrichtungen zu kennen, die unter die Regulierung fallen.

Besonders wichtige Einrichtungen

Die NIS2-Richtlinie definiert „besonders wichtige Einrichtungen“ als Unternehmen, die eine kritische Rolle für die Gesellschaft und Wirtschaft spielen. Diese Kategorie umfasst:

  1. Großunternehmen in bestimmten Sektoren:
  • Unternehmen mit mindestens 250 Mitarbeitern oder
  • Unternehmen mit einem Jahresumsatz von über 50 Millionen Euro und einer Bilanzsumme von über 43 Millionen Euro
  1. Unternehmen unabhängig von ihrer Größe:
  • Qualifizierte Vertrauensdiensteanbieter (qTSP)
  • Top-Level-Domain (TLD) Anbieter
  • DNS-Diensteanbieter
  • Telekommunikationsanbieter ab mittlerer Größe
  1. Betreiber kritischer Anlagen (KRITIS-Betreiber)

Die Sektoren, die zu den besonders wichtigen Einrichtungen zählen, umfassen unter anderem Energie, Transport, Finanzwesen, Gesundheit, Wasser und Abwasser, digitale Infrastruktur und den Weltraumsektor.

Wichtige Einrichtungen

Die Kategorie der „wichtigen Einrichtungen“ umfasst Unternehmen, die zwar nicht als kritisch eingestuft werden, aber dennoch eine bedeutende Rolle in der digitalen Wirtschaft spielen. Dazu gehören:

  1. Mittlere Unternehmen in bestimmten Sektoren:
  • Unternehmen mit mindestens 50 Mitarbeitern oder
  • Unternehmen mit einem Jahresumsatz und einer Bilanzsumme von jeweils über 10 Millionen Euro
  1. Unternehmen unabhängig von ihrer Größe:
  • Vertrauensdienste
  • Telekommunikationsanbieter unter mittlerer Größe

Die Sektoren, die zu den wichtigen Einrichtungen zählen, umfassen unter anderem Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion, verarbeitendes Gewerbe und digitale Dienste.

Betreiber kritischer Anlagen

Eine besondere Kategorie bilden die Betreiber kritischer Anlagen, die vormals als KRITIS-Betreiber bekannt waren. Diese Unternehmen werden automatisch als besonders wichtige Einrichtungen eingestuft, unabhängig von ihrer Größe. Die Betroffenheit wird weiterhin anhand der KRITIS-Methodik und spezifischer Schwellenwerte ermittelt.

Es ist wichtig zu beachten, dass die NIS2-Richtlinie nicht nur direkt betroffene Unternehmen reguliert, sondern auch indirekte Auswirkungen auf Dienstleister und Lieferanten haben kann. Kleinere Unternehmen, die mit regulierten Einrichtungen zusammenarbeiten, könnten ebenfalls gezwungen sein, strenge Sicherheitsvorkehrungen zu treffen, um die gesamte Lieferkette zu schützen.

Die Unterscheidung zwischen besonders wichtigen und wichtigen Einrichtungen ist nicht nur eine Frage der Kategorisierung, sondern hat auch praktische Auswirkungen. Besonders wichtige Einrichtungen unterliegen einer proaktiven Aufsicht durch die Behörden, während wichtige Einrichtungen einer reaktiven, anlassbezogenen Aufsicht unterliegen. Zudem sind die möglichen Sanktionen für besonders wichtige Einrichtungen höher als für wichtige Einrichtungen [1].

Mit der Einführung der NIS2-Richtlinie wird der Anwendungsbereich der Cybersicherheitsregulierung in Deutschland erheblich ausgeweitet. Es wird geschätzt, dass etwa 30.000 Unternehmen von den neuen Vorschriften betroffen sein werden. Diese Zahl setzt sich zusammen aus etwa 8.100 besonders wichtigen Einrichtungen und 20.900 wichtigen Einrichtungen.

Die NIS2-Richtlinie stellt somit eine bedeutende Erweiterung und Verschärfung der Cybersicherheitsanforderungen dar. Sie zielt darauf ab, die digitale Widerstandsfähigkeit in der gesamten EU zu stärken und ein hohes gemeinsames Sicherheitsniveau zu gewährleisten. Für betroffene Unternehmen bedeutet dies, dass sie ihre Cybersicherheitsmaßnahmen überprüfen und gegebenenfalls anpassen müssen, um die neuen Anforderungen zu erfüllen.

Welche Pflichten entstehen durch NIS2?

Die NIS2-Richtlinie bringt umfangreiche Verpflichtungen für betroffene Unternehmen mit sich. Diese Pflichten zielen darauf ab, die Cybersicherheit in der gesamten EU zu verbessern und ein hohes gemeinsames Sicherheitsniveau zu gewährleisten. Im Folgenden werden die wichtigsten Pflichten erläutert, die sich aus der NIS2-Richtlinie ergeben.

Risikomanagement

Ein zentraler Aspekt der NIS2-Richtlinie ist die Verpflichtung zu einem umfassenden Risikomanagement. Besonders wichtige und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten [1]. Dies umfasst:

  1. Entwicklung von Risikoanalysekonzepten und Konzepten für die IT-Sicherheit
  2. Implementierung von Maßnahmen zur Bewältigung von Sicherheitsvorfällen
  3. Sicherstellung der Betriebskontinuität durch Backup-Management und Krisenmanagement
  4. Gewährleistung der Sicherheit in der Lieferkette
  5. Umsetzung von Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen
  6. Regelmäßige Evaluierung der Wirksamkeit der Risikomanagementmaßnahmen

Darüber hinaus müssen Unternehmen Konzepte für Cyberhygiene entwickeln, Schulungen im Bereich IT-Sicherheit durchführen und Verfahren für den Einsatz von Kryptografie und Verschlüsselung implementieren. Auch die Sicherheit des Personals, Zugriffskontrolle und die Verwendung von Multi-Faktor-Authentifizierung gehören zu den geforderten Maßnahmen [1].

Bei der Umsetzung dieser Maßnahmen sollen Unternehmen einen gefahrenübergreifenden Ansatz verfolgen und europäische sowie internationale Normen berücksichtigen. Die Maßnahmen müssen in einem angemessenen Verhältnis zu den Risiken stehen und den unterschiedlichen Grad der Risikoexposition als Einrichtung oder Betreiber berücksichtigen .

Meldepflichten

Eine weitere wichtige Verpflichtung, die sich aus der NIS2-Richtlinie ergibt, sind die erweiterten Meldepflichten bei Sicherheitsvorfällen. Besonders wichtige und wichtige Einrichtungen müssen erhebliche Sicherheitsvorfälle unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden .

Der Meldeprozess umfasst drei Stufen:

  1. Erstmeldung: Innerhalb von 24 Stunden nach Kenntniserlangung eines erheblichen Sicherheitsvorfalls. Diese Meldung muss Angaben darüber enthalten, ob der Verdacht auf rechtswidrige oder böswillige Handlungen besteht oder ob der Vorfall grenzüberschreitende Auswirkungen hat.
  2. Folgemeldung: Innerhalb von 72 Stunden nach Kenntniserlangung muss ein vollständiger Bericht abgegeben werden. Dieser Bericht muss die Angaben der ersten Meldung bestätigen oder aktualisieren und eine erste Bewertung des Vorfalls enthalten, einschließlich des Schweregrads und der möglichen Auswirkungen.
  3. Abschlussbericht: Nach einem Monat bzw. sofern der Vorfall noch andauert, muss ein ausführlicher Abschlussbericht oder ein Zwischenbericht abgegeben werden. Dieser Bericht sollte eine detaillierte Beschreibung des Vorfalls, die Art der Bedrohung oder Ursache, die ergriffenen Abhilfemaßnahmen und gegebenenfalls die grenzüberschreitenden Auswirkungen enthalten.

Diese verschärften Meldepflichten sollen eine schnellere und effektivere Reaktion auf Cybersicherheitsvorfälle ermöglichen und den Informationsaustausch zwischen den betroffenen Unternehmen und den zuständigen Behörden verbessern.

Registrierung und Nachweise

Neben dem Risikomanagement und den Meldepflichten müssen sich betroffene Unternehmen auch beim BSI registrieren. Diese Registrierungspflicht gilt für besonders wichtige Einrichtungen, wichtige Einrichtungen und Domain-Name-Registry-Diensteanbieter.

Die Registrierung muss innerhalb von drei Monaten nach der erstmaligen oder erneuten Einstufung als eine der betroffenen Einrichtungen erfolgen. Bei der Registrierung müssen folgende Angaben gemacht werden:

  1. Name und Rechtsform der Einrichtung sowie gegebenenfalls die Handelsregisternummer
  2. Anschrift und Kontaktdaten
  3. Benennung des Sektors und der einschlägigen Branche
  4. Auflistung der EU-Mitgliedstaaten, in denen das Unternehmen seine Dienste erbringt
  5. Zuständige Aufsichtsbehörden auf Bundes- und Länderebene

Für Betreiber kritischer Anlagen gibt es zusätzlich eine Nachweispflicht. Sie müssen frühestens drei Jahre nach ihrer erstmaligen oder erneuten Einstufung als Betreiber kritischer Anlagen die Umsetzung der Risikomanagementmaßnahmen durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachweisen. Diese Nachweispflicht ist nach der ersten Überprüfung alle drei Jahre fällig.

Die Einführung der NIS2-Richtlinie bedeutet für viele Unternehmen einen erheblichen Aufwand bei der Anpassung ihrer IT-Sicherheitsmaßnahmen. Es ist jedoch wichtig zu verstehen, dass diese Verpflichtungen darauf abzielen, die Cybersicherheit in der gesamten EU zu stärken und Unternehmen besser vor den zunehmenden Bedrohungen im digitalen Raum zu schützen. Eine frühzeitige und gründliche Vorbereitung auf die NIS2-Anforderungen kann Unternehmen dabei helfen, ihre Cybersicherheit zu verbessern und gleichzeitig die Einhaltung der neuen Vorschriften sicherzustellen.

Schlussfolgerung

Die NIS2-Richtlinie hat einen großen Einfluss auf die Cybersicherheitslandschaft in der EU. Sie bringt wichtige Änderungen mit sich, um die digitale Widerstandsfähigkeit zu stärken und ein gemeinsames hohes Sicherheitsniveau zu gewährleisten. Für viele Unternehmen bedeutet dies, ihre IT-Sicherheitsmaßnahmen zu überprüfen und anzupassen, um die neuen Anforderungen zu erfüllen. Dies kann zwar eine Herausforderung sein, bietet aber auch die Chance, die eigene Cybersicherheit zu verbessern.

Um sich auf die NIS2-Anforderungen vorzubereiten, sollten Unternehmen frühzeitig beginnen, ihre Risikomanagementprozesse zu überprüfen, Meldeverfahren einzurichten und sich mit den Registrierungs- und Nachweispflichten vertraut zu machen. Eine gründliche Vorbereitung kann Unternehmen dabei helfen, nicht nur die Einhaltung der neuen Vorschriften sicherzustellen, sondern auch ihre Widerstandsfähigkeit gegen Cyberbedrohungen zu erhöhen. Letztendlich zielt die NIS2-Richtlinie darauf ab, einen sichereren digitalen Raum für alle zu schaffen. 

 

Referenzen 

[1] – https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/CI1/nis2umsucg.html
[2] – https://www.tuev-nord.de/de/unternehmen/bildung/wissen-ko