Die NIS-2-Anforderungen beschäftigen derzeit viele Unternehmen aus verschiedenen Branchen. Die NIS-2-Richtlinie, kurz für die EU-Richtlinie über Netz- und Informationssicherheit 2 (im englischen Original: „The Network and Information Security „NIS Directive“), ist eine legislative Initiative der Europäischen Union zur Steigerung der Cyber-Resilienz sowie der verbesserten Reaktionsfähigkeit im Falle eines Cyberangriffs.
Die NIS-2-Richtlinie zielt darauf ab, die Widerstandsfähigkeit des Wirtschaftsraums der Europäischen Union (EU) gegenüber Cyberbedrohungen zu stärken und die Zusammenarbeit zwischen den Mitgliedstaaten in diesem Bereich zu fördern. Welche Konsequenzen dies nach sich zieht und was Unternehmen zu den NIS-2-Anforderungen wissen müssen, haben wir in diesem Blogartikel zusammengefasst.
- Was ist NIS-2 und worauf zielen die NIS-2-Anforderungen ab?
- Wer ist betroffen von NIS-2?
- NIS-2-Anforderungen: Was beinhalten sie?
- Beratung zu den NIS-2-Anforderungen: sila consulting ist für Sie da
Was ist NIS-2 und worauf zielen die NIS-2-Anforderungen ab?
Die NIS-2-Richtlinie wurde am 27.12.2022 im EU-Amtsblatt veröffentlicht und ist am 16.01.2023 in Kraft getreten. Die Mitgliedsstaaten der Europäischen Union müssen die NIS-2-Richtlinie bis Oktober 2024 in nationales Recht überführen. Somit stellt NIS-2 mit den zugehörigen Anforderungen ein wichtiges Thema im Bereich der Cybersicherheit dar.
In Deutschland wird an der Überführung dieser EU-Richtlinie unter der Abkürzung „NIS2UmsuCG“ gearbeitet, was für „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ steht. Voraussichtlich wird dieses Gesetz im zweiten Jahresquartal verabschiedet werden. Über die konkrete Umsetzung und die genauen Inhalte der Anforderungen für Unternehmen in Deutschland ist zum jetzigen Zeitpunkt somit noch nicht alles entschieden. Aus diesem Grunde verwenden wir weiterhin den Begriff „NIS-2“ in diesem Artikel.
NIS-2 ist der Nachfolger der ersten NIS-Richtlinie aus dem Jahr 2016 (bekannt als NIS – Richtlinie über Netz- und Informationssicherheit). Das Hauptziel von NIS war es, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme innerhalb der EU zu gewährleisten. Dies war insbesondere für die kritischen Infrastrukturen von Bedeutung.
NIS-2 ist somit eine wichtige Weiterentwicklung der NIS-Richtlinie, um den sich ständig verändernden Bedrohungen und Technologien gerecht zu werden. Die Richtlinie ist Teil der umfassenderen Bemühungen der EU, die Cyber-Resilienz zu stärken und ein hohes Maß an Cyber-Security in verschiedenen Sektoren sicherzustellen.
Die NIS-2-Anforderungen sollen gewährleisten, dass die Sicherheit kritischer Infrastrukturen und digitaler Dienste innerhalb der EU-Staaten verbessert wird. Hierfür sieht die Richtlinie spezifische Verpflichtungen für Betreiber wesentlicher Wirtschaftszweige vor.
Dazu gehören unter anderem:
- die Meldung schwerwiegender Sicherheitsvorfälle an nationale Behörden
- die Planung und Umsetzung angemessener Sicherheitsmaßnahmen
- Mechanismen zur Zusammenarbeit für die Erhöhung der Informationssicherheit
Im weiteren Verlauf dieses Blogartikels werden wir einen detaillierten Blick auf die wichtigsten Aspekte der NIS-2-Richtlinie und der NIS-2 Anforderungen werfen. Außerdem werden wir ihre Auswirkungen auf betroffene Unternehmen beleuchten und darauf eingehen, inwiefern die NIS-2 Richtlinie zur Stärkung der Cybersicherheit in der EU beiträgt.
Wer ist betroffen von NIS-2?
Die NIS-Anforderungen betreffen eine Vielzahl mittlerer und großer Unternehmen bzw. Organisationen in der EU.
Im Gegensatz zu NIS beruft die NIS-2-Richtlinie sich nicht nur auf die bereits bekannten kritischen Infrastrukturen, sondern wurde auf 18 Sektoren ausgeweitet. Von der NIS-2-Richtlinie betroffen sind insbesondere Betreiber wesentlicher Dienste, die sogenannten besonders wichtigen Einrichtungen. Darüber hinaus gilt die Richtlinie für die sogenannten wichtigen Einrichtungen, etwa aus dem Bereich der digitalen Dienstleistungen.
Was sind besonders wichtige Einrichtungen?
In die Kategorie der wesentlichen Einrichtungen fallen Unternehmen mit mehr als 250 Mitarbeitenden oder mindestens 50 Mio. EUR Jahresumsatz bzw. 43 Mio. EUR Jahresbilanz. Die folgenden Sektoren mit höherer Kritikalität sind hierbei u. a. eingeschlossen:
- Energie- und Wasserwirtschaft
- Verkehrswesen (Schiene, Straße, Luft, Wasser)
- Bank- und Finanzwesen
- Gesundheit
- Digitale Infrastrukturen und ICT-Services
- Öffentliche Verwaltung
- Trink- und Abwasser
- Weltraum
Was sind wichtige Einrichtungen?
In diese Kategorie fallen Unternehmen mit 50 oder mehr Mitarbeitenden oder einem Jahresumsatz ab 10 Mio. EUR. Zu den betroffenen Sektoren zählen zusätzlich zu den oben genannten die folgenden:
- Post- und Kurierdienstanbieter
- Abfallwirtschaft
- Forschungseinrichtungen
- Chemieindustrie
- Lebensmittelindustrie
- Verarbeitendes Gewerbe, z.B. Maschinenbau, Fahrzeugbau, elektrische Ausrüstung
Die NIS-2-Richtlinie sieht einige Anforderungen an diese Akteure vor, um sicherzustellen, dass sie entsprechende Maßnahmen zum Schutz ihrer Systeme und Dienste implementieren und bei Sicherheitsvorfällen angemessen reagieren können.
NIS-2-Anforderungen: Was beinhalten sie?
Die NIS-2-Richtlinie bringt einige Anforderungen mit sich, um die Sicherheit kritischer Infrastrukturen und digitaler Services in der EU zu gewährleisten. Dabei wird zwischen zwei Arten von Einrichtungen unterschieden – besonders wichtig und wichtig.
Um den NIS-2-Anforderungen gerecht zu werden, müssen die betroffenen Unternehmen einige Maßnahmen in Bezug auf ihre IT-Sicherheit umsetzen. Dies beinhaltet z. B. die Überprüfung von Sicherheitsprotokollen und die Einrichtung von zeitgemäßen Sicherheitstechnologien, Risikoanalysen sowie Notfallplänen.
Im Wesentlichen beinhalten die NIS-2-Anforderungen folgende Punkte:
- Erweiterter Anwendungsbereich:
Wie bereits erwähnt, erweitert NIS-2 den Anwendungsbereich der Richtlinie auf eine breitere Palette von Akteuren. Hierzu gehören neue Dienstleistungen und Sektoren wie digitale Marktplätze, Cloud-Dienste und kritische Infrastrukturen in den Bereichen Gesundheit sowie Verkehr. - Risikomanagement und Sicherheitsvorkehrungen:
Die NIS-2-Richtlinie legt Anforderungen an das Risikomanagement und die Implementierung von Sicherheitsvorkehrungen fest. Betroffene Einrichtungen müssen angemessene Sicherheitsmaßnahmen implementieren, um die Auswirkungen von Sicherheitsvorfällen zu minimieren. Hierzu zählen beispielsweise Cyber-Risikomanagement und Business Continuity Management sowie Verschlüsselungstaktiken und Zutrittsbeschränkungen. Durch diese Maßnahmen soll die Widerstandsfähigkeit gegenüber Cyberangriffen erhöht und gestärkt werden. - Meldung von Sicherheitsvorfällen:
Betroffene Einrichtungen sind dazu verpflichtet, erhebliche Sicherheitsvorfälle den nationalen Behörden zu melden und entsprechende Maßnahmen zur Abhilfe zu ergreifen. Die Meldung muss zeitnah und umfassend erfolgen, um eine angemessene Reaktion zu ermöglichen. - Regelmäßige Überprüfung und Aktualisierung:
Unternehmen müssen ihre Sicherheitsmaßnahmen regelmäßig überprüfen und bei Bedarf aktualisieren. Somit soll gewährleistet werden, dass die Maßnahmen stets dem aktuellen Stand der Technik entsprechen und den wandelnden Bedrohungen gerecht werden. - Zusammenarbeit und Informationsaustausch:
NIS-2 fördert die Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten, um eine koordinierte Reaktion auf Cyberbedrohungen zu ermöglichen. Die Richtlinie sieht außerdem die Einrichtung von Kooperations-Gruppen vor, die aus Vertretern der nationalen Behörden für Cybersicherheit der Mitgliedstaaten bestehen. Diese Gruppen sollen als Foren für den Austausch von Best Practices, für die Koordinierung von Reaktionsmaßnahmen und für die Entwicklung gemeinsamer Ansätze zur Cybersicherheit dienen. - Strafverfolgung und Sanktionen:
Die Richtlinie sieht vor, dass die Mitgliedstaaten angemessene Sanktionen gegen Unternehmen verhängen können, die gegen die Anforderungen verstoßen. Dies kann mitunter hohe Geldstrafen nach sich ziehen. Dabei gelten geringere Geldstrafen für wichtige Einrichtungen im Gegensatz zu den besonders wichtigen Einrichtungen, welche einer proaktiven Aufsicht der Behörden unterliegen. Die Richtlinie sieht vor, Mechanismen zur Zusammenarbeit zwischen Strafverfolgungsbehörden und Aufsichtsbehörden zu etablieren.
Ein wichtiger Aspekt innerhalb der NIS-2-Richtlinie ist die verschärfte Haftung. Diese beinhaltet eine Haftbarkeit der Unternehmensführung bzw. Leitungsebene für die Umsetzung und Einhaltung der Risikomanagement-Maßnahmen. Es ist eine Haftungs-Obergrenze angedacht, die sich zu 2 % des globalen Jahresumsatzes eines Unternehmens beläuft.
Beratung zu den NIS-2-Anforderungen: sila consulting ist für Sie da
Die NIS-2-Richtlinie ist ein brisantes Thema in der Cybersicherheit und beschäftigt aktuell zahlreiche Management-Teams. Wie sieht es bei Ihnen aus? Fühlen Sie sich bereit für die Umsetzung der NIS-2-Anforderungen? Oder sind Sie sich noch nicht sicher, ob Ihr Unternehmen zu den betroffenen Einrichtungen zählt? Wir unterstützen Sie in allen Belangen rund um NIS-2.
- NIS-2-Self-Check: Unser kostenloser NIS-2 Self-Check hilft Ihnen bei der Einschätzung, ob Ihr Unternehmen betroffen von den NIS-2-Anforderungen ist und ob Sie handeln müssen. Geben Sie Ihre entsprechenden Daten ein und erfahren Sie, ob die NIS2-Richtlinie eine Auswirkung auf Sie hat und wie Sie weiter verfahren können.
- NIS-2-Beratung: Sie sind voraussichtlich betroffen und möchten Handlungsempfehlungen erhalten? Unsere Sicherheitsexperten beraten Sie gerne und stehen betroffenen Unternehmen rund um die NIS-2-Richtlinie als kompetente Consultants zur Seite.
Kontaktieren Sie uns gerne – wir stehen Ihnen mit Rat und Tat rund um NIS-2 zur Seite.
