Logo Concepture
Pfeil weiß
Pfeil weiß

NIS 2-Richtlinie

Spätestens seit dem russischen Angriffskrieg auf die Ukraine erkennen wir, wie essentiell Cybersicherheit für einen modernen, hochtechnisierten und digitalen Industriestaat wie Deutschland ist. Und wir wissen inzwischen auch, wie real gezielte Angriffe auf kritische Infrastrukturen und Aktionen von (auch staatlich gesteuerten) Cyberkriminellen haben können und welche Konsequenzen sie haben und welche “Kollateralschäden” Angriffe auf bzw. Sabotage von kritischen Infrastrukturen auf unsere Gesellschaft und Wirtschaft nach sich ziehen.

Was ist NIS2?
Die NIS-Richtlinie zur Netzsicherheit wurde erstmals im Jahr 2016 eingeführt, um kritische Infrastrukturen in Europa vor Cyber-Bedrohungen zu schützen. NIS2 stellt eine Weiterentwicklung der vorherigen Richtlinie dar, die den Anwendungsbereich erweitert und einen umfassenden Cybersicherheitsstandard schafft. Mit NIS2 wird ein allumfassender Schutz vor allen Arten von Cyber-Bedrohungen gewährleistet. 

Mit Mit der zweiten Auflage der Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2) unternahm die Europäische Union einen wichtigen Schritt zur Stärkung der Cybersicherheit und -resilienz von Kritischen Infrastrukturen in den Mitgliedstaaten. Sie hat weitreichende Auswirkungen auf Betreiber Kritischer Infrastrukturen in nunmehr 18 Sektoren. Dabei unterscheidet die NIS 2-Richtlinie zwei Arten von Sektoren:

Anwendungsbereich der NIS 2-Richtlinie: Unternehmen und öffentliche Einrichtungen

Schaut man sich den Anwendungsbereich von NIS 2 an, wird schnell klar: Die EU will Cybersicherheit endgültig zur “Chefsache” machen. NIS 2 gilt sowohl für private als auch für öffentliche Einrichtungen und kommt mit sehr konkreten Vorgaben, nach denen wir uns zu richten haben, sobald NIS 2 in deutsches Recht überführt wurde. 

Unternehmen, die einem oder mehreren der nunmehr 18 Sektoren zugerechnet werden können, fallen in den Anwendungsbereich der NIS 2-Richtlinie, sofern sie 

  • mehr als 50 Mitarbeiter haben, und
  • einen Umsatz von mindestens 10 Mio. EUR erwirtschaften, bzw. eine Bilanzsumme von mindestens dieser Höhe aufweisen.

Darüber hinaus gilt NIS 2 jedoch auch unabhängig von der Größe eines Unternehmens oder einer Einrichtung, sofern bestimmte Voraussetzungen erfüllt sind. Dabei handelt es sich jedoch um Sonderfälle, auf die wir an dieser Stelle nicht weiter eingehen werden, da sie nur wenige Unternehmen tatsächlich betreffen werden und in NIS 2 noch etwas unscharf beschrieben sind. Diese Sonderfälle werden bei der Überführung der EU-Norm in nationales Recht weiter konkretisiert.

NIS 2-Richtlinie – Anforderungen an Betreiber kritischer Infrastrukturen
Unternehmen, die unter die NIS 2-Richtlinie fallen, müssen eine Reihe von Sicherheitsanforderungen erfüllen, um ein hohes gemeinsames Niveau der Netz- und Informationssicherheit in der EU zu gewährleisten. Die genauen Anforderungen können je nach nationaler Umsetzung der Richtlinie und der Art des Unternehmens variieren.

Die folgenden fünf Anforderungen sind jedoch wesentlich und Unternehmen werden Zeit brauchen, sich hierauf einzustellen. Sie sind daher gut beraten, nicht erst auf die Umsetzung der NIS 2-Richtlinie in nationales Recht zu warten. Wer später nicht in Zeitdruck geraten möchte, nimmt sich folgende Themen besser schon heute auf die Agenda: Je früher Unternehmen diese Themen angehen, desto besser:

 

 

1. Cybersecurity Governance:

Wesentliche und wichtige Einrichtungen müssen eine Reihe von Risikomanagementmaßnahmen ergreifen und Berichtspflichten in Bezug auf die Cybersicherheit erfüllen. Dazu gehören die regelmäßige Überprüfung der Risiken, die Implementierung geeigneter Sicherheitsmaßnahmen und die Aktualisierung des Risikomanagements bei Bedarf. Eine Besonderheit ist, dass mit NIS 2 Leitungsorgane, wie Geschäftsführer bzw. Vorstände die Umsetzung zu überwachen haben und für eventuelle Verstöße der Einrichtungen nach nationalstaatlichem Recht haftbar gemacht werden können.

2. Cybersecurity Prevention:

Unternehmen müssen angemessene technische und organisatorische Maßnahmen (TOM) nach dem “Stand der Technik” ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Zur Orientierung können europäische und internationale Normen zur Informationssicherheit herangezogen werden. Darüber hinaus ist jedoch auch die Bewertung der Angemessenheit von Maßnahmen in Abhängigkeit von der individuellen Risikoexposition eines Unternehmens vorgeschrieben.

3. Incident-Management:

Mit einem abgestuften Meldesystem sollen “erhebliche Sicherheitsvorfälle”gemeldet werden: Eine Frühwarnung muss binnen 24 Stunden und die tatsächliche Meldung des Sicherheitsvorfalls spätestens innerhalb von 72 Stunden an die zuständigen Behörden übermittelt werden. Erheblich ist ein Sicherheitsvorfall dann, wenn er zu schwerwiegenden Betriebsstörungen der Dienste oder zu finanziellen Verlusten für die betroffene Einrichtung führt oder führen kann. Gleiches gilt, wenn eine natürliche oder juristische Person durch einen solchen Vorfall erheblichen materiellen oder immateriellen Schaden erfährt oder erfahren könnte. Unternehmen müssen daher effektive Verfahren zur Meldung und Behebung von Sicherheitsvorfällen einrichten. Sie müssen sicherstellen, dass Sicherheitsvorfälle schnell erkannt, gemeldet, behoben und die zuständigen Behörden darüber informiert werden.

4. Business Continuity Management (BCM):

Die Anforderungen an das BCM sind in NIS 2 erfreulicherweise recht pragmatisch gehalten. BCM kann in Organisationen schnell zu einem bürokratischen Monster werden, wenn vom Meteoriteneinschlag bis zum Weltkrieg alle Szenarien darin abgebildet werden. Artikel 21 (2) beschreibt jedoch sehr konkret, was sich der Gesetzgeber unter BCM vorstellt: Maßnahmen zur Aufrechterhaltung des Geschäftsetriebs, wie Backup-Management,Wiederherstellung nach einem Notfall, und Krisenmanagement. Darüber hinaus die Sicherheit in Lieferketten, einschließlich sicherheitsrelevanter Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern. Diese Mindestanforderungen sind eine gute Richtschnur, jedoch wirdbei der Ausgestaltung des betrieblichen BCM auch explizit der gefahrenübergreifende Ansatz gefordert.Das bedeutet, dass sowohl die Netz- und Informationssicherheitssysteme als auch deren physische Umwelt (Räume, Gebäude, Liegenschaften, Anlagen) zu berücksichtigen sind.

5. Zusammenarbeit mit zuständigen Behörden:

Unternehmen werden verpflichtet, mit den zuständigen nationalen Behörden zusammenzuarbeiten und diese über Sicherheitsvorfälle und Schwachstellen zu informieren. Außerdem müssen sie den Anweisungen und Empfehlungen der Behörden folgen, um ihre Cybersicherheit zu verbessern. Den zuständigen Behörden wird mit NIS 2 ein umfassender Aufsichts- und Durchsetzungsrahmen zur Verfügung gestellt. So werden sie befugt sein, Vor-Ort-Kontrollen, Stichprobenkontrollen, regelmäßige Sicherheitsprüfungen durchzuführen sowie den Zugang zu Informationen und Daten einzufordern. Ferner können die Behörden in Ausübung ihrer Durchsetzungsbefugnisse künftig unter anderem Warnungen veröffentlichen, verbindliche Anweisungen erlassen, Bußgelderverhängen und als ultima ratio auch Leitungspersonen der betroffenen Einrichtungen vorübergehend von ihren Aufgaben ausschließen. Die maximale Geldbuße für als wesentlich eingestufte Einrichtungen beträgt entweder zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für als wichtige eingestufte Unternehmen beträgt die maximale Geldbuße sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Zwangsgelder können ebenfalls verhängt werden.

Die genauen Anforderungen können je nach nationaler Umsetzung der NIS 2-Richtlinie und der Art des Unternehmens variieren. Unternehmen sollten sich daher bei den zuständigen nationalen Behörden über die spezifischen Anforderungen in ihrem Land informieren und sicherstellen, dass sie diese erfüllen.

NIS 2-Richtlinie – so geht es weiter…

Wer sich bereits mit dem IT-Sicherheitsgesetz 2.0 (2021) auseinandergesetzt hat, wird in den Anforderungen aus NIS 2 wenig Überraschendes finden. Die nicht unerhebliche Ausweitung des Anwendungsbereichs wird jedoch dazu führen, dass viele Unternehmen, die bisher nicht betroffen waren, in den „neuen“ Scope fallen und gut daran tun werden, frühzeitig mit der Umsetzung geforderter Maßnahmen zu beginnen.

Die NIS 2-Richtlinie muss nun bis zum 17. Oktober 2024 in nationalem Recht umgesetzt werden. In Deutschland ist hierfür eine Änderung des BSI-Gesetzes erforderlich, die voraussichtlich durch ein IT-Sicherheitsgesetz 3.0 (Artikelgesetz) initiiert wird.

IHR ANSPRECHPARTNER

Holger Berens
Managing Partner

Sie interessieren sich für unser Angebot?
Kontaktieren Sie uns – direkt per Mail oder Telefon.
Wir freuen uns darauf, Sie und Ihr Unternehmen kennenzulernen.

Tel. +49 (0)157 847 856 64 

Durch Absenden des Kontaktformulars stimmen Sie unseren Datenschutzbestimmungen zu. Ihre angegebenen Daten werden ausschließlich zu Beratungszwecken gespeichert und nicht an Dritte weitergegeben.

Alternativ zum Formular können Sie uns auch eine E-Mail an info@concepture.de senden.