NIS-2-Richtlinie
Die NIS-2-Richtlinie stellt – als Weiterentwicklung der EU-weit bereits bestehenden NIS-Richtlinie aus dem Jahr 2016 – künftig neue Anforderungen an die IT-Sicherheit von kritischen Infrastrukturen (KRITIS) und Einrichtungen, um die Cyber-Resilienz dieser besonders schützenswerten Netz- und Informationssysteme zu erhöhen – und mögliche Folgen für das gesellschaftliche Leben zu minimieren. Bis Oktober 2024 werden alle EU-Mitgliedstaaten die Richtlinie in nationales Recht überführen müssen. Mit dem NIS2UmsuCG (NIS-2-Umsetzungs-und-Cybersicherheitsstärkungsgesetz) liegt in Deutschland seit Juli 2023 ein entsprechender Referentenentwurf des Bundesinnenministeriums vor.
Mit der neuen Cyber-Security-Richtlinie NIS 2 will die Europäische Union ein hohes gemeinsames Sicherheitsniveau herstellen und langfristig halten. In diesem Zusammenhang werden nicht nur neue und EU-weit einheitliche Mindestanforderungen an die Cyber-Security eingeführt, auch das Verständnis der Unternehmen, Einrichtungen und Organisationen, die davon betroffen sind, wird weiter gefasst. So nimmt die NIS-2-Richtlinie künftig auch Dienstleister und Lieferanten von KRITIS zunehmend in die Verantwortung, um wichtige Lieferketten und damit die allgemeine Versorgung des öffentlichen Lebens sicherzustellen. Kennzahlen über die Größe eines Unternehmens werden hierfür teilweise nicht mehr als ausschlaggebende Indikatoren für die Anwendbarkeit herangezogen, sodass z.B. auch kleine Unternehmen, die eine wesentliche Rolle in der Beschaffungs- und Lieferkette von KRITIS-Unternehmen spielen, von der NIS-2-Richtlinie betroffen sein können. Insgesamt ist zu erwarten, dass künftig voraussichtlich mehr Unternehmen den Anforderungen der Richtlinie unterliegen als bisher. Zudem sind laut aktuellem Entwurf höhere Sanktionen bei Nicht-Einhaltung der Anforderungen vorgesehen.
NIS-2-Anforderungen: Interpretation des aktuellen Stands (August 2023)
Es werden höhere Mindestanforderungen an die Sicherheitsmaßnahmen von betroffenen Unternehmen gestellt, als bislang durch die bestehende NIS-Verordnung. Die Maßnahmen sollen EU-weit einheitlich umgesetzt werden.
Die verpflichtenden Maßnahmen betreffen unter anderem:
- Konzepte für das Risikomanagement und die Informationssicherheit
- Incident Management
- Business Continuity
- Supply Chain
- Einkauf
- Asset Management
- Human Resource Security
Es werden künftig mehr Unternehmen als bislang von den Anforderungen betroffen sein.
Die Umsetzung der NIS-2-Anforderungen muss in einem Rhythmus von zwei Jahren anhand messbarer Maßnahmen nachgewiesen werden. Dazu zählen neben Audits unabhängiger Institute auch jährlich durchzuführende Penetrationstests.
Mit den Anforderungen gehen auch strengere Sanktionen einher: Nach aktuellem Stand (August 2023) sind Strafzahlungen in Höhe von bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes für „wesentliche Einrichtungen“ bzw. bis zu 7 Mio. EUR oder 1,4 % des weltweiten Umsatzes für „wichtige“ Einrichtungen bei Nicht-Einhaltung vorgesehen. Die Geschäftsführung kann stellvertretend für das Unternehmen und die Mitarbeitenden zur Verantwortung gezogen werden.
Gelten die NIS-2-Anforderungen wahrscheinlich auch für mein Unternehmen? Erhalten Sie eine erste Orientierungshilfe mit unserer Einschätzung.*
NIS-2 Kompass
Ist Ihr Unternehmen von der NIS-2-Richtlinie betroffen? In unserem NIS-2-Workshop ermitteln wir gemeinsam und individuell den Status quo Ihrer Organisation – sowie sinnvolle und maßgeschneiderte Aufgabenpakete, die den Schutz vor Cyber-Bedrohungen erhöhen und die NIS-2-Anforderungen erfüllen.
Prüfen Sie, inwiefern NIS 2 auch Ihr Unternehmen betrifft
Klären Sie zeitnah ab, ob Ihr Unternehmen zu den nach der NIS-2-Directive definierten „wesentlichen“ oder „wichtigen“ Unternehmen zählt und damit in deren Anwendungsbereich fällt.
Wichtig: Es wird Ihnen keine Behörde mitteilen, ob Ihr Betrieb von der Richtlinie betroffen ist; Sie müssen dies eigenständig anhand uniformer Kriterien beurteilen. Im nächsten Stepp sollten Sie prüfen, ob Ihre vorhandenen IT-Sicherheitsmaßnahmen bereits die geforderten Anforderungen erfüllen oder weitere Schritte notwendig sind, um etwaige Lücken zu schließen.
Bei der Einordnung können nach jetzigem Stand (August 2023) folgende Fragen hilfreich sein:
- Ist mein Unternehmen in einem der betroffenen NIS-2-Sektoren tätig?
- Erreicht mein Unternehmen den definierten Schwellenwert?
- Führt mein Unternehmen eine kritische Tätigkeit aus oder ist es Bestandteil einer KRITIS-Lieferkette?
- Sind meine Partner, Dienstleister und Kunden NIS-2-konform? Oder wurden an mein Unternehmen bereits spezifisch definierte Anforderungen aus Geschäfts- und Partnerbeziehungen gestellt?
Erforderlichen Handlungsbedarf definieren
Machen Sie sich mit den erwarteten NIS-2-Anforderungen vertraut und definieren Sie auf Grundlage dessen etwaige Sicherheitslücken und erforderliche Handlungsmaßnahmen für Ihr Unternehmen. Ist Ihr Unternehmen im Bereich IT-Sicherheit bereits (vermeintlich) gut aufgestellt, kann auch ein sogenannter Penetrationstest ratsam sein, um die Wirksamkeit Ihrer Bemühungen zu bestätigen.
Die Umsetzung der NIS-2-Richtlinie fällt nach aktuellem Stand (August 2023) insbesondere in die Verantwortlichkeit der Geschäftsführung, daher sollte diese sich umfassend mit der europäischen Cyberrichtlinie auseinandersetzen – schließlich sind Sie dafür verantwortlich, dass Ihr Unternehmen die Security-Erfordernisse erfüllt . Verfolgen Sie auch die weiteren Entwicklungen der Richtlinie – bis zur finalen Gesetzgebung können sich Details ändern oder erweitert werden!
Meldepflichten nachkommen
Aktuell zeichnet sich ab, dass die NIS-2-Directive ein beschleunigtes Meldeverfahren von IT-Sicherheitsvorfällen für Unternehmen vorsieht. Dies beinhaltet unter anderem die Frühwarnung eines begründeten Verdachts innerhalb von 24 Stunden (auch an Sonn- und Feiertagen) an die Behörden . Unternehmen müssen künftig in der Lage sein, diesen Meldepflichten nachzukommen und sollten sich bereits jetzt vorbereiten, indem ein adäquates Verfahren eingeführt bzw. bestehende Prozesse dahingehend optimiert werden.
Geschäftskontinuität wahren
Verpflichtend werden mit NIS 2 voraussichtlich auch Notfallpläne für den Ernstfall, um Ihre Business Continuity zu wahren. Kurzum: Sie müssen sicherstellen, dass Ihr Unternehmen auch im Falle eines Sicherheitsvorfalls handlungsfähig bleibt. Mögliche Handlungsbereiche können hier unter anderem ein geeignetes Backup-Management oder ein zielführendes Krisenmanagement sein, es kann aber auch Ihre eigene Lieferkette betreffen. „Kontinuität“ ist hier das Schlagwort: Die fortlaufende Einhaltung der Richtlinie erfordert ein proaktives und ganzheitliches Sicherheitskonzept – und wird künftig alle zwei Jahre nachgewiesen werden müssen.
Weitsichtig handeln
Proaktives schnelles Handeln ist entscheidend: Haben Sie auf Basis der bereits bekannten NIS-2-Anforderungen etwaigen Handlungsbedarf in der IT-Sicherheitsstrategie Ihres Unternehmens ermittelt, sollten Sie so bald wie möglich beginnen, diesen zu decken – und dafür ggf. externen Rat einholen sowie IT-Dienstleister ansprechen. Je nach erforderlichen Soft- und Hardwarelösungen zum Schutze Ihrer IT-Security und Einhaltung der NIS-2-Richtlinie können die Implementierungszeiten mehrere Monate bis zu mehreren Jahren in Anspruch nehmen.
„Unternehmen, die in den definierten NIS-2-Sektoren agieren oder mit den entsprechenden Branchen z.B. als Zulieferer oder Dienstleister zusammenarbeiten, sollten schnell handeln, um notwendige Security-Maßnahmen auf den Weg zu bringen. Schließlich beanspruchen einige Systemimplementierungen ohnehin mehrere Monate – teils sogar mehrere Jahre. Der zeitliche Druck aber auch die Auslastung Ihres IT-Dienstleisters wird sich in den kommenden Monaten voraussichtlich zusätzlich verstärken.“
Sie sind von der NIS-2-Richtlinie betroffen und möchten mit einem zuverlässigen und erfahrenen IT- und Security-Partner die Sicherheitsanforderungen Ihrer Infrastruktur auf den Prüfstand stellen und um weitere Maßnahmen erweitern? Unsere Experten stehen Ihnen jederzeit für individuelle Fragen und Beratungen zur Verfügung.
Antworten zur NIS 2
Wofür steht der Begriff „NIS 2“?
Die NIS-2-Richtlinie steht für „The Network and Information Systems“ und ist die Weiterentwicklung der seit 2016 auf EU-Ebene geltenden NIS-Richtlinie.
Wen betrifft NIS 2?
Die NIS-2-Richtlinie betrifft Unternehmen, die als kritische Infrastrukturen oder digitale Dienstleister agieren. Dazu gehören beispielsweise Unternehmen aus den Bereichen Energie, Gesundheitswesen, Finanzen, Verkehr und digitale Plattformen. Diese Unternehmen müssen sich den Herausforderungen der Richtlinie stellen und geeignete Maßnahmen ergreifen, um ihre Netzwerke und Informationssysteme abzusichern.
Wie ist die NIS-2-Directive umzusetzen?
Die Umsetzung der NIS-2-Richtlinie erfordert von betroffenen Unternehmen die Implementierung angemessener strenger Sicherheitsmaßnahmen zum Schutz ihrer Netzwerke und Informationssysteme. Dafür müssen klare Vorgaben und Standards eingehalten werden. Dies beinhaltet u.a. die Entwicklung von Sicherheitsrichtlinien, die Einrichtung von Prozessen zur Erkennung und Abwehr von Cyberbedrohungen sowie regelmäßige Schulungen für Mitarbeitende, um das Bewusstsein für Cybersicherheit zu stärken. Die Definition von Prozessen und die richtige Vergabe von Verantwortlichkeiten im Unternehmen sind ebenfalls von großer Bedeutung. Es gilt zu prüfen, ob Sie mit Ihrer vorhandenen IT-Infrastruktur bereits die Voraussetzung erfüllen und welche Schritte darüber hinaus nötig sind, um etwaige Lücken zu schließen.
Wie wird die Umsetzung der NIS-2-Anforderungen geprüft?
Die NIS-2-konforme Wirksamkeit von IT-Security-Maßnahmen wird in einem zweijährlichen Rhythmus behördlich geprüft. Darüber hinaus sollen jährliche Penetrationstest Pflicht werden. Auch bislang bestehende KRITIS-Prüfungen blieben zusätzlich bestehen.
Welche Konsequenzen drohen, wenn die Anforderungen nicht umgesetzt werden?
Mit den erhöhten Anforderungen gehen auch strengere Sanktionen einher: Nach aktuellem Stand der Vorgaben auf EU-Ebene können „wesentliche Einrichtungen“ mit Strafzahlungen von bis zu 10 Mio . Euro oder 2 % des weltweiten Umsatzes und „wichtige Einrichtungen“ mit bis zu 7 Mio. EUR der 1,4% des weltweiten Umsatzes belegt werden. Welche Strafhöhe Deutschland in der nationalen Rechtsverordnung einsetzt, gilt es abzuwarten. Darüber hinaus können die Geschäftsführung, Geschäftsleitung oder Gesellschafter in schwerwiegenden Fällen mit dem Privatvermögen haften.
Werde ich offiziell informiert, wenn ich von NIS 2 betroffen bin?
Nein, die Behörden teilen Ihnen nicht mit, ob die NIS-2-Richtlinie auch auf Ihr Unternehmen zutrifft. Sie müssen dies anhand „uniformer Kriterien“ selbst beurteilen.
Was sind die NIS-2-Sektoren?
NIS 2 definiert Betreiber kritischer Infrastrukturen als „wesentliche Unternehmen“, darunter die Sektoren:
- Energie
- Gesundheit
- Trinkwasser
- Abwasser
- Transport
- Bankwesen
- Finanzmärkte
- Öffentliche Verwaltung
- Digitale Infrastruktur
- ICT Service Management
- Weltraum
NIS 2 definiert zudem als „wichtige Unternehmen“ folgende Sektoren:
- Chemie
- Lebensmittel
- Post-/Kurierdienste
- Forschung
- Herstellung
- Abfall(-bewirtschaftung)
- Digitale Dienste
Wichtig: Auch Unternehmen, die Bestandteil der Lieferkette der oben genannten NIS-2-Sektoren sind oder hierfür Dienstleistungen erbringen, können von der EU-Richtlinie betroffen sein!
Welchen Nutzen hat die NIS-2-Richtlinie für mein Unternehmen?
Ein verbessertes Sicherheitsniveau schützt Ihre Geschäftsprozesse und Kundendaten vor Bedrohungen, stärkt das Vertrauen Ihrer Kunden und verringert das Risiko von Datenverlusten oder Betriebsausfällen. Die Einhaltung der Richtlinie kann Ihnen auch helfen, Ihren Ruf zu wahren und sich als vertrauenswürdiges Unternehmen zu positionieren. Zudem trägt die Einhaltung der Richtlinie dazu bei, mögliche Bußgelder oder rechtliche Konsequenzen zu vermeiden. Nutzen Sie diese Gelegenheit als Chance!
An wen kann ich mich wenden?
Möchten Sie Ihre IT-Sicherheitsstrategie mit wirksamen Maßnahmen rund um Softwarelösungen und Hardware-Komponenten für NIS 2 vorbereiten, kann es sinnvoll sein, einen externen IT-Dienstleister anzusprechen.
Was ist zu tun bei Internationalität?
Jedes EU-Mitglied muss bis die NIS-2-Richtlinie bis Oktober 2024 in nationales Recht überführen, dabei können einzelne Vorgaben länderspezifisch voneinander abweichen. Sollte Ihr Unternehmen geschäftlich in mehreren EU-Ländern tätig sein, müssen die Vorgaben pro Land geprüft und eingehalten werden.