+49 541 9493 0
Kontaktformular
Newsletter
IT-Security

NIS-2-Richtlinie

NIS-2-Richtlinie

EU-weite Cybersicherheit auf hohem Niveau

Die NIS-2-Richtlinie stellt – als Weiterentwicklung der EU-weit bereits bestehenden NIS-Richtlinie aus dem Jahr 2016 – künftig neue Anforderungen an die IT-Sicherheit von kritischen Infrastrukturen (KRITIS) und Einrichtungen, um die Cyber-Resilienz dieser besonders schützenswerten Netz- und Informationssysteme zu erhöhen – und mögliche Folgen für das gesellschaftliche Leben zu minimieren. Bis Oktober 2024 werden alle EU-Mitgliedstaaten die Richtlinie in nationales Recht überführen müssen. Mit dem NIS2UmsuCG (NIS-2-Umsetzungs-und-Cybersicherheitsstärkungsgesetz) liegt in Deutschland seit Juli 2023 ein entsprechender Referentenentwurf des Bundesinnenministeriums vor.

Mit der neuen Cyber-Security-Richtlinie NIS 2 will die Europäische Union ein hohes gemeinsames Sicherheitsniveau herstellen und langfristig halten. In diesem Zusammenhang werden nicht nur neue und EU-weit einheitliche Mindestanforderungen an die Cyber-Security eingeführt, auch das Verständnis der Unternehmen, Einrichtungen und Organisationen, die davon betroffen sind, wird weiter gefasst. So nimmt die NIS-2-Richtlinie künftig auch Dienstleister und Lieferanten von KRITIS zunehmend in die Verantwortung, um wichtige Lieferketten und damit die allgemeine Versorgung des öffentlichen Lebens sicherzustellen. Kennzahlen über die Größe eines Unternehmens werden hierfür teilweise nicht mehr als ausschlaggebende Indikatoren für die Anwendbarkeit herangezogen, sodass z.B. auch kleine Unternehmen, die eine wesentliche Rolle in der Beschaffungs- und Lieferkette von KRITIS-Unternehmen spielen, von der NIS-2-Richtlinie betroffen sein können.  Insgesamt ist zu erwarten, dass künftig voraussichtlich mehr Unternehmen den Anforderungen der Richtlinie unterliegen als bisher. Zudem sind laut aktuellem Entwurf höhere Sanktionen bei Nicht-Einhaltung der Anforderungen vorgesehen.

NIS-2-Anforderungen: Interpretation des aktuellen Stands (August 2023)

  • Es werden höhere Mindestanforderungen an die Sicherheitsmaßnahmen von betroffenen Unternehmen gestellt, als bislang durch die bestehende NIS-Verordnung. Die Maßnahmen sollen EU-weit einheitlich umgesetzt werden.

  • Die verpflichtenden Maßnahmen betreffen unter anderem:

    • Konzepte für das Risikomanagement und die Informationssicherheit
    • Incident Management
    • Business Continuity
    • Supply Chain
    • Einkauf
    • Asset Management
    • Human Resource Security
  • Es werden künftig mehr Unternehmen als bislang von den Anforderungen betroffen sein.

  • Die Umsetzung der NIS-2-Anforderungen muss in einem Rhythmus von zwei Jahren anhand messbarer Maßnahmen nachgewiesen werden. Dazu zählen neben Audits unabhängiger Institute auch jährlich durchzuführende Penetrationstests.

  • Mit den Anforderungen gehen auch strengere Sanktionen einher: Nach aktuellem Stand (August 2023) sind Strafzahlungen in Höhe von bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes für „wesentliche Einrichtungen“ bzw. bis zu 7 Mio. EUR oder 1,4 % des weltweiten Umsatzes für „wichtige“ Einrichtungen bei Nicht-Einhaltung vorgesehen. Die Geschäftsführung kann stellvertretend für das Unternehmen und die Mitarbeitenden zur Verantwortung gezogen werden.

Gelten die NIS-2-Anforderungen wahrscheinlich auch für mein Unternehmen? Erhalten Sie eine erste Orientierungshilfe mit unserer Einschätzung.*

NIS-2 Kompass
Ist Ihr Unternehmen von der NIS-2-Richtlinie betroffen? In unserem NIS-2-Workshop ermitteln wir gemeinsam und individuell den Status quo Ihrer Organisation – sowie sinnvolle und maßgeschneiderte Aufgabenpakete, die den Schutz vor Cyber-Bedrohungen erhöhen und die NIS-2-Anforderungen erfüllen.

Top-5-To-dos in Vorbereitung auf die NIS-2-Richtlinie bis Oktober 2024
Prüfen Sie, inwiefern NIS 2 auch Ihr Unternehmen betrifft

Klären Sie zeitnah ab, ob Ihr Unternehmen zu den nach der NIS-2-Directive definierten „wesentlichen“ oder „wichtigen“ Unternehmen zählt und damit in deren Anwendungsbereich fällt. 

Wichtig: Es wird Ihnen keine Behörde mitteilen, ob Ihr Betrieb von der Richtlinie betroffen ist; Sie müssen dies eigenständig anhand uniformer Kriterien beurteilen. Im nächsten Stepp sollten Sie prüfen, ob Ihre vorhandenen IT-Sicherheitsmaßnahmen bereits die geforderten Anforderungen erfüllen oder weitere Schritte notwendig sind, um etwaige Lücken zu schließen.

Bei der Einordnung können nach jetzigem Stand (August 2023) folgende Fragen hilfreich sein:

  • Ist mein Unternehmen in einem der betroffenen NIS-2-Sektoren tätig?
  • Erreicht mein Unternehmen den definierten Schwellenwert?
  • Führt mein Unternehmen eine kritische Tätigkeit aus  oder ist es Bestandteil einer KRITIS-Lieferkette?
  • Sind meine Partner, Dienstleister und Kunden NIS-2-konform?  Oder wurden an mein Unternehmen bereits spezifisch definierte Anforderungen aus Geschäfts- und Partnerbeziehungen gestellt?

Machen Sie sich mit den erwarteten NIS-2-Anforderungen vertraut und definieren Sie auf Grundlage dessen etwaige Sicherheitslücken und erforderliche Handlungsmaßnahmen für Ihr Unternehmen. Ist Ihr Unternehmen im Bereich IT-Sicherheit bereits (vermeintlich) gut aufgestellt, kann auch ein sogenannter Penetrationstest ratsam sein, um die Wirksamkeit Ihrer Bemühungen zu bestätigen.

Die Umsetzung der NIS-2-Richtlinie fällt nach aktuellem Stand (August 2023) insbesondere in die Verantwortlichkeit der Geschäftsführung, daher sollte diese sich umfassend mit der europäischen Cyberrichtlinie auseinandersetzen – schließlich sind Sie dafür verantwortlich, dass Ihr Unternehmen die Security-Erfordernisse erfüllt . Verfolgen Sie auch die weiteren Entwicklungen der Richtlinie – bis zur finalen Gesetzgebung können sich Details ändern oder erweitert werden!

Aktuell zeichnet sich ab, dass die NIS-2-Directive ein beschleunigtes Meldeverfahren von IT-Sicherheitsvorfällen für Unternehmen vorsieht. Dies beinhaltet unter anderem die Frühwarnung eines begründeten Verdachts innerhalb von 24 Stunden  (auch an Sonn- und Feiertagen) an die Behörden . Unternehmen müssen künftig in der Lage sein, diesen Meldepflichten nachzukommen und sollten sich bereits jetzt vorbereiten, indem ein adäquates Verfahren eingeführt bzw. bestehende Prozesse dahingehend optimiert werden.

Verpflichtend werden mit NIS 2 voraussichtlich auch Notfallpläne für den Ernstfall, um Ihre Business Continuity zu wahren. Kurzum: Sie müssen sicherstellen, dass Ihr Unternehmen auch im Falle eines Sicherheitsvorfalls handlungsfähig bleibt. Mögliche Handlungsbereiche können hier unter anderem ein geeignetes Backup-Management oder ein zielführendes Krisenmanagement sein, es kann aber auch Ihre eigene Lieferkette betreffen. „Kontinuität“ ist hier das Schlagwort: Die fortlaufende Einhaltung der Richtlinie erfordert ein proaktives und ganzheitliches Sicherheitskonzept – und wird künftig alle zwei Jahre nachgewiesen werden müssen.

Proaktives schnelles Handeln ist entscheidend: Haben Sie auf Basis der bereits bekannten NIS-2-Anforderungen etwaigen Handlungsbedarf in der IT-Sicherheitsstrategie Ihres Unternehmens ermittelt, sollten Sie so bald wie möglich beginnen, diesen zu decken – und dafür ggf. externen Rat einholen sowie IT-Dienstleister ansprechen. Je nach erforderlichen Soft- und Hardwarelösungen zum Schutze Ihrer IT-Security und Einhaltung der NIS-2-Richtlinie können die Implementierungszeiten mehrere Monate bis zu mehreren Jahren in Anspruch nehmen.

Sie sind von der NIS-2-Richtlinie betroffen und möchten mit einem zuverlässigen und erfahrenen IT- und Security-Partner die Sicherheitsanforderungen Ihrer Infrastruktur auf den Prüfstand stellen und um weitere Maßnahmen erweitern? Unsere Experten stehen Ihnen jederzeit für individuelle Fragen und Beratungen zur Verfügung.

Antworten zur NIS 2

Wofür steht der Begriff „NIS 2“?

Die NIS-2-Richtlinie steht für „The Network and Information Systems“ und ist die Weiterentwicklung der seit 2016 auf EU-Ebene geltenden NIS-Richtlinie.

Die NIS-2-Richtlinie betrifft Unternehmen, die als kritische Infrastrukturen oder digitale Dienstleister agieren. Dazu gehören beispielsweise Unternehmen aus den Bereichen Energie, Gesundheitswesen, Finanzen, Verkehr und digitale Plattformen. Diese Unternehmen müssen sich den Herausforderungen der Richtlinie stellen und geeignete Maßnahmen ergreifen, um ihre Netzwerke und Informationssysteme abzusichern.

Die Umsetzung der NIS-2-Richtlinie erfordert von betroffenen Unternehmen die Implementierung angemessener strenger Sicherheitsmaßnahmen zum Schutz ihrer Netzwerke und Informationssysteme. Dafür müssen klare Vorgaben und Standards eingehalten werden. Dies beinhaltet u.a. die Entwicklung von Sicherheitsrichtlinien, die Einrichtung von Prozessen zur Erkennung und Abwehr von Cyberbedrohungen sowie regelmäßige Schulungen für Mitarbeitende, um das Bewusstsein für Cybersicherheit zu stärken. Die Definition von Prozessen und die richtige Vergabe von Verantwortlichkeiten im Unternehmen sind ebenfalls von großer Bedeutung. Es gilt zu prüfen, ob Sie mit Ihrer vorhandenen IT-Infrastruktur bereits die Voraussetzung erfüllen und welche Schritte darüber hinaus nötig sind, um etwaige Lücken zu schließen.

Die NIS-2-konforme Wirksamkeit von IT-Security-Maßnahmen wird in einem zweijährlichen Rhythmus behördlich geprüft. Darüber hinaus sollen jährliche Penetrationstest Pflicht werden. Auch bislang bestehende KRITIS-Prüfungen blieben zusätzlich bestehen.

Mit den erhöhten Anforderungen gehen auch strengere Sanktionen einher: Nach aktuellem Stand der Vorgaben auf EU-Ebene können „wesentliche Einrichtungen“ mit Strafzahlungen von bis zu 10 Mio . Euro oder 2 % des weltweiten Umsatzes und „wichtige Einrichtungen“ mit bis zu 7 Mio. EUR der 1,4% des weltweiten Umsatzes  belegt werden. Welche Strafhöhe Deutschland in der nationalen Rechtsverordnung einsetzt, gilt es abzuwarten. Darüber hinaus können  die Geschäftsführung, Geschäftsleitung oder  Gesellschafter in schwerwiegenden Fällen mit dem Privatvermögen haften.
 

Nein, die Behörden teilen Ihnen nicht mit, ob die NIS-2-Richtlinie auch auf Ihr Unternehmen zutrifft. Sie müssen dies anhand „uniformer Kriterien“ selbst beurteilen.

NIS 2 definiert Betreiber kritischer Infrastrukturen als „wesentliche Unternehmen“, darunter die Sektoren:

  • Energie
  • Gesundheit
  • Trinkwasser
  • Abwasser
  • Transport
  • Bankwesen
  • Finanzmärkte
  • Öffentliche Verwaltung
  • Digitale Infrastruktur
  • ICT Service Management
  • Weltraum

NIS 2 definiert zudem als „wichtige Unternehmen“ folgende Sektoren:

  • Chemie
  • Lebensmittel
  • Post-/Kurierdienste
  • Forschung
  • Herstellung
  • Abfall(-bewirtschaftung)
  • Digitale Dienste

Wichtig: Auch Unternehmen, die Bestandteil der Lieferkette der oben genannten NIS-2-Sektoren sind oder hierfür Dienstleistungen erbringen, können von der EU-Richtlinie betroffen sein!

Ein verbessertes Sicherheitsniveau schützt Ihre Geschäftsprozesse und Kundendaten vor Bedrohungen, stärkt das Vertrauen Ihrer Kunden und verringert das Risiko von Datenverlusten oder Betriebsausfällen. Die Einhaltung der Richtlinie kann Ihnen auch helfen, Ihren Ruf zu wahren und sich als vertrauenswürdiges Unternehmen zu positionieren. Zudem trägt die Einhaltung der Richtlinie dazu bei, mögliche Bußgelder oder rechtliche Konsequenzen zu vermeiden. Nutzen Sie diese Gelegenheit als Chance!

Möchten Sie Ihre IT-Sicherheitsstrategie mit wirksamen Maßnahmen rund um Softwarelösungen und Hardware-Komponenten für NIS 2 vorbereiten, kann es sinnvoll sein, einen externen IT-Dienstleister anzusprechen.

Jedes EU-Mitglied muss bis die NIS-2-Richtlinie bis Oktober 2024 in nationales Recht überführen, dabei können einzelne Vorgaben länderspezifisch voneinander abweichen. Sollte Ihr Unternehmen geschäftlich in mehreren EU-Ländern tätig sein, müssen die Vorgaben pro Land geprüft und eingehalten werden.

Kontakt

Vereinbaren Sie ein
unverbindliches Erstgespräch

*“ zeigt erforderliche Felder an

Dieses Feld wird bei der Anzeige des Formulars ausgeblendet
Newsletter
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Webcastaufzeichnung

*“ zeigt erforderliche Felder an

Newsletteranmeldung
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Whitepaper herunterladen

*“ zeigt erforderliche Felder an

Newsletteranmeldung
Dieses Feld dient zur Validierung und sollte nicht verändert werden.