Umsetzung der NIS-2-Richtline

Umsetzung der NIS-2-Richtlinie: So bereiten sich Unternehmen auf die neuen Cybersecurity-Vorgaben vor

Ein schneller Überblick: Was Unternehmen wissen müssen

  • Die NIS 2-Richtlinie, eine umfassende Cybersecurity-Maßnahme der Europäischen Union, zielt darauf ab, die Sicherheitsstandards für kritische Infrastrukturen und wichtige Unternehmen zu erhöhen. Seit ihrem Inkrafttreten am 16. Januar 2023 setzt die NIS-2-Richtlinie neue Maßstäbe in der Cyber-Sicherheit innerhalb der EU. Mit einer Frist bis zum 17. Oktober 2024 für die Umsetzung in nationales Recht, steht betroffenen Organisationen eine deutliche Herausforderung bevor.
  • Diese Überarbeitung befasst sich eingehend mit den Anforderungen der NIS-2-Richtlinie und bietet Unternehmen einen klaren Fahrplan, um die notwendigen Sicherheitsvorkehrungen zeitgerecht zu implementieren. Unternehmen müssen sich jetzt aktiv mit den Vorgaben auseinandersetzen, um potenzielle Strafen für die Nichtbeachtung der Richtlinie zu vermeiden.
  • Erfahren Sie alles über die betroffenen Unternehmen, empfohlene Maßnahmen und Fristen sowie die Konsequenzen bei Nichteinhaltung. Unsere umfassende Analyse bietet Ihnen die entscheidenden Informationen, um Ihr Unternehmen auf die Anforderungen der NIS-2-Richtlinie vorzubereiten und die Cyber-Resilienz in einer zunehmend digitalisierten Welt zu stärken.

Für Unternehmen ist es unerlässlich, strengeren Sicherheitsrichtlinien zu folgen, denn ein Sicherheitsleck könnte gravierende Auswirkungen haben, bis hin zur Lähmung ganzer Nationalstaaten. Die NIS-2-Richtlinie zielt darauf ab, diese Sicherheitsvorschriften zu standardisieren und zu präzisieren, um die Widerstandsfähigkeit und Reaktionsfähigkeit sowohl von öffentlichen als auch privaten Einrichtungen innerhalb der EU zu verbessern. Das übergeordnete Ziel ist die Anhebung des allgemeinen Cybersicherheitsniveaus in der gesamten Europäischen Union. Dieses Vorhaben baut auf der bereits 2016 implementierten Netzwerk- und Informationssicherheitsrichtlinie NIS-1 auf und strebt danach, deren Ziele weiterzuführen und zu vertiefen.

Ist die Überarbeitung der NIS-1-Richtlinie notwendig?

Die ursprüngliche EU-Richtlinie für Netz- und Informationssicherheit (NIS) zeigte im Einsatz deutliche Schwachstellen:

  • Uneinheitliche Vorschriften über die Ländergrenzen hinweg
  • Mangelnde Überwachung der Implementierung
  • Vage Anforderungen bei der Offenlegung von Cyberrisiken
  • Unzureichendes Sicherheitsniveau
  • Das Fehlen einer gemeinsamen Strategie für Krisenfälle

Die Einführung der NIS-2-Richtlinie zielt darauf ab, diese Probleme zu adressieren. Sie definiert präzise, welche Organisationen als kritische Infrastrukturen zu betrachten sind und zu welchem Sektor sie gehören. Darüber hinaus erweitert NIS-2 den Kreis der betroffenen Unternehmen, führt neue Verpflichtungen ein, sieht strengere Strafen vor und stärkt den Ansatz im Risikomanagement.

Entscheidende Neuerungen umfassen klare Vorgaben zu Verfahren, Inhalten und Fristen für die Meldung von Sicherheitsvorfällen sowie deren Umsetzung, Überwachung und Durchsetzung in nationales Recht. Zudem fördert NIS-2 die Kooperation zwischen privaten und öffentlichen Einrichtungen im Krisenfall durch die Bildung nationaler Computer-Notfallteams (CSIRTs, Computer Security Incident Response Team) und die Etablierung koordinierter Incident-Response-Pläne.

Den vollständigen Text der NIS-2-Richtlinie und dessen Umsetzungen finden Interessierte im Amtsblatt der Europäischen Union vom 14.12.2022, verfügbar auf Deutsch und Englisch.

Welche Unternehmen müssen die NIS-2-Richtlinie beachten?

Die NIS-2-Richtlinie betrifft eine breite Palette von Unternehmen, die für die Aufrechterhaltung wichtiger gesellschaftlicher und wirtschaftlicher Aktivitäten unerlässlich sind. Hier eine vereinfachte Übersicht der Hauptgruppen, die den neuen Vorschriften unterliegen:

1. Betreiber wesentlicher Anlagen: Diese Gruppe muss feststellen, inwiefern einzelne Anlagen den Vorschriften der Richtlinie unterliegen. Sie orientieren sich dabei an spezifischen Kriterien zur Identifikation der Relevanz ihrer Anlagen.

2. Zentral wichtige und wichtige Einrichtungen: Diese werden hauptsächlich über die Größe des Unternehmens identifiziert, wobei sowohl mittlere als auch große Unternehmen betroffen sein können:

Mittlere Unternehmen, haben zwei Qualifikationswege:

  • 50 bis 249 Mitarbeiter und einen Umsatz unter 50 Mio. EUR oder eine Bilanzsumme unter 43 Mio. EUR.
  • Weniger als 50 Mitarbeiter, aber einen Umsatz zwischen 10 und 50 Mio. EUR und eine Bilanzsumme zwischen 10 und 43 Mio. EUR.

Grossunternehmen, erfüllen eines der folgenden Kriterien:

  • Mindestens 250 Mitarbeiter oder
  • Einen Umsatz von mindestens 50 Mio. EUR und eine Bilanzsumme von mindestens 43 Mio. EUR.

Hinweis: Auch kleinere Unternehmen, die bestimmte Kriterien erfüllen, können unter die Richtlinie fallen. Die Europäische Kommission unterscheidet zwischen Unternehmen in “Sektoren mit hoher Kritikalität” und “anderen kritischen Sektoren”. Die genauen Kriterien für diese Einstufungen sind in der NIS-2-Richtlinie definiert und in der folgenden Zusammenfassung zu finden:

Besonders kritische Einrichtungen (“Sektoren mit hoher Kritikalität” Anhang I):

  • Energie: Elektrizität, Fernwärme und -kälte, Erdöl, Erdgas, Wasserstoff
  • Verkehr: Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung von IKT-Diensten (Dienste für Informations- und Kommunikationstechnik, B2B)
  • Öffentliche Verwaltung
  • Weltraum

Sonstige kritische Einrichtungen (“Sonstige kritische Sektoren” Anhang II):

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Waren: Herstellung von Medizinprodukten und In-vitro-Diagnostika / Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen / Herstellung von elektrischen Ausrüstungen / Maschinenbau / Herstellung von Kraftwagen und Kraftwagenteilen / Sonstiger Fahrzeugbau
  • Anbieter digitaler Dienste
  • Forschung

Eine umfangreichere Tabellenversion mit den Kriterien zur Einordnung “kritischer” und “besonders kritischer” Sektoren finden Sie in den Anhängen I und II des Amtsblatts der EU.

NIS-2-Umsetzungsgesetz und die damit verbundenen Unternehmenspflichten

Seit September 2023 steht der dritte Entwurf des Gesetzes zur Umsetzung der EU-Richtlinie NIS2 und zur Förderung der Cyber-Sicherheit, bekannt als NIS2-Umsetzungsgesetz (NIS2UmsuCG), zur Diskussion. Dieses Gesetz verpflichtet Unternehmen zu einem proaktiven Umgang mit Sicherheitsvorfällen im Bereich der Informationstechnologie. Betroffene Organisationen müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bei einem Sicherheitsvorfall umfassende Berichte vorlegen. Sicherheitsvorfälle werden als Ereignisse definiert, die entweder die Integrität von gespeicherten, übermittelten oder verarbeiteten Daten gefährden oder die Verfügbarkeit sowie Funktionalität entsprechender Dienste, die über IT-Systeme, Komponenten und Prozesse bereitgestellt oder zugänglich gemacht werden, beeinträchtigen.

Dieser Überblick hebt die Wichtigkeit der Einhaltung des NIS2-Umsetzungsgesetzes und der damit einhergehenden Pflichten für Unternehmen hervor, um die Cybersicherheitsinfrastruktur zu stärken und auf Sicherheitsvorfälle effektiv reagieren zu können.

Konkret geht es um die Beeinträchtigung der

  • Verfügbarkeit
  • Authentizität
  • Integrität oder
  • Vertraulichkeit der beeinträchtigten Daten oder Dienste

Anforderungen für Unternehmen: Sicherstellung der IT-Sicherheit und Einhaltung der Meldepflichten

Effektive Strategien für IT-Sicherheit und Risikomanagement

Unternehmen, die relevante Systeme betreiben, müssen effektive technische und organisatorische Maßnahmen (TOM) zur Sicherstellung ihrer IT-Sicherheit implementieren. Es wird erwartet, dass folgende grundlegende Maßnahmen ergriffen werden:

  • Risikoanalyse und Sicherheit für IT-Systeme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung und Wiederherstellung sowie Backup-Management
  • Sicherheit der Lieferketten sowie zwischen Einrichtungen und Dienstleistern
  • Sicherheit in der Entwicklung, Beschaffung und Wartung sowie Schwachstellen-Management
  • Bewertung der Effektivität der IT-Sicherheit und entsprechendes Risiko-Management
  • Schulungen zur IT-Sicherheit und Cyberhygiene
  • Verschlüsselung und Kryptografie
  • Personalsicherheit, Zugriffskontrolle und Anlagen-Management
  • Multi-Faktor-Authentifizierung
  • Sichere Kommunikation
  • Krisen-Management und sichere Notfallkommunikation

Hinweis: Bis zur Verabschiedung des Gesetzes können sich die Details noch ändern.

Meldepflicht für Unternehmen

Sollte sich in einem betroffenen Unternehmen ein Sicherheitsvorfall ereignen, ergibt sich daraus für Unternehmen eine verschärfte Meldepflicht.

1. Innerhalb von 24 Stunden nach Bekanntwerden eines Sicherheitsvorfalls muss ein vorläufiger Bericht an das BSI übermittelt werden.

2. Innerhalb von 72 Stunden muss ein vollständiger Bericht mit einer ersten Bewertung des Vorfalls folgen.

3. Innerhalb eines Monats muss dann ein Abschlussbericht folgen, der den Vorfall und die Art der Bedrohung detailliert beschreibt und grenzüberschreitenden Auswirkungen enthält.

Sanktionen & Bußgelder für Unternehmen: Risiken bei Nichtbeachtung verstehen

Um die Einhaltung strenger Vorschriften durch betroffene Organisationen sicherzustellen, werden bei Nichteinhaltung erhöhte Meldepflichten und verschärfte Sanktionen angewandt. PWC bietet eine klare Zusammenfassung der Sanktionsregeln:

  • Bussgeldtatbestände werden mit einem Stufenkonzept bis zu 20 Mio. Euro bestraft
  • Sanktionen werden bei fahrlässigem und vorsätzlichem Verschulden verhängt
  • Bei wichtigen Einrichtungen kann ein maximales Bussgeld auf 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes verhängt werden
  • Bei besonders kritischen Einrichtungen können die Bussgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist
  • Zwischen besonders wichtigen Einrichtungen und kritischen Anlagen wird nicht differenziert

Wichtig: Geschäftsführer haften mit eigenem Privatvermögen.

Der Referentenentwurf des Bundesinnenministeriums sieht vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften. Das Bußgeld kann dabei bis zu 2 Prozent des weltweiten Jahresumsatzes betragen.

NIS-2-Richtlinie: Wann wird sie wirksam?

Die neue Directive 2022/2555 (NIS-2) ist auf EU-Ebene bereits seit 2023 wirksam, jedoch müssen die jeweiligen Staaten die Richtlinie erst bis zum 17. Oktober 2024 in nationales Recht umsetzen – spätestens dann müssen Unternehmen auch entsprechende Maßnahmen ergriffen haben.

Bis März 2024 soll das NIS-2-Umsetzungsgesetz verkündet werden.

Wichtig: NIS-2 Richtlinien gelten auch für kleine Unternehmen

Auch wenn Ihr Unternehmen weniger als 50 Mitarbeiter und unter 10 Mio. Euro Jahresumsatz hat, sollten Sie sich nicht zu früh in falscher Sicherheit wiegen. Kleine Unternehmen können nämlich trotzdem betroffen sein, wenn sie in die weiter oben genannten Kriterien (besonders) kritischer Einrichtungen fallen.

Falls Sie nicht sicher sind, ob Ihr Unternehmen zu den von NIS-2 kritischen Einrichtungen gehört, warten Sie nicht auf Post – ob man selbst unter die Regelung fällt, muss jedes betroffene Unternehmen in Eigenregie herausfinden.

Ist Ihr Unternehmen z.B. ein Dienstleister oder Lieferant für ein besonders kritisches Unternehmen, ist Ihr Unternehmen automatisch auch als kritisch einzuordnen und muss ebenso strenge Sicherheitsvorkehrungen einhalten.

NIS-2-Richtlinie: Ultimative Checkliste zur Compliance-Umsetzung

  • Überprüfen Sie, ob Ihr Unternehmen von NIS-2 betroffen ist und zu den kritischen Einrichtungen laut Anhang I bzw. Anhang II zu werten ist
  • Ist Ihr Unternehmen betroffen, informieren Sie die Geschäftsführung und legen Sie fest, wer für die Umsetzung entsprechender Maßnahmen verantwortlich ist
  • Planen Sie die notwendigen Maßnahmen zur Gewährleistung der Cybersicherheit sowie für das Risikomanagement und setzen Sie sie um
  • Erstellen Sie einen Notfallplan für Sicherheitsvorfälle inkl. Aufrechterhaltung des Betriebs, Backup-Management, Systemwiederherstellung und Krisen-Management
  • Richten Sie ein Meldeverfahren ein und legen Sie die Verantwortlichen fest

Mit Kiteworks zur sicheren Einhaltung der NIS 2-Anforderungen

Die Befolgung der NIS 2-Richtlinie ist für Organisationen entscheidend, um Cybersicherheit zu gewährleisten und Vertrauen aufzubauen. Eine Checkliste hilft IT-Abteilungen, Compliance sicherzustellen, indem sie den Anwendungsbereich der Richtlinie festlegen, Risiken bewerten, einen Incident Response Plan erstellen, für kontinuierliche Überwachung und Wartung sorgen, Mitarbeiter schulen und Dokumentation sowie Berichterstattung pflegen.

NIS 2 Compliance ist eine rechtliche Notwendigkeit und eine Gelegenheit, die Widerstandsfähigkeit gegen Cyberbedrohungen zu erhöhen. Kiteworks unterstützt Unternehmen mit einer Plattform, die die Einhaltung der NIS 2-Richtlinien erleichtert, indem sie einen Zero-Trust-Ansatz für den Schutz und das Management von sensiblen Informationen bietet.

Um mehr über die sichere Einhaltung von NIS 2-Anforderungen mit Kiteworks zu erfahren, vereinbaren Sie noch heute eine individuelle Demo.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks