IT-Sicherheit

NIS-2-Richtlinie zur Stärkung der IT-Sicherheit

NIS-2-Richtlinie

Um die europäischen Unternehmen gegen die zunehmenden Cyber-Angriffe und IT-Ausfälle zu stärken, führte die Europäische Union 2023 die NIS-2-Richtlinie ein. Während 2016 im Zuge der ersten NIS-Richtlinie bereits ca. 2.000 Unternehmen als Betreiber kritischer Infrastrukturen (KRITIS) eingestuft wurden, erweitert die NIS-2-Richtlinie den Kreis der Betroffenen um rund 30.000 weitere Unternehmen. Die NIS-2-Richtlinie fordert dazu auf, Registrierungs-, Nachweis- und Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu erfüllen.
Basierend auf der NIS-2-Richtlinie der EU veröffentlichte das deutsche Bundeskabinett am 24. Juli 2024 den Entwurf für das entsprechende NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (PDF) in Deutschland. Seit dem 18. Oktober 2024 sollten die Meldepflichten und Vorgaben für notwendige Sicherheitsmaßnahmen gelten. Aktuell ist das Gesetz noch nicht verkündet. Mit der Umsetzung soll es im März 2025 soweit sein. Den aktuellen Stand des Gesetzgebungsverfahrens erfahren Sie beim BMI
Betroffene Unternehmen sollten jedoch bereits jetzt aktiv werden. Der vorliegende Gesetzesentwurf sieht keine Übergangsfristen vor. Betroffene Unternehmen müssen die Sicherheitsmaßnahmen ab Inkrafttreten des Gesetzes erfüllen. Werden diese nicht eingehalten, drohen hohe Bußgelder. Die Geschäftsleitung der betroffenen Unternehmen ist entsprechend der NIS-2-Richtlinie zur Umsetzung und Gewährleistung der Cybersicherheit verantwortlich.
Auf der Website des Bundesministerium des Innern und für Heimat finden Sie Informationen zum aktuellen Stand des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG)

Betroffenheit

Bereits in der ersten NIS-Richtlinie sind Mindestsicherheitsanforderungen und Meldepflichten für KRITIS-Betreiber sowie für bestimmte Anbieter digitaler Dienste definiert. KRITIS-Betreiber werden nach bestimmten Sektoren (z.B. Energie, Wasser) und Schwellenwerten (z.B. 500.000 versorgte Personen) definiert.
Ob ein Unternehmen von der NIS-2-Richtline betroffen ist, ergibt sich aus folgenden Kriterien:
  • Zugehörigkeit zu Branchen (Anhang 1 und Anhang 2)
  • Unternehmensgröße definiert nach Anzahl der Beschäftigten sowie Jahresumsatz bzw. Jahresbilanzsumme
Der digitale Fragebogen zur Betroffenheitsprüfung der NIS-2-Richtlinie bietet Unternehmen die Möglichkeit, ihre Betroffenheit zu ermitteln.
Tätigkeit in Sektoren aufgelistet in Anhang 1 oder Anhang 2 der Nis-2-Richtlinie
Anhang 1 (hohe Kritikalität)
Energie, Verkehr, Finanzwesen, Gesundheit, Wasser, Digitale Infrastruktur, IKT Dienste, öffentliche Verwaltung, Weltraum
Anhang 2 (sonstige Kritikalität)
Post-/Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, Verarbeitendes Gewerbe/Herstellung von Waren, Digitale Dienste, Forschung
Unternehmensgröße
Große Unternehmen
Mitarbeiter: > 250 und
Jahresumsatz: > 50 Mio. € oder
Jahresbilanzsumme: > 43 Mio. €
Mittlere Unternehmen
Mitarbeiter: < 250 und
Jahresumsatz: 10 - 50 Mio. € oder
Jahresbilanzsumme: ≤ 43 Mio. €
Kleine Unternehmen
Mitarbeiter: < 5 und
Jahresumsatz / Jahresbilanz: ≤ 10 Mio. €
Betroffenheit
Große Unternehmen Tätig in einem Sektor definiert in Anhang 1 oder 2 betroffen
Mittlere Unternehmen Tätig in einem Sektor definiert in Anhang 1 oder 2 betroffen
Kleine Unternehmen Tätig in einem Sektor definiert in Anhang 1 oder 2 nicht betroffen
Betroffene Unternehmen unterteilt die NIS-2-Richtlinie weiter in „besonders wichtige“ und „wichtige“ Unternehmen.
Unterscheidung nach besonders wichtigen und wichtigen Einrichtungen
Große Unternehmen

Tätig in Sektor nach Anhang 1 (hohe Kritikalität) Besonders wichtige Einrichtung
Tätig in Sektor nach Anhang 2 (sonstige Kritikalität) Wichtige Einrichtung
Mittlere Unternehmen

Tätig in Sektor nach Anhang 1 (hohe Kritikalität) Wichtige Einrichtung
Tätig in Sektor nach Anhang 2 (sonstige Kritikalität) Wichtige Einrichtung
Unabhängig von ihrer Unternehmensgröße sind spezielle IT-Einrichtungen wie qualifizierte Vertrauensdienstanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter von der NIS-2-Richtline betroffen. Darüber hinaus kann das BSI auch eine Betroffenheit anordnen.
Auch wenn ein Unternehmen nicht direkt von der NIS-2-Richtlinie betroffen ist, kann die NIS-2-Richtlinie dazu führen, dass zusätzliche Maßnahmen zum Schutz vor Cyber-Angriffen und IT-Störungen notwendig sind. Denn die NIS-2-Richtlinie fordert von betroffenen Unternehmen die Sicherheit der (IT-) Lieferkette. Es ist daher zu erwarten, dass betroffene Unternehmen auch ihre Dienstleister einbeziehen werden, um ihre IT-Sicherheitsziele zu erreichen.

Notwendige Maßnahmen

Die notwendigen Maßnahmen, die betroffene Unternehmen zu ergreifen haben unterscheiden sich entsprechend der Zuordnung als KRITIS-Betreiber, „besonders wichtig“ oder „wichtige“ Unternehmen.
Folgende Pflichten sind für alle betroffenen Unternehmen relevant
  • Risikomanagementmaßnahmen
  • Business Continuity Management
  • Meldepflichten
  • Registrierungspflicht
  • Unterrichtungspflichten
  • Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter
  • Einsatz technischer Maßnahmen wie z. B. Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung
Zusätzlich zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz soll es zukünftig Rechtsverordnungen geben, für die bisher noch keine Entwürfe bekannt sind. Darin soll folgendes geregelt werden:
  • Sicherheitszertifikate und Anerkennung: Details zur Erteilung von Sicherheitszertifikaten und zur Anerkennung nach spezifischen Vorschriften werden erläutert (§56 Abs. 1).
  • IT-Sicherheitskennzeichnung: Die Einzelheiten des IT-Sicherheitskennzeichens und die Feststellung der Eignung branchenabgestimmter IT-Sicherheitsvorgaben werden beschrieben, zusammen mit der Prozedur zur Freigabe solcher Vorgaben (§56 Abs. 2).
  • Zertifizierungspflicht für bestimmte Produkte, Dienste oder Prozesse: Es wird festgelegt, dass bestimmte Produkte, Dienste oder Prozesse, die von besonders wichtigen Einrichtungen verwendet werden, eine Zertifizierung benötigen (§56 Abs.3).
  • Kritische Dienstleistungen und Anlagen: Es wird definiert, welche Dienstleistungen und Anlagen als kritisch im Sinne des Gesetzes angesehen werden, einschließlich des Versorgungsgrades, der für diese als notwendig erachtet wird (§56 Abs. 4).

Sanktionen

Sofern Unternehmen keine oder nicht ausreichende Risikomaßnahmen treffen, drohen mit der NIS-2-Richtlinie Sanktionen:
  • Warnungen und verbindliche Anweisungen
  • Umsetzung der Empfehlungen der Sicherheitsüberprüfung
  • Veröffentlichung von Verstößen gegen die Richtline
  • Geldbuße
Die Höhe der Geldbuße hängt von davon ab, ob ein Unternehmen eine wesentliche oder eine wichtige Einrichtung ist.
Wesentliche Einrichtung Wichtige Einrichtung
Höchstbetrag: mind. 10 Mio.€ oder mind. 2% des weltweiten Konzernumsatzes des Vorjahres Höchstbetrag: mind. 7 Mio.€ oder mind. 1,4 des weltweiten Konzernumsatzes des Vorjahres

Handlungsempfehlungen

Das BSI bietet eine Orientierungshilfe, was Verantwortliche von „wichtigen“ und „besonders wichtigen“ Unternehmen jetzt schon tun können und empfiehlt:
  1. Benennen Sie mindestens zwei zuständige Personen, die eine koordinierende Rolle für die Informationssicherheit übernehmen.
  2. Bereiten Sie sich darauf vor als Leitung die Verantwortung für die IT-Sicherzeit übernehmen zu können und schulen Sie sich entsprechend.
  3. Machen Sie eine Bestandsaufnahme Ihrer aktuellen Informationssicherheit.
  4. Verbessern Sie Ihre Informationssicherheit kontinuierlich.
  5. Bereiten Sie sich auf die Meldepflicht für Sicherheitsvorfällen vor und richten Sie Empfangskanäle für Warnungen und Lageberichten vom BSI ein.
Stand: November 2024