NIS-2-Richtlinie - neue gesetzliche Anforderungen zur IT-Sicherheit
Mit dem Ziel, den Schutz der kritischen Infrastruktur hinsichtlich möglicher IT-Vorfälle und Cyberangriffe auszubauen, wurde 2023 auf europäischer Ebene die NIS-2-Richtlinie („Network and Information Security“) verabschiedet, die voraussichtlich Anfang 2025 in deutsches Recht umgesetzt wird. Die neue Richtlinie betrifft mehr Unternehmen als bisher und es ist zu erwarten, dass die Anforderungen über die Lieferketten weitergegeben werden.
Sicherheitsstandards vereinheitlicht
Die erste Richtlinie aus 2016 wurde mit NIS-2 erweitert. Es erfolgte eine Gliederung in Branchen und Größen, sodass nun unter Umständen auch kleinere Unternehmen dazugehören sowie deren Dienstleister und Auftragnehmer. Ziel der neuen Richtlinie ist, dass die Mitgliedsstaaten der EU einen gleich hohen Standard des IT-Sicherheitsniveaus aufbauen.
Das Cybersicherheitsniveau in den Ländern ist recht unterschiedlich Mit der Richtlinie soll ein einheitliches Meldesystem und Meldeverfahren von Sicherheitsvorfällen etabliert werden. Es geht um schnellere Reaktion und Einheitlichkeit beim Umgang mit Cyberschutz über Landesgrenzen hinaus. Im deutschen Recht findet die Umsetzung über das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) statt.
Ab dem 18. Oktober 2024 sollte das Gesetz offiziell in Kraft treten. Bereits jetzt ist klar, dass sich die Umsetzung verzögern wird, bis voraussichtlich Frühjahr 2025. Bis zur Umsetzung der NIS-2 Richtlinie in deutsches Recht gilt für Unternehmen der bisherige Rechtsrahmen .
Hinweis: Mit NIS-2 werden die Unternehmen verpflichtet, ihre Maßnahmen zum Schutz vor Cyberangriffen zu erhöhen, strengere Sicherheitsstandards zu etablieren und ihre IT-Systeme stets auf dem neuesten Stand zu halten. Die Hauptverantwortung für die NIS-2 Umsetzung liegt bei der Geschäftsführung und kann nicht delegiert werden.
Umsetzung und Betroffenheit
Die neue Richtlinie betrifft ca. 15-mal so viele Unternehmen als bisher, in Deutschland geht man von ca. 30.000 Unternehmen aus. Für Sachsen-Anhalt steht eine Zahl von 1.000 Unternehmen im Raum. Es ist zu erwarten, dass sich die Zahl deutlich erhöht, wenn über die Liederketten die Anforderungen weitergegeben werden.
Bisher lag der Fokus vor allem auf die Reaktion bei Sicherheitsvorfällen. Zukünftig steht die Sensibilisierung der Mitarbeiter in den Unternehmen im Mittelpunkt, um eventuelle Vorfälle schneller zu erkennen.
Der Geltungsbereich der neuen NIS-Richtlinie geht weit über die bisher bekannten Schlüsselunternehmen im Bereich der kritischen Infrastrukturen hinaus. Konkret wird bei NIS-2 zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“ unterschieden.
Wesentliche und wichtige Einrichtungen
Wesentliche Einrichtungen sind demnach Unternehmen, die in folgenden Bereichen tätig sind:
- Energie: Lieferung, Verteilung, Übertragung und Verkauf von Strom, Gas, Öl, Wasserstoff, Heizung sowie Ladestationen für die Elektromobilität
- Straßen-, Schienen, Luft- und Schiffsverkehr – dazu zählen auch Reedereien, Hafenanlagen und Flughäfen
- Wasser: Trink- und Abwasserversorgungsunternehmen
- Digitale Infrastruktur und IT-Dienste – dazu zählen auch Rechenzentren, Clouddienste, elektronische Kommunikationsdienste, Internetknoten sowie Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste
- Bank- und Finanzwesen: Kredit, Handel, Markt, Infrastruktur und Versicherungswesen
- Gesundheit: Gesundheitsdienstleister, Pharmazeutika, Hersteller medizinischer Geräte, Forschungseinrichtungen
- Öffentliche Verwaltung
- Raumfahrt
Zu den wichtigen Einrichtungen werden Unternehmen folgender Bereiche gezählt:
- Abfallwirtschaft
- Post- und Kurierdienste
- Chemische Erzeugnisse – Produktion und Vertrieb
- Lebensmittel: Produktion und Vertrieb
- Hersteller: Computer, Elektronik, Optik, Maschinen, Kraftfahrzeuge und Anhänger, Transportmittel
- Digitale Anbieter: Suchmaschinen, soziale Netzwerke, Online-Marktplätze
- Forschungseinrichtungen
Welche Unternehmen die NIS-2-Vorgaben erfüllen müssen, richtet sich nach der Unternehmensgröße und dem Umsatz.
Unterschieden werden dabei mittlere und große Unternehmen:
- Mittlere Unternehmen – 50 bis 250 Mitarbeiter, 10 bis 50 Millionen EUR Umsatz, Bilanzsumme kleiner als 43 Millionen EUR
- Große Unternehmen – mehr als 250 Mitarbeiter, mehr als 50 Millionen EUR Umsatz, Bilanzsumme größer als 43 Millionen EUR
Für einzelne o.g. Sektoren gelten aktuell keine Größenbeschränkungen. Davon betroffen sind die digitalen Infrastrukturen (z.B. Rechenzentren, Online-Suchmaschinen, Marktplätze) und öffentliche Verwaltung.
Möglicherweise ist man indirekt betroffen
Selbst wenn ein Unternehmen unter die Grenze von 50 Mitarbeitenden fällt, jedoch einen Jahresumsatz größer als 10 Millionen erwirtschaftet, greift die NIS-2-Richtlinie. Sollte für ein betroffenes Unternehmen gearbeitet werden, fällt das Unternehmen auch unter die NIS-2-Richtlinie. KRITIS-Unternehmen* sind (höchstwahrscheinlich) ebenfalls betroffen.
Unternehmen werden nicht darüber informiert, ob sie von der NIS-2-Richtlinie betroffen sind. Prüfen Sie daher, ob Sie bzgl. Ihrer Größe und Branche dazuzählen.
Unternehmen werden nicht darüber informiert, ob sie von der NIS-2-Richtlinie betroffen sind. Prüfen Sie daher, ob Sie bzgl. Ihrer Größe und Branche dazuzählen.
Obwohl einige Details erst mit dem Gesetz entschieden werden, sind schon jetzt viele Regelungen absehbar und bekannt: Im Unternehmen müssen Personen festgelegt werden, welche die Vorgaben operativ umsetzen. Von NIS-2 betroffene Unternehmen müssen sich selbstständig beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren lassen – das wird die in Deutschland zuständige Behörde sein. Es ist zu empfehlen, sich für die Umsetzung fachkundige Unterstützung, z. B. IT-Dienstleister, hinzuziehen.
*Hinweis: Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
Verschärfung der Meldepflichten
Sicherheitsvorfälle müssen durch die betroffenen Unternehmen gemeldet werden. Vorgesehen ist dafür ein dreistufiger Prozess:
- Innerhalb von 24 Stunden muss direkt nach Bekanntwerden eines Vorfalls ein vorläufiger Bericht übermittelt werden.
- Innerhalb von 72 Stunden muss ein vollständiger Bericht folgen, der auch eine erste Bewertung des Vorfalls enthält.
- Innerhalb eines Monats muss ein Abschlussbericht eingereicht werden, der detaillierte Beschreibungen des Vorfalls, der Art der Bedrohung und der grenzüberschreitenden Auswirkungen enthält.
Verschärfung von Sanktionen
Außer der Meldepflicht für Vorfälle verschärft NIS-2 auch die Sanktionen für die Missachtung der Vorgaben.
- Bei wesentlichen Einrichtungen können die Bußgelder bis zu 10 Millionen EUR oder 2 Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist.
- Bei wichtigen Einrichtungen ist das maximale Bußgeld auf 7 Millionen EUR oder 1,4 Prozent des weltweiten Jahresumsatzes gedeckelt.
Verantwortung kann nicht delegiert werden: Die NIS-2 Richtlinie sieht vor, dass Geschäftsführer für die Einhaltung der IT-Sicherheitsmaßnahmen nach den Regeln des Gesellschaftsrechts haften und persönlich an regelmäßigen Schulungen teilnehmen müssen.
IT-Schutzmaßnahmen rechtzeitig angehen
Betroffene Unternehmen müssen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Sicherheitsrisiken zu beherrschen und die Auswirkungen von Vorfällen zu verhindern oder möglichst gering zu halten. Dazu gehören:
- Dokumentierte Risikoanalyse und Sicherheitsmaßnahmen für Informationssysteme
- Pläne zur Bewältigung von Sicherheitsvorfällen
- Verfahren zur Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Einführung eines Krisenmanagements
- Schaffung von Sicherheiten in der Lieferkette
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- Schaffung von grundlegenden Verfahren im Bereich der Cyberhygiene (zum Beispiel Updates) und Schulungen im Bereich der Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
- Konzepte für die Zugriffskontrolle und das Management von Anlagen
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Wird bereits nach den Normen der ISO 2700x oder nach dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gearbeitet, ist man gut aufgestellt.
Weitere Informationen und Unterstützung finden Sie unter www.bsi.bund.de oder bei der Transferstelle für Cybersicherheit im Mittelstand.
Dort finden Sie kostenfreie Angebote für Unternehmen, wie Veranstaltungen und Webinare und konkrete Unterstützungsangebote:
- Der CYBERsicher Check: Cybersicherheit jetzt anpacken
- Die CYBERDialoge: Unsere Orientierungsgespräche
- Der CyberRisiko-Check: Der neue Standard für den Mittelstand.
NIS-2-Betroffenheitsprüfung des BSI
Sind Sie unsicher, ob Ihr Unternehmen von der NIS-2-Richtlinie der EU betroffen ist? Die NIS-2-Betroffenheitsprüfung des BSI bietet in wenigen Schritten eine erste Orientierung anhand konkreter, an der Richtlinie orientierter Fragen. Nachdem der Fragenkatalog durchlaufen wurde, erhalten Sie ein auf Ihren Angaben basierendes Ergebnis. Dieses gibt eine automatisierte Ersteinschätzung, ob Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist - und erläutert Ihnen, was dieser Status bedeutet und welche Pflichten durch den EU-Gesetzgeber vorgezeichnet sind.
Bitte beachten Sie, dass die Hilfe zur Betroffenheitsprüfung von NIS-2 lediglich als Orientierungshilfe dient und Ihr Ergebnis rechtlich nicht bindend ist, da Ihre Antworten automatisiert erstellt und nicht vom BSI oder anderen unabhängigen Stellen geprüft werden. Es besteht kein Anspruch auf Vollständigkeit und Richtigkeit der Inhalte.
Bitte beachten Sie, dass die Hilfe zur Betroffenheitsprüfung von NIS-2 lediglich als Orientierungshilfe dient und Ihr Ergebnis rechtlich nicht bindend ist, da Ihre Antworten automatisiert erstellt und nicht vom BSI oder anderen unabhängigen Stellen geprüft werden. Es besteht kein Anspruch auf Vollständigkeit und Richtigkeit der Inhalte.
Zur EU-Richtlinie: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:02022L2555-20221227&qid=1724078462128
Hinweis:
Die Veröffentlichung von Informationen zu Verordnungen und Richtlinien ist ein Service der IHK Halle-Dessau für ihre Mitgliedsunternehmen. Es handelt sich dabei um eine zusammenfassende Darstellung der fachlichen Grundlagen, die nur erste Hinweise enthält und keinen Anspruch auf Vollständigkeit erhebt. Obwohl diese Informationen mit größter Sorgfalt zusammengetragen wurden, kann keine Haftung für die inhaltliche Richtigkeit übernommen werden.
Die Veröffentlichung von Informationen zu Verordnungen und Richtlinien ist ein Service der IHK Halle-Dessau für ihre Mitgliedsunternehmen. Es handelt sich dabei um eine zusammenfassende Darstellung der fachlichen Grundlagen, die nur erste Hinweise enthält und keinen Anspruch auf Vollständigkeit erhebt. Obwohl diese Informationen mit größter Sorgfalt zusammengetragen wurden, kann keine Haftung für die inhaltliche Richtigkeit übernommen werden.
(Stand: 19.08.2024)