Cybersicherheit

NIS-2-Richtlinie - neue gesetzliche Anforderungen zur IT-Sicherheit

NIS-2-Richtlinie ab 18. Oktober 2024 bindend

Mit dem Ziel, den Schutz der kritischen Infrastruktur hinsichtlich möglicher IT-Vorfälle und Cyberangriffe auszubauen, wurde 2023 auf europäischer Ebene die NIS-2-Richtlinie verabschiedet, die bis 17. Oktober 2024 in deutsches Recht umzusetzen ist. (NIS steht für „Network and Information Security“).
Die erste Richtlinie aus 2016 wurde erweitert. Es erfolgte eine Gliederung in Branchen und Größen, sodass nun auch kleinere Unternehmen dazugehören sowie unter Umständen auch deren Dienstleister und Auftragnehmer.
Die Unternehmen werden verpflichtet, ihre Maßnahmen zum Schutz vor Cyberangriffen zu erhöhen, strengere Sicherheitsstandards zu etablieren und ihre IT-Systeme stets auf dem neuesten Stand zu halten.

Geltungsbereich der betroffenen Unternehmen

Der Geltungsbereich der neuen NIS-Richtlinie geht weit über die bisher bekannten Schlüsselunternehmen im Bereich der kritischen Infrastrukturen hinaus. Konkret wird bei NIS-2 zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“ unterschieden.
Wesentliche Einrichtungen sind demnach Unternehmen, die in folgenden Bereichen tätig sind:
  • Energie – Lieferung, Verteilung, Übertragung und Verkauf von Strom, Gas, Öl, Wasserstoff, Heizung sowie Ladestationen für die Elektromobilität
  • Straßen-, Schienen, Luft- und Schiffsverkehr – dazu zählen auch Reedereien, Hafenanlagen und Flughäfen
  • Wasser – Trink- und Abwasserversorgungsunternehmen
  • Digitale Infrastruktur und IT-Dienste – dazu zählen auch Rechenzentren, Clouddienste, elektronische Kommunikationsdienste, Internetknoten sowie Anbieter öffentlicher elektronischer Kommunikaitonsnetze und -dienste
  • Bank- und Finanzwesen – Kredit, Handel, Markt, Infrastruktur und Versicherungswesen
  • Gesundheit – Gesundheitsdienstleister, Pharmazeutika, Hersteller medizinischer Geräte, Forschungseinrichtungen
  • Öffentliche Verwaltung
  • Raumfahrt
Zu den wichtigen Einrichtungen werden Unternehmen folgender Bereiche gezählt:
  • Abfallwirtschaft
  • Post- und Kurierdienste
  • Chemische Erzeugnisse – Produktion und Vertrieb
  • Lebensmittel – Produktion und Vertrieb
  • Hersteller – Computer, Elektronik, Optik, Maschinen, Kraftfahrzeuge und Anhänger, Transportmittel
  • Digitale Anbieter – Suchmaschinen, soziale Netzwerke, Online-Marktplätze
  • Forschungseinrichtungen
Welche Unternehmen die NIS-2-Vorgaben erfüllen müssen, richtet sich nach der Unternehmensgröße und dem Umsatz. Unterschieden werden dabei mittlere und große Unternehmen:
  • Mittlere Unternehmen – 50 bis 250 Mitarbeiter, 10 bis 50 Millionen EUR Umsatz, Bilanzsumme kleiner als 43 Millionen EUR
  • Große Unternehmen – mehr als 250 Mitarbeiter, mehr als 50 Millionen EUR Umsatz, Bilanzsumme größer als 43 Millionen EUR
Die konkreten Angaben zur Bemessung der Unternehmensgröße haben zur Folge, dass sich die Zahl der Unternehmen, die zum Bereich der kritischen Infrastrukturen gezählt werden, massiv erhöht. NIS-2 sorgt dafür, dass Maßnahmen zur Stärkung der Cybersicherheit für die breite Masse der Unternehmen in ganz Europa obligatorisch werden. Allein in Deutschland werden nach Schätzungen etwa 30.000 Unternehmen von NIS-2 betroffen sein.
Hinweis: Unternehmen werden nicht darüber informiert, ob sie von der NIS-2-Richtlinie betroffen sind. Prüfen Sie daher, ob Sie bzgl. Ihrer Größe und Branche dazuzählen. Ist dies der Fall, liegt die Verantwortlichkeit bei der Geschäftsführung. Im Unternehmen müssen Personen festgelegt werden, die die Vorgaben operativ umsetzen. Sprechen Sie zudem Ihren bestehenden IT-Dienstleister darauf an.
Es ist sehr empfehlenswert, sich für die Umsetzung fachkundige Unterstützung hinzuziehen.

Verschärfung der Meldepflichten

Sicherheitsvorfälle müssen durch die betroffenen Unternehmen gemeldet werden. In Deutschland ist die zuständige Behörde das Bundesamt für Sicherheit in der Informationstechnik (BSI). Vorgesehen ist dafür ein dreistufiger Prozess:
  • Innerhalb von 24 Stunden muss direkt nach Bekanntwerden eines Vorfalls ein vorläufiger Bericht übermittelt werden.
  • Innerhalb von 72 Stunden muss ein vollständiger Bericht folgen, der auch eine erste Bewertung des Vorfalls enthält.
  • Innerhalb eines Monats muss ein Abschlussbericht eingereicht werden, der detaillierte Beschreibungen des Vorfalls, der Art der Bedrohung und der grenzüberschreitenden Auswirkungen enthält.
Von NIS-2 betroffene Unternehmen müssen sich ab dem 18. Oktober 2024 beim Bundesamt für Informationssicherheit (BSI) registrieren lassen. Die Details sind noch nicht festgelegt.

Verschärfung von Sanktionen

Außer der Meldepflicht für Vorfälle verschärft NIS-2 auch die Sanktionen für die Missachtung der Vorgaben.
  • Bei wesentlichen Einrichtungen können die Bußgelder bis zu 10 Millionen EUR oder 2 Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist.
  • Bei wichtigen Einrichtungen ist das maximale Bußgeld auf 7 Millionen EUR oder 1,4 Prozent des weltweiten Jahresumsatzes gedeckelt.
Die NIS-2 Richtlinie sieht vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen für die Einhaltung der IT-Sicherheitsmaßnahmen mit ihrem Privatvermögen haften. Das Bußgeld kann dabei maximal 2 Prozent des weltweiten Jahresumsatzes betragen.

Notwendige Maßnahmen

Betroffene Unternehmen müssen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Sicherheitsrisiken zu beherrschen und die Auswirkungen von Vorfällen zu verhindern oder möglichst gering zu halten. Dazu gehören:
  • Dokumentierte Risikoanalyse und Sicherheitsmaßnahmen für Informationssysteme
  • Pläne zur Bewältigung von Sicherheitsvorfällen
  • Verfahren zur Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Einführung eines Krisenmanagements
  • Schaffung von Sicherheiten in der Lieferkette
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
  • Schaffung von grundlegende Verfahren im Bereich der Cyberhygiene (zum Beispiel Updates) und Schulungen im Bereich der Cybersicherheit
  • Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
  • Konzepte für die Zugriffskontrolle und das Management von Anlagen
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.