NIS-2-Richtlinie 2024: Ein Leitfaden für Unternehmen

Veröffentlicht am 15. März 2024 31,46 Minuten zu lesen 5757 Worte

Im Juli 2016 wurde die Richtlinie über die Sicherheit von „Network and Information Systems (NIS)“ erlassen. Ziel dieser Richtlinie war es, die Cyber-Resilienz in der gesamten Europäischen Union durch regulatorische Maßnahmen zu erhöhen. Sie konzentrierte sich auf die Stärkung der Cybersicherheitskapazitäten auf nationaler Ebene, die Verbesserung der Zusammenarbeit zwischen den Mitgliedstaaten und die Verankerung der Cybersicherheit in der DNA von Organisationen. 

Im Jahr 2023 hat die Europäische Union eine neue Version der Richtlinie über Netz- und Informationssicherheit verabschiedet. Diese „NIS-2“ zielt darauf ab, die EU auf den neuesten Stand zu bringen und ein höheres Maß an Cybersicherheit und Widerstandsfähigkeit in den Organisationen der Europäischen Union zu schaffen. 

Die EU-Mitgliedstaaten müssen NIS2 bis zum 18.Oktober 2024 in nationales Recht umsetzen. Unternehmen sollten bereits jetzt damit beginnen, sich auf die Einhaltung der Vorschriften vorzubereiten. 

Was ist neu an der NIS2-Richtlinie ?

Ausweitung des Anwendungsbereichs 

Die neue Richtlinie dehnt den Anwendungsbereich auf weitere Sektoren aus und konzentriert sich auf die Bereitstellung von Leitlinien, um eine einheitliche Umsetzung in den EU-Mitgliedstaaten zu gewährleisten. NIS2 definiert zwei Kategorien von Einrichtungen:  wichtige und wesentliche Einrichtungen.  

Wichtige Einrichtungen: 
  • Digitaler Anbieter
  • Hersteller
  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemische Erzeugnisse
  • Lebensmittel
  • Forschungseinrichtungen
Wesentliche Unternehmen: 
  • Energie
  • Straßen-, Schienen, Luft- und Schiffsverkehr 
  • Wasser 
  • Gesundheit
  • Öffentliche Verwaltung
  • IT-Dienste
  • Bank- und Finanzwesen

Unternehmen der beiden Kategorien müssen die gleichen Anforderungen erfüllen, aber unterschiedliche Überwachungs- und Sanktionsregeln folgen. Wesentliche Unternehmen müssen ab der Einführung der NIS2-Richtlinie aufsichtsrechtliche Anforderungen erfüllen, die wichtigen Unternehmen unterliegen einer nachträglichen Aufsicht, d. h., wenn die Behörden Beweise für eine Nichteinhaltung erhalten, werden Maßnahmen ergriffen. 

Unternehmen die von NIS2 betroffen sind:

  • Große Unternehmen: über 250 Mitarbeiter oder einen Umsatz von mehr als 50 Millionen Euro
  • Mittelgroße Unternehmen: über 50 Mitarbeiter oder einen Umsatz von mehr als 10 Millionen Euro

Die EU-Mitgliedstaaten können diese Anforderungen erweitern, wenn ein Unternehmen bestimmte Kriterien erfüllt, die auf eine Schlüsselrolle für die Gesellschaft, die Wirtschaft oder für bestimmte Sektoren oder Arten von Dienstleistungen hinweisen. 

Registrierung wesentlicher und wichtiger Einrichtungen

Bis April 2025 müssen die Mitgliedstaaten die wesentlichen und wichtigen Einrichtungen, die in den Anwendungsbereich der NIS2-Richtlinie fallen, identifizieren. Die Mitgliedstaaten können den Einrichtungen die Möglichkeit geben, sich selbst zu registrieren. Daher müssen die Auftraggeber feststellen, ob ihre Dienste in den Anwendungsbereich der NIS2-Richtlinie fallen, die Liste der Mitgliedstaaten ermitteln, in denen sie „in den Anwendungsbereich fallende“ Dienste erbringen, und sich vor Ablauf der Frist in jedem Mitgliedstaat registrieren lassen. Für die Registrierung müssen die Auftraggeber mindestens folgende Angaben machen: 

  • ihren Namen, ihre Anschrift und ihre Registrierungsnummer
  • den Sektor oder Teilsektor, unter den sie im Rahmen der NIS2 fallen
  • ihre aktualisierten Kontaktdaten
  • Mitgliedsstaaten, in denen sie tätig sind
  • die Liste der ihnen zugewiesenen IP-Adressen 

Das endgültige Registrierungsverfahren und die Liste der erforderlichen Informationen werden im Rahmen der Umsetzung der Richtlinie in nationales Recht festgelegt. 

Verbesserte Zusammenarbeit (CSIRT-Plattform) 

Ein weiteres wichtiges Element der neuen Richtlinie ist die Absicht, die Zusammenarbeit der EU-Mitgliedstaaten bei Cyber-Vorfällen und -Bedrohungen zu verbessern. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) wird mit der Einrichtung einer europäischen Datenbank zur Offenlegung von Schwachstellen beauftragt, um den Wissensaustausch zwischen den Mitgliedstaaten zu erleichtern. 

Meldepflichten von Vorfällen 

Wie bereits für die NIS-1-Richtlinie festgelegt, wird jeder EU-Mitgliedstaat eine zentrale Kontaktstelle für die Einhaltung der Richtlinie und ein koordinierendes CSIRT (Computer Security Incident Response Teams) für die Meldung von Vorfällen oder eine zuständige Behörde haben. Die Prüfung der betroffenen Unternehmen in Deutschland obliegt dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Vorfälle mit erheblichen Auswirkungen müssen von den wesentlichen und wichtigen Stellen, ohne unnötige Verzögerung, gemeldet werden: 

  1. Innerhalb von 24 Stunden nach Bekanntwerden eines Vorfalls muss eine Vorabmeldung erfolgen. 
  2. Innerhalb von 72 Stunden muss ein vollständiger Meldebericht eingereicht werden, der eine Bewertung des Vorfalls und seine Auswirkungen enthält. 
  3. Innerhalb eines Monats ist ein detaillierter Abschlussbericht vorzulegen, der den Vorfall ausführlich beschreibt, einschließlich grenzüberschreitender Auswirkungen. 

In dieser Hinsicht ermutigt die Richtlinie die Mitgliedstaaten, das Meldeverfahren für Vorfälle zu vereinfachen, indem sie eine einzige Anlaufstelle für Vorfälle einrichten, um den Verwaltungsaufwand zu verringern, auch für Vorfälle, die mehrere Mitgliedstaaten betreffen. 

Das CSIRT oder gegebenenfalls die zuständige Behörde muss der ENISA alle drei Monate über die Vorfälle berichten, wobei anonymisierte Informationen zu verwenden sind. Mit all diesen Informationen wird die ENISA dann wiederum alle sechs Monate über die EU-Vorfälle berichten. Diese Berichterstattung wird den Organisationen und den Mitgliedstaaten helfen, aus anderen Vorfällen zu lernen, und ist eine entscheidende Änderung in der neuen NIS2-Richtlinie. 

Fokus auf wichtige Lieferketten 

Die jüngsten Vorfälle auf der ganzen Welt haben gezeigt, wie wichtig die Kontinuität innerhalb kritischer Lieferketten ist, weshalb die NIS2-Richtlinie dies als einen der Hauptschwerpunkte einführt. Die einzelnen Unternehmen werden dafür verantwortlich sein, die Cybersicherheitsrisiken in ihren eigenen Lieferketten sowie in den Beziehungen zu ihren Zulieferern zu berücksichtigen. 

Diese Anforderung könnte sich indirekt auf viele Zulieferer auswirken, die nicht in den Anwendungsbereich der neuen NIS2-Richtlinie fallen, aber möglicherweise Dienstleistungen oder Produkte an eine in den Anwendungsbereich der NIS2 fallende Stelle liefern. Daher könnte ihr Kunde dem Lieferanten eine minimale Cybersicherheitsreife auferlegen. Der Lieferant wird nicht von den nationalen Behörden in Bezug auf NIS2 beaufsichtigt, sondern von seinem Kunden. Selbst wenn Ihr Unternehmen nicht in den Anwendungsbereich fällt, kann es also je nach Dienstleistung und Branche Auswirkungen haben. 

Rechenschaftspflicht des Managements 

Eine weitere wichtige Ergänzung der NIS-1 ist die Rechenschaftspflicht, die die neue Richtlinie dem Management der vom Anwendungsbereich betroffenen Organisationen zuweist. Das Management wird verpflichtet, die Verantwortung für den Reifegrad der Cybersicherheit zu übernehmen. Dazu gehören unter anderem die Durchführung von Risikobewertungen und die Genehmigung von Plänen zur Risikobehandlung, die umgesetzt werden sollen. Um diese Maßnahmen durchführen zu können, muss das Management an einer Cybersicherheitsschulung teilnehmen. In der Richtlinie wird sogar vorgeschlagen, nicht nur die Unternehmensleitung, sondern auch die Mitarbeiter zu schulen, um ihre Kenntnisse im Bereich der Cybersicherheit zu vertiefen. 

Komplexität der Rechtsprechung 

Gemäß der NIS2-Richtlinie gelten wesentliche und bedeutende Einrichtungen als der Gerichtsbarkeit des Mitgliedstaats unterliegend, in dem sie ihre Dienstleistungen erbringen. 

Erbringt die Stelle Dienstleistungen in mehr als einem Mitgliedstaat, sollte sie der Gerichtsbarkeit jedes dieser Mitgliedstaaten unterliegen. Einrichtungen, die ihre Dienste außerhalb der EU erbringen oder von dort abhängig sind, sollten die Kontinuität ihrer EU-Dienste im Falle einer Unterbrechung ihrer Tätigkeiten außerhalb der EU sicherstellen. 

Sanktionen 

Die NIS-1-Richtlinie sah Sanktionen für die Nichteinhaltung der Vorschriften durch OES und DSPs vor, während die NIS-2-Richtlinie strengere Sanktionen für die Nichteinhaltung vorsieht, einschließlich Geldbußen von bis zu 10 % des Jahresumsatzes eines Unternehmens. 

  • Für wesentliche Einrichtungen: Verwaltungsgeldstrafen in Höhe von bis zu 10.000.000 € oder mindestens 2 % des weltweiten Gesamtjahresumsatzes des Unternehmens, zu dem die wesentliche Einrichtung gehört, im vorangegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist. 
  • Für wichtige Unternehmen: Bußgelder in Höhe von bis zu 7.000.000 € oder mindestens 1,4 % des weltweiten Gesamtjahresumsatzes des Unternehmens, zu dem das wichtige Unternehmen gehört, im vorangegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist.

Wie bereitet man seine Organisation auf NIS2 vor? 

Auf der Grundlage unserer Erfahrungen mit NIS lernen Sie die wichtigsten Aspekte kennen, die Ihre Organisation berücksichtigen sollte, um auf dem richtigen Weg zur NIS2-Konformität zu sein. 

 1. Antizipieren und mit der Vorbereitung beginnen 

Die rechtzeitige Vorbereitung ist ein Schlüsselelement auf dem Weg zur Konformität einer Organisation. Die Unterstützung der obersten Führungsebene, die Zustimmung der Interessengruppen und die Bereitstellung des erforderlichen Budgets und der Ressourcen werden Zeit in Anspruch nehmen.  

Stellen Sie sich auf Verzögerungen ein und verpflichten Sie sich zu einer strikten Planung mit festen Fristen. Darüber hinaus kann die Umsetzung einiger der neuen Anforderungen als Quick Wins betrachtet und im Voraus festgelegt werden, z. B. die Eskalation von Vorfällen und die Meldung an die zuständigen Behörden. 

 2. Identifizieren Sie die kritischen Prozesse in Ihrem Unternehmen 

Der Startpunkt auf dem Weg zur Einhaltung der Vorschriften ist die Identifizierung der kritischen Dienste, Prozesse und Anlagen des Unternehmens, die den in der NIS2 definierten wesentlichen Dienst erbringen.  

Eine Methode, um dies zu erreichen, ist eine unternehmensweite Bewertung der geschäftlichen Auswirkungen, um die kritischen Prozesse des Unternehmens und ihre Abhängigkeit von Netzwerk– und Informationssystemen zu ermitteln. Ein entscheidendes Element für das Scoping ist die Definition der Kriterien für die Auswirkungen auf das Geschäft, die dazu führen, dass ein Prozess, ein Standort oder eine Anlage in den Anwendungsbereich fällt. 

 3. Implementierung eines Risiko- und Informationssicherheitsmanagementsystems 

Unternehmen, die in den Anwendungsbereich der NIS2-Richtlinie fallen, müssen ihre Informationssicherheitsrisiken managen. Um diese Anforderung zu erfüllen, muss ein Risiko- und Informationssicherheitsmanagementsystem eingeführt werden.  

Ein solches Managementsystem für die Informationssicherheit zielt darauf ab, die Informationssicherheitsrisiken des Unternehmens zu identifizieren, zu behandeln und zu überwachen sowie sicherzustellen, dass die Zuständigkeiten festgelegt und die wichtigsten Prozesse funktionsfähig sind, wie z. B: 

  • Risikomanagement und Sicherheitsrichtlinien für Informationssysteme
  • Behandlung und Management von Vorfällen
  • Geschäftskontinuität und Krisenmanagement (Backups, Notfallwiederherstellung)
  • Sicherheit der Lieferkette
  • Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzen und Informationssystemen, einschließlich des Umgangs mit und der Offenlegung von Schwachstellen
  • Strategien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Management von Cybersicherheitsrisiken
  • Kryptografie und Verschlüsselung, mehrstufige Authentifizierung
  • Menschen, Bewusstsein und Schulung 

4. Initiieren Sie Ihren IT-Lieferketten-Sicherheitsmanagementprozess 

Nehmen Sie Ihre IT-Lieferanten (Partner) unter die Lupe, insbesondere diejenigen, die für die Kontinuität Ihres Betriebs entscheidend sind. Wenn Sie die Schwachstellen Ihrer IT-Lieferkette und die Sicherheitslücken bei Ihren Lieferanten kennen, können Sie den langwierigen Prozess der Behebung Ihrer vertraglichen, betrieblichen oder technischen Schwachstellen in Angriff nehmen. 

5. Etablierung einer cyber-orientierten Kultur 

Eines der meistgenannten Elemente, das jedoch in vielen Unternehmen schwer umzusetzen ist, ist eine cyberorientierte Kultur und ein ausgereiftes Bewusstsein für die Informationssicherheit unter den Mitarbeitern. Die Mitarbeiter sollten sich ihrer Rollen und Verantwortlichkeiten in Bezug auf das Ökosystem der Informationssicherheit bewusst sein.  

Die IT-Mitarbeiter sollten über das erforderliche Wissen verfügen, um die erforderlichen Kontrollen durchführen zu können. Und nicht zuletzt sollte die Geschäftsleitung die Cybersicherheit als Schlüsselelement für das Überleben des Unternehmens in diesem digitalen Zeitalter begreifen. 

6. Angemessene Anleitung und Unterstützung

Unser Expertenteam hat NIS1 gemeistert und steht Ihnen auch bei der NIS2 mit Rat und Tat zur Seite. Savecall kann Ihnen dabei helfen, Ihre Bereitschaft zu bewerten, Ihren Fahrplan für die Einhaltung der Vorschriften festzulegen, Ihren Anwendungsbereich zu bestimmen, Ihre Rahmenwerke für das Risiko- und Sicherheitsmanagement einzurichten und zu implementieren, Ihre IT-Lieferkette zu sichern und Ihr Programm zur Sensibilisierung für die Cybersicherheit zu optimieren.