NIS2-Richtlinie: Was Unternehmen jetzt beachten müssen

Was ist NIS2?

Mit der NIS2-Richtlinie (Network and Information Security Directive) reagiert die Europäische Union auf die zunehmende Bedrohung durch Cyberattacken: Ab dem 18. Oktober 2024 müssen EU-Unternehmen mit mehr als 50 Mitarbeitenden und über 10 Millionen Euro Umsatz in 18 spezifischen Sektoren verstärkte Cybersicherheitsmaßnahmen umsetzen.

Dabei löst NIS2 die NIS-Richtlinie von 2016 mit dem Ziel ab, ein noch höheres gemeinsames Niveau der Cybersicherheit zu erreichen. Dazu weitet sie ihren Anwendungsbereich auf noch mehr Unternehmen aus, verschärft die Anforderungen und stärkt die Durchsetzungskräfte der nationalen Regulierungsbehörden. Werden die Mindestmaßnahmen nicht eingehalten, drohen Strafen, die bis zu 10 Millionen Euro oder 2 % des globalen Jahresumsatzes reichen.

Wichtige Fakten zu NIS2 auf einen Blick:

• Neben den bestehenden Betreibern kritischer Anlagen sind neue Einrichtungen betroffen, die sich durch bestimmte Sektoren und Unternehmensgrößen definieren.
• Ebenfalls betroffen sind deutsche Bundeseinrichtungen und einige Sonderfälle.
• Die Sektoren der kritischen Anlagen bleiben bestehen, die Sektoren der neuen Einrichtungen erweitern sich und umfassen neben Infrastruktur nun große Teile der Wirtschaft.
• Die geforderten Sicherheitsmaßnahmen werden umfassender und beinhalten u. a. Risikomanagement, Vorfallsmeldungen, technische Maßnahmen und Governance.
• Neben möglichen Haftungsrisiken auf Managementebene können Geldstrafen von bis zu 10 Millionen Euro oder 2 % des globalen Jahresumsatzes verhängt werden.

Welche Unternehmen sind in Deutschland betroffen?

Die deutschen Unternehmen, die von NIS2 betroffen sind, lassen sich in vier Gruppen gliedern: die Betreiber kritischer Infrastrukturen (KRITIS), besonders

wichtige Einrichtungen, wichtige Einrichtungen sowie einige Bundesbehörden. Dabei werden die Unternehmen in „Kritis-Sektoren“, „Sektoren mit hoher Kritikalität“ und „Sonstige kritische Sektoren“ eingeteilt.

2 Kritis-Sektoren (aus dem KRITIS-Dachgesetz)

• Energie: Stromversorgung, Gasversorgung, Kraftstoff/Heizöl, Erzeugung von Wasserstoff
• Transport/Verkehr: Luftverkehr, Eisenbahnverkehr, See- und Binnenschifffahrt, Straßenverkehr, Wettervorhersage (DWD)
• Finanz/Versicherung: Bargeldversorgung, Zahlungsverkehr, Wertpapiere, Versicherung, Sozialversicherung, Grundsicherung
• Gesundheit
• Wasser/Abwasser
• IT und TK: Sprach- und Datenübertragung, Datenspeicherung und -verarbeitung
• Weltraum: Bodeninfrastrukturen
• Ernährung
• Entsorgung

3 Sektoren mit hoher Kritikalität (aus NIS2UmsuCG, Anhang 1):

• Energie: Stromversorgung, Fernwärme/-kälte, Kraftstoff/Heizöl, Gas
• Transport/Verkehr: Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr
• Finanz-/Versicherungswesen: Banken, Finanzmarkt-Infrastruktur
• Gesundheit: Dienstleistung, Forschung, Pharmazie, Medizinprodukte
• Wasser/Abwasser: Trinkwasser, Abwasser-Aufbereitung
• IT und TK: RZ-Dienste, CDNs, TSP, elektronische Kommunikation/Dienste, Managed Services und Security Service Provider
• Weltraum: Betreiber von Bodeninfrastrukturen

4 Sonstige kritische Sektoren (aus NIS2UmsuCG, Anhang 2):

• Transport/Verkehr: Post- und Kurierdienste
• Chemie: Produktion, Handel
• Lebensmittel: Produktion, Verarbeitung, Vertrieb
• Verarbeitendes Gewerbe: Medizinprodukte, Maschinen, Kfz-Teile, Fahrzeuge, elektrische Geräte
• Digitale Dienste: Suchmaschinen, Marktplätze, soziale Netzwerke
• Forschung: Forschungseinrichtungen
• Entsorgung: Abfallbewirtschaftung

Unternehmen gelten als Betreiber kritischer Anlagen, wenn sie zu einem der aufgeführten Sektoren aus dem Kritis-Dachgesetz gehören und bestimmte Schwellwerte überschreiten. Außerdem gelten sie auch als besonders wichtige Einrichtungen gemäß des NIS2-Umsetzungsgesetzes und unterliegen damit den entsprechenden Auflagen.

Unternehmen, die entweder über 250 Mitarbeitende oder einen Umsatz von über 50 Millionen Euro verfügen und in den in Anlage 1 genannten Wirtschaftssektiren tätig sind,, gelten als besonders wichtige Einrichtungen. Alle anderen Einrichtungen der Sektoren aus Anhang 1 wie auch Anhang 2 mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz von mehr als 10 Millionen Euro gelten als wichtige Einrichtungen.

Welche Änderungen bringt NIS2?

Die bedeutendste Veränderung ist die Ausweitung der von der NIS2-Richtlinie betroffenen Organisationen. Zusätzlich steigen die Anforderungen an die Cybersicherheit: Unternehmen müssen spezielle Maßnahmen in verschiedenen Bereichen wie dem Risikomanagement, Business Continuity Management (BCM), der Lieferkettensicherheit und Incident Response ergreifen. Und wenn bei der bisherigen KRITIS-Gesetzgebung nur die „kritische Infrastruktur“ selbst im Fokus stand, erweitert sich mit NIS2 der Scope an Maßnahmen und Pflichten in vielen Fällen auf das gesamte betroffene Unternehmen.

Darüber hinaus erhalten nationale Regulierungsbehörden verstärkte Durchsetzungsbefugnisse, es gibt höhere Geldbußen und strengere Meldepflichten. Unternehmen müssen Sicherheitsvorfälle umgehend, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme, mit einer Vorabmeldung melden und innerhalb von 72 Stunden eine detaillierte Meldung vorlegen.

Welche Strafen drohen?

Der Druck zur Durchsetzung nimmt durch erhöhte Sanktionen und die persönlichen Haftungsrisiken der Managementebene zu. Verstöße gegen die NIS2-Richtlinie können zu folgenden Konsequenzen führen:

Wesentliche Unternehmen riskieren Geldstrafen von bis zu 10 Millionen Euro oder 2 % ihres globalen Jahresumsatzes, während wichtige Unternehmen mit Bußgeldern von bis zu 7 Millionen Euro oder 1,4 % ihres weltweiten Jahresumsatzes konfrontiert werden. Zusätzlich zur finanziellen Verantwortung trägt das Management die persönliche Haftung für Verstöße gegen die auferlegten Risikomaßnahmen. Es hat darüber hinaus die Pflicht, sich selbst in der Cybersecurity weiterzubilden und auch dafür zu sorgen, dass sich ihre Mitarbeitenden regelmäßig weiterbilden.

Welche Anforderungen muss ich für NIS2-Konformität erfüllen?

Um die Konformität nach NIS2 zu gewährleisten, sollte ein Sicherheitsprogramm die folgenden Mindestmaßnahmen beinhalten:

Policies: Konzepte zur Analyse von Risiken und zur Sicherheit von Informationssystemen.

Vorfallsmanagement: Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle.

Business Continuity Management: Verwaltung von Backups, Wiederherstellung und Krisenmanagement.

Lieferkettenmanagement: Sicherheit in der Lieferkette gewährleisten.

Einkauf und Beschaffung: Sicherheit beim Erwerb, der Entwicklung und Wartung von IT-Systemen.

Wirksamkeitsbewertung: Überprüfung der Effektivität der eingeführten Risikomanagementmaßnahmen.

Cyberhygiene und Schulungen: Maßnahmen zur Cyberhygiene (z. B. Updates) und Schulungen im Bereich Cybersicherheit.

Kryptografie: Nutzung von Kryptografie und gegebenenfalls Verschlüsselung.

Personal, Zugriffskontrolle, Vermögenswerte: Gewährleistung der Sicherheit von Mitarbeitenden, Zugriffskontrolle und Asset Management.

Authentifizierung: Implementierung von Multi-Faktor-Authentifizierung oder kontinuierlicher Authentifizierung.

Dokumentation/Berichterstattung: Führung von Sicherheitsaufzeichnungen und regelmäßige Berichterstattung an Aufsichtsbehörden.

Sichere Kommunikation/Notfallkommunikation: Sicherstellung einer krisensicheren und unabhängigen Kommunikation.

Wie kann ein ISMS mich unterstützen?

Durch die Implementierung eines ISO/IEC 27001-zertifizierten Informationssicherheits-Managementsystems (ISMS) legen Sie eine robuste Basis, um die spezifischen Anforderungen von NIS2 zu erfüllen. Denn ein ISMS unterstützt Sie dabei, Risiken zu identifizieren und zu bewerten, angemessene Sicherheitsmaßnahmen zu implementieren und ihre Wirksamkeit zu überprüfen. So fördert das ISMS einen proaktiven Ansatz zur Informationssicherheit durch regelmäßige Überprüfungen, Audits und kontinuierliche Verbesserungen.

SIEM und SOC im Teamplay nutzen

Ein SIEM (Security Information and Event Management) und SOC (Security Operations Center) können ebenfalls eine zentrale Rolle in puncto NIS2-Compliance spielen. Vor allem, wenn es darum geht, ein System zur Angriffserkennung einzuführen oder die sehr kurzen Meldepflichten (24 Stunden) zu erfüllen.

Im Zusammenspiel bieten die Sicherheitslösungen eine Echtzeitüberwachung von Netzwerk- und Systemaktivitäten, um verdächtige Muster oder Anomalien zu erkennen, die auf potenzielle Angriffe hinweisen. Gleichzeitig werden Bedrohungsdaten gesammelt und analysiert, um Informationen über aktuelle Angriffsmethoden zu erhalten. Auf dieser Basis können Organisationen proaktiv nach potenziellen Bedrohungen suchen, angemessen reagieren und signifikante Vorfälle melden.

Lassen Sie uns den Weg zu NIS2 gemeinsam gehen

Auch ein erfahrener Cyber-Security-Dienstleister wie Axians kann Sie effektiv dabei unterstützen, die mit NIS2 einhergehenden personellen, technischen und organisatorischen Anforderungen zu erfüllen. Dabei spielt jeder der folgenden Schritte eine wesentliche Rolle, ein umfassendes und effektives Cyber-Security-Framework zu etablieren.

• Klären der Betroffenheit
• Bewertung der Sicherheitsanforderungen
• Unterstützung bei der Ermittlung des Handlungsbedarfs
• Prüfen von Compliance-Vorgaben
• Beratung zur Mitigation der identifizierten Risiken
• Aufbau von Asset-Datenbanken und Klassifizieren der Assets
• Erarbeiten von Sicherheitskonzepten
• Implementieren von Security-Prozessen

Dabei steht fest: Nach dem neusten Referentenentwurf werden keine Nachweise mehr von wichtigen oder besonders wichtigen Einrichtungen verlangt, hier auditiert das BSI bei Bedarf. Dazu beginnt die Nachweispflicht für Betreiber kritischer Infrastrukturen erst drei Jahre nach Inkrafttreten von NIS2, also im Oktober 2027 und danach im dreijährigen Turnus.

Dennoch gilt: Wer jetzt schon anfängt, die von NIS2 geforderten Maßnahmen umzusetzen, ist spätestens dann optimal gerüstet. Das ist im Übrigen auch das, was der Gesetzgeber ab Oktober 2024 von allen Einrichtungen erwartet.