Die NIS2-Richtlinie im Überblick

Die NIS2-Richtlinie (Network and Information Security) ist eine neue EU-Verordnung, die darauf abzielt, ein hohes gemeinsames Niveau an Cybersicherheit in allen Mitgliedstaaten zu gewährleisten.

Sie erweitert den Geltungsbereich gegenüber der ersten NIS-Richtlinie und bezieht mehr Sektoren und Arten von Unternehmen ein.

Wesentlich ist, dass Geschäftsführer und andere leitende Angestellte bei Nichteinhaltung persönlich haften.

Dies bedeutet konkret: die Geschäftsleitung ist nun direkt für die Implementierung wirksamer Maßnahmen gegen Cyberangriffe verantwortlich.

Übersicht der betroffenen 18 Sektoren

Energie

Verkehr

Bankwesen

Finanzmarktinfrastrukturen

Gesundheitswesen

Trinkwasser

Abwasser

Digitale Infrastruktur

Verwaltung von IKT-Diensten (B2B)

Öffentliche Verwaltung

Weltraum

Post- und Kurierdienste

Abfallbewirtschaftung

Produktion, Herstellung und Handel mit chemischen Stoffen

Produktion, Verarbeitung und Vertrieb von Lebensmitteln

Verarbeitendes Gewerbe/Herstellung von Waren

Anbieter digitaler Dienste

Forschung

Übersicht Sonderfälle

Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten
Vertrauensdiensteanbieter
TLD-Namensregistrierungen und DNS-Dienstanbieter (außer Betreiber von Root-Namenservern)
Alleinige Anbieter, die essentiell für Gesellschaft und Wirtschaft sind
Einrichtungen, deren Ausfall einen großen Effekt auf öffentliche Ordnung, Sicherheit oder Gesundheit hätte
Einrichtungen, deren Ausfall zu einem Systemrisiko mit grenzübergreifenden Folgen führen könnte
Einrichtungen, die wegen spezieller nationaler oder regionaler Wichtigkeit kritisch sind
Vom EU-Mitgliedstaat definierte Einrichtung der öffentlichen Verwaltung der Zentralregierung oder kritische Einrichtung der öffentlichen Verwaltung auf regionaler Ebene
Kritische Infrastrukturen gemäß EU-Richtlinie 2022/2557
Einrichtungen, die Domänennamenregistrierungsdienste erbringen

Zusätzlich gilt die neue Richtlinie indirekt auch für Dienstleister und Lieferanten von betroffenen Einrichtungen.

Bild Verantwortung der Geschäftsführung im Rahmen von NIS2

Verantwortung der Geschäftsleitung

muss die Umsetzung der Maßnahmen überwachen und haftet für Verstöße

Entscheidungsträgern (CEO, CTO, CIO, DSB, ISB) bieten wir spezielle NIS2-Workshops an, die das notwendige Wissen vermitteln, um den neuen NIS2-Anforderungen gerecht zu werden.

NIS2-Workshop

muss an Schulungen teilnehmen und diese den Beschäftigten anbieten

Die NIS2 Directive der EU schreibt vor, dass erhebliche Sicherheitsvorfälle der nationalen Behörde und gegebenenfalls den Empfängern der eigenen Dienste gemeldet werden müssen. Die Richtlinie sieht diese Fristen vor, um den Vorfall der Behörde zu melden:

Frühwarnung innerhalb von 24 h ab Kenntnis:
Verdacht, ob der Vorfall auf rechtswidriger oder böswilliger Handlung beruht und ob grenzüberschreitend.
Ausführlicher Bericht innerhalb von 72 h ab Kenntnis:
Erste Bewertung des Sicherheitsvorfalls, inklusive Schweregrad, Auswirkungen und ggf. die Kompromittierungsindikatoren.
Fortschritts-/Abschlussbericht ein Monat nach Meldung:
Ausführliche Beschreibung, Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen, ggf. die grenzüberschreitenden Auswirkungen.

Meldepflicht von Sicherheitsvorfällen

Wenn NIS2 für Sie gilt, müssen Sie sich bei der nationalen Behörde registrieren – wie genau, wird noch festgelegt. Folgende Informationen sind einzureichen:

Name Ihrer Einrichtung
Anschrift und Kontaktdaten, einschließlich E-Mail-Adressen, IP-Adressbereiche und Telefonnummern
ggf. den relevanten Sektor und Teilsektor gemäß Anhang I oder II
ggf. eine Liste der EU-Mitgliedstaaten, in denen Sie Dienste erbringen

Registrierung

Laut NIS2 müssen Sie mindestens die folgenden Cybersecurity-Maßnahmen umsetzen, um die Risiken für die Sicherheit Ihrer Netz- und Informationssysteme zu beherrschen – und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder gering zu halten. Sie müssen die IT-Systeme und deren physische Umwelt schützen („All-Gefahren-Ansatz“). Wieviel genau angemessen ist, sollten Sie nach einem risikobasierten Ansatz für sich festlegen.

Policies: Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
Vorfallsbewältigung: Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle
Business Continuity: Backup-Management und Wiederherstellung, Krisenmanagement
Supply Chain: Sicherheit in der Lieferkette
Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme
Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
Cyberhygiene, Schulung: Cyberhygiene (z.B. Updates) und Schulungen in Cybersecurity
Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management
Authentifizierung: Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
Kommunikation: Sichere Sprach-, Video- und Text-Kommunikation, ggf. auch im Notfall

Deutscher NIS2-Gesetzesentwurf: Nur zertifizierte IKT-Produkte und -Dienste dürfen genutzt werden.

Was müssen von NIS2 betroffene Unternehmen und Organisationen tun?

Bei Verstößen gegen die Risikomanagementmaßnahmen oder Meldepflicht von Sicherheitsvorfällen drohen hohe Geldstrafen.

Die NIS2 Directive trifft eine Einteilung in wesentliche und wichtige Einrichtungen. Während die Pflichten grundsätzlich gleich sind, unterscheiden sie sich darin, wie streng die Aufsicht ist und wie hoch die Geldstrafen bei Non-Compliance ausfallen.

Was passiert, wenn die NIS2-Vorschriften nicht einhalten werden?

Wesentliche Einrichtungen

Proaktive Aufsicht durch Behörden, z.B.

regelmäßige Sicherheitsprüfungen
Ad-hoc-Prüfungen
Vor-Ort-Kontrollen
Anforderung von Nachweisen
Anweisungen mit Fristen

Geldstrafen bei Verstößen:

Höchstbetrag von mindestens 10 Millionen Euro oder 2 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist

Wer zählt dazu?

Große Unternehmen:
> 249 Beschäftigte, oder
> 50 Mio. EUR Umsatz und > 43 Mio. EUR Bilanz
Größenabhängige Sonderfälle

Wichtige Einrichtungen

Reaktive Aufsicht nach Hinweisen auf Verstöße, z.B.

gezielte Sicherheitsprüfungen
Vor-Ort-Kontrollen
Anforderung von Nachweisen
Anweisungen mit Fristen

Geldstrafen bei Verstößen:

Höchstbetrag von mindestens 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist

Wer zählt dazu?

Große Unternehmen:
> 249 Beschäftigte, oder
> 50 Mio. EUR Umsatz und > 43 Mio. EUR Bilanz
Mittlere Unternehmen
mind. 50 Beschäftigte, oder
> 10 Mio. EUR Umsatz und > 10 Mio. EUR Bilanz
kein großes Unternehmen
Größenunabhängige Sonderfälle:
Einrichtungen, die vom Staat als „wichtig“ eingestuft werden (zum Beispiel alleinige Anbieter)

Jetzt unverbindlich Erstberatung erhalten!

Kontaktieren Sie uns noch heute, um Ihre Cybersecurity Erstberatung zu vereinbaren und den Weg zu einer robusteren Sicherheitslage zu ebnen.

Beratung anfordern

Ab wann gilt NIS2?

NIS2 ist seit 2023 auf EU-Ebene in Kraft
das deutsche NIS2-Umsetzungsgesetz liegt als Referentenentwurf vor
NIS2 soll ab 18. Oktober 2024 als nationales Recht angewendet werden

Für folgende Einrichtungen, die ihre Dienste in der Europäischen Union erbringen oder ihre Tätigkeiten dort ausüben gilt die EU-weite NIS2-Richtlinie:

Öffentliche und private Einrichtungen in 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme
Sonderfälle, unabhängig von ihrer Größe, wie kritische Sektoren, wesentliche Dienste, digitale Dienste und öffentliche Verwaltungen

Wen betrifft NIS2?